У меня есть отделенная подпись и оригинал файла, из подписи я извлкаю сертификат и пытаюсь проверить на oсsp сервере его актуальность утилитой, в ответ получаю "Error querying OCSP responder" без описания ошибки. Issuer сертификата - комания Тензор, в свою очередь её issuer - криптопро. Вот мой "путь":
1) Изначально имеем detached подпись - message.sig. Извлекаем сртификат:
openssl pkcs7 -in message.sig -print_certs -inform PEM -out mycert.pem
Я так понимаю, это сертификат того, кто подписал сообщение. Далее:
2) Парсю вывод команды
openssl x509 -in mycert.pem -noout -text
и вытаскиваю оттуда CA Issuers url, которые оканчиваются на crt, в моём случае таких ссылок две, но содержание сертификатов по ним одинаковое, сохраняю этот сертификат в issuer.crt. Далее:
3) Конвертирую в PEM:
openssl x509 -in issuer.crt -inform DER -out issuer.pem -outform PEM
4) Скачиваю
http://cpca.cryptopro.ru/cacer.p7b, конвертирую в PEM
openssl pkcs7 -inform DER -outform PEM -print_certs -in cacer.p7b -out cacer.pem
5) Получаю урл OCSP сервера:
openssl x509 -in mycert.pem -noout -ocsp_uri
В моём случае вывод:
http://tax4.tensor.ru/ocsp/ocsp.srf6) openssl ocsp -CAfile cacer.pem -issuer issuer.pem -cert mycert.pem -url
http://tax4.tensor.ru/ocsp/ocsp.srfВозвращает "Error querying OCSP responder", при этом если поменять url на
http://www.cryptopro.ru/ocsp/ocsp.srf - выдаёт "Responce Verify Failure" и "unable to get local issuer".
P.S. Пробовал "openssl ocsp -CAfile issuer.pem -issuer issuer.pem -cert mycert.pem -url
http://tax4.tensor.ru/ocsp/ocsp.srf" c расчётом на то, что Тензор УЦ не зависит от Криптопро.
6.1) С чего я взял, что криптопро тут участвует?
Вывод информации о сертификате mycert.pem имеет такой кусок текста:
X509v3 extensions:
1.2.643.100.111:
0:d=0 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6)
1.2.643.100.112:
0:d=0 hl=4 l= 290 cons: SEQUENCE
4:d=1 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6)
49:d=1 hl=2 l= 83 prim: UTF8STRING :"Удостоверяющий центр "КриптоПро УЦ" версии 1.5
134:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/121-1859 от 17.06.2012
214:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/128-1822 от 01.06.2012
ИТОГ: Почему я не могу проверить сертификат? Может, я скармливаю OCSP программе не те сертификаты или ссылки? Если так, то что надо скармливать?
И вообще, как мне правильно проверить действительность (актуальность и подлиность) сертификата утилитой openssl или чем-то ещё, работающем из-под линукса?
P.S. Прикрепляю файл подписи.
Отредактировано пользователем 9 мая 2015 г. 21:05:56(UTC)
| Причина: Не указана
Вложение(я):
message.rar
(3kb) загружен 1 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.