Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Автоматическая установка корневых и промежуточных сертификатов
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.11.2015(UTC) Сообщений: 6 Откуда: Калуга Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
В нашей организации доступ в интернет осуществляется через прокси сервер, на адреса добавленные в "белый лист" (разрешенные адреса). При этом есть несколько информационных систем/порталов, которые используют https. При попытке подключиться к сайту, такие браузеры как Chrome или Mozilla, выдают сообщение с предупреждением о том, что нет доверия к сертификату сайта и тд.
Насколько я понимаю, это происходит из-за того, что при подключении к сайту автоматически не устанавливаются промежуточные и корневые сертификаты, из-за того что адреса откуда они загружаются отсутствуют в "белом листе" прокси сервера.
Сотрудников в организации много, устанавливать сертификаты каждому вручную - сложный вариант.
Подскажите, пожалуйста, как определить адрес, с которого качаются промежуточные и корневые сертификаты, чтобы разрешить доступ на него?
В самом сертификате, во вкладке "состав", есть строка "Доступ к информации о центрах сертификации", где содержаться адреса с которых можно скачать корневой/промежуточный сертификат, например у Калуга-Астрал это:
[1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://ocsp.keydisk.ru/OCSP8892017/OCSP.srf [2]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://www.dp.keydisk.ru/root/889/astral-889-2017.cer
Достаточно ли будет, если я разрешу доступ до этих двух адресов, ну или просто до домена keydisk.ru ?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,373 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 31 раз Поблагодарили: 702 раз в 611 постах
|
Корневые сертификаты почти никогда не распространяются автоматически, разве что вместе с браузерами и обновлениями ОС. А промежуточные скачиваются по ссылкам из конечных сертификатов - заранее они неизвестны. |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 13.11.2015(UTC) Сообщений: 6 Откуда: Калуга Сказал(а) «Спасибо»: 1 раз
|
Если я правильно понимаю, то личный сертификат указывает на промежуточный, а промежуточный на корневой? Это я про вкладку "состав", строку "доступ к информации о центрах сертификации". То есть если разрешить эти адреса, они будут автоматом устанавливаться?
Нужно ли таким же образом добавлять адрес из "точки распространения списка отзывов" в исключения прокси? Если этого не сделать (и если СОС не установлены вручную) - сертификат будет считаться недействительным, не смотря на то что цепочка в "пути сертификации" будет полная?
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.04.2019(UTC) Сообщений: 4 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
А по какой причине может автоматически не устанавливаться промежуточный сертификат УЦ, если ссылки на него в поле "Доступ к информации о центрах сертификации" рабочие? То есть можно загрузить сертификаты УЦ по этим ссылкам, установить вручную, после чего путь сертификации будет построен. sertifikat.zip (2kb) загружен 10 раз(а).
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.01.2017(UTC) Сообщений: 37 Откуда: spb Поблагодарили: 2 раз в 2 постах
|
Ну так да, вероятно закрыт доступ к адресам, с которых скачиваются и устанавливаются промежуточные сертификаты. В этом случае их надо вручную.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.04.2019(UTC) Сообщений: 4 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Автор: kontaria.dim.ka Ну так да, вероятно закрыт доступ к адресам, с которых скачиваются и устанавливаются промежуточные сертификаты. В этом случае их надо вручную. Не совсем понимаю, я же могу загрузить сертификаты УЦ в браузере по тем же URL, которые указаны в самом сертификате ЭП в поле "Доступ к информации о центрах сертификации" - получается, доступ к ним есть - почему они тогда автоматически не устанавливаются?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,373 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 31 раз Поблагодарили: 702 раз в 611 постах
|
Нам неизвестно приложений, которые бы автоматически устанавливали сертификаты. Промежуточные будут закэшированны и использованы для построения цепочек. Корневой сертификат пользователь или администратор должен устанавливать вдумчиво самостоятельно. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.04.2019(UTC) Сообщений: 4 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Автор: Максим Коллегин Нам неизвестно приложений, которые бы автоматически устанавливали сертификаты. Промежуточные будут закэшированны и использованы для построения цепочек. Корневой сертификат пользователь или администратор должен устанавливать вдумчиво самостоятельно. С корневым сертификатом ясно. Вопрос с сертификатами Промежуточных центров сертификации. Не понятно про их кэширование, так как при анализе выявлено следующее: При просмотре сертификатов ЭП, выпущенных рядом удостоверяющих центров (СКБ Контур, Такском и др.) происходит установка сертификата УЦ в хранилище Промежуточных центров сертификации. То есть, до открытия файла *.cer, в промежуточных не было сертификата УЦ, а после открытия он там появляется. Таким образом, в сертификате ЭП строится путь сертификации до корневого. Такие сертификаты проходят проверку на сервере https://www.justsign.me/...fyqca/VerifyCertificate/ и портале проверки ЭЦП Browser Plugin. Но есть УЦ, которые выпускают сертификаты, при просмотре которых не происходит установка сертификата УЦ в Промежуточные центры сертификации. Путь сертификации не строится. Проверки на ресурсах КриптоПРО такие сертификаты ЭП не проходят. Хотя сами сертификаты УЦ по URL в сертификатах ЭП, как писалось ранее, доступны. Хотелось бы понять, в чём причина проблемы. Требования к подписи - CAdES-X Long Type 1.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,373 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 31 раз Поблагодарили: 702 раз в 611 постах
|
Приложите сертификаты пользователей первого и второго рода. Под просмотром понимается открытие .cer в проводнике Windows? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.04.2019(UTC) Сообщений: 4 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
sert_bez_avtoustanovki.zip (2kb) загружен 6 раз(а). Sert_s_avtoustanovkojj.zip (2kb) загружен 7 раз(а).Автор: Максим Коллегин Приложите сертификаты пользователей первого и второго рода. Под просмотром понимается открытие .cer в проводнике Windows? Открытие в проводнике Windows либо в оснастке "Сертификаты" консоли управления MMC
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Автоматическая установка корневых и промежуточных сертификатов
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close