Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline OlegMog  
#1 Оставлено : 31 мая 2020 г. 3:34:05(UTC)
OlegMog

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.04.2020(UTC)
Сообщений: 9
Российская Федерация

Создаю усовершенствованную ЭЦП при помощи КриптоПро PDF. Для начала инструментом "Подпись с сертификатом" Adobe Acrobat Pro.
Имею два сертификата, оба от СКБ Контур. Первый работает, второй - нет.
Тот, что работает, имеет свойство:
Код:
[1]Доступ к сведениям центра сертификации
     Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
     Дополнительное имя:
          URL=http://pki.sertum-pro.ru/ocspq2012/ocsp.srf
[2]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://ca.sertum-pro.ru/certificates/sertum-pro-q-2019.crt
[3]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://ca.sertum.ru/certificates/sertum-pro-q-2019.crt

Тот, что не работает, имеет свойство:

Код:
[1]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://cib-service.ru/files/cib-service-2019.crt
[2]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://secret-net.net/files/cib-service-2019.crt


Если ничего не предпринимать, то при подписании вторым сертификатом выдается ошибка 0xc2110121 Не задан адрес службы OCSP, так как во втором сертификате адрес OCSP-сервера не содержится в AIA. Если указать адрес сервера OCSP Контур http://pki.skbkontur.ru/ocsp2012/ocsp.srf или http://pki.sertum-pro.ru/ocsp2012/ocsp.srf (предоставлены техподдержкой Контур) либо в групповой политике, либо в свойствах сертификата УЦ, как указано в требованиях, то начинает выдаваться ошибка 0x800B0110 Данный сертификат не подходит для такого использования.
Собрал логи.
Подписание первым (работающим) сертификатом: 4.LOG (170kb) загружен 5 раз(а).
Подписание вторым (неработающим) сертификатом: 3.LOG (45kb) загружен 2 раз(а).
Смотрел в эти логи. Насколько сам понял, в обоих случаях КриптоПро не получает ответ от сервера OCSP. При подписании вторым сертификатом на этом все и заканчивается. В случае первого сертификата ответ КриптоПро получает от CRL, что неверно.

Еще заметил, что адрес OCSP-сервера, который содержится в AIA первого сертификата (http://pki.sertum-pro.ru/ocspq2012/ocsp.srf) отличается от указанного техподдержкой Контур (http://pki.sertum-pro.ru/ocsp2012/ocsp.srf), но указание любого из двух приводит к одинаковому результату.

Что не так с сертификатами или сервером OCSP Контур или что еще может быть?
Offline OlegMog  
#2 Оставлено : 8 июля 2020 г. 2:52:47(UTC)
OlegMog

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.04.2020(UTC)
Сообщений: 9
Российская Федерация

Так что, уважаемые сотрудники КриптоПро, ответит ли кто-либо на вопрос, почему при запросе к OCSP серверу http://pki.sertum-pro.ru/ocspq2012/ocsp.srf случается ошибка Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case) и запрос к OCSP серверу завершается с результатом Cannot find OCSP response for certificate? Это проблема сервера OCSP Контур или Крипто Про?
Offline Андрей *  
#3 Оставлено : 8 июля 2020 г. 7:48:51(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,346
Мужчина
Российская Федерация

Сказал «Спасибо»: 342 раз
Поблагодарили: 1346 раз в 1045 постах
Здравствуйте.
УЦ ЦИБ СЕРВИС - другой УЦ, даже не СКБ Контура, как за его сертификаты может отвечать другой OCSP? Поэтому и ошибка.

Обратитесь в УЦ ЦИБ Сервис за адресом ocsp службы, если она есть у данного УЦ.
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegMog  
#4 Оставлено : 8 июля 2020 г. 17:11:49(UTC)
OlegMog

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.04.2020(UTC)
Сообщений: 9
Российская Федерация

Автор: Андрей * Перейти к цитате
Здравствуйте.
УЦ ЦИБ СЕРВИС - другой УЦ, даже не СКБ Контура, как за его сертификаты может отвечать другой OCSP? Поэтому и ошибка.

Извините, но Вы невнимательно прочитали мой вопрос. Я пытаюсь понять, почему в сертификате, где указан адрес службы OCSP, обращение к этой службе завершается ошибкой (а проверка проходит через CRL, что неверно).
Итак, еще раз:
В самом сертификате указан этот адрес OCSP:
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://pki.sertum-pro.ru/ocspq2012/ocsp.srf
И вот при запросе к серверу для этого сертификата возникает ошибка, которую я привел. И все это в логе 4.log
Повторно спрашиваю. В логе 4.log наблюдается ошибка при работе с службой OCSP, адрес которой указан в самом сертификате (текст ошибки: Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case) и т.д.).
Вопрос - почему возникает эта ошибка:
-некорректный сертификат
-неверно работающий OCSP
-неверно работающий КриптоПро
-что-то еще.
Кстати, в обсуждаемом сертификате Издатель - (CN = Общество с ограниченной ответственностью "Сертум-Про")

Offline Андрей *  
#5 Оставлено : 8 июля 2020 г. 18:22:09(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,346
Мужчина
Российская Федерация

Сказал «Спасибо»: 342 раз
Поблагодарили: 1346 раз в 1045 постах
Автор: OlegMog Перейти к цитате
Автор: Андрей * Перейти к цитате
Здравствуйте.
УЦ ЦИБ СЕРВИС - другой УЦ, даже не СКБ Контура, как за его сертификаты может отвечать другой OCSP? Поэтому и ошибка.

