Проверка ЭП на сервере без интернета

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Проверка ЭП на сервере без интернета

Опции

Предыдущая тема Следующая тема

ipsus		#1 Оставлено : 13 августа 2014 г. 15:05:59(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 11.08.2014(UTC) Сообщений: 8		Здравствуйте, Вероятно, мой вопрос связан с полным непониманием алгоритма проверки ЭП, но опишу ситуацию. Есть гос. организация, в которой внедряется ЭП на ГОСТ алгоритмах (GOST3411withGOST3410EL). В ней есть система, в которой циркулируют подписанные данные и веб клиент, который эти данные отображает. Помимо прочего веб клиент должен отображать результат проверки ЭП, а для этого с сервера нужно получить готовый результат проверки. Сам сервер не имеет доступа в интернет и при проверке ЭП выдает ошибки: "Функция отзыва не смогла произвести проверку отзыва для сертификата." и "Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .". Я допускаю, что исключительно офлайн проверка ЭП невозможна в принципе, НО: Есть возможность организовать с этого сервера доступ по локальной сети к какому-нибудь прокси серверу со специальным ПО, который в свою очередь имеет выход в интернет. Есть возможность организовать доступ по локальной сети к серверу УЦ, который выдает все сертификаты, используемые при формировании ЭП. Можно ли с учетом этих двух возможностей заставить работать проверку ЭП на сервере без прямого выхода в интернет? Отредактировано пользователем 13 августа 2014 г. 15:07:08(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Kirill Sobolev		#2 Оставлено : 13 августа 2014 г. 15:47:12(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах		Цитата: Я допускаю, что исключительно офлайн проверка ЭП невозможна в принципе Вполне возможна. Для этого необходимо держать на этом сервере установленными актуальные списки отозванных сертификатов.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ipsus		#3 Оставлено : 13 августа 2014 г. 17:31:33(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 11.08.2014(UTC) Сообщений: 8		Цитата: Вполне возможна. Для этого необходимо держать на этом сервере установленными актуальные списки отозванных сертификатов. Звучит обнадеживающе! А где можно почитать про рекомендуемые действия для осуществления процесса регулярного обновления этих списков? Как это организовать технически, каким ПО?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Kirill Sobolev		#4 Оставлено : 13 августа 2014 г. 17:46:29(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах		Например, КриптоПро Регламентные задания.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

AlexanderErofeev		#5 Оставлено : 14 ноября 2014 г. 18:16:12(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 14.11.2014(UTC) Сообщений: 2 Откуда: Москва		Здравсвуйте, у меня схожая проблема. Пытаюсь постройть цепочку сертификатов с помощью класса X509Chain. У конечного сертификата есть несколько точек распространения списков отзывов. Доступных по http. [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://..../8C93865786BD780C76FD89856C76F3679A68831D.crl [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://...../files/udostov/8C93865786BD780C76FD89856C76F3679A68831D.crl 1. У пользователя нет доступа к этим файлам. 2. Есть локальная копия, которую я добавил в Промежуточные центры сертификации текущего пользователя и локальной машины. (Этого должно быть достаточно?) 3. Сертификат приходит с сообщеним в формате pkcs#7 При построении цепочки получаю ошибку: Функция отзыва не смогла произвести проверку отзыва для сертификата. Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. Как при RevocationMode = X509RevocationMode.Offline так и при X509RevocationMode.Online. Правильно я понимаю, что алгоритм работы такой? - сначала проверяются точки доступа распространения списков отзывов конечного сертификата, - если они есть, но к ним нет доступа - генерится исключение. Возможно ли как-то программно удалить точки распределения списка отзыва или наоборот добавить новые?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Kirill Sobolev		#6 Оставлено : 16 ноября 2014 г. 22:17:53(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах		CRL действительные и выпущены именно для этого сертификата?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

AlexanderErofeev		#7 Оставлено : 17 ноября 2014 г. 10:34:00(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 14.11.2014(UTC) Сообщений: 2 Откуда: Москва		Спасибо. Проблема действительно была в том, что срок обновления истек.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close