Статус: Новичок
Группы: Участники
Зарегистрирован: 06.11.2015(UTC) Сообщений: 2 
|
Добрый день! Столкнулись с проблемой - у клиента не строится цепочка при попытке подписать усов.ЭП. Грешим на отсутствие сертов либо не прописанных где-то адресов служб штампов времени, но, к сожалению, с этой подписью работаем недавно и это прям тёмный лес) Не могли бы вы подсказать, где проверять, прописаны ли адреса служб? Также открываю сертификат клиента - там только личный и корневой, промежуточных нет, в поле "Улучшенный ключ": Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) Защищенная электронная почта (1.3.6.1.5.5.7.3.4) Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6) Сертификат службы штампов должен отдельно идти? Или такая подпись просто не является усовершенствованной и наша система её некорректно воспринимает? Буду признательна также если сможете предоставить образец серта, на котором можно будет рассмотреть цепочку и понять что к чему :) Дополнение: лицензии OCSP и TSP установлены (версии 2.0), корневой сертификат установлен в хранилище, без штампов этим же сертификатом подписывает. Отредактировано пользователем 28 февраля 2016 г. 9:29:43(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,783  Сказал «Спасибо»: 581 раз
Поблагодарили: 2310 раз в 1809 постах
|
Автор: Alysty  Добрый день!
Столкнулись с проблемой - у клиента не строится цепочка при попытке подписать усов.ЭП. Грешим на отсутствие сертов либо не прописанных где-то адресов служб штампов времени, но, к сожалению, с этой подписью работаем недавно и это прям тёмный лес)
Не могли бы вы подсказать, где проверять, прописаны ли адреса служб?
Также открываю сертификат клиента - там только личный и корневой, промежуточных нет, в поле "Улучшенный ключ": Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) Защищенная электронная почта (1.3.6.1.5.5.7.3.4) Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
Сертификат службы штампов должен отдельно идти? Или такая подпись просто не является усовершенствованной и наша система её некорректно воспринимает?
Буду признательна также если сможете предоставить образец серта, на котором можно будет рассмотреть цепочку и понять что к чему :)
Дополнение: лицензии OCSP и TSP установлены (версии 2.0), корневой сертификат установлен в хранилище, без штампов этим же сертификатом подписывает. Здравствуйте. Требования к конфигурацииЦитата:Сертификат, на котором создаётся подпись и сертификат службы штампов времени, должны проверяться на отзыв и для них должны строиться цепочки.
...
Для сертификата службы актуальных статусов должна строиться цепочка, также он должен иметь расширение Признак доверия службе OCSP (id-pkix-ocsp-nocheck - OID 1.3.6.1.5.5.7.48.1.5)
... |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,783 Сказал «Спасибо»: 581 раз
Поблагодарили: 2310 раз в 1809 постах
|
Автор: Alysty Добрый день!
Столкнулись с проблемой - у клиента не строится цепочка при попытке подписать усов.ЭП. Грешим на отсутствие сертов либо не прописанных где-то адресов служб штампов времени, но, к сожалению, с этой подписью работаем недавно и это прям тёмный лес)
Не могли бы вы подсказать, где проверять, прописаны ли адреса служб?
В каком ПО создается усовершенствованная ЭП? Смотрите там настройки. Автор: Alysty
Также открываю сертификат клиента - там только личный и корневой, промежуточных нет, в поле "Улучшенный ключ": Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) Защищенная электронная почта (1.3.6.1.5.5.7.3.4) Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
Сертификат службы штампов должен отдельно идти?
Да, служба подписывает свой ответ своим сертификатом, не вашим. Автор: Alysty
Также открываю сертификат клиента - там только личный и корневой, промежуточных нет, в поле "Улучшенный ключ": Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) Защищенная электронная почта (1.3.6.1.5.5.7.3.4) Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
Сертификат службы штампов должен отдельно идти?
Или такая подпись просто не является усовершенствованной и наша система её некорректно воспринимает?
Сертификат - удостоверение личности. Усовершенствованная подпись - это не сертификат, это результат применения сертификатов (Пользователя и OCSP\TSP служб) при подписании документов. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
