Статус: Участник
Группы: Участники
Зарегистрирован: 22.08.2019(UTC) Сообщений: 10
|
Добрый день. Подскажите, пожалуйста, по такой ситуации. При создании CAdES подписи формата XLT1 в метод CAdESSignature.addSigner нужно передать URL откудать брать TSP. Так как я использую тестовые ключи, то указываю URL - http://testca2012.cryptopro.ru/tsp/tsp.srfВопрос, почему подпись начинает работать очень долго? 40 секунд против 640 милли секунд для формата BES - как я понял разница только в наличии/отсутвии штампа времени, а значит вызова URL Можно ли это как-то обойти? Или использовать локальный файл tsp.srf для тестовых контуров? Заранее спасибо.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Дело может быть не только во времени вызове URL сервера времени, но еще и в точности сервера времени. По стандарту положено чтобы отметка времени от сервера была позднее чем время в самой подписи, например, если точность сервера 10 секунд, то в худшем случае придется ждать 9,9 секунд (пока время на сервере не превысит заданный интервал 10 секунд от времени в подписи). В этом случае в протоколе найдется запись, что предварительная проверка проведена успешна, ждем 9 секунд до сбора доказательств. Еще может накладываться время пока сервер времени проверяет списки отзыва (быстрее работает если сертификат выдан тем же УЦ, к которому принадлежит сервер времени) и так далее.
Хотя конечно 40 секунд многовато, проверьте настройку DNS и доступность сервера времени, всех адресов сертификатов УЦ и списков отзыва. После 40 секунд ожидания подпись получается со штампом времени или срабатывает отбой и возвращается подпись без штампа?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.08.2019(UTC) Сообщений: 10
|
Автор: two_oceans Хотя конечно 40 секунд многовато, проверьте настройку DNS и доступность сервера времени, всех адресов сертификатов УЦ и списков отзыва. После 40 секунд ожидания подпись получается со штампом времени или срабатывает отбой и возвращается подпись без штампа? Cама ссылка отвечает моментально. Тоесть проблем с DNS и доступностью нет. После 40 секунд подпись проходит успешно. Время начала подписи 10:26:28 (запись лога перед вызовом addSigner) - штамп 10:27:21 - можно как-то узнать какой интервал настроен на сервере? И если вопрос в настроеном интервале, не знаете ли, есть ли тестовые УЦ с настройками близкими к боевым? Snimok.PNG (3kb) загружен 4 раз(а).Автор: two_oceans (быстрее работает если сертификат выдан тем же УЦ, к которому принадлежит сервер времени) Это я попробую. Не помню уже в каком УЦ создавал ключ. Сделаю новый и проверю для того же УЦ.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,926 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 691 раз в 652 постах
|
Здравствуйте. Скорее всего, при создании XLT1 есть рассинхронизация времени между службами (TSP и OCSP) - время в OCSP ответе должно быть после времени TSP, поэтому имеется алгоритм для выполнения необходимых задержек. Увидеть их можно, включив логи (JCPLogger'а с уровнем FINE должно хватить). |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.08.2019(UTC) Сообщений: 10
|
Автор: Евгений Афанасьев Здравствуйте. Скорее всего, при создании XLT1 есть рассинхронизация времени между службами (TSP и OCSP) - время в OCSP ответе должно быть после времени TSP, поэтому имеется алгоритм для выполнения необходимых задержек. Увидеть их можно, включив логи (JCPLogger'а с уровнем FINE должно хватить). Интересно, что после вашего ответа подпись стала проходить за секунду-полторы. Совпадение? Вы что-то подкрутили на тестовых серверах?
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close