Здравствуйте.
Складывается странная ситуация, наверно, вам потребуется обратиться к клиенту и, возможно, УЦ, издавшему его сертификат.
В приложенной подписи есть цепочка сертификатов, ее длина составляет 3 сертификата:
ООО "ФОРМУЛА ШИН" -> ООО "ИМЦ" -> Минкомсвязь России
При этом промежуточный ООО "ИМЦ" имеет:
номер - 43 2d 0a 1f 00 00 00 00 04 e7
отпечаток - b0 94 55 b0 d6 2a ab e7 7b 6f 56 ab e8 74 7c 4f b1 46 ad 0e
Цепочка клиента с ним успешно строится, но не проверяется - неверна подпись CRL для проверки сертификата клиента.
В сертификате клиента ООО "ФОРМУЛА ШИН" есть несколько ссылок на CRL ("Точка распределения списка отзыв") для проверки статуса сертификата, обычно CRL подписаны УЦ-издателем самого сертификата клиента, то есть ООО "ИМЦ", но CRL по ссылкам из клиентского сертификата -
http://imc63.ru/uc/imc20196320.crlhttp://www.sama.ru/~imc/uc/imc20196320.crlhttp://tlt.imc63.ru/uc/imc20196320.crl не проверяются на ключе того сертификата ООО "ИМЦ", что вложен в подпись и с которым строится цепочка клиента - с ним подпись CRL неверна.
В клиентском сертификате имеется прямая ссылка ("Доступ к сведениям центра сертификации") на промежуточный сертификат ООО "ИМЦ" -
http://imc63.ru/uc/imc20196320.cer но она ведет к другому ООО "ИМЦ":
номер - 78 0f 80 0c 00 00 00 00 02 f2
отпечаток - 1f 31 ae 43 a9 aa 91 4f 5b 5d 8f bd 6a 9b 92 ff b7 ce 33 a4
И с помощью этого ООО "ИМЦ" №2 подпись в CRL, входящем в CRLDP клиентского сертификата, проверяется успешно.
То есть получается, CRL изданы и подписаны одним ООО "ИМЦ" (№2), а сертификат клиента - другим ООО "ИМЦ" (№1), они имеют разные серийные номера, ключи, даты выпуска и т.п.
Отредактировано пользователем 18 декабря 2020 г. 10:08:17(UTC)
| Причина: Не указана