Извините, но Вы невнимательно прочитали мой вопрос. Я пытаюсь понять, почему в сертификате, где указан адрес службы OCSP, обращение к этой службе завершается ошибкой (а проверка проходит через CRL, что неверно).
Итак, еще раз:
В самом сертификате указан этот адрес OCSP:
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://pki.sertum-pro.ru/ocspq2012/ocsp.srf
И вот при запросе к серверу для этого сертификата возникает ошибка, которую я привел. И все это в логе 4.log
Повторно спрашиваю. В логе 4.log наблюдается ошибка при работе с службой OCSP, адрес которой указан в самом сертификате (текст ошибки: Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case) и т.д.).
Вопрос - почему возникает эта ошибка:
-некорректный сертификат
-неверно работающий OCSP
-неверно работающий КриптоПро
-что-то еще.
Кстати, в обсуждаемом сертификате Издатель - (CN = Общество с ограниченной ответственностью "Сертум-Про")



Мне не понятно, зачем делать эти эксперименты с подменой OCSP от другого УЦ.
Для меня "другой" УЦ, это не "название" организации, а ключ, на котором выпущен клиентский сертификат.

В начале написано - есть рабочий и не рабочий. Эксперименты с нерабочим - для чего?

Рабочий сертификат - в итоге "перестал" работать потому что прописан другой OCSP вручную...?

С исходным - http://pki.sertum-pro.ru/ocspq2012/ocsp.srf - как написано в самом начале "всё работает".


предоставлены техподдержкой Контур:
http://pki.skbkontur.ru/ocsp2012/ocsp.srf
http://pki.sertum-pro.ru/ocsp2012/ocsp.srf

они обслуживают другой ПАК, верно?

С чего Вы взяли, что можно просто так "переключать" на разные OCSP и прописывать тем более для неработающего сертификата?




Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#6 Оставлено : 8 июля 2020 г. 18:27:33(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,346
Мужчина
Российская Федерация

Сказал «Спасибо»: 342 раз
Поблагодарили: 1346 раз в 1045 постах
Автор: OlegMog Перейти к цитате
Создаю усовершенствованную ЭЦП при помощи КриптоПро PDF. Для начала инструментом "Подпись с сертификатом" Adobe Acrobat Pro.
Имею два сертификата, оба от СКБ Контур. Первый работает, второй - нет.


В итоге что пытаетесь узнать? Почему второй не работает?
Или почему первый "работал", но перестал, если прописывать другой OCSP?
Техническую поддержку оказываем тут
Наша база знаний
Offline OlegMog  
#7 Оставлено : 8 июля 2020 г. 18:39:27(UTC)
OlegMog

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.04.2020(UTC)
Сообщений: 9
Российская Федерация

Еще раз.

1. Никто не делает экперименты с подменой.
2. Создаю усовершенствованную ЭЦП при помощи КриптоПро PDF инструментом "Подпись с сертификатом" Adobe Acrobat Pro.
Один сертификат "работает", то есть подпись создается.
3. Но при анализе логов (4.log) выяснилось, что хоть усовершенствованная подпись и ставится, но не на основе ответа от службы OCSP, а через CRL (что неверно).
4. КриптоПро обращается к OCSP, который указан в сертификате. это написано в логе 4.log: Send/ OCSPRequest_Impl.cpp(658) : Sending request to "http://pki.sertum-pro.ru/ocspq2012/ocsp.srf"...
то есть этот адрес никто не подменял.
5. И все равно возникает ошибка Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case).
6. Про второй сертификат - забыли.
Итак, вопрос - почему возникает эта ошибка (в "работающем" сертификате):
-некорректный сертификат
-неверно работающий OCSP
-неверно работающий КриптоПро
-что-то еще.
вот это я и пытаюсь выяснить
Offline Андрей *  
#8 Оставлено : 8 июля 2020 г. 19:01:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 9,346
Мужчина
Российская Федерация

Сказал «Спасибо»: 342 раз
Поблагодарили: 1346 раз в 1045 постах
Сообщите версии продуктов (полностью).

Проверил на сертификате с данным OCSP - ошибок не вижу.


Попробуйте сформировать вручную запрос, приложите ответ request.ors (если будет)
пример
Цитата:
@Echo off
chcp 1251 >nul
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" makereq "D:\test\my.cer" >"D:\test\request.orq"
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" sr -u http://pki.sertum-pro.ru/ocspq2012/ocsp.srf "D:\test\request.orq" "D:\test\request.ors"
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pd "D:\test\request.ors"


Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.