Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline idtks  
#1 Оставлено : 5 августа 2021 г. 14:57:32(UTC)
idtks

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.07.2014(UTC)
Сообщений: 86
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 17 раз
Здравствуйте!

Пытаюсь построить цепочку доверия для сертификата под Astra Linux с использованием КриптоПРО 5.0 - получаю ошибки в "syslog" - см. архив (сертификат и логи):

arh.zip (4kb) загружен 10 раз(а).

Указанные в логе URL для СОС-ов доступны для скачивания на сервере у пользователя под которым запущен процесс!

Можете мне объяснить, что не нравится вашему ПО? И почему так долго строится цепочка доверия. Тот же код под Windows для того же сертификата отрабатывает очень быстро.

С уважением, Константин Ткачук.
Offline lboikov  
#2 Оставлено : 5 августа 2021 г. 17:20:58(UTC)
lboikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.08.2012(UTC)
Сообщений: 131
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 23 раз
Поблагодарили: 16 раз в 16 постах
Добрый день!

Вроде как корню не доверяет:
> A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Offline idtks  
#3 Оставлено : 5 августа 2021 г. 17:28:19(UTC)
idtks

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.07.2014(UTC)
Сообщений: 86
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 17 раз
А какое отношение к СОС-у имеет RSA-сертификат сайта tensor.ru? Ну вот сидят в АУЦ странные люди, которые форвардят HTTP запросы в HTTPS. Но ведь это не повод проверять на отзыв сертификат целых 20 секунд! Под Windows КриптоПРО строит цепочку доверия для этого сертификата мгновенно.

Враги пишут:

Using HTTPS to serve CRL is just wasted resources; it may even prevent CRL download from working since some implementations (e.g. Windows) refuse to follow HTTPS URL when validating certificates (be it for CRL, OCSP, or extra intermediate CA download), because that would mean SSL, then another certificate to validate, and possibly an endless loop.
Offline lboikov  
#4 Оставлено : 5 августа 2021 г. 17:33:57(UTC)
lboikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.08.2012(UTC)
Сообщений: 131
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 23 раз
Поблагодарили: 16 раз в 16 постах
Я попробовал скачать СОС Тензора wget-ом с включенной отладкой и не увидел перенаправления на HTTPS.

Отредактировано пользователем 5 августа 2021 г. 17:51:47(UTC)  | Причина: Не указана

Offline idtks  
#5 Оставлено : 6 августа 2021 г. 12:11:52(UTC)
idtks

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.07.2014(UTC)
Сообщений: 86
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 17 раз
Хотелось бы получить комментарии от сотрудников КриптоПРО. Ваше ПО явно делает что-то странное и работает очень медленно.
Offline Андрей Русев  
#6 Оставлено : 16 августа 2021 г. 19:58:23(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 797

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 194 раз в 151 постах
Здравствуйте.
Редиректы на https, действительно, есть:
Код:
* STATE: INIT => CONNECT handle 0x14d75e0; line 1356 (connection #-5000)
* Added connection 0. The cache now contains 1 members
* STATE: CONNECT => WAITRESOLVE handle 0x14d75e0; line 1397 (connection #0)
*   Trying 91.213.144.43:80...
* TCP_NODELAY set
* STATE: WAITRESOLVE => WAITCONNECT handle 0x14d75e0; line 1476 (connection #0)
* Connected to tax4.tensor.ru (91.213.144.43) port 80 (#0)
* STATE: WAITCONNECT => SENDPROTOCONNECT handle 0x14d75e0; line 1532 (connection #0)
* Marked for [keep alive]: HTTP default
* STATE: SENDPROTOCONNECT => DO handle 0x14d75e0; line 1550 (connection #0)
> GET /tensorca-2021_cp_gost2012/certenroll/tensorca-2021_cp_gost2012.crl HTTP/1.1
Host: tax4.tensor.ru
User-Agent: UrlRetriever (Mozilla MSIE 6 Win 2000)
Accept: */*

* STATE: DO => DO_DONE handle 0x14d75e0; line 1621 (connection #0)
* STATE: DO_DONE => PERFORM handle 0x14d75e0; line 1743 (connection #0)
* Mark bundle as not supporting multiuse
* HTTP 1.1 or later with persistent connection
< HTTP/1.1 200 OK
< Server: nginx/1.6.2
< Date: Mon, 16 Aug 2021 16:41:12 GMT
< Content-Type: application/pkix-crl
< Content-Length: 474317
< Connection: keep-alive
< Keep-Alive: timeout=30
< Last-Modified: Mon, 16 Aug 2021 16:40:39 GMT
< Accept-Ranges: bytes
< ETag: "7d813272bd92d71:0"
< 
* STATE: PERFORM => DONE handle 0x14d75e0; line 1933 (connection #0)
* multi_done
* Connection #0 to host tax4.tensor.ru left intact
* Expire cleared (transfer 0x14d75e0)
* STATE: INIT => CONNECT handle 0x14d8758; line 1356 (connection #-5000)
* Added connection 0. The cache now contains 1 members
* STATE: CONNECT => WAITRESOLVE handle 0x14d8758; line 1397 (connection #0)
*   Trying 91.232.93.39:80...
* TCP_NODELAY set
* STATE: WAITRESOLVE => WAITCONNECT handle 0x14d8758; line 1476 (connection #0)
* Connected to tensor.ru (91.232.93.39) port 80 (#0)
* STATE: WAITCONNECT => SENDPROTOCONNECT handle 0x14d8758; line 1532 (connection #0)
* Marked for [keep alive]: HTTP default
* STATE: SENDPROTOCONNECT => DO handle 0x14d8758; line 1550 (connection #0)
> GET /ca/tensorca-2021_cp_gost2012.crl HTTP/1.1
Host: tensor.ru
User-Agent: UrlRetriever (Mozilla MSIE 6 Win 2000)
Accept: */*

