Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.07.2014(UTC) Сообщений: 104  Откуда: Москва Сказал(а) «Спасибо»: 24 раз
|
Здравствуйте.
Наше ПО строит цепочку доверия для сертификата КЭП при помощи вызова функции "CertGetCertificateChain" с флагом "CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT" для провайдера КриптоПРО CSP. Под ОС linux, при проверке на отзыв сертификата, будут ли загружаться СОС / CRL вашим провайдером автоматически или надо их загружать в хранилище нам самостоятельно?
Откуда возник вопрос: при использовании нашего ПО под Windows, мы довольно часто получаем ошибку "невозможно проверить сертификат на отзыв", если нет "свежего" СОС в хранилище. А вот под linux мы такой ошибки еще ни разу не получали. Поэтому, не могли бы вы объяснить откуда берет ваш провайдер СОС-ы при проверке сертификата на отзыв под linux-ом и что нам надо сделать, чтобы оно работало корректно (учитывало наличие или отсутствие "свежих" СОС / CRL у АУЦ для этого сертификата)?
С уважением, Константин Ткачук.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 54  Сказал «Спасибо»: 11 раз
Поблагодарили: 24 раз в 22 постах
|
Здравствуйте! Наша реализация функции CertGetCertificateChain (как и Windows-реализация) умеет подгружать CRL, если она в них нуждается и если ей это разрешено. В стороннем коде не должно возникать нужды самостоятельно скачивать файлы и устанавливать их в хранилища. Флаги Windows-реализации, частично поддерживаемые и нашей реализацией, позволяют регулировать места, где она может искать CRL. Обычно это хранилище CA в CURRENT_USER, хранилище cache в CURRENT_USER и указанные в сертификате CDP (адреса в сети, откуда можно скачать CRL). С уважением, Иван |
|
 1 пользователь поблагодарил Зубов Иван за этот пост.
|
idtks оставлено 30.09.2020(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126
Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
|
Иван, а если ссылка на CRL не указана (пример: Lets Encrypt). Проверка по OCSP тоже автоматическая? Или статус у цепочки будет "действительна" всегда в таком случае?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 54 Сказал «Спасибо»: 11 раз
Поблагодарили: 24 раз в 22 постах
|
Для работы с OCSP помимо CryptoPro CSP на данный момент требуется CryptoPro CAdES.
Если проверяется на отзыв какой-то сертификат, CRL для него в хранилищах нет, CDP в нём не указан, но в нём указан URL для проверки по OCSP, то:
-- при наличии CAdES и если флаги не запрещают использовать OCSP, то будет автоматическая проверка на отзыв через OCSP;
-- иначе проверки через OCSP не будет, цепочка успешно *построится*, но статус *проверки на отзыв* будет точно не успехом, а какой-то ошибкой. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
