Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,448
Сказал(а) «Спасибо»: 587 раз
Поблагодарили: 420 раз в 399 постах
|
Автор: Aleks1209  Все равно браузер ругается, что нет механизма отзыва. В системном логе ошибки те же? Автор: Aleks1209 Подскажите пожалуйста, что еще можно сделать? Попробовать использовать для указания прокси системные переменные. Или система многопользовательская?
|
 1 пользователь поблагодарил nickm за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,113
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
Да какая разница - скольки-пользовательская система?
Системно-необходимые сущности (списки отзыва, как частный случай) должны быть доступны всем.
Не хочется создавать исключения "для всех"? Создайте отдельного пользователя, сделав централизованные скачивание с внешних ресурсов и распространение внутри собственной сети.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.12.2024(UTC)
Сообщений: 2
Сказал(а) «Спасибо»: 4 раз
|
Автор: nickm Автор: Aleks1209 Все равно браузер ругается, что нет механизма отзыва. В системном логе ошибки те же? Автор: Aleks1209 Подскажите пожалуйста, что еще можно сделать? Попробовать использовать для указания прокси системные переменные. Или система многопользовательская? вот лог где не может скачать crl Код:Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CertOpenStore!failed: LastError = 0x2
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CertOpenStore!failed: LastError = 0x2
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CertOpenStore!failed: LastError = 0x2
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CertOpenStore!failed: LastError = 0x2
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 407 URL: http://cdp.cryptopro.ru/cdp/8ed1c4c43c0eb3997e822f37bc42c7afdfbb974b.crl).
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 407 URL: http://tlsca2012.cryptopro.ru/cdp/8ed1c4c43c0eb3997e822f37bc42c7afdfbb974b.crl).
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 407 URL: http://cdp.cryptopro.ru/cdp/8ed1c4c43c0eb3997e822f37bc42c7afdfbb974b.crl).
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 407 URL: http://tlsca2012.cryptopro.ru/cdp/8ed1c4c43c0eb3997e822f37bc42c7afdfbb974b.crl).
Dec 9 09:36:45 sov611vm994 yandex_browser[31609]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
изначально прокси и прописывали для всех в окружение Код:
$ env |grep proxy
no_proxy=*.local,
https_proxy=http://proxy.local:8080
http_proxy=http://proxy.local:8080
$
там доменная авторизация, браузеры спокойно работают. а для криптопро это получается проблема. можно конечно всех через одного пользователя завести, и его сразу в env прописать, но это нельзя. была ожидание что крипто про через свой курл качает эти списки. Для него и сделал Код:cat .curlrc
proxy="xxx_user:psssswwww@proxy.local:8080"
но не помогло Цитата:Создайте отдельного пользователя, сделав централизованные скачивание с внешних ресурсов и распространение внутри собственной сети. Не понял как это вы себе представляете? Качать кучу crl файлов, которые будут в дальнейшем меняться, надо будет отслеживать, потом закидывать их на все машины в домене и там заносить в крипто про? Пока звучит как вариант только на крайний случай.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,459
Сказал(а) «Спасибо»: 40 раз
Поблагодарили: 586 раз в 408 постах
|
Автор: Aleks1209 Прописали у пользователя .curlrc
Все равно браузер ругается, что нет механизма отзыва.
Подскажите пожалуйста, что еще можно сделать? Попробуйте запустить браузер с параметром --no-sandbox. Если поможет, значит изоляция мешает получать доступ к файлам настроек / переменным окружения. |
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,113
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
Автор: Aleks1209 Не понял как это вы себе представляете? винда, делал для себя, любимого, но давно: Код:wget --unlink -Nnv^
http://reestr-pki.ru/cdp/guc_gost12.crl^
...
http://company.rt.ru/cdp/rootca_ssl_rsa2022.crt
for %%A in (*.crl) do @certutil -addstore CA %%A
"Корни" вообще нечасто меняются, а URL-ы списков отзыва - раз в год. Муторно, конечно, но не сказать чтобы неподъёмно и даже сложно.
|
1 пользователь поблагодарил basid за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 50  Сказал «Спасибо»: 7 раз
Поблагодарили: 24 раз в 22 постах
|
Следует разделять две сущности: утилиту curl и библиотеку libcurl. Утилита использует библиотеку, поэтому если что-то влияет на библиотеку, то оно как правило влияет и на утилиту. Обратное неверно: в утилите есть масса своих наворотов, и насколько я нагуглил, это как раз такой случай. Файл .curlrc – это про утилиту, а не про библиотеку. Поэтому правка этого файла поможет для curl (нашего или системного), но не изнанки CSP. На изнанку CSP на *nix можно повлиять через переменные окружения, как здесь уже писали. Наверное, это лучший способ решить вашу проблему.
Можно конечно руками через curl скачать CRL/сертификат, а потом например через certmgr установить его в какое-то хранилище, которое будет использоваться при проверке цепочки (например, uCA), но это уже звучит костыльно. Хорошо бы, чтобы CSP сам мог скачивать то, что ему нужно. |
|
1 пользователь поблагодарил Зубов Иван за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
