Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Проблемы с проверкой OCSP - не проходит проверку с помощью certutil - Просрочен
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Alager  
#1 Оставлено : 5 июня 2014 г. 9:55:45(UTC)
Alager

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.06.2014(UTC)
Сообщений: 2
Российская Федерация
Добрый день.

Проблема в следующем.

Установил и настроил OCSP сервер.

Проверяю через рекомендованный в документации
ocsputil.exe makereq
ocsputil.exe sendreq
ocsputil.exe respinfo

Получаю вполне рабочий ответ, на действующий сертификат норм, на отозванный - отозванный.
Пример, из последнего теста (серт действующий), ответ

Status: 0successful
Signature algorithm: 1.2.643.2.2.3, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 04.06.2014 17:44:24
Extensions: none
Certificate of signer of OCSP response: C=RU, CN=OCSP Operator ’…‘’
Verification of certificate of signer of OCSP response: succeed.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.3.14.3.2.26
Serial number: 11A6 4744 0000 0000 01EA
Issuer key hash: FD09 4EB1 5F02 5D23 2E09 425C 43B7 3E7D 03DF C663
Issuer name hash: F2AE F094 C00F B49C D591 1B7D B0F6 DFAC C14F 17E4
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 04.06.2014 17:44:25
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
C=RU, CN=OCSP Operator ’…‘’
[ErrorCode: 0x00000000]


Добавляю ссылку на этот OCSP в AIA выдаваемых сертифкатов на УЦ.
(Центр сертификации - Свойства - Расширения - Доступ к сведениям о центрах сертификации (AIA) - добавляю url и галку включать в расширения протокола OCSP)

Выпускаю сертификат, вижу в нем появившуюся строку

[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://мой_тестдомен.ru/ocsp/

А вот дальше, начинаются проблемы.
Не понимаю как проверить реальную работу...
Т.к. перед внедрением на "боевом" УЦ хотелось бы быть стопроцентно уверенным, что у клиентов не возникнет проблем с выданными им сертификатами признанными например отозванными ошибочно...
Вычитал про certutil...
Вот тут и есть основная проблема, не могу понять в чем дело.


При проверке виндовой утилитой certutil -url c:\test\мой_серт.cer
выдает состояние Просрочен

UserPostedImage


Подскажите пожалуйста, в чем проблема, куда копать? Почему может быть такой ответ и в какую сторону копать...
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей Емельянов  
#2 Оставлено : 5 июня 2014 г. 13:25:56(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Для проверки url, добавленного в сертификат, также используйте утилиту ocsputil (например:ocsputil makeresp серт.cer -o серт.ors). Так же ссылка в сертификате должна иметь вид http://мой_тестдомен.ru/ocsp/ocsp.srf (пункт "7.6. Адрес Службы" из руководства "ЖТЯИ.00069 01 90 02 Службы УЦ КриптоПро OCSP Server. Руководство администратора")
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Вверх
Offline Alager  
#3 Оставлено : 5 июня 2014 г. 14:09:55(UTC)
Alager

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.06.2014(UTC)
Сообщений: 2
Российская Федерация
Спасибо, но ситуацию пока не до конца прояснило.

Автор: eav Перейти к цитате
...должна иметь вид http://мой_тестдомен.ru/ocsp/ocsp.srf
Пробовал так сделать изначально. В обоих случаях выдает один и тот же результат, в итоге убрал концовку по аналогии с тем как прописано у других людей на сертах (mail.ru, yahoo)


Произвел проверку описанным Вами методом, предварительно отозвав сертификат.
Отработало насколько я понимаю нормально, все отображает и тд.

Status: 0successful
Signature algorithm: 1.2.643.2.2.3, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 05.06.2014 13:53:39
Extensions: none
Certificate of signer of OCSP response: C=RU, CN=OCSP Operator ’…‘’
Verification of certificate of signer of OCSP response: succeed.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.3.14.3.2.26
Serial number: 11A6 4744 0000 0000 01EA
Issuer key hash: FD09 4EB1 5F02 5D23 2E09 425C 43B7 3E7D 03DF C663
Issuer name hash: F2AE F094 C00F B49C D591 1B7D B0F6 DFAC C14F 17E4
Certificate status: Revoked
RevTime: 05.06.2014 13:25:41
RevReason: 5
ThisUpdate: 05.06.2014 13:53:40
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
C=RU, CN=OCSP Operator ’…‘’


То есть вроде как-бы все хорошо и OCSP отрабатывает нормально.
Или я не верно расшифровал ответ данный?

Но не дает покоя то, что из майкрософтовских утилит показывает какой-то бред непонятный про "Просрочено"

Проверил еще через certutil
certutil -v -urlfetch -verify c:\test\kd_test_1703.cer


---------------- Сертификат AIA ----------------
Проверено "Сертификат (0)" Время: 0
[0.0] http://test.тест_домен.ru/testca/******_test.cer

---------------- Сертификат CDP ----------------
Проверено "Базовый CRL (32)" Время: 0
[0.0] http://test.тест_домен.ru/testca/******_test.crl

---------------- Базовый CRL CDP ----------------
Отсутствуют URL "Нет" Время: 0
---------------- OCSP сертификата ----------------
http://test.тест_домен.r...ABBTyrvCUwA%2b0nNWRG32w9
t%2bswU8X5AQU%2fQlOsV8CXSMuCUJcQ7c%2bfQPfxmMCChGmR0QAAAAAAeo%3d?Content-Type: ap
plication/ocsp-request
Просрочен "Протокол OCSP" Время: 0
[0.0] http://test.тест_домен.ru/ocsp/

--------------------------------

Отредактировано пользователем 5 июня 2014 г. 14:10:30(UTC)  | Причина: Не указана
Вверх
Offline Viktor_0013  
#4 Оставлено : 26 января 2021 г. 13:28:56(UTC)
Viktor_0013

Статус: Участник

Группы: Участники
Зарегистрирован: 03.12.2019(UTC)
Сообщений: 11
Российская Федерация
Откуда: Краснодар
Добрый день, коллеги, подскажите, удалось ли решить проблему, и как если не секрет?
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET