Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline Павел Смирнов  
#41 Оставлено : 29 апреля 2008 г. 16:01:46(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Запрос делается штатными средствами OCSP-сервера - из оснастки. Главное - как его выпустить. Самое простое - КриптоПро УЦ 1.4 с соответствующей настройкой модуля политики. Будут сложности - обращайтесь в техподдержку.

Отредактировано пользователем 29 апреля 2008 г. 16:02:17(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline funkymonk  
#42 Оставлено : 29 апреля 2008 г. 16:08:16(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Запрос делаю, но сертификат не получается.
Если выбираю модуль политики центра сертификации Модуль политики КриптоПро УЦ то при обработке запроса выдает Модуль политики отверг запрос. Запрос обрабатываю через веб-интерфейс по адресу localhost/certsrv так как больше не нашол где еще можно обработать запрос на сертификат ...
Offline funkymonk  
#43 Оставлено : 29 апреля 2008 г. 16:09:09(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Может надо через localhost/CA/CA.asp ?

Он у меня почему то не работает ...
Offline funkymonk  
#44 Оставлено : 29 апреля 2008 г. 19:16:17(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

у меня новый лог (вот его концовка):

Цитата:
00002479 2871.65332031 [3764] 14:51:28.676 ::*0000002* :: WinHttpQueryHeaders(0x4692000, (0x20000013), "< n u l l >", 0x4221168, 0x12dd90 [4], 0x0 [0])
00002480 2871.65356445 [3764] 14:51:28.676 ::*0000002* :: WinHttpQueryHeaders() returning TRUE
00002481 2871.65380859 [3764] 14:51:28.676 ::*0000002* :: WinHttpQueryAuthSchemes(0x4692000, 0x12dd84, 0x12dda8)
00002482 2871.65405273 [3764] 14:51:28.676 ::*0000002* :: WinHttpQueryAuthSchemes: error 4317 [0x10dd]
00002483 2871.65502930 [3764] 14:51:28.676 ::*0000002* :: WinHttpQueryAuthSchemes() returning FALSE
00002484 2871.65551758 [3764] 14:51:28.686 ::*0000002* :: WinHttpReadData(0x4692000, 0x42280a8, 65536, 0x12dd90)
00002485 2871.65649414 [3764] 14:51:28.686 ::*0000002* :: WinHttpReadData() returning TRUE
00002486 2871.65673828 [3764] 14:51:28.686 ::*0000002* :: WinHttpReadData(0x4692000, 0x42280a8, 65536, 0x12dd90)
00002487 2871.65722656 [3764] 14:51:28.686 ::*0000002* :: WinHttpReadData() returning TRUE
00002488 2871.65747070 [3764] 14:51:28.686 ::*0000002* :: WinHttpCloseHandle(0x4692000)
00002489 2871.65771484 [3764] 14:51:28.686 ::*0000002* :: WinHttpCloseHandle() returning TRUE
00002490 2871.65820313 [3764] 14:51:28.686 ::*Session* :: WinHttpCloseHandle(0x467d000)
00002491 2871.67578125 [3764] 14:51:28.686 ::*Session* :: WinHttpCloseHandle() returning TRUE
00002492 2871.68237305 [3764] cades.dll: {2364} /CadesMsgEnhanceSignatureImplNamespace::IsNoCheck/ cades.cpp(980) : Certificate of OCSP service is "Nocheck".
00002493 2871.69409180 [3764] ocspcli.dll: {2364} /CryptoPro::PKI::OCSP::Client::CResponse::VerifyCertificate/ OCSPResponse.cpp(227) : Certificate of OCSP service is not authorized.
00002494 2871.69433594 [3764] ocspcli.dll: {2364} /CryptoPro::PKI::OCSP::Client::CResponse::VerifyCertificate/ OCSPResponse.cpp(241) : Certificate of OCSP service is "Nocheck".
00002495 2871.69506836 [3764] ocspcli.dll: {2364} /CryptoPro::PKI::OCSP::Client::CResponse::VerifyCertificate/ OCSPResponse.cpp(282) : Building a chain...
00002496 2871.70263672 [3764] ocspcli.dll: {2364} /CryptoPro::PKI::OCSP::Client::CResponse::VerifyCertificate/ OCSPResponse.cpp(295) : Chain status: 0x0
00002497 2871.71337891 [3764] ocspcli.dll: {2364} /CryptoPro::PKI::OCSP::Client::CResponse::VerifyCertificate/ OCSPResponse.cpp(305) : Usage status: 0x10
00002498 2871.71386719 [3764] cades.dll: {2364} /CadesMsgEnhanceSignatureImplNamespace::MakeCAdES_X_Long/ cades.cpp(1320) : Assert FAILED: CadesVerifyCertificateImpl( signer.GetHandle(), &validationData, false, hMsg, hStore, pProxyPara, 0, false, false, false, &stampTime, 0, SignaturePolicy::ocspcheck, dwStatus)
00002499 2871.71850586 [3764] cades.dll: {2364} /CadesMsgEnhanceSignature/ cades.cpp(1703) : CAtlException, m_hr=0x800b010a
00002500 2871.71875000 [3764] cades.dll: {2364} /CadesMsgEnhanceSignature/ cades.cpp(1713) : (res=0, GetLastError=0x800b010a
00002501 2871.71923828 [3764] cades.dll: {2364} /CadesSignMessageImpl/ cades.cpp(3545) : Last win32 error thrown as exception
00002502 2871.72021484 [3764] cades.dll: {2364} /CadesSignMessage/ cades.cpp(3594) : CAtlException, m_hr=0x800b010a
00002503 2871.72045898 [3764] cades.dll: {2364} /CadesSignMessage/ cades.cpp(3604) : (res=0, GetLastError=0x800b010a



