Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

24 Страницы«<7891011>»
Опции
К последнему сообщению К первому непрочитанному
Offline nomhoi  
#81 Оставлено : 14 января 2021 г. 9:26:20(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: Ситдиков Денис Перейти к цитате
Автор: nomhoi Перейти к цитате
Добрый день!

С помощью pycades можно получить отпечаток сертификата из файла сертификата *.cer? Как это можно вообще сделать?


Добрый день!
Certificate.Import + Certificate.Thumbprint (объект Certificate)
На вход Import подается сертификат в виде строки в base64.


Спасибо! Получилось.
Offline mstdoc  
#82 Оставлено : 14 января 2021 г. 16:46:45(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Ситдиков Денис Перейти к цитате
Да, вариант с собственным сервером тоже может подойти.

Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


Добрый день.
Пытаюсь настроить ocsp, но что-то идет не так:

Код:
./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.
Offline Ситдиков Денис  
#83 Оставлено : 14 января 2021 г. 18:09:24(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 103
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Да, вариант с собственным сервером тоже может подойти.

Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


Добрый день.
Пытаюсь настроить ocsp, но что-то идет не так:

Код:
./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.

Добрый день!

Код:
[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Offline mstdoc  
#84 Оставлено : 14 января 2021 г. 18:58:15(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Ситдиков Денис Перейти к цитате
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Да, вариант с собственным сервером тоже может подойти.

Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


Добрый день.
Пытаюсь настроить ocsp, но что-то идет не так:

Код:
./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.

Добрый день!

Код:
[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"



Да, параметр добавился, благодарю.

Но есть проблема.
При проверке подписи по сетевому дампу видно нечто странное.
1. Было обращение в сторону ocsp сервера, был получен ответ что сертификат (подписанта) валидный.
2. Однако, после этого все равно пошло обращение в сторону crl.
3. После этого снова было обращение в сторону ocsp сервера с проверкой сертификата промежуточного УЦ. Был получен ответ что сертификат валидный.
4. Тем не менее последовал запрос в сторону crl промежуточного сертификата.

Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?

Screenshot 2021-01-14 at 18.53.44.png (45kb) загружен 18 раз(а).
Offline Санчир Момолдаев  
#85 Оставлено : 15 января 2021 г. 2:23:44(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,192
Российская Федерация

Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 272 раз в 253 постах
Автор: mstdoc Перейти к цитате

Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?

Добрый день!
нормальное поведение

Техническую поддержку оказываем тут
Наша база знаний
Offline mstdoc  
#86 Оставлено : 15 января 2021 г. 5:27:03(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Санчир Момолдаев Перейти к цитате
Автор: mstdoc Перейти к цитате

Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?

Добрый день!
нормальное поведение



Из информации по приведенной ссылке так и не понял зачем каждый сертификат проверять и по crl и по ocsp...

Т.е. получается раньше у меня каждый сертификат проверялся по crl, а включив
в настройках "DefaultOCSPURL" каждый сертификат стал проверяться сначала
по ocsp, а потом еще и по crl...

Я включал опцию DefaultOCSPURL с той идеей, что сертификаты будут проверяться по ocsp и не будут на каждую проверку подписи дергаться crl...
Offline Санчир Момолдаев  
#87 Оставлено : 15 января 2021 г. 5:55:53(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,192
Российская Федерация

Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 272 раз в 253 постах
Автор: mstdoc Перейти к цитате

Из информации по приведенной ссылке так и не понял зачем каждый сертификат проверять и по crl и по ocsp...

Т.е. получается раньше у меня каждый сертификат проверялся по crl, а включив
в настройках "DefaultOCSPURL" каждый сертификат стал проверяться сначала
по ocsp, а потом еще и по crl...

Я включал опцию DefaultOCSPURL с той идеей, что сертификаты будут проверяться по ocsp и не будут на каждую проверку подписи дергаться crl...


если мы говорим про проверку.
1. внешний штамп tsp всегда проверяется. ему нужен crl минкомсвязи.
2. смотрите требования
и это не так работает как вы думаете.
ocsp статус лучше запрашивать там где издан сертификат.
представьте ситуацию:
вам нужна справка об отсутствии судимости на ваше имя. обычно такую справку берут в мвд.
но у вас на руках справка об отсутствии судимости за подписью и печатью главврача городской больницы.
вопрос: кто такой справке поверит?
Техническую поддержку оказываем тут
Наша база знаний
Offline Ситдиков Денис  
#88 Оставлено : 15 января 2021 г. 10:36:44(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 103
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Да, вариант с собственным сервером тоже может подойти.

