Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Крипто-ПРО CSP 3.6 r3 3.6.7777 linux проблема проверки цепочки сертификата
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Igor_inet  
#1 Оставлено : 10 декабря 2013 г. 9:11:40(UTC)
Igor_inet

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.12.2013(UTC)
Сообщений: 1
Российская Федерация
Откуда: Кемерово
Всем доброго дня.

Столкнулись в проблемой проверки сертификата при подписании в CSP и запуске stunnel в линукс
на крипто-про 3.6 r3.

Стоит centOS 6.2 x64
CSP (Type:75) v3.6.5365 KC2 Release Ver:3.6.7777 OS:Linux CPU:AMD64 FastCode:READY:AVX.


Установили клиентский сертификат с привязкой к ключу в uMy,
корневой сертификат в root, список отзыва стоит в ca - действительный.

пробуем команду
cryptcp -dir /tmp/ -signf -dn "E=email@email.ru" "/tmp/filetosign" -cert -der 2>&1

получаем ошибку проверки цепочки сертификатов. Если на вопрос "Do you want to use this certificate" ответить yes то подпись формируется нормально - значит все кроме цепочки доверия работает правильно.
=================
CryptCP 3.41 (c) "Crypto-Pro", 2002-2013.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:_______, _________ __________ _______, 0, _______, _________, 00 ______ _______, RU, email@email.ru, 0000000000
Valid from 27.08.2013 11:37:00 to 27.08.2014 11:46:00

Certificate chain is not checked for this certificate:
RDN:_______, _________ __________ _______, 0, _______, _________, 00 ______ _______, RU, email@email.ru, 0000000000
Valid from 27.08.2013 11:37:00 to 27.08.2014 11:46:00

Certificate chain is not checked for this certificate (error code 10000):

/dailybuildsbranches/CSP_3_6r4/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:416: 0x20000133
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?n

Certificate chains are checked.
Error: No certificate to use.
/dailybuildsbranches/CSP_3_6r4/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:399: 0x20000131
[ErrorCode: 0x20000131]
===============

Самое интересное в /var/log/messages
Nov 28 16:47:07 was-test-centos6 libssp[58122]: capi20: CryptRetrieveObjectByUrlA () UrlRetriever failed (CURLcode: 12007 URL: http://c0000-app005/gnivc/GNIVCFNSRUS_2011.crt).

Судя по этой записи csp пытается скачать корневой сертификат! из точки распространения.
Во первых в сертификате ссылки на корневой две и эта ссылка не глобальная, а вторую csp проверить не пробует.
Во вторых зачем вообще качать корневой, если он и список отзыва установлены.

Может кто-то сталкивался с подобным поведением (проблема настройки или баг в версии)? Что можно сделать.
тот же набор ключей установил на сервер fedora, там стоит csp 3.6 r2. Все работает.

Хотел поставить и тут старую версию, но на новый линукс после r3 не могу запустить r2 - при просмотре uMy падает в segmentation fault.

Отредактировано пользователем 10 декабря 2013 г. 9:12:44(UTC)  | Причина: Не указана

Вложение(я):
cer.zip (2kb) загружен 4 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET