Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проверка ЭП на сервере без интернета
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.08.2014(UTC) Сообщений: 8
|
Здравствуйте, Вероятно, мой вопрос связан с полным непониманием алгоритма проверки ЭП, но опишу ситуацию. Есть гос. организация, в которой внедряется ЭП на ГОСТ алгоритмах ( GOST3411withGOST3410EL). В ней есть система, в которой циркулируют подписанные данные и веб клиент, который эти данные отображает. Помимо прочего веб клиент должен отображать результат проверки ЭП, а для этого с сервера нужно получить готовый результат проверки. Сам сервер не имеет доступа в интернет и при проверке ЭП выдает ошибки: " Функция отзыва не смогла произвести проверку отзыва для сертификата." и " Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .". Я допускаю, что исключительно офлайн проверка ЭП невозможна в принципе, НО: - Есть возможность организовать с этого сервера доступ по локальной сети к какому-нибудь прокси серверу со специальным ПО, который в свою очередь имеет выход в интернет.
- Есть возможность организовать доступ по локальной сети к серверу УЦ, который выдает все сертификаты, используемые при формировании ЭП.
Можно ли с учетом этих двух возможностей заставить работать проверку ЭП на сервере без прямого выхода в интернет? Отредактировано пользователем 13 августа 2014 г. 15:07:08(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:Я допускаю, что исключительно офлайн проверка ЭП невозможна в принципе Вполне возможна. Для этого необходимо держать на этом сервере установленными актуальные списки отозванных сертификатов. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.08.2014(UTC) Сообщений: 8
|
Цитата:Вполне возможна. Для этого необходимо держать на этом сервере установленными актуальные списки отозванных сертификатов. Звучит обнадеживающе! А где можно почитать про рекомендуемые действия для осуществления процесса регулярного обновления этих списков? Как это организовать технически, каким ПО?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.11.2014(UTC) Сообщений: 2 Откуда: Москва
|
Здравсвуйте, у меня схожая проблема.
Пытаюсь постройть цепочку сертификатов с помощью класса X509Chain.
У конечного сертификата есть несколько точек распространения списков отзывов. Доступных по http. [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://..../8C93865786BD780C76FD89856C76F3679A68831D.crl [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://...../files/udostov/8C93865786BD780C76FD89856C76F3679A68831D.crl 1. У пользователя нет доступа к этим файлам.
2. Есть локальная копия, которую я добавил в Промежуточные центры сертификации текущего пользователя и локальной машины. (Этого должно быть достаточно?)
3. Сертификат приходит с сообщеним в формате pkcs#7
При построении цепочки получаю ошибку:
Функция отзыва не смогла произвести проверку отзыва для сертификата. Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.
Как при RevocationMode = X509RevocationMode.Offline так и при X509RevocationMode.Online.
Правильно я понимаю, что алгоритм работы такой? - сначала проверяются точки доступа распространения списков отзывов конечного сертификата, - если они есть, но к ним нет доступа - генерится исключение.
Возможно ли как-то программно удалить точки распределения списка отзыва или наоборот добавить новые?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,732 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
CRL действительные и выпущены именно для этого сертификата? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.11.2014(UTC) Сообщений: 2 Откуда: Москва
|
Спасибо. Проблема действительно была в том, что срок обновления истек.
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Проверка ЭП на сервере без интернета
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close