Статус: Новичок
Группы: Участники
Зарегистрирован: 16.04.2024(UTC) Сообщений: 4 
|
Здравствуйте всем!
Имеется КриптоПро CSP 4.0.9963(серверная с введённым ключём лицензии) на ОС Win Server 2012 R2 Standart.
Ранее был установлен сертификат для ЭП с закрытым ключём в реестре + к нему цепочка сертификатов УЦ.
В Win-оснастке сертификатов показывалось всё валидное (никаких красных крестов на сертификатах и т.п.), всё работало. Но подошёл к концу период действия сертификата ЭП. Собственно, сама процедура установки более нового сертификата с закрытыми ключами через реестр + цепочка УЦ...повторялась ранее не раз и порядок действий знаком.
Теперь, я попытался установить новый сертификат (подобный предыдущему, со свежим периодом действия), так же с закрытым ключём в реестре. В цепочке сертификатов поменялся лишь один сертификат (их было и осталось 2 и у прежнего сертификата и у нового). Всё установилось по старой схеме.
В КриптоПро при тестировании контейнера закрытого ключа всё проходит без ошибок. Пишет, что открытая часть сертификата ЭП соотв. закрытой части в реестре, всё успешно и т.п. Но в Win-оснастке сертификатов, открывая любой из сертификатов данной цепочки (новый сертификат ЭП или любой из его цепочки УЦ) на первой закладке "Общие" красный крест, а на последней "Путь сертификации" пишет "Этот сертификат содержит недействительную цифровую подпись".
Помнится, что данная надпись ранее появлялась, если не были установлены верные сертификаты цепочки УЦ.
Всю цепочку сертификатов(закрытый ключ через реестр + открытые части через экспорт) я брал с др. ПК, где все они установлены без ошибок. Я сверил все сертификаты цепочки по серийникам - всё соответствует. Более того, в самих промежуточных сертификатах в данных "Доступ к сведениям центра сертификации" указаны ссылки по которым можно скачать сертификат по цепочке выше и они соотв-уют тем, что были установлены.
Быть может, кто подскажет, куда копать. Данную бяку встречаю впервые.
З.Ы.
- все сертификаты установлены в "локальный компьютер", т.к. этого требует сопутствующее ПО
- сертификат ЭП для закрытой части установлен в "личное"
- сертификаты цепочки УЦ установлены в "Доверенные корневые центры сертификации"
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,021  Сказал «Спасибо»: 524 раз
Поблагодарили: 2144 раз в 1671 постах
|
Здравствуйте.
Откройте корневой сертификат, Минцифры, от 08.01.2022? В нем нет проблемы с проверкой подписи? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.04.2024(UTC) Сообщений: 4
|
Автор: Андрей *  Здравствуйте.
Откройте корневой сертификат, Минцифры, от 08.01.2022? В нем нет проблемы с проверкой подписи? Именно он является корневым в данной цепочке. Кем выдан: Минцифры России Кому выдан: Минцифры России Действителен с: 8 января 2022 г. 16:32:39 До попытки установки нового сертификата ЭП он был валидным(без красных крестов). После попыток и он стал с красным крестом и все цепочки от него. Т.е. теперь как старая цепочка до сертифа ЭП, так и новая с красными крестами.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,021 Сказал «Спасибо»: 524 раз
Поблагодарили: 2144 раз в 1671 постах
|
т.е. если его удалить из корневых - он корректен, подпись, но только нет доверия?
Значит пробуйте восстановить СКЗИ через панель Установка\удаление приложений.
Другие СКЗИ есть в реестре или их следы?
Посмотрите\приложите ветку, что там зарегистрованно:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.04.2024(UTC) Сообщений: 4
|
Автор: Андрей * т.е. если его удалить из корневых - он корректен, подпись, но только нет доверия?
Значит пробуйте восстановить СКЗИ через панель Установка\удаление приложений.
Другие СКЗИ есть в реестре или их следы?
Посмотрите\приложите ветку, что там зарегистрованно:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults
Помогло "восстановить СКЗИ через панель Установка\удаление приложений". После перезагрузки все сертификаты цепочек встали на место, все валидные и без ошибок. Премного вам благодарен!!!Если не секрет и ведаете, что это за ересь такая была/есть?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,021 Сказал «Спасибо»: 524 раз
Поблагодарили: 2144 раз в 1671 постах
|
смотреть, какой софт ставили\удаляли, в реестре не было информации,
еще можно было бы посмотреть на алгоритм - ГОСТ 2012 был или числовой (OID) при просмотре сертификата. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.04.2024(UTC) Сообщений: 4
|
Автор: Андрей * смотреть, какой софт ставили\удаляли, в реестре не было информации,
еще можно было бы посмотреть на алгоритм - ГОСТ 2012 был или числовой (OID) при просмотре сертификата. По указанной вами ветке реестра были 3 от КриптоПРО с разными алгоритмами по ГОСТам и десяток от мелкософта. Между установкой старого сертифа ЭП и этим новым новое ПО не ставили и прежнее не удаляли. Эту машину вовсе никто не трогал давно. Разве что ОС сама тихо у себя что-то обновила. Я в данной теме не бум-бум, но визуально следы ведут на некие "кэши" СКЗИ + волшебные обновы в ОС.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
