Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,470   Сказал «Спасибо»: 53 раз
Поблагодарили: 798 раз в 737 постах
|
Автор: HelpDSS  После того как вручную скачал запрос, подписал его в стороннем уц и веб интерфейсе вручную загрузил этот сертификат, то в статусе сертификата пишется "Не проверялся".
Установил корневой сертификат стороннего УЦ в доверенные.
Что нужно еще сделать, чтобы статус поменялся на "Действительный"? Здравствуйте. См. параметр ValidationMode в руководстве по интеграции с УЦ. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.03.2019(UTC) Сообщений: 11 Сказал(а) «Спасибо»: 3 раз
|
Да, про ValidationMode я понял.Непонятным остается, где прописать пути до crl для стороннего УЦ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,470 Сказал «Спасибо»: 53 раз
Поблагодарили: 798 раз в 737 постах
|
Автор: HelpDSS Да, про ValidationMode я понял.Непонятным остается, где прописать пути до crl для стороннего УЦ? Здравствуйте. Пути до CRL обычно прописаны в расширении сертификата Точки распространения списков отзыва (CRL). Также актуальные списки отзыва можно установить локально в хранилище Промежуточные центры сертификации локального компьютера на сервере с компонентом SignServer КриптоПро DSS. |
|
 1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.03.2019(UTC) Сообщений: 11 Сказал(а) «Спасибо»: 3 раз
|
Отлично, это сработало. Сертификаты добавляются и статус у них "Действителен" Даже документы ими подписываются. Но при проверке этих подписей, выдается такая ошибка (на скриншоте) Корневой сертификат установлен в хранилище "Доверенные"  error.PNG (11kb) загружен 20 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,470 Сказал «Спасибо»: 53 раз
Поблагодарили: 798 раз в 737 постах
|
Автор: HelpDSS Отлично, это сработало. Сертификаты добавляются и статус у них "Действителен" Даже документы ими подписываются. Но при проверке этих подписей, выдается такая ошибка (на скриншоте) Корневой сертификат установлен в хранилище "Доверенные" error.PNG (11kb) загружен 20 раз(а). См. описание хранилищ сертификатов <ApplicationName>-TSL и <ApplicationName>-Ca в Руководстве администратора КриптоПро SVS. |
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.03.2019(UTC) Сообщений: 11 Сказал(а) «Спасибо»: 3 раз
|
proverka ocsp.PNG (36kb) загружен 3 раз(а).А есть ли возможность делать запрос на OCSP-сервер для проверки на отзыв при каждом взаимодействии с сертификатом (подпись, проверка подписи и тд)? Насколько я понимаю, через OCSP-сервер не скачивается сам CRL файл, соответственно ничего не должно оставаться в кэше. Сейчас при значении RevocationMode:online запрос на OCSP делается не при каждом взаимодействии с сертификатом, а только если операции делаются с каким то промежутком времени. Заранее спасибо.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,470 Сказал «Спасибо»: 53 раз
Поблагодарили: 798 раз в 737 постах
|
Автор: HelpDSS proverka ocsp.PNG (36kb) загружен 3 раз(а).А есть ли возможность делать запрос на OCSP-сервер для проверки на отзыв при каждом взаимодействии с сертификатом (подпись, проверка подписи и тд)? Насколько я понимаю, через OCSP-сервер не скачивается сам CRL файл, соответственно ничего не должно оставаться в кэше. Сейчас при значении RevocationMode:online запрос на OCSP делается не при каждом взаимодействии с сертификатом, а только если операции делаются с каким то промежутком времени. Заранее спасибо. Здравствуйте. При создании подписи обращение к OCSP серверу происходит только для формата CAdES-X Long Type 1. При проверке сертификата используется следующий порядк: - локальные CRL,
- CRL, доступные по сети,
- OCSP сервер. Изменить этот порядок нельзя. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.03.2019(UTC) Сообщений: 11 Сказал(а) «Спасибо»: 3 раз
|
При первой загрузке сертификата со стороннего УЦ, он делает запрос на мой OCSP-сервер, прописанный в этом сертификате. А вот при дальнейших взаимоидействиях с этим сертификатом логика проверки не очень ясна. Либо есть какой-то тайм-аут после первой проверки, в период которого запросы не проводятся, либо что-то еще. Потому что при последующих манипуляциях с этим сертификатом (проверка,подпись) запрос на OCSP-сервер не происходит(в логах OCSP пустота). Но через какое-то неопределенное время (точно непонятно, но довольно-таки большой промежуток) при тех же манипуляциях с тем же сертификатом(проверка,подпись) запрос на OCSP идет (видно в логах OCSP).
Хотелось бы как то выяснить этот механизм, потому что необходимо, чтобы запросы на OCSP-сервер делались при любой манипуляции с сертификатом с любой частотой.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
