Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline kealog  
#1 Оставлено : 10 июля 2014 г. 20:24:11(UTC)
kealog

Статус: Участник

Группы: Участники
Зарегистрирован: 21.06.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Добрый день.
Brick wall
Никак не могу побороть ошибки при попытке выполнить скрипт из примера, приведённого в мануале КриптоПро (только с серийным номером моего сертификата)
http://cpdn.cryptopro.ru...escomsamplesigndata.html
См. сообщение об ошибке на скриншоте VBScript
VBScript

Дебагер показывает такие значения переменных (см. скриншот) и, подозреваю, что основная причина ошибки может заключаться в значениях, указанных в SignatureTimeStampTime и SigningTime – «Группа или ресурс не находятся в требуемом состоянии ...». В этом случае вопрос про то, как их всё же запустить?
Debug

У меня свежекупленый в УЦ КриптоПро сертификат неквалифицированной подписи. Установил - в реестр. Успешно протестировал его на http://www.cryptopro.ru/cadesplugin/Default.aspx.Всё запускаю только на локальном компе (Windows 7 x64)

В отношении исполнения «Требований к конфигурации» при «Создании сообщения с усовершенствованной подписью» http://cpdn.cryptopro.ru.../cades/requirements.html.

1. Должна быть доступна запущенная служба штампов времени (TSP-сервер).
Насколько понимаю, это решено в переменной: sTSAAddress="http://www.cryptopro.ru/tsp/tsp.srf". Я так же прописывал в групповой политике в разделе КриптоПро TSP Клиент -> Службы штампов: адрес службы штампов времени по умолчанию, но это не помогает.

2. Должна быть доступна запущенная служба актуальных статусов (OCSP-сервер).
Задал в групповой политике адрес службы OCSP по-умолчанию http://www.cryptopro.ru/ocspnc/ocsp.srf.
Правильно? Достаточно?
Политика OSCP

3. OCSP-сервер должен быть сконфигурирован таким образом, чтобы в поле ThisUpdate OCSP-ответа проставлялось текущее время (например, в режиме работы по БД ЦС для КриптоПро OCSP Server).
Это совсем непонятно. М.б. это и не нужно для моего – клиентского случая.

*** у меня прокси нет, сервера нет, поэтому с 4 по 6 видимо не нужно************
4. Если соединение с TSP- или OCSP-сервером осуществляется через прокси-сервер, и этот прокси-сервер отличается от настроенного в Internet Explorer, то его адрес должен быть задан либо в групповых политиках соответствующего клиента, либо передан в качестве аргумента соответствующим функциям КриптоПро ЭЦП SDK.
5. Если прокси-сервер требует аутентификации, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.
6. Если для соединения с TSP- или OCSP-сервером требуется аутентификация, то соответствующие параметры должны быть заданы в групповых политиках соответствующего клиента, либо переданы в качестве аргуметов соответствующим функциям КриптоПро ЭЦП SDK.
************************************************************************


7. Адрес OCSP-сервера должен либо содержаться в расширении AIA (Authority Information Access) сертификата, на ключе которого создаётся подпись, либо должен быть задан в групповой политике КриптоПро OCSP Client Адрес службы OCSP по умолчанию.
Не нашёл у своего сертификата свойства AIA или иного, в котором содержится что-либо похожее на адрес сервера OSCP. См п.2. Задал в групповой политике адрес службы OCSP по-умолчанию http://www.cryptopro.ru/ocspnc/ocsp.srf. Правильно? Достаточно?

8. Сертификат, на котором создаётся подпись и сертификат службы штампов времени, должны проверяться на отзыв и для них должны строиться цепочки.
Это совсем непонятно. Нужно ли это для моего клиентского случая и, если да, то где/как настраивать?

9. Для сертификата службы актуальных статусов должна строиться цепочка, также он должен иметь расширение Признак доверия службе OCSP (id-pkix-ocsp-nocheck - OID 1.3.6.1.5.5.7.48.1.5)
Нужно ли это в моём случае? Где / как это настраивать?

10. Должны быть установлены лицензии на КриптоПро TSP Client и КриптоПро OCSP Client.
Вроде бы выполнено. Установлены тестовые версии CSP 3.6; TSP; OCSP
Установленные лицензии
Offline kealog  
#2 Оставлено : 14 июля 2014 г. 8:00:56(UTC)
kealog

Статус: Участник

Группы: Участники
Зарегистрирован: 21.06.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сам нашёл причину ... как мне кажется :)

У меня неквалифицированная подпись и она, похоже, не умеет работать со штампом времени.

