Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline OlegMog  
#1 Оставлено : 31 мая 2020 г. 3:34:05(UTC)
OlegMog

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.04.2020(UTC)
Сообщений: 6
Российская Федерация

Создаю усовершенствованную ЭЦП при помощи КриптоПро PDF. Для начала инструментом "Подпись с сертификатом" Adobe Acrobat Pro.
Имею два сертификата, оба от СКБ Контур. Первый работает, второй - нет.
Тот, что работает, имеет свойство:
Код:
[1]Доступ к сведениям центра сертификации
     Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
     Дополнительное имя:
          URL=http://pki.sertum-pro.ru/ocspq2012/ocsp.srf
[2]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://ca.sertum-pro.ru/certificates/sertum-pro-q-2019.crt
[3]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://ca.sertum.ru/certificates/sertum-pro-q-2019.crt

Тот, что не работает, имеет свойство:

Код:
[1]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://cib-service.ru/files/cib-service-2019.crt
[2]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://secret-net.net/files/cib-service-2019.crt


Если ничего не предпринимать, то при подписании вторым сертификатом выдается ошибка 0xc2110121 Не задан адрес службы OCSP, так как во втором сертификате адрес OCSP-сервера не содержится в AIA. Если указать адрес сервера OCSP Контур http://pki.skbkontur.ru/ocsp2012/ocsp.srf или http://pki.sertum-pro.ru/ocsp2012/ocsp.srf (предоставлены техподдержкой Контур) либо в групповой политике, либо в свойствах сертификата УЦ, как указано в требованиях, то начинает выдаваться ошибка 0x800B0110 Данный сертификат не подходит для такого использования.
Собрал логи.
Подписание первым (работающим) сертификатом: 4.LOG (170kb) загружен 1 раз(а).
Подписание вторым (неработающим) сертификатом: 3.LOG (45kb) загружен 1 раз(а).
Смотрел в эти логи. Насколько сам понял, в обоих случаях КриптоПро не получает ответ от сервера OCSP. При подписании вторым сертификатом на этом все и заканчивается. В случае первого сертификата ответ КриптоПро получает от CRL, что неверно.

Еще заметил, что адрес OCSP-сервера, который содержится в AIA первого сертификата (http://pki.sertum-pro.ru/ocspq2012/ocsp.srf) отличается от указанного техподдержкой Контур (http://pki.sertum-pro.ru/ocsp2012/ocsp.srf), но указание любого из двух приводит к одинаковому результату.

Что не так с сертификатами или сервером OCSP Контур или что еще может быть?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.