как это понимать? даже если nocheck стоит то идет проверка?
Offline funkymonk  
#45 Оставлено : 29 апреля 2008 г. 19:20:03(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Сертификат для ocsp я сделал на вашем тестовом УЦ, при этом установил сертификат УЦ в доверенные корневые. Вроде уже все условия соблюдены ...
Offline funkymonk  
#46 Оставлено : 29 апреля 2008 г. 19:21:35(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Текст ошибки все тот же: не удается построить цепочку сертификатов для доверенного корневого центра
Offline Павел Смирнов  
#47 Оставлено : 29 апреля 2008 г. 19:22:26(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Сертификат службы OCSP должен быть уполномочен на подпись статуса используемого сертификата подписи. Для этого он должен быть выдан тем же УЦ.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline funkymonk  
#48 Оставлено : 29 апреля 2008 г. 19:29:08(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

:-) теперь он стучится на cryptopro.ru
Offline zhenya  
#49 Оставлено : 29 апреля 2008 г. 20:02:44(UTC)
zhenya

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 151
Откуда: Крипто-Про

Поблагодарили: 1 раз в 1 постах
funkymonk написал:
Запрос делаю, но сертификат не получается.
Если выбираю модуль политики центра сертификации Модуль политики КриптоПро УЦ то при обработке запроса выдает Модуль политики отверг запрос. Запрос обрабатываю через веб-интерфейс по адресу localhost/certsrv так как больше не нашол где еще можно обработать запрос на сертификат ...


Запрос можно обработать в АРМе администратора.
В модуле политики ЦС на закладке "Расширения X.509" нужно добавить все расширения, присутствующие в запросе. На закладке "Использование ключа" нужно добавить "Подпись ответа службы OCSP".
В свойствах "ЦР на Веб-узле" на закладке "Политики" в "обработке неподписанных запросов (расширения)" для роли, от которой будет обработан запрос, добавьте те же расширения. В "обработке неподписанных запросов (улучшенный ключ)" добавьте "Подпись ответа службы OCSP".
Offline funkymonk  
#50 Оставлено : 29 апреля 2008 г. 22:34:07(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Все у меня получилось. Так что пока вопросы закончились.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.