* STATE: DO => DO_DONE handle 0x14d8758; line 1621 (connection #0)
* STATE: DO_DONE => PERFORM handle 0x14d8758; line 1743 (connection #0)
* Mark bundle as not supporting multiuse
* HTTP 1.1 or later with persistent connection
< HTTP/1.1 307 Temporary Redirect
< Date: Mon, 16 Aug 2021 16:41:12 GMT
< Content-Type: text/html
< Content-Length: 164
< Connection: keep-alive
< Keep-Alive: timeout=30
< Location: https://tensor.ru/ca/tensorca-2021_cp_gost2012.crl
< 
...

Это косяк у Тензора. Попробуем с ними этот момент проработать. Скорость работы зависит от скорости машины и скорости соединения с сетью, на быстрой машине укладывается в 2 секунды:
Код:
$ time /opt/cprocsp/bin/*/certmgr -list -file /home/raa/tmp/_del/cert.cer -chain
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer              : E=ca_tensor@tensor.ru, ОГРН=1027600787994, ИНН=007605016030, C=RU, S=76 Ярославская область, L=г. Ярославль, STREET="Московский проспект, д. 12", OU=Удостоверяющий центр, O="ООО ""КОМПАНИЯ ""ТЕНЗОР""", CN="ООО ""КОМПАНИЯ ""ТЕНЗОР"""
Subject             : STREET="УЛИЦА КЕЧИЛ-ООЛА, 7Б", S=17 РЕСПУБЛИКА ТЫВА, L=ГОРОД КЫЗЫЛ, C=RU, G=Арат Васильевич, SN=Хертек, CN="ГАУ ""МФЦ РТ""", T=ИСПОЛНЯЮЩИЙ ОБЯЗАННОСТИ ДИРЕКТОРА, O="ГАУ ""МФЦ РТ""", E=tumat@mfcrt.ru, ИНН=001701049207, СНИЛС=13505838251, ОГРН=1111719000800
Serial              : 0x207A5C0094ACC8A84379CE5FDA6EDBEC
SHA1 Thumbprint     : 7e1bff5c7ab6c285149e104494468a29187f6e8d
SubjKeyID           : fd408502e5eeac4ec5a6cdf1eeee0fe52f1e1d0d
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before    : 17/12/2020  05:26:42 UTC
Not valid after     : 17/03/2022  05:36:42 UTC
Embedded License    : CryptoPro CSP
PrivateKey Link     : No
OCSP URL            : http://tax4.tensor.ru/ocsp-tensorca-2021_cp_gost2012/ocsp.srf
CA cert URL         : http://tax4.tensor.ru/tensorca-2021_cp_gost2012/certenroll/tensorca-2021_cp_gost2012.crt
CA cert URL         : http://tensor.ru/ca/tensorca-2021_cp_gost2012.crt
CA cert URL         : http://crl.tensor.ru/tax4/ca/tensorca-2021_cp_gost2012.crt
CA cert URL         : http://crl2.tensor.ru/tax4/ca/tensorca-2021_cp_gost2012.crt
CA cert URL         : http://crl3.tensor.ru/tax4/ca/tensorca-2021_cp_gost2012.crt
CDP                 : http://tax4.tensor.ru/tensorca-2021_cp_gost2012/certenroll/tensorca-2021_cp_gost2012.crl
CDP                 : http://tensor.ru/ca/tensorca-2021_cp_gost2012.crl
CDP                 : http://crl.tensor.ru/tax4/ca/crl/tensorca-2021_cp_gost2012.crl
CDP                 : http://crl2.tensor.ru/tax4/ca/crl/tensorca-2021_cp_gost2012.crl
CDP                 : http://crl3.tensor.ru/tax4/ca/crl/tensorca-2021_cp_gost2012.crl
Extended Key Usage  : 1.2.643.2.2.34.25
                      1.2.643.2.2.34.26
                      1.2.643.2.2.34.6
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
                      1.3.6.1.5.5.7.3.4 Защищенная электронная почта
Certificate chain   : The certificate is revoked. (0x80092010)
#0:
  Issuer            : Минкомсвязь России
  Subject           : Минкомсвязь России
  SHA1 Thumbprint   : 4bc6dc14d97010c41a26e058ad851f81c842415a
#1:
  Subject           : ООО "КОМПАНИЯ "ТЕНЗОР"
  SHA1 Thumbprint   : 2f74ca49f9b4573ec5f449148e94fad06adb5798
#2:
  Subject           : ГАУ "МФЦ РТ"
  SHA1 Thumbprint   : 7e1bff5c7ab6c285149e104494468a29187f6e8d
=============================================================================

[ErrorCode: 0x00000000]
0.180u 0.133s 0:01.79 17.3%     289+2460k 0+122io 0pf+0w
You have new mail.

Но на медленных тормозит. По очень грубой оценке здесь есть место для оптимизации. Попробуем сделать. По срокам не сориентирую. Запрос - CPCSP-12346.
Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Андрей Русев за этот пост.
nickm оставлено 16.08.2021(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.