Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Автор: Ситдиков Денис Автор: nomhoi Добрый день!
С помощью pycades можно получить отпечаток сертификата из файла сертификата *.cer? Как это можно вообще сделать? Добрый день! Certificate.Import + Certificate.Thumbprint ( объект Certificate) На вход Import подается сертификат в виде строки в base64. Спасибо! Получилось.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. Добрый день. Пытаюсь настроить ocsp, но что-то идет не так: Код:./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз Поблагодарили: 34 раз в 25 постах
|
Автор: mstdoc Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. Добрый день. Пытаюсь настроить ocsp, но что-то идет не так: Код:./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
Добрый день! Код:[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Ситдиков Денис Автор: mstdoc Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. Добрый день. Пытаюсь настроить ocsp, но что-то идет не так: Код:./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
Добрый день! Код:[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Да, параметр добавился, благодарю. Но есть проблема. При проверке подписи по сетевому дампу видно нечто странное. 1. Было обращение в сторону ocsp сервера, был получен ответ что сертификат (подписанта) валидный. 2. Однако, после этого все равно пошло обращение в сторону crl. 3. После этого снова было обращение в сторону ocsp сервера с проверкой сертификата промежуточного УЦ. Был получен ответ что сертификат валидный. 4. Тем не менее последовал запрос в сторону crl промежуточного сертификата. Это нормальное поведение? Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ? Может есть еще некая настройка? Screenshot 2021-01-14 at 18.53.44.png (45kb) загружен 18 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,192 Сказал(а) «Спасибо»: 100 раз Поблагодарили: 272 раз в 253 постах
|
Автор: mstdoc Это нормальное поведение? Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ? Может есть еще некая настройка?
Добрый день! нормальное поведение |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Санчир Момолдаев Автор: mstdoc Это нормальное поведение? Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ? Может есть еще некая настройка?
Добрый день! нормальное поведение Из информации по приведенной ссылке так и не понял зачем каждый сертификат проверять и по crl и по ocsp... Т.е. получается раньше у меня каждый сертификат проверялся по crl, а включив в настройках "DefaultOCSPURL" каждый сертификат стал проверяться сначала по ocsp, а потом еще и по crl... Я включал опцию DefaultOCSPURL с той идеей, что сертификаты будут проверяться по ocsp и не будут на каждую проверку подписи дергаться crl...
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,192 Сказал(а) «Спасибо»: 100 раз Поблагодарили: 272 раз в 253 постах
|
Автор: mstdoc Из информации по приведенной ссылке так и не понял зачем каждый сертификат проверять и по crl и по ocsp...
Т.е. получается раньше у меня каждый сертификат проверялся по crl, а включив в настройках "DefaultOCSPURL" каждый сертификат стал проверяться сначала по ocsp, а потом еще и по crl...
Я включал опцию DefaultOCSPURL с той идеей, что сертификаты будут проверяться по ocsp и не будут на каждую проверку подписи дергаться crl...
если мы говорим про проверку. 1. внешний штамп tsp всегда проверяется. ему нужен crl минкомсвязи. 2. смотрите требованияи это не так работает как вы думаете. ocsp статус лучше запрашивать там где издан сертификат. представьте ситуацию: вам нужна справка об отсутствии судимости на ваше имя. обычно такую справку берут в мвд. но у вас на руках справка об отсутствии судимости за подписью и печатью главврача городской больницы. вопрос: кто такой справке поверит? |
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз Поблагодарили: 34 раз в 25 постах
|
Автор: mstdoc Автор: Ситдиков Денис Автор: mstdoc Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата:Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. Добрый день. Пытаюсь настроить ocsp, но что-то идет не так: Код:./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
Добрый день! Код:[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Да, параметр добавился, благодарю. Но есть проблема. При проверке подписи по сетевому дампу видно нечто странное. 1. Было обращение в сторону ocsp сервера, был получен ответ что сертификат (подписанта) валидный. 2. Однако, после этого все равно пошло обращение в сторону crl. 3. После этого снова было обращение в сторону ocsp сервера с проверкой сертификата промежуточного УЦ. Был получен ответ что сертификат валидный. 4. Тем не менее последовал запрос в сторону crl промежуточного сертификата. Это нормальное поведение? Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ? Может есть еще некая настройка? Screenshot 2021-01-14 at 18.53.44.png (45kb) загружен 18 раз(а). Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата. Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP. Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Что-то я совсем запутался. Автор: Ситдиков Денис если мы говорим про проверку. 1. внешний штамп tsp всегда проверяется. ему нужен crl минкомсвязи. 2. смотрите требованияи это не так работает как вы думаете. ocsp статус лучше запрашивать там где издан сертификат. представьте ситуацию: вам нужна справка об отсутствии судимости на ваше имя. обычно такую справку берут в мвд. но у вас на руках справка об отсутствии судимости за подписью и печатью главврача городской больницы. вопрос: кто такой справке поверит? Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату. Если информация есть - филиал ее выдает, если нет, то нет. Автор: Ситдиков Денис Добрый день! Нет, для cades это невозможно.
Как вариант, можно настроить OCSP службу: проверка по OCSP приоритетнее проверки по CRL.
Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата: Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате
Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. После вот этих ответов, появилась идея что мы поднимаем у себя некий локальный ocsp сервер, который занимается тем, что всасывает в себя все crl, до которых может дотянуться и обновляет их по мере необходимости. И при проверке подписи мы спрашиваем этот локальный сервер о статусе того или иного сертификата. Именно так лично я понял вот эти ответы, поправьте меня если я ошибся. Автор: Ситдиков Денис Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата. Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.
Я правильно понимаю что после настройки этой службы, запросы в сторону crl прекратятся, если ocsp отдаст валидный статус сертификата? Автор: Ситдиков Денис Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.
Сделаю, как только разберусь как это провернуть )) Отредактировано пользователем 15 января 2021 г. 15:42:32(UTC)
| Причина: Не указана
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз Поблагодарили: 34 раз в 25 постах
|
Цитата:Автор: Ситдиков Денис Да, вариант с собственным сервером тоже может подойти. Цитата: Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате
Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне. После вот этих ответов, появилась идея что мы поднимаем у себя некий локальный ocsp сервер, который занимается тем, что всасывает в себя все crl, до которых может дотянуться и обновляет их по мере необходимости. И при проверке подписи мы спрашиваем этот локальный сервер о статусе того или иного сертификата. Именно так лично я понял вот эти ответы, поправьте меня если я ошибся. Да, все верно. Цитата:Автор: Ситдиков Денис Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата. Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.
Я правильно понимаю что после настройки этой службы, запросы в сторону crl прекратятся, если ocsp отдаст валидный статус сертификата? Да, если настроить службу так, что на проверяющей машине ее ответ будет успешно проверен, то запроса к crl для заданного сертификата с этой машины не будет.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close