Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Volk358  
#1 Оставлено : 26 июля 2013 г. 17:38:11(UTC)
Volk358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2011(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 3 раз
День добрый.

Прошу указать на обсуждение, если такое уже велось - или подсказать если есть идеи.

ОС: Debian 7.1

Крипто про 3.6 R2

Задача - проверить цепочку сертификатов и сообщение (т.е проверка сертификата (построение всей цепочки и проверка) + проверка на отзыв (crl) сертификатов и проверка сообщения)

Входные данные

в /home есть:

а 1.cer - сертификат который нужно проверить
b 2.txt - файл с хешем (созданным сообщением - если выражаться терминологией руководства)

какую команду набрать в консоли, чтобы прошла проверка?

1. вариант

Если набираю ./cryptcp -verify -f /home/1.cer /home/1.txt - то

1. проверка проходит - но ведь у ней (у проверки) нет crl - соответственно такой вариант проверки не сообщит мне что сертификат отозван уже. Или я чего то не догоняю и он каким то образом сам скачивает или где то достает crl?

2. (так же минус - что если в моем Root нет корневого сертификата для проверяемого сертификата - система будет спрашивать меня хочу ли я его установить - т.е если я эту команду из php давать буду - то возникнет незавершенный процесс)

2 вариант:

Если набираю ./cryptcp -verify -u /home/1.cer /home/1.txt - то

1. Программа требует установить проверяемый сертификат в My (а если у меня проверок много будет то если каждый сертификат себе устанавливать в My - на сколь долго хватит хранилища?)
2. При самой Signature verifying... - Error: Invalid cryptographic message type. (0x80091004)

3 вариант:

Ваши идеи .... ? )


т.е надо как бы совместить чтобы при проверке:

и устанавливать в My не надо было пользовательский сертификат
и проверка обращалась в мой Root за корневым сертификатом для проверки пользовательского и построения цепочки
и обращалась в мой CA за crl для проверки на отзыв
и при самой Signature verifying... не выскакивало - Error: Invalid cryptographic message type. (0x80091004)
и при наконец прохождении проверки не кракозяблы выскакивали - как ниже указанно - а нормальные буквы - (Хотя это наверное с настройками какими то связано)


пример 1 при ./cryptcp -verify -f /home/1.cer /home/1.txt

условия

- My - CA(crl) - пусты -

- Root - установлен корневой сертификат

- проверка по -f в качестве хранилища используется сообщение или файл сертификата
________________
CryptCP 3.33 (c) "Crypto-Pro", 2002-2010.
Command prompt Utility for data protection.
-verify - Verifies signatures of a message.

The following certificate will be used:
RDN:"#120B3032373738333634383932", 132@123.com, 66 яБЕПДКНБЯЙЮЪ НАКЮЯРЭ, еЙЮРЕПХМАСПЦ, юДЛХМХЯРПЮЖХЪ, "#1331494E4E3D3030363635383334303433302F4B50503D3636353830313030312F4F47524E3D31303936363538303034363037", "#120D31303936363538303034363037", "#120C303036363538333430343330", ннн 'сПЮКрЕМДЕП', дХПЕЙРНП, бНКЕЦНБ йНМЯРЮМРХМ бХЙРНПНБХВ, RU
Valid from 27.09.2012 04:39:00 to 27.09.2013 04:48:00

Signature verifying...
Signer: "#120B3032373738333634383932", 132@132.com, 66 яБЕПДКНБЯЙЮЪ НАКЮЯРЭ, еЙЮРЕПХМАСПЦ, юДЛХМХЯРПЮЖХЪ, "#1331494E4E3D3030363635383334303433302F4B50503D3636353830313030312F4F47524E3D31303936363538303034363037", "#120D31303936363538303034363037", "#120C303036363538333430343330", ннн 'сПЮКрЕМДЕП', дХПЕЙРНП, бНКЕЦНБ йНМЯРЮМРХМ бХЙРНПНБХВ, RU
Signature's verified.
[ReturnCode: 0]

________________

Отредактировано пользователем 26 июля 2013 г. 17:58:14(UTC)  | Причина: Не указана

Offline cross  
#2 Оставлено : 29 июля 2013 г. 7:05:41(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
Вариант один проверяет и сертификат в том числе. CRL могут скачаться из сети при условии наличия расширения CDP в сертификате. При условии что у вас нет сертификата в Root, то и проверка не должна проходить. Попробуйте добавить опцию -errchain.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
thanks 1 пользователь поблагодарил Анатолий Беляев за этот пост.
Volk358 оставлено 29.07.2013(UTC)
Offline Volk358  
#3 Оставлено : 29 июля 2013 г. 7:28:38(UTC)
Volk358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2011(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 3 раз
согласен что вариант № 1 - самый оптимальный

-errchain - это поможет в том случае если корневой сертификат не установлен в системе - спасибо за подсказку
Offline Volk358  
#4 Оставлено : 29 июля 2013 г. 8:17:11(UTC)
Volk358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2011(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 3 раз
Если не затруднит - можно разъяснить вот по этой цитате - "CRL могут скачаться из сети при условии наличия расширения CDP в сертификате"

что необходимо сделать в данном случае ? (чтобы они автоматом из сети скачивались?)

так как при ./cryptcp -verify -errchain -f /home/1.cer /home/1.txt - если лист crl пустой то выдает "The certificate revocation status or one of the certificates in the certificate chain is unknown." - что и логично я ведь указал -errchain

А как сделать чтобы он из сети скачал сам и по нему проверил?
Offline Volk358  
#5 Оставлено : 29 июля 2013 г. 8:41:07(UTC)
Volk358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2011(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 3 раз
сейчас попробовал так:

в root есть корневой - в crl пусто

./cryptcp -verify -errchain -f /home/1.cer /home/1.txt

проверка прошла успешно

после проверки проверил лист CRL - он такой же пустой

Вопрос! - проверила ли сейчас проверка сертификат на отозванность или нет - как узнать ? - сможет подсказать кто либо?
Offline cross  
#6 Оставлено : 29 июля 2013 г. 10:23:00(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
Для скачивания CRL из сети должны выполниться 2 условия.
1) Наличия расширения CDP в сертификате и по урлу который там указан должен быть доступен CRL
2) В системе установлен curl и он роботоспособен. Есть доступ в сеть.

Если cryptcp с опцией -errchain говорит что все ок, значит сертификат проверился. При этом CRL не ставится вам в хранилище CA, а попадает в cache.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
thanks 1 пользователь поблагодарил Анатолий Беляев за этот пост.
Volk358 оставлено 29.07.2013(UTC)
Offline Volk358  
#7 Оставлено : 29 июля 2013 г. 10:24:18(UTC)
Volk358

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2011(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 3 раз
ок спасибо.
Offline bussblow  
#8 Оставлено : 8 сентября 2017 г. 13:01:06(UTC)
bussblow

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.02.2017(UTC)
Сообщений: 50
Откуда: bussblow

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 2 раз в 1 постах
Коллеги, добрый день. Проблема с проверкой сертификата на сервере без интернета, может кто либо встречал такую? Bezymjannyjj.jpg (237kb) загружен 30 раз(а).
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.