Как в Linux включить опцию "Не проверять сертификат сервера на отзыв"

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Как в Linux включить опцию "Не проверять сертификат сервера на отзыв"

Опции

Предыдущая тема Следующая тема

OganKvik		#1 Оставлено : 21 декабря 2020 г. 15:05:03(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.10.2020(UTC) Сообщений: 25 Сказал(а) «Спасибо»: 12 раз		Здравствуйте. Linux Mint Cinnamon 19.3 x64. CryptoPRO 5.0.11455. Как включить опцию "Не проверять сертификат сервера на отзыв"? В Windows она находится в Пуск>КРИПТО-ПРО>КриптоПро СSP>Вкладка "Настройки TLS">секция "Клиент".


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Александр Лавник		#2 Оставлено : 21 декабря 2020 г. 15:43:25(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,458 Сказал «Спасибо»: 53 раз Поблагодарили: 796 раз в 735 постах		Автор: OganKvik Здравствуйте. Linux Mint Cinnamon 19.3 x64. CryptoPRO 5.0.11455. Как включить опцию "Не проверять сертификат сервера на отзыв"? В Windows она находится в Пуск>КРИПТО-ПРО>КриптоПро СSP>Вкладка "Настройки TLS">секция "Клиент". Здравствуйте. Код: `/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long tls_client_disable_revocation_check 1` Если используется KC2, то для применения изменений необходимо перезапустить службу cprocsp после внесения этих изменений в конфигурацию КриптоПро CSP: Код: `service cprocsp restart` Отредактировано пользователем 21 декабря 2020 г. 18:41:40(UTC) \| Причина: опечатка
		Техническую поддержку оказываем тут Наша база знаний

1 пользователь поблагодарил Александр Лавник за этот пост.		OganKvik оставлено 22.12.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

OganKvik		#3 Оставлено : 22 декабря 2020 г. 10:54:01(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.10.2020(UTC) Сообщений: 25 Сказал(а) «Спасибо»: 12 раз		Спасибо за исправленную команду! Она сработала, но успех не был достигнут. Система упорно продолжается искать списки отозванных сертификатов (.crl), но, поскольку компьютер находится в локальной сети - не находит. Подскажите пожалуйста, какие параметры еще нужно править в /etc/opt/cprocsp/config64.ini чтобы отключить использование .crl?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Александр Лавник		#4 Оставлено : 22 декабря 2020 г. 14:55:11(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,458 Сказал «Спасибо»: 53 раз Поблагодарили: 796 раз в 735 постах		Автор: OganKvik Спасибо за исправленную команду! Она сработала, но успех не был достигнут. Система упорно продолжается искать списки отозванных сертификатов (.crl), но, поскольку компьютер находится в локальной сети - не находит. Подскажите пожалуйста, какие параметры еще нужно править в /etc/opt/cprocsp/config64.ini чтобы отключить использование .crl? Здравствуйте. Уточните, пожалуйста, что именно Вы делаете и как проверяете, что идет обращение к crl?
		Техническую поддержку оказываем тут Наша база знаний


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

OganKvik		#5 Оставлено : 23 декабря 2020 г. 13:59:31(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.10.2020(UTC) Сообщений: 25 Сказал(а) «Спасибо»: 12 раз		Например, я подписываю какой-то документ. На ПК нет интернета. С помощью команды "/opt/cprocsp/bin/amd64/certmgr -list -store mCa -crl\|grep 'Issuer\\|NextUpdate'" я узнаю, что у .crl истек срок жизни. Подписание занимает около 7 минут времени, что крайне долго. Подключаю к компьютеру интернет - .crl автоматически обновляются и документ подписывается секунды за 4. Та же картина происходит при проверке сертификата в 1С, или зашифровки файла средствами КриптоПРО с помощью ЭЦП. Делаю вывод, в момент подписания прjavascript:__doPostBack('forum$ctl03$Cancel','')оисходит обращение к актуальным .crl, 7 минут он думает, а когда проходит кулдаун, он подписывает без списка отозванных сертификатов.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Александр Лавник		#6 Оставлено : 23 декабря 2020 г. 15:37:37(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,458 Сказал «Спасибо»: 53 раз Поблагодарили: 796 раз в 735 постах		Автор: OganKvik Например, я подписываю какой-то документ. На ПК нет интернета. С помощью команды "/opt/cprocsp/bin/amd64/certmgr -list -store mCa -crl\|grep 'Issuer\\|NextUpdate'" я узнаю, что у .crl истек срок жизни. Подписание занимает около 7 минут времени, что крайне долго. Подключаю к компьютеру интернет - .crl автоматически обновляются и документ подписывается секунды за 4. Та же картина происходит при проверке сертификата в 1С, или зашифровки файла средствами КриптоПРО с помощью ЭЦП. Делаю вывод, в момент подписания прjavascript:__doPostBack('forum$ctl03$Cancel','')оисходит обращение к актуальным .crl, 7 минут он думает, а когда проходит кулдаун, он подписывает без списка отозванных сертификатов. Здравствуйте. 1) Описанная Вами ситуация не имеет никакого отношения к первоначальной постановке вопроса - не проверять сертификат сервера на отзыв (речь про TLS сертификат сервера, а не про пользовательский сертификат). 2) Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности. Если выхода в интернет нет, то как вариант можно локально устанавливать актуальные списки отзыва или выкладывать их на web-сервер во внутренней сети, перенацелив DNS-имена (например, через файл hosts) на этот внутренний web-сервер вместо внешних адресов для загрузки списков отзыва. Возможно, в 1С есть опция для отключения проверки по списку отзыва - это нужно уточнять в технической поддержке 1С. Например, при использовании утилиты cryptcp есть такие опции: -norev не проверять сертификаты в цепочке на предмет отозванности -nonet использовать только кэшированные URL при построении цепочки -nochain не проверять цепочки найденных сертификатов
		Техническую поддержку оказываем тут Наша база знаний

1 пользователь поблагодарил Александр Лавник за этот пост.		OganKvik оставлено 13.01.2021(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

dorogo		#7 Оставлено : 4 февраля 2022 г. 11:18:45(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 23.08.2018(UTC) Сообщений: 29 Сказал(а) «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		Здравствуйте, чтобы не плодить темы решил здесь спросить. по поводу данного пункта: Автор: Александр Лавник 2) Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности. это было год назад, а сейчас положение не изменилось? сейчас есть linux криптопро gui, но там настройки не нашел. еще были мысли может можно добавить какой-то флаг на эту тему через "cpconfig -ini ...", но списка доступных параметров, которые можно таким образом задавать пока так и не нашел. знаю, что через cryptcp можно создавать через консоль с флагами -nochain/-norev, но в данный момент интересует именно создание подписи на linux через gui с отключением проверки списка отозванных сертификатов. или "Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности" - это фундаментальная особенность, которая не изменится и выход - только использование cryptcp? P.S. сейчас опять экспериментировал и в итоге получается, что для подписи без сети минимально необходимо только установленные сертификаты из цепочки. (кеш и все crl потёр). или я нахимичил и crl-ки где-то еще схроноились до этого? Отредактировано пользователем 4 февраля 2022 г. 15:28:52(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Александр Лавник		#8 Оставлено : 4 февраля 2022 г. 15:35:41(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,458 Сказал «Спасибо»: 53 раз Поблагодарили: 796 раз в 735 постах		Автор: dorogo Здравствуйте, чтобы не плодить темы решил здесь спросить. по поводу данного пункта: Автор: Александр Лавник 2) Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности. это было год назад, а сейчас положение не изменилось? сейчас есть linux криптопро gui, но там настройки не нашел. еще были мысли может можно добавить какой-то флаг на эту тему через "cpconfig -ini ...", но списка доступных параметров, которые можно таким образом задавать пока так и не нашел. знаю, что через cryptcp можно создавать через консоль с флагами -nochain/-norev, но в данный момент интересует именно создание подписи на linux через gui с отключением проверки списка отозванных сертификатов. или "Глобально в КриптоПро CSP отключить проверку на отзыв нет возможности" - это фундаментальная особенность, которая не изменится и выход - только использование cryptcp? P.S. сейчас опять экспериментировал и в итоге получается, что для подписи без сети минимально необходимо только установленные сертификаты из цепочки. (кеш и все crl потёр). или я нахимичил и crl-ки где-то еще схроноились до этого? Здравствуйте. Связанный вопрос обсуждался сегодня в этой теме. Вероятно, все-такие CRL сохранились в хранилище uca или ucache для текущего пользователя или в mca или mcache глобально для компьютера.
		Техническую поддержку оказываем тут Наша база знаний

1 пользователь поблагодарил Александр Лавник за этот пост.		dorogo оставлено 04.02.2022(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

dorogo		#9 Оставлено : 4 февраля 2022 г. 18:27:19(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 23.08.2018(UTC) Сообщений: 29 Сказал(а) «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		спасибо за информацию!


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close