Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

24 Страницы«<910111213>»
Опции
К последнему сообщению К первому непрочитанному
Offline nomhoi  
#101 Оставлено : 22 января 2021 г. 8:08:12(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Добрый день!

Возник вопрос: какие проверки выполняются в методе Certificate::IsValid()?

certificate_status = certificate.IsValid()
certificate_status.Result

Result возвращает только True|False.

Соответствуют ли проверки этому флагу CAPICOM_CHECK_ONLINE_ALL, который используется по-умолчанию в capicom?
https://docs.microsoft.c...tificatestatus-checkflag

Интересует информация по Linux версии.

Проверяется ли валидность по дате выпуска/истечения?
Offline nomhoi  
#102 Оставлено : 22 января 2021 г. 8:12:05(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: Ситдиков Денис Перейти к цитате
Автор: nomhoi Перейти к цитате
Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать.


Вариант добавить папки с ключами и хранилищами в докер вам не подойдет?
Код:
docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py


Спасибо, попробую.
Offline nomhoi  
#103 Оставлено : 22 января 2021 г. 8:36:16(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате


Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы.
После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает.

Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется.


Пользуемся своим, но, насколько я понимаю, проблема не в конкретном билде.
У докера в принципе были и есть проблемы с системными журналами.
Они заводятся, но весьма костыльными методами.


Нужно настраивать:
https://docs.docker.com/...ntainers/logging/syslog/
По-умолчанию работает драйвер логгирования json-file.
Offline Clutcher  
#104 Оставлено : 22 января 2021 г. 10:56:06(UTC)
Clutcher

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.01.2021(UTC)
Сообщений: 2

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате
Автор: Clutcher Перейти к цитате
Добрый день, я бы хотел создать сайт на django для учёбы, чтобы там была возможность войти по ЭЦП и организовать подписание документов. Возможно ли реализовать это при помощи данного расширения? Или есть готовые решения?


Добрый день.
Именно на python примера нет.
Общая мысль: у клиента должна подписываться некоторая уникальная строка которая приходит с сервера. На сервере проверяется подпись и сравниваются подписанные данные.
Front: html + js (cades plugin)
Backend: python + pycades


Возможно ли реализовать это на windows? И есть ли какая-нибудь документация для windows?
Offline Ситдиков Денис  
#105 Оставлено : 22 января 2021 г. 12:09:08(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 103
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
Автор: Clutcher Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: Clutcher Перейти к цитате
Добрый день, я бы хотел создать сайт на django для учёбы, чтобы там была возможность войти по ЭЦП и организовать подписание документов. Возможно ли реализовать это при помощи данного расширения? Или есть готовые решения?


Добрый день.
Именно на python примера нет.
Общая мысль: у клиента должна подписываться некоторая уникальная строка которая приходит с сервера. На сервере проверяется подпись и сравниваются подписанные данные.
Front: html + js (cades plugin)
Backend: python + pycades


Возможно ли реализовать это на windows? И есть ли какая-нибудь документация для windows?


На windows расширение не поддерживается и в ближайшее время поддержка не планируется.
Offline nomhoi  
#106 Оставлено : 25 января 2021 г. 8:30:54(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: nomhoi Перейти к цитате
Добрый день!

Возник вопрос: какие проверки выполняются в методе Certificate::IsValid()?

certificate_status = certificate.IsValid()
certificate_status.Result

Result возвращает только True|False.

Соответствуют ли проверки этому флагу CAPICOM_CHECK_ONLINE_ALL, который используется по-умолчанию в capicom?
https://docs.microsoft.c...tificatestatus-checkflag

Интересует информация по Linux версии.

Проверяется ли валидность по дате выпуска/истечения?


Проверяю на сертификатах выданных для входа на тестовые серверы ЕИС. На просрочнном сертификате выдает Result=False, а действующем Result=True. У обоих сертификатов тот-же самый ЦА. Как видим проверка по датам истечения выполняется.

Ваш процесс валидации соответствует, например, этому процессу?
https://docs.oracle.com/...20-4811/gdzea/index.html
Offline Ситдиков Денис  
#107 Оставлено : 25 января 2021 г. 11:34:47(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 103
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
Автор: nomhoi Перейти к цитате
Автор: nomhoi Перейти к цитате
Добрый день!

Возник вопрос: какие проверки выполняются в методе Certificate::IsValid()?

certificate_status = certificate.IsValid()
certificate_status.Result

Result возвращает только True|False.

