Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз Поблагодарили: 34 раз в 25 постах
|
Автор: nomhoi Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать. Вариант добавить папки с ключами и хранилищами в докер вам не подойдет? Код:docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Ситдиков Денис Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo. Код:"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]
Если я правильно понимаю, вот с этим проблема? И похоже что проблема именно в настройке самого ocsp-сервера? Код:Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Отсюда вопросы: 1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для 1.1. сертификата подписанта? 1.2. сертификата промежуточного? 2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Ситдиков Денис Автор: nomhoi Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать. Вариант добавить папки с ключами и хранилищами в докер вам не подойдет? Код:docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
А может есть готовый рецепт для включения дебажных логов криптопро в докере? Или перенаправления их из syslog в какой-либо файл?
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз Поблагодарили: 34 раз в 25 постах
|
Автор: mstdoc Автор: Ситдиков Денис Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo. Код:"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]
Если я правильно понимаю, вот с этим проблема? И похоже что проблема именно в настройке самого ocsp-сервера? Код:Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Отсюда вопросы: 1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для 1.1. сертификата подписанта? 1.2. сертификата промежуточного? 2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl? Насколько я понимаю, в вашем случае это 2 независимые ошибки. Вам нужно добиться проверки сертификата OCSP оператора и добавить хэш сертификата в настройку "Службы OCSP: сертификаты уполномоченных служб OCSP". Если ocsputil respinfo для вашего запроса выполнится успешно, то запросы к crl для этого сертификата выполняться не должны.
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз Поблагодарили: 34 раз в 25 постах
|
Автор: mstdoc Автор: Ситдиков Денис Автор: nomhoi Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать. Вариант добавить папки с ключами и хранилищами в докер вам не подойдет? Код:docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
А может есть готовый рецепт для включения дебажных логов криптопро в докере? Или перенаправления их из syslog в какой-либо файл? Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы. После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает. Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется. Отредактировано пользователем 15 января 2021 г. 17:37:00(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Ситдиков Денис Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы. После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает. Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется. Пользуемся своим, но, насколько я понимаю, проблема не в конкретном билде. У докера в принципе были и есть проблемы с системными журналами. Они заводятся, но весьма костыльными методами.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Ситдиков Денис Автор: mstdoc Автор: Ситдиков Денис Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo. Код:"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]
Если я правильно понимаю, вот с этим проблема? И похоже что проблема именно в настройке самого ocsp-сервера? Код:Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Отсюда вопросы: 1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для 1.1. сертификата подписанта? 1.2. сертификата промежуточного? 2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl? Насколько я понимаю, в вашем случае это 2 независимые ошибки. Вам нужно добиться проверки сертификата OCSP оператора и добавить хэш сертификата в настройку "Службы OCSP: сертификаты уполномоченных служб OCSP". Если ocsputil respinfo для вашего запроса выполнится успешно, то запросы к crl для этого сертификата выполняться не должны. Ошибку 1.1 удалось устранить после того, как в хранилище CA был положен промежуточный сертификат сервера ocsp. Теперь запрос в сторону crl подписанта не выполняется. В настройки был добавлен параметр "AuthorizedOCSPs": На винде ocsputil теперь выдает корректный ответ и для сертификата подписанта и для промежуточного. Но на linux - сервере запрос в сторону промежуточного crl по прежнему выполняется, хотя там параметр AuthorizedOCSPs так же был прописан в настройки. Код:
#cat /etc/opt/cprocsp/config64.ini
......
DefaultOCSPURL = "http://ocsp.domain.ru/ocsp/ocsp.srf"
AuthorizedOCSPs = msz:"1ecbae543567b84d44b2e865ced9b5073ec77c8c"
Кстати, а где взять ocsputil для linux? На странице загрузки есть только виндовая версия...
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз Поблагодарили: 34 раз в 25 постах
|
ocsputil ставится при установке пакета cprocsp-pki-cades, находится в папке /opt/cprocsp/bin/amd64.
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,192 Сказал(а) «Спасибо»: 100 раз Поблагодарили: 272 раз в 253 постах
|
Автор: mstdoc Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату. Если информация есть - филиал ее выдает, если нет, то нет.
я к тому что ваши усовершенствованные подписи у третьей стороны не проверятся. т.к. они не будут доверять вашему ocsp серверу, т.к. у них в настройках не будет настроено доверие к вашему ocsp серверу. проверьте вашу усовершенствованную подпись на других ресурсах. к примеру тут |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC) Сообщений: 54
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Санчир Момолдаев Автор: mstdoc Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату. Если информация есть - филиал ее выдает, если нет, то нет.
я к тому что ваши усовершенствованные подписи у третьей стороны не проверятся. т.к. они не будут доверять вашему ocsp серверу, т.к. у них в настройках не будет настроено доверие к вашему ocsp серверу. проверьте вашу усовершенствованную подпись на других ресурсах. к примеру тут Это понятно. Но проблема с которой все началось заключалась не в подписании, а в проверке подписи другой стороны в ситуации недоступности их crl сервера. Когда нужно проверять по 20-30 подписей в секунду, а crl недоступен, локальный ocsp сервер сильно поможет.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close