Цитата:
Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


Добрый день.
Пытаюсь настроить ocsp, но что-то идет не так:

Код:
./cpconfig -ini "/config/cades/ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"
Section, key or parameter not found.

Добрый день!

Код:
[sudo] /opt/cprocsp/sbin/amd64/cpconfig -ini "\config\cades\ocsppolicy" -add string "DefaultOCSPURL" "http://ocsp.our_domain.ru/ocsp/ocsp.srf"



Да, параметр добавился, благодарю.

Но есть проблема.
При проверке подписи по сетевому дампу видно нечто странное.
1. Было обращение в сторону ocsp сервера, был получен ответ что сертификат (подписанта) валидный.
2. Однако, после этого все равно пошло обращение в сторону crl.
3. После этого снова было обращение в сторону ocsp сервера с проверкой сертификата промежуточного УЦ. Был получен ответ что сертификат валидный.
4. Тем не менее последовал запрос в сторону crl промежуточного сертификата.

Это нормальное поведение?
Зачем инициируются запросы в сторону crl, если ocsp дал положительный ответ?
Может есть еще некая настройка?

Screenshot 2021-01-14 at 18.53.44.png (45kb) загружен 18 раз(а).


Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата.
Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.
Offline mstdoc  
#89 Оставлено : 15 января 2021 г. 15:40:44(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Что-то я совсем запутался.

Автор: Ситдиков Денис Перейти к цитате

если мы говорим про проверку.
1. внешний штамп tsp всегда проверяется. ему нужен crl минкомсвязи.
2. смотрите требования
и это не так работает как вы думаете.
ocsp статус лучше запрашивать там где издан сертификат.
представьте ситуацию:
вам нужна справка об отсутствии судимости на ваше имя. обычно такую справку берут в мвд.
но у вас на руках справка об отсутствии судимости за подписью и печатью главврача городской больницы.
вопрос: кто такой справке поверит?


Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату.
Если информация есть - филиал ее выдает, если нет, то нет.


Автор: Ситдиков Денис Перейти к цитате

Добрый день!
Нет, для cades это невозможно.

Как вариант, можно настроить OCSP службу: проверка по OCSP приоритетнее проверки по CRL.


Автор: Ситдиков Денис Перейти к цитате

Да, вариант с собственным сервером тоже может подойти.
Цитата:

Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


После вот этих ответов, появилась идея что мы поднимаем у себя некий локальный ocsp сервер, который занимается тем, что всасывает в себя все crl, до которых может дотянуться и обновляет их по мере необходимости.
И при проверке подписи мы спрашиваем этот локальный сервер о статусе того или иного сертификата.
Именно так лично я понял вот эти ответы, поправьте меня если я ошибся.


Автор: Ситдиков Денис Перейти к цитате

Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата.
Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.


Я правильно понимаю что после настройки этой службы, запросы в сторону crl прекратятся, если ocsp отдаст валидный статус сертификата?


Автор: Ситдиков Денис Перейти к цитате

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.

Сделаю, как только разберусь как это провернуть ))

Отредактировано пользователем 15 января 2021 г. 15:42:32(UTC)  | Причина: Не указана

Offline Ситдиков Денис  
#90 Оставлено : 15 января 2021 г. 16:00:36(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 103
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
Цитата:
Автор: Ситдиков Денис Перейти к цитате

Да, вариант с собственным сервером тоже может подойти.
Цитата:

Вариант с OCSP замечателен, вот только не все УЦ их указывают в сертификате

Если адрес OCSP не указан в сертификате, его можно задать на проверяющей стороне.


После вот этих ответов, появилась идея что мы поднимаем у себя некий локальный ocsp сервер, который занимается тем, что всасывает в себя все crl, до которых может дотянуться и обновляет их по мере необходимости.
И при проверке подписи мы спрашиваем этот локальный сервер о статусе того или иного сертификата.
Именно так лично я понял вот эти ответы, поправьте меня если я ошибся.


Да, все верно.


Цитата:
Автор: Ситдиков Денис Перейти к цитате

Если корневой для подписанта != корневой для OCSP службы, то ответ этой службы не является доказательством валидности сертификата.
Чтобы принимать ответы других служб, нужна настройка Службы OCSP: сертификаты уполномоченных служб OCSP.


Я правильно понимаю что после настройки этой службы, запросы в сторону crl прекратятся, если ocsp отдаст валидный статус сертификата?

Да, если настроить службу так, что на проверяющей машине ее ответ будет успешно проверен, то запроса к crl для заданного сертификата с этой машины не будет.


RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
24 Страницы«<7891011>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.