Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline OganKvik  
#1 Оставлено : 21 декабря 2020 г. 15:05:03(UTC)
OganKvik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.10.2020(UTC)
Сообщений: 25
Российская Федерация

Сказал(а) «Спасибо»: 12 раз
Здравствуйте.
Linux Mint Cinnamon 19.3 x64. CryptoPRO 5.0.11455. Как включить опцию "Не проверять сертификат сервера на отзыв"? В Windows она находится в Пуск>КРИПТО-ПРО>КриптоПро СSP>Вкладка "Настройки TLS">секция "Клиент".
Online Александр Лавник  
#2 Оставлено : 21 декабря 2020 г. 15:43:25(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,458
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 796 раз в 735 постах
Автор: OganKvik Перейти к цитате
Здравствуйте.
Linux Mint Cinnamon 19.3 x64. CryptoPRO 5.0.11455. Как включить опцию "Не проверять сертификат сервера на отзыв"? В Windows она находится в Пуск>КРИПТО-ПРО>КриптоПро СSP>Вкладка "Настройки TLS">секция "Клиент".

Здравствуйте.

Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long tls_client_disable_revocation_check 1

Если используется KC2, то для применения изменений необходимо перезапустить службу cprocsp после внесения этих изменений в конфигурацию КриптоПро CSP:

Код:
service cprocsp restart

Отредактировано пользователем 21 декабря 2020 г. 18:41:40(UTC)  | Причина: опечатка

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
OganKvik оставлено 22.12.2020(UTC)
Offline OganKvik  
#3 Оставлено : 22 декабря 2020 г. 10:54:01(UTC)
OganKvik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.10.2020(UTC)
Сообщений: 25
Российская Федерация

Сказал(а) «Спасибо»: 12 раз
Спасибо за исправленную команду! Она сработала, но успех не был достигнут. Система упорно продолжается искать списки отозванных сертификатов (.crl), но, поскольку компьютер находится в локальной сети - не находит. Подскажите пожалуйста, какие параметры еще нужно править в /etc/opt/cprocsp/config64.ini чтобы отключить использование .crl?
Online Александр Лавник  
#4 Оставлено : 22 декабря 2020 г. 14:55:11(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,458
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 796 раз в 735 постах
Автор: OganKvik Перейти к цитате
Спасибо за исправленную команду! Она сработала, но успех не был достигнут. Система упорно продолжается искать списки отозванных сертификатов (.crl), но, поскольку компьютер находится в локальной сети - не находит. Подскажите пожалуйста, какие параметры еще нужно править в /etc/opt/cprocsp/config64.ini чтобы отключить использование .crl?

Здравствуйте.

Уточните, пожалуйста, что именно Вы делаете и как проверяете, что идет обращение к crl?
Техническую поддержку оказываем тут
Наша база знаний
Offline OganKvik  
#5 Оставлено : 23 декабря 2020 г. 13:59:31(UTC)
OganKvik

Статус: Участник

Группы: Участники
Зарегистрирован: 06.10.2020(UTC)
Сообщений: 25
Российская Федерация

Сказал(а) «Спасибо»: 12 раз
Например, я подписываю какой-то документ. На ПК нет интернета. С помощью команды "/opt/cprocsp/bin/amd64/certmgr -list -store mCa -crl|grep 'Issuer\|NextUpdate'" я узнаю, что у .crl истек срок жизни. Подписание занимает около 7 минут времени, что крайне долго. Подключаю к компьютеру интернет - .crl автоматически обновляются и документ подписывается секунды за 4. Та же картина происходит при проверке сертификата в 1С, или зашифровки файла средствами КриптоПРО с помощью ЭЦП.

Делаю вывод, в момент подписания прjavascript:__doPostBack('forum$ctl03$Cancel','')оисходит обращение к актуальным .crl, 7 минут он думает, а когда проходит кулдаун, он подписывает без списка отозванных сертификатов.
Online Александр Лавник  
#6 Оставлено : 23 декабря 2020 г. 15:37:37(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,458
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 796 раз в 735 постах
Автор: OganKvik Перейти к цитате
Например, я подписываю какой-то документ. На ПК нет интернета. С помощью команды "/opt/cprocsp/bin/amd64/certmgr -list -store mCa -crl|grep 'Issuer\|NextUpdate'" я узнаю, что у .crl истек срок жизни. Подписание занимает около 7 минут времени, что крайне долго. Подключаю к компьютеру интернет - .crl автоматически обновляются и документ подписывается секунды за 4. Та же картина происходит при проверке сертификата в 1С, или зашифровки файла средствами КриптоПРО с помощью ЭЦП.

