Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.09.2019(UTC) Сообщений: 46
|
Автор: two_oceans Добрый день. Одного корневого сертификата мало, скорее всего нужно установить промежуточный сертификат. Желательно с правами администратора поставить сертификаты УЦ в соответствующее хранилище компьютера (хранилища пользователя могут игнорироваться, если запрещены политикой и не действуют для служб). Найти промежуточный сертификат можно по огрн издателя: http://e-trust.gosuslugi.../View?ogrn=1111840008411 Для приведенной подписи - последний сертификат в списке, "Идентификатор ключа" начинается с "0299..." Если окажется недостаточно, то возможно автоматически не подгрузились списки отзыва. По ссылке выше, чуть ниже самого сертификата есть адреса его списков отзыва. После установки промежуточного сертификата УЦ, списков отзыва промежуточного УЦ, списков отзыва корневого УЦ проверка должна проходить корректно. Списки отзыва желательно регулярно обновлять (вручную или настроить автоматическое скачивание). подскажите почему может не подгружаться список отзыва автоматически?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах
|
Причины могут быть разные - от тривиальных: выключенной функции загрузки СОС (списка отзыва сертификатов); недоступности Интернета; недоступности адреса публикации СОС и т.д. до конфликтов: сбоя из-за перенаправления на другой адрес при скачивании СОС; невозможности проверить сам сертификат сервера при подключении к адресу публикации СОС по https; в некоторых случаях взаимоисключающее использование гост и зарубежных алгоритмов для https. В целом, списки отзыва считаются менее надежным способом проверки сертификата чем протокол OCSP из-за большого объема каждого списка и во многих программах (браузерах, например) просто выключена их загрузка. Напротив, отечественных УЦ с OCSP-ответчиками меньше чем хотелось бы (начиная с самого головного УЦ Минкомсвязи) и списки отзыва "наше все".
Немного поясню - ранее в Windows (точно касается до windows 7 sp1 включительно, вероятно и первых версий восьмерки тоже) вообще не было встроенных средств автоматического обновления сертификатов и СОС, но с одним из обновлений Майкрософт ввела такую функцию. Функция выполняется в фоновом режиме и автоматически загружает/удаляет корневые сертификаты по списку с серверов Майкрософт. Плюс в том, что просто заходим на любой сайт с зарубежным сертификатом и ничего не надо ставить вручную (браузеры при обновлении тоже могут доставить сертификаты). Минусов два: 1) отечественных УЦ с гост в том списке Майкрософт нет; 2) функцию потенциально можно превратить в черный ход по желанию Майкрософт - подменить любые сертификаты веб-серверов с зарубежными алгоритмами или наоборот зайти на компьютер по сертификату.
В итоге загрузка сертификатов и списков отзыва отечественных УЦ обычно обеспечивается дополнительным программным обеспечением и его настройками. В Джаве, например, есть отдельные параметры которые включают/отключают подгрузку промежуточных сертификатов и СОС.
Лично я обычно пользуюсь утилитой-службой от ИИТраст (сертификаты и СОС более-менее унифицированы, так что утилиты от других криптопровайдеров подходят для установки) для ежедневной подгрузки СОС (обычно только головного УЦ Минкомсвязи), полагаю есть и более удобные утилиты (эта удобна для единственного УЦ и крайне неудобна когда нужных УЦ много: приходится создавать новый экземпляр службы для каждого УЦ, эта куча служб постоянно висит в процессах).
Отредактировано пользователем 29 октября 2019 г. 8:03:24(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.09.2019(UTC) Сообщений: 46
|
поскажите куда смотреть? у меня ситуация следующая: на сайте сделан сервис подписи документа. серверная часть php клиентская js все работает через cryptopro cades. И возникают проблемы с некоторыми сертификатами. сертификаты подгружаю http://e-trust.gosuslugi.ru/MainCAhttp://e-trust.gosuslugi...nloadTSL?schemaVersion=0этого оказалось мало. сделал скрипт в нем список дополнительный для сертификатов. Подгружаю его. Получается для каждого сертификата из списка нужно еще указывать ссылку на список отозванных сертификатов? Ее как-то из сертификата получить нельзя? мне бы хотелось это как-то автоматизировать. p.s. Все работает в linux Отредактировано пользователем 29 октября 2019 г. 8:57:46(UTC)
| Причина: Не указана
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах
|
Автор: DmitryKlg поскажите куда смотреть? у меня ситуация следующая: на сайте сделан сервис подписи документа. серверная часть php клиентская js
все работает через cryptopro cades. И возникают проблемы с некоторыми сертификатами. Работает - это замечательно. Однако не нужно пытаться в cades делать вообще все, для некоторых вещей он просто не предназначен. Автор: DmitryKlg Посмотрел подробнее. По сути вторая ссылка - как раз то, что нужно (что подгружает и ставит КриптоАрм) - xml файл с сертификатами и адресами списков отзыва, то есть именно его и ищете. Если его правильно "обработать" - этого должно быть достаточно. Как правильно под linux - не владею информацией. Автор: DmitryKlg этого оказалось мало. сделал скрипт в нем список дополнительный для сертификатов. Подгружаю его. Получается для каждого сертификата из списка нужно еще указывать ссылку на список отозванных сертификатов? Ее как-то из сертификата получить нельзя? мне бы хотелось это как-то автоматизировать. p.s. Все работает в linux Не просто указывать, а регулярно устанавливать оттуда СОС. Можно попробовать парсить сертификаты через openssl x509, вот только получите не совсем то - об этом ниже. Автор: DmitryKlg Ее как-то из сертификата получить нельзя? Касательно получения из сертификата, тут сложная ситуация. В том плане, что у каждого сертификата (сертификаты промежуточных УЦ не исключение) указывается информация о списках отзыва вышестоящего УЦ, если такой есть. Из этого 2 следствия: 1) в корневом сертификате вообще нет данной информации, так как выше него нет УЦ; 2) чтобы получить об адресе СОС для некого сертификата УЦ Вам нужно найти сертификат клиента, выпущенный этим УЦ и подписанный этим сертификатом УЦ. Другими словами, имея конечный или промежуточный сертификат можно легко построить цепочку вверх до корневого, но построить цепочку вниз крайне сложно по данным только сертификатов. Поэтому если цель поставить все возможные сертификаты и СОС заранее, то лучшая зацепка использовать xml по второй ссылке http://e-trust.gosuslugi...nloadTSL?schemaVersion=0 для получения всех сертификатов и всех ссылок на СОС.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.09.2019(UTC) Сообщений: 46
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close