Загрузил с http://www.cryptopro.ru/certsrv/certrqma.asp тестовую подпись.
С ней скрипт отработал без выдачи сообщений об ошибках.

Тема пока закрыта.
Offline Юрий  
#3 Оставлено : 14 июля 2014 г. 10:04:53(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: kealog Перейти к цитате
Сам нашёл причину ... как мне кажется :)

У меня неквалифицированная подпись и она, похоже, не умеет работать со штампом времени.

Загрузил с http://www.cryptopro.ru/certsrv/certrqma.asp тестовую подпись.
С ней скрипт отработал без выдачи сообщений об ошибках.

Тема пока закрыта.

Пока есть "каша" с понятиями рекомендую воздержаться от каких-то выводов. Иначе они смотрятся достаточно смешно, так как:
1) Можно получить штамп времени на любые данные. Рекомендую почитать мою статью про CAdES;
2) Почитайте наконец что такое "квалифицированная подпись", а так же почитайте что такое "усовершенствованная подпись";
3) Не работало у вас из-за того, что в сертификате отсутствовало расширение AIA, то есть отсутстовала возможность создания "усовершенствованной подписи", которая и делается с помощью Browser Plugin;
С уважением,
Юрий Строжевский
Offline kealog  
#4 Оставлено : 14 июля 2014 г. 11:35:50(UTC)
kealog

Статус: Участник

Группы: Участники
Зарегистрирован: 21.06.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Юрий, спасибо за ответ.
1,2) Статью читаю. С юридическим смыслом квалифицированной и усовершенствованной подписи знаком, но был бы рад ссылкам на более подробную информацию, в контексте моего вопроса.
3) Установка Browser Plugin не помогала. Помогло только наличие новой (другой) подписи. Скрип заработал только после изменения номера сертификата.

Из написанного Вами про установка Browser Plugin, можно сделать вывод о том, что он способен создать отсутствовавшее расширение AIA. М.б. его можно вручную где-то создать.
Offline Андрей Писарев  
#5 Оставлено : 14 июля 2014 г. 11:40:46(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
В свойствах сертификата... указать OCSP-адрес про это речь?
Пользователь Андрей * прикрепил следующие файлы:
ocsp.png (93kb) загружен 22 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Техническую поддержку оказываем тут
Наша база знаний
Offline Юрий  
#6 Оставлено : 14 июля 2014 г. 12:16:25(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: kealog Перейти к цитате
Юрий, спасибо за ответ.
1,2) Статью читаю. С юридическим смыслом квалифицированной и усовершенствованной подписи знаком, но был бы рад ссылкам на более подробную информацию, в контексте моего вопроса.
3) Установка Browser Plugin не помогала. Помогло только наличие новой (другой) подписи. Скрип заработал только после изменения номера сертификата.

Из написанного Вами про установка Browser Plugin, можно сделать вывод о том, что он способен создать отсутствовавшее расширение AIA. М.б. его можно вручную где-то создать.

Заканчивайте "умничать" и читайте уже документы! А то с каждым постом всё смешнее.

1) Какую более подробную информацию нужно? Я говорил про определения, сухие определения. И про то, что высказывание "У меня неквалифицированная подпись и она, похоже, не умеет работать со штампом времени" - это очень неквалифицированное высказывание, в корне неверное;
2) Как могла не помочь установка Browser Plugin если именно его вы и используете в изначальном скрипте? А именно вот в этой строке:
Код:
Set oSignedData = CreateObject("CAdESCOM.CadesSignedData")


И изменился не номер сертификата, а то, что в тестовом центре выдают сертификаты с указанием расширения AIA.
С уважением,
Юрий Строжевский
Offline kealog  
#7 Оставлено : 14 июля 2014 г. 14:52:46(UTC)
kealog

Статус: Участник

Группы: Участники
Зарегистрирован: 21.06.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Андрей, спасибо за подсказку.
Я пробовал записать в этот URL адрес http://www.cryptopro.ru/ocspnc/ocsp.srf. Не помогло.