Делаю вывод, в момент подписания прjavascript:__doPostBack('forum$ctl03$Cancel','')оисходит обращение к актуальным .crl, 7 минут он думает, а когда проходит кулдаун, он подписывает без списка отозванных сертификатов.

Здравствуйте.

1) Описанная Вами ситуация не имеет никакого отношения к первоначальной постановке вопроса - не проверять сертификат сервера на отзыв (речь про TLS сертификат сервера, а не про пользовательский сертификат).

2) Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности.

Если выхода в интернет нет, то как вариант можно локально устанавливать актуальные списки отзыва или выкладывать их на web-сервер во внутренней сети, перенацелив DNS-имена (например, через файл hosts) на этот внутренний web-сервер вместо внешних адресов для загрузки списков отзыва.

Возможно, в 1С есть опция для отключения проверки по списку отзыва - это нужно уточнять в технической поддержке 1С.

Например, при использовании утилиты cryptcp есть такие опции:

-norev не проверять сертификаты в цепочке на предмет отозванности
-nonet использовать только кэшированные URL при построении цепочки
-nochain не проверять цепочки найденных сертификатов
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
OganKvik оставлено 13.01.2021(UTC)
Offline dorogo  
#7 Оставлено : 4 февраля 2022 г. 11:18:45(UTC)
dorogo

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2018(UTC)
Сообщений: 29

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте,
чтобы не плодить темы решил здесь спросить.
по поводу данного пункта:
Автор: Александр Лавник Перейти к цитате

2) Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности.

это было год назад, а сейчас положение не изменилось?
сейчас есть linux криптопро gui, но там настройки не нашел.
еще были мысли может можно добавить какой-то флаг на эту тему через "cpconfig -ini ...", но списка доступных параметров, которые можно таким образом задавать пока так и не нашел.
знаю, что через cryptcp можно создавать через консоль с флагами -nochain/-norev, но в данный момент интересует именно создание подписи на linux через gui с отключением проверки списка отозванных сертификатов.
или "Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности" - это фундаментальная особенность, которая не изменится и выход - только использование cryptcp?

P.S.
сейчас опять экспериментировал и в итоге получается, что для подписи без сети минимально необходимо только установленные сертификаты из цепочки. (кеш и все crl потёр). или я нахимичил и crl-ки где-то еще схроноились до этого?

Отредактировано пользователем 4 февраля 2022 г. 15:28:52(UTC)  | Причина: Не указана

Online Александр Лавник  
#8 Оставлено : 4 февраля 2022 г. 15:35:41(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,458
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 796 раз в 735 постах
Автор: dorogo Перейти к цитате
Здравствуйте,
чтобы не плодить темы решил здесь спросить.
по поводу данного пункта:
Автор: Александр Лавник Перейти к цитате

2) Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности.

это было год назад, а сейчас положение не изменилось?
сейчас есть linux криптопро gui, но там настройки не нашел.
еще были мысли может можно добавить какой-то флаг на эту тему через "cpconfig -ini ...", но списка доступных параметров, которые можно таким образом задавать пока так и не нашел.
знаю, что через cryptcp можно создавать через консоль с флагами -nochain/-norev, но в данный момент интересует именно создание подписи на linux через gui с отключением проверки списка отозванных сертификатов.
или "Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности" - это фундаментальная особенность, которая не изменится и выход - только использование cryptcp?

P.S.
сейчас опять экспериментировал и в итоге получается, что для подписи без сети минимально необходимо только установленные сертификаты из цепочки. (кеш и все crl потёр). или я нахимичил и crl-ки где-то еще схроноились до этого?
Здравствуйте.

Связанный вопрос обсуждался сегодня в этой теме.

Вероятно, все-такие CRL сохранились в хранилище uca или ucache для текущего пользователя или в mca или mcache глобально для компьютера.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
dorogo оставлено 04.02.2022(UTC)
Offline dorogo  
#9 Оставлено : 4 февраля 2022 г. 18:27:19(UTC)
dorogo

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2018(UTC)
Сообщений: 29

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
спасибо за информацию!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.