Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2008(UTC)
Сообщений: 25
Откуда: Че
|
практически весь форум перелопатил, но вопроса такого не встретил.
итак, сбсно, сабж.
проблема: удаляю сертификат УЦ из доверенных корневых УЦ, но CRL, которые скачались из и-нета, остаются. то есть если ещё раз установить этот сертификат, то он даже в интернет не лезет за ними, а пользуется теми, что были скачены ранее. эта ситуация сильно не нравится.. возможно как-то удалить эти закешированные CRL из ОС?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Выполните команду certutil -urlcache CRL delete
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2008(UTC)
Сообщений: 25
Откуда: Че
|
то есть просто в командной строке выполнить?
"certutil" не является внутренней или внешней командой, исполняемым файлом и пр.
где найти эти утилиты? в установленном CSP нет такого файла..
это команда удаляет абсолютно все CRL? а если надо для конкретного сертификата?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
certutil - входит в состав windows, как минимум с 2003 версии.
А где вы вообще видите CRL? И зачем его удалять?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2008(UTC)
Сообщений: 25
Откуда: Че
|
у меня стоит Windows XP.
где вижу? ну как бы так сказать.. валидацию сертификата можно провести по нескольким параметрам, один из них - по спискам CRL. то есть если имеется свежий CRL, и сертификат в него не входит, то ему доверять можно. иначе - не стоит.
в случае, когда компьютер отключен от интернета изначально - то любая валидация по CRL даёт отрицательный результат, поскольку списки эти скачать нет возможности. когда же компьютер подключен - то он скачивает и пользуется уже ими до тех пор, пока они не устареют..
ну так вот, имел неосторожность таки закачать CRL. а надо бы, так сказать, в чистых условиях тестировать для анализа. а переставлять ОС не охота ради этих целей. ну и, ко всему, начальник сказал разобраться что к чему и как :)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
А, ну понятно.. Кажется certutil входит в этот AdminPackА вообще, вроде как есть параметры для принудительного использования online crl.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.12.2008(UTC)
Сообщений: 25
Откуда: Че
|
есть, знаю. да только не помогает оно. в смысле, не нужно. ладно, спасибо за ссылку - посмотрю :) Отредактировано пользователем 25 декабря 2008 г. 14:39:01(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 117
Откуда: Ставрополь
Поблагодарили: 1 раз в 1 постах
|
в гугле поищете certutil на сайте microsoft. она входит в комплект adminpak(~12mb). |
icq 318383
Инженер, Кордон |
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Ещё вариант: 1. Вот тут http://www.cryptopro.ru/...wnload/files/CertMgr.exe есть утилита. С её помощью, выбрав хранилище "Промежуточные центры" Вы можете увидитеть и удалить все ненужные CRL для текущего пользователя и локального компьютера. 2. Ещё винда кэширует файлы с CRL в файловом кэше для IE (типа тут \Local Settings\Temporary Internet Files\Content.IE5). Там запустите поиск файлов по маске *.crl и удалите их. Всё! Так Вы руками вычистите эту "гадость" :-) |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.10.2008(UTC)
Сообщений: 33
|
О! У меня похожая проблемка.. Может что-нибудь подскажите? Попросили, что бы в режиме онлайн с УЦ доставался список отозванных сертификатов и для выбранного сертификата делалась проверка.
Написал всё на .Net.
Сначала сделал офлайн проверку. Тоесть в ручную приносил список отозванных сертификатов с УЦ и устанавливал его в хранилище сертификатов. Офлайн проверка работала без проблем.
Затем делал Онлайн проверку.
Первое что заметил, онлайн проверка проходит нормально, даже если компьютер не подключён к сети. Ощущение, что классы .Net написаны таким образом, что сначала пытаются найти списки отозванных сертификатов онлайн, а если это неудаётся, то довольствуется списками установленными в хранилище сертификатов. Что выглядит на мой взглад странновато...
Ещё более странно на мой взгляд выглядит сам процесс онлайн извлечения списков отозванных сертификатов, он ведётся как-то хитро, сначала смотрятся списки отозванных сертификатов в кэше, причём не столько в кэше IE, сколько через какой-то особый кэш, потому, что очистка кэша IE не помогла, а вот вызов команды certutil -urlcache CRL delete помог таки заставить закачать новый список с УЦ, вместо того что бы использовать кэшированный. Однако остаётся не понятно, как часто обновляется этот "специальный" кэш, где он находится и как его настраивать?? По видимому новый список отозванных сертификатов с УЦ скачиваться не будет до тех пор пока не истечёт действие старого! В принципе определённая логика есть, что бы трафик не кушался..
Что мне нужно настроить, что бы список отозванных сертифиактов у меня не кешировался, а каждый раз качался бы заново. Или же так и придётся перед каждой проверкой выполнять команду "certutil -urlcache CRL delete "???
И ещё один вопрос! Как онлайн проверить отозван ли сертификат ЦС!? При проверки у меня проверяется вся цепочка сертификатов. И если с самим сертификатом, всё как-то понятно... в самом сертификате задан путь, по которому можно скачать список отозванных сертификатов и проверить отозван ли он. Собственно этим и занимаются класы .Net...
А вот как быть с сертификатом ЦС?? В сертификате ЦС я такого свойства не нашёл. Сертификат ЦС является самоподписанным. Как выполняется Такая его прверка я себе совсем смутно представляю.
Странно, что при этом офлан проверка сертификата ЦС проходит нормально. Онлайн же возвращает ошибку "RevocationStatusUnknown" "Функция отзыва не смогла произвести проверку отзыва для сертификата".
Однако и тут не всё потеряно! Стоило мне при онлайн проверки в ручную принести список отозванных сертификатов с УЦ и положить его в хранилище сертификатов на компьютер.. Вуаля! Проблема с "RevocationStatusUnknown" пропала сама собой. Выглядит это тоже очень подозрительно, для чего нужен принесённый мной спиок, если для проверки сертификата (не сертификата УЦ) используется скачанный онлайн с УЦ список отозванных сертификатов, а не тот, что я принёс (проверял не однократно). Однако проблема с "RevocationStatusUnknown" решается только так... :-(((
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