Соответствуют ли проверки этому флагу CAPICOM_CHECK_ONLINE_ALL, который используется по-умолчанию в capicom?
https://docs.microsoft.c...tificatestatus-checkflag

Интересует информация по Linux версии.

Проверяется ли валидность по дате выпуска/истечения?


Проверяю на сертификатах выданных для входа на тестовые серверы ЕИС. На просрочнном сертификате выдает Result=False, а действующем Result=True. У обоих сертификатов тот-же самый ЦА. Как видим проверка по датам истечения выполняется.

Ваш процесс валидации соответствует, например, этому процессу?
https://docs.oracle.com/...20-4811/gdzea/index.html


Добрый день!
Для проверки статуса сертификата используется построение цепочки при помощи функции CryptoAPI CertGetCertificateChain с флагами CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT | CERT_CHAIN_DISABLE_AUTH_ROOT_AUTO_UPDATE. Для более подробной информации нужно ознакомиться с документацией на эту функцию.

Как она соотносится с флагами CertificateStatus.CheckFlag, не подскажу.
Offline nomhoi  
#108 Оставлено : 25 января 2021 г. 13:19:53(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: Ситдиков Денис Перейти к цитате
Добрый день!
Для проверки статуса сертификата используется построение цепочки при помощи функции CryptoAPI CertGetCertificateChain


Это получается pycades при выполнении метода IsValid() обращается к вашему Windows серверу, где и выполняется эта функция?

Цитата:
с флагами CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT


CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT
0x40000000
Revocation checking is done on all certificates in all of the chains except the root certificate.

Т.е. выполняется проверка - не отозваны ли сертификаты по всей цепочке, кроме корневого.

Цитата:
| CERT_CHAIN_DISABLE_AUTH_ROOT_AUTO_UPDATE.


CERT_CHAIN_DISABLE_AUTH_ROOT_AUTO_UPDATE
0x00000100
Setting this flag inhibits the auto update of third-party roots from the Windows Update Web Server.

И запрещается автоматическая установка третьесторонних корневых сертификатов из Windows Update Web Server. Так понимаю, в России один корневой центр ГУЦ, и другие ЦА нам не нужны.

Получается, что с помощью этой функции IsValid() мы проверяем всю цепочку сертфикатов:
- по датам выдачи и истечения сертификатов;
- не отозваны ли сертификаты;
Правильно?

Т.е. результата выполнения этой функции достаточно, чтобы считать проверяемый сертификат валидным, и нам больше не нужно как-то дополнительно проверять сертификат?

Отредактировано пользователем 25 января 2021 г. 13:28:12(UTC)  | Причина: Не указана

Offline Ситдиков Денис  
#109 Оставлено : 25 января 2021 г. 16:24:33(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 103
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
Автор: nomhoi Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Добрый день!
Для проверки статуса сертификата используется построение цепочки при помощи функции CryptoAPI CertGetCertificateChain


Это получается pycades при выполнении метода IsValid() обращается к вашему Windows серверу, где и выполняется эта функция?



К windows ничего не обращается, интерфейс CryptoAPI портирован на unix.

Цитата:
Получается, что с помощью этой функции IsValid() мы проверяем всю цепочку сертфикатов:
- по датам выдачи и истечения сертификатов;
- не отозваны ли сертификаты;
Правильно?

Т.е. результата выполнения этой функции достаточно, чтобы считать проверяемый сертификат валидным, и нам больше не нужно как-то дополнительно проверять сертификат?

Да, верно.
Offline nomhoi  
#110 Оставлено : 26 января 2021 г. 8:41:22(UTC)
nomhoi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2020(UTC)
Сообщений: 58
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Автор: Ситдиков Денис Перейти к цитате
Автор: nomhoi Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Добрый день!
Для проверки статуса сертификата используется построение цепочки при помощи функции CryptoAPI CertGetCertificateChain


Это получается pycades при выполнении метода IsValid() обращается к вашему Windows серверу, где и выполняется эта функция?



К windows ничего не обращается, интерфейс CryptoAPI портирован на unix.

Цитата:
Получается, что с помощью этой функции IsValid() мы проверяем всю цепочку сертфикатов:
- по датам выдачи и истечения сертификатов;
- не отозваны ли сертификаты;
Правильно?

Т.е. результата выполнения этой функции достаточно, чтобы считать проверяемый сертификат валидным, и нам больше не нужно как-то дополнительно проверять сертификат?

Да, верно.


Спасибо, понятно.

А процесс проверки отозванных сертификатов соответствует этому описанию или есть отличия?
https://docs.microsoft.c....10)?redirectedfrom=MSDN
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
24 Страницы«<910111213>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.