Юрий.
Сожалею, что своими глупыми текстами я Вас расстроил. Если нам, бегинерам, не стоит здесь задавать вопросы к мудрым, но гордым профессионалам, то м.б. сделать какой-то другой форум, где наши вопросы не будут раздражать ветеранов?

Конечно я понимаю, что изменился не просто номер сертификата, а весь сертификат со всеми его параметрами в связи с чем там появились нужные для правильной работы скрипта параметры.

Я ничего не менял в коде, за исключением значения переменной sSerialNumber = "..." ... поменял на серийный код тестового сертификата. После чего код отработал без выдачи ошибок. Повторюсь - с предыдущим сертификатом vbs-код не работал как с установленным Browser-plugin так и без него.

Я готов доверять вашему утверждению: "Можно получить штамп времени на любые данные". Допускаю мысль, что скрипт не работал по какой-то другой причине, не связанной со штампом времени. Но поскольку в контексте приведённого скрипта и существующей у меня ЭЦП не предлагается никаких практических рекомендаций, то я по-прежнему не представляю как можно было бы заставить работать мой купленный сертификат. После полученных консультаций, не уверен, что при покупке "квалифицированной подписи" что-нибудь измениться.
Offline Юрий  
#8 Оставлено : 14 июля 2014 г. 15:09:05(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: kealog Перейти к цитате
Андрей, спасибо за подсказку.
Я пробовал записать в этот URL адрес http://www.cryptopro.ru/ocspnc/ocsp.srf. Не помогло.

Юрий.
Сожалею, что своими глупыми текстами я Вас расстроил. Если нам, бегинерам, не стоит здесь задавать вопросы к мудрым, но гордым профессионалам, то м.б. сделать какой-то другой форум, где наши вопросы не будут раздражать ветеранов?

Конечно я понимаю, что изменился не просто номер сертификата, а весь сертификат со всеми его параметрами в связи с чем там появились нужные для правильной работы скрипта параметры.

Я ничего не менял в коде, за исключением значения переменной sSerialNumber = "..." ... поменял на серийный код тестового сертификата. После чего код отработал без выдачи ошибок. Повторюсь - с предыдущим сертификатом vbs-код не работал как с установленным Browser-plugin так и без него.

Я готов доверять вашему утверждению: "Можно получить штамп времени на любые данные". Допускаю мысль, что скрипт не работал по какой-то другой причине, не связанной со штампом времени. Но поскольку в контексте приведённого скрипта и существующей у меня ЭЦП не предлагается никаких практических рекомендаций, то я по-прежнему не представляю как можно было бы заставить работать мой купленный сертификат. После полученных консультаций, не уверен, что при покупке "квалифицированной подписи" что-нибудь измениться.

Мда... Какая ещё "покупка квалифицированной подписи"? Что это такое и где такое продают? Почитайте уже наконец документацию.
В который раз говорю: необходимо чтобы в сертификате была информация о сервере OCSP. Будет сертификат с такой информицией - будет возможно создавать "улучшенную подпись" с помощью Browser Plugin.
С уважением,
Юрий Строжевский
Offline kealog  
#9 Оставлено : 14 июля 2014 г. 15:29:34(UTC)
kealog

Статус: Участник

Группы: Участники
Зарегистрирован: 21.06.2014(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Термин я взял на сайте УЦ КриптоПро http://www.cryptopro.ru/service/ca, а именно из "Аккредитованный Удостоверяющий центр по 63-ФЗ «Об электронной подписи» (выдает квалифицированные сертификаты ключей проверки электронной подписи)"
В услугах УЦ https://www.cryptopro.ru/order/OrderForm.aspx - это, видимо, "Услуги Удостоверяющего центра по созданию квалифицированного сертификата ключа проверки электронной подписи (по 63-ФЗ)" (5000р)

Я покупал сертификат "Неаккредитованного удостоверяющего центра" - в услугах УЦ- в разделе "Услуги Удостоверяющего Центра по изготовлению сертификата ключа подписи пользователя по централизованной схеме обслуживания" (2500р).
Offline Андрей Писарев  
#10 Оставлено : 14 июля 2014 г. 15:36:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: kealog Перейти к цитате
Андрей, спасибо за подсказку.
Я пробовал записать в этот URL адрес http://www.cryptopro.ru/ocspnc/ocsp.srf. Не помогло.


Вы получали сертификат в КриптоПРО УЦ?
Статус сертификата нужно проверять в том УЦ, который издал (OCSP URL).
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.