openssl ocsp

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

openssl ocsp - не могу проверить сертификат

Опции

Предыдущая тема Следующая тема

plov		#1 Оставлено : 9 мая 2015 г. 21:03:30(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2015(UTC) Сообщений: 11 Откуда: Казань		У меня есть отделенная подпись и оригинал файла, из подписи я извлкаю сертификат и пытаюсь проверить на oсsp сервере его актуальность утилитой, в ответ получаю "Error querying OCSP responder" без описания ошибки. Issuer сертификата - комания Тензор, в свою очередь её issuer - криптопро. Вот мой "путь": 1) Изначально имеем detached подпись - message.sig. Извлекаем сртификат: openssl pkcs7 -in message.sig -print_certs -inform PEM -out mycert.pem Я так понимаю, это сертификат того, кто подписал сообщение. Далее: 2) Парсю вывод команды openssl x509 -in mycert.pem -noout -text и вытаскиваю оттуда CA Issuers url, которые оканчиваются на crt, в моём случае таких ссылок две, но содержание сертификатов по ним одинаковое, сохраняю этот сертификат в issuer.crt. Далее: 3) Конвертирую в PEM: openssl x509 -in issuer.crt -inform DER -out issuer.pem -outform PEM 4) Скачиваю http://cpca.cryptopro.ru/cacer.p7b, конвертирую в PEM openssl pkcs7 -inform DER -outform PEM -print_certs -in cacer.p7b -out cacer.pem 5) Получаю урл OCSP сервера: openssl x509 -in mycert.pem -noout -ocsp_uri В моём случае вывод: http://tax4.tensor.ru/ocsp/ocsp.srf 6) openssl ocsp -CAfile cacer.pem -issuer issuer.pem -cert mycert.pem -url http://tax4.tensor.ru/ocsp/ocsp.srf Возвращает "Error querying OCSP responder", при этом если поменять url на http://www.cryptopro.ru/ocsp/ocsp.srf - выдаёт "Responce Verify Failure" и "unable to get local issuer". P.S. Пробовал "openssl ocsp -CAfile issuer.pem -issuer issuer.pem -cert mycert.pem -url http://tax4.tensor.ru/ocsp/ocsp.srf" c расчётом на то, что Тензор УЦ не зависит от Криптопро. 6.1) С чего я взял, что криптопро тут участвует? Вывод информации о сертификате mycert.pem имеет такой кусок текста: X509v3 extensions: 1.2.643.100.111: 0:d=0 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6) 1.2.643.100.112: 0:d=0 hl=4 l= 290 cons: SEQUENCE 4:d=1 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6) 49:d=1 hl=2 l= 83 prim: UTF8STRING :"Удостоверяющий центр "КриптоПро УЦ" версии 1.5 134:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/121-1859 от 17.06.2012 214:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/128-1822 от 01.06.2012 ИТОГ: Почему я не могу проверить сертификат? Может, я скармливаю OCSP программе не те сертификаты или ссылки? Если так, то что надо скармливать? И вообще, как мне правильно проверить действительность (актуальность и подлиность) сертификата утилитой openssl или чем-то ещё, работающем из-под линукса? P.S. Прикрепляю файл подписи. Отредактировано пользователем 9 мая 2015 г. 21:05:56(UTC) \| Причина: Не указана Вложение(я): message.rar (3kb) загружен 1 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Андрей Писарев		#2 Оставлено : 9 мая 2015 г. 22:31:30(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,322 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах		Автор: plov У меня есть отделенная подпись и оригинал файла, из подписи я извлкаю сертификат и пытаюсь проверить на oсsp сервере его актуальность утилитой, в ответ получаю "Error querying OCSP responder" без описания ошибки. Issuer сертификата - комания Тензор, в свою очередь её issuer - криптопро. Вот мой "путь": 1) Изначально имеем detached подпись - message.sig. Извлекаем сртификат: openssl pkcs7 -in message.sig -print_certs -inform PEM -out mycert.pem Я так понимаю, это сертификат того, кто подписал сообщение. Далее: 2) Парсю вывод команды openssl x509 -in mycert.pem -noout -text и вытаскиваю оттуда CA Issuers url, которые оканчиваются на crt, в моём случае таких ссылок две, но содержание сертификатов по ним одинаковое, сохраняю этот сертификат в issuer.crt. Далее: 3) Конвертирую в PEM: openssl x509 -in issuer.crt -inform DER -out issuer.pem -outform PEM 4) Скачиваю http://cpca.cryptopro.ru/cacer.p7b, конвертирую в PEM openssl pkcs7 -inform DER -outform PEM -print_certs -in cacer.p7b -out cacer.pem 5) Получаю урл OCSP сервера: openssl x509 -in mycert.pem -noout -ocsp_uri В моём случае вывод: http://tax4.tensor.ru/ocsp/ocsp.srf 6) openssl ocsp -CAfile cacer.pem -issuer issuer.pem -cert mycert.pem -url http://tax4.tensor.ru/ocsp/ocsp.srf Возвращает "Error querying OCSP responder", при этом если поменять url на http://www.cryptopro.ru/ocsp/ocsp.srf - выдаёт "Responce Verify Failure" и "unable to get local issuer". P.S. Пробовал "openssl ocsp -CAfile issuer.pem -issuer issuer.pem -cert mycert.pem -url http://tax4.tensor.ru/ocsp/ocsp.srf" c расчётом на то, что Тензор УЦ не зависит от Криптопро. 6.1) С чего я взял, что криптопро тут участвует? Вывод информации о сертификате mycert.pem имеет такой кусок текста: X509v3 extensions: 1.2.643.100.111: 0:d=0 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6) 1.2.643.100.112: 0:d=0 hl=4 l= 290 cons: SEQUENCE 4:d=1 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6) 49:d=1 hl=2 l= 83 prim: UTF8STRING :"Удостоверяющий центр "КриптоПро УЦ" версии 1.5 134:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/121-1859 от 17.06.2012 214:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/128-1822 от 01.06.2012 ИТОГ: Почему я не могу проверить сертификат? Может, я скармливаю OCSP программе не те сертификаты или ссылки? Если так, то что надо скармливать? И вообще, как мне правильно проверить действительность (актуальность и подлиность) сертификата утилитой openssl или чем-то ещё, работающем из-под линукса? P.S. Прикрепляю файл подписи. Приказ ФСБ РФ от 27 декабря 2011 г. № 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи" Вывод: УЦ Тензора функционирует на базе ПО от ООО КРИПТО-ПРО.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

plov		#3 Оставлено : 9 мая 2015 г. 22:40:39(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.04.2015(UTC) Сообщений: 11 Откуда: Казань		Прекрасно, в этом я не ошибся. А что насчёт остальных пунктов моего вопроса? UPDATE: Значит ли это, что CA при проверке будет КриптоПРО? Отредактировано пользователем 12 мая 2015 г. 20:19:38(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close