Статус: Новичок
Группы: Участники
Зарегистрирован: 14.07.2010(UTC)
Сообщений: 4
|
Есть УЦ на RSA Keon, есть CryptoPro OCSP Server (лицензия тестовая на 30 дней, физически сервера разные, режим работы со списком отзыва сертификатов). На одном сервере с OCSP работает CryptoPro TSP Server. При попытке создания усовершенствованной подписи к КриптоАрм выдается следующее сообщение: Цитата:Статус завершения операции: Неудача.
Длительность выполнения операции: 0:00:11.98
Входной файл: C:\123.txt
Выходной файл: C:\123.txt.sig
Описание ошибки:
Ошибка сохранения сообщения (0x80004005)
Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при создании подписи
Ошибка создания атрибутов усовершенствованной подписи
Процесс отмены не может быть продолжен - проверка сертификатов недоступна. (0x800b010e)
При этом TSP и OCSP при запросе из командной строки(ocsputil, tsputil) выдают нормальный валидные ответы. При создании усовершенствованной подписи с тестовым УЦ КриптоПро, все проходит без ошибок. В логах TSP и OCSP видно, что запросы пришли, ответы выпущены и отправлены. В чем может быть проблема?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924  Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Здравствуйте! Проверяйте по списку.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.07.2010(UTC)
Сообщений: 4
|
Цитата:*Должна быть доступна запущенная служба штампов времени (TSP-сервер).
*Должна быть доступна запущенная служба актуальных статусов (OCSP-сервер). есть Цитата:*OCSP-сервер должен быть сконфигурирован таким образом, чтобы в поле ThisUpdate OCSP-ответа проставлялось текущее время (например, в режиме работы по БД ЦС для КриптоПро OCSP Server). здесь указывается время последнего выпущенного CRL Цитата:* Если соединение с TSP- или OCSP-сервером осуществляется через прокси-сервер, и этот прокси-сервер отличается от настроенного в Internet Explorer, то его адрес должен быть задан либо в групповых политиках соответствующего клиента, либо передан в качестве аргумента соответствующим функциям КриптоПро ЭЦП SDK.
*Если прокси-сервер требует аутентификации, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.
*Если для соединения с TSP- или OCSP-сервером требуется аутентификация, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK. Подключение идет напрямую, прокси не используется, аутентификация на OCSP и TSP отсутствует Цитата:*Адрес OCSP-сервера должен либо содержаться в расширении AIA (Authority Information Access) сертификата, на ключе которого создаётся подпись, либо должен быть задан в групповой политике КриптоПро OCSP Client Адрес службы OCSP по умолчанию. адрес указан в AIA клиентского сертификата Цитата:*Сертификат, на котором создаётся подпись и сертификат службы штампов времени, должны проверяться на отзыв и для них должны строиться цепочки. Клиентский сертификат проверяется и успешно проходит проверку. В сертификате TSP отсутствует ссылка на OCSP(выпускался давно, с другим профилем, в AIA не содержится адрес OCSP) - необходимо переиздать? Цитата:*Для сертификата службы актуальных статусов должна строиться цепочка, также он должен иметь расширение Признак доверия службе OCSP (id-pkix-ocsp-nocheck - OID 1.3.6.1.5.5.7.48.1.5)
В сертификате OCSP-сервера Код:Подпись ответа службы OCSP
Признак доверия службе OCSP (id-pkix-ocsp-nocheck)
Цитата:Для проверки усовершенствованной подписи необходимо, чтобы в хранилище "Доверенные центры сертификации" ("Root") были установлены сертификаты:
*корневой сертификат для сертификата, на котором была сделана подпись;
*корневой сертификат для сертификата службы штампов времени.
да, так и сделано
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Цитата:здесь указывается время последнего выпущенного CRL Нужно в настройках OCSP Server поставить галочку "Заменять время последнего обновления CRL текущим временем" Цитата:В сертификате TSP отсутствует ссылка на OCSP(выпускался давно, с другим профилем, в AIA не содержится адрес OCSP) - необходимо переиздать? Нет, в сертификате службы штампов адрес OCSP не нужен.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 14.07.2010(UTC)
Сообщений: 4
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
