Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Gashishiin  
#1 Оставлено : 26 октября 2021 г. 17:23:16(UTC)
Gashishiin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 30
Российская Федерация

Добрый день. Делаем проверку прикрепленной подписи при помощи JCP-2.0.40035. Получаем ошибку "Certificate status is unknown or revoked". Корневой и промежуточный сертификаты в доверенные добавлены. Помогите, пожалуйста, понять, в чем проблема. sign.txt (5kb) загружен 9 раз(а).
Offline Gashishiin  
#2 Оставлено : 3 ноября 2021 г. 11:28:50(UTC)
Gashishiin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 30
Российская Федерация

Нужна еще какая-нибудь информация?
Offline mstdoc  
#3 Оставлено : 3 ноября 2021 г. 16:21:06(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Проверьте чтобы адреса crl из сертификата подписанта были доступны с машины, на которой происходит проверка подписи.
Offline Gashishiin  
#4 Оставлено : 9 ноября 2021 г. 9:51:48(UTC)
Gashishiin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 30
Российская Федерация

Адреса crl с машины, где идет проверка, доступны. Что еще можно проверить?
Offline Евгений Афанасьев  
#5 Оставлено : 9 ноября 2021 г. 10:29:46(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте.
Приложите логи, настроив https://support.cryptopr...nlirovnija-kriptopro-jcp
Offline Gashishiin  
#6 Оставлено : 10 ноября 2021 г. 13:32:45(UTC)
Gashishiin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 30
Российская Федерация

Логи прилагаю logs.txt (1,307kb) загружен 4 раз(а).
Offline mstdoc  
#7 Оставлено : 10 ноября 2021 г. 17:54:44(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Коллеги, а что означают строки?

Код:
[DEBUG] 2021-11-10 13:24:19.673 [http-nio-8105-exec-1] JCPLogger - CRL does not satisfy the cert selector (match) or some other options (verifyCRL)
[DEBUG] 2021-11-10 13:24:19.673 [http-nio-8105-exec-1] JCPLogger - CertStore URI: http://company.rt.ru/cdp/guc2021.crl


Я правильно понимаю что сначала из всей цепочки выдергивается весь список со всеми crl и
после этого сертификат подписанта проверяется относительно каждого из этих crl по очереди, пока не будет встречен первый подходящий crl?
А тк первыми в списке идут 3 crl от минкомсвязи и только потом crl подписанта, то каждый раз будут скачиваться все 3 crl минкомсвязи?

P.S.
Подозреваю что у ТС проблема вот в этом:

Код:
[DEBUG] 2021-11-10 13:24:19.852 [http-nio-8105-exec-1] JCPLogger - CertStore URI: http://cdp2.itk23.ru/itcom2012-2020.crl
[DEBUG] 2021-11-10 13:24:19.853 [http-nio-8105-exec-1] JCPLogger - Connecting: http://cdp2.itk23.ru/itcom2012-2020.crl
[DEBUG] 2021-11-10 13:24:19.879 [http-nio-8105-exec-1] JCPLogger - Downloading new CRL...
[DEBUG] 2021-11-10 13:24:19.970 [http-nio-8105-exec-1] JCPLogger - crl issuer does not equal cert issuer

Offline Gashishiin  
#8 Оставлено : 17 ноября 2021 г. 13:56:24(UTC)
Gashishiin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.10.2021(UTC)
Сообщений: 30
Российская Федерация

Коллеги, проверка подписи не проходит именно по этой причине?
Цитата:
JCPLogger - crl issuer does not equal cert issuer

Если да, то по какому критерию идет сравнение crl и сертификата издателя?
Offline mstdoc  
#9 Оставлено : 17 ноября 2021 г. 16:17:21(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Цитата:
Если да, то по какому критерию идет сравнение crl и сертификата издателя?


Вот это издатель сертификата из приложенной подписи:
Код:

          SEQUENCE (2 elem)
            SEQUENCE (9 elem)
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 1.2.643.100.1
                  NumericString 1167746840843
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 1.2.643.3.131.1.1
                  NumericString 007714407563
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 2.5.4.6 countryName (X.520 DN component)
                  PrintableString RU
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 2.5.4.8 stateOrProvinceName (X.520 DN component)
                  UTF8String 77 г. Москва
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 2.5.4.7 localityName (X.520 DN component)
                  UTF8String Москва
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 2.5.4.9 streetAddress (X.520 DN component)
                  UTF8String ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ АЛЕКСЕЕВСКИЙ, УЛ ЯРОСЛАВСКАЯ, Д. 13А, СТР. 1, ПОМЕ…
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 2.5.4.11 organizationalUnitName (X.520 DN component)
                  UTF8String Удостоверяющий центр
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 2.5.4.10 organizationName (X.520 DN component)
                  UTF8String ООО "АйтиКом"
              SET (1 elem)
                SEQUENCE (2 elem)
                  OBJECT IDENTIFIER 2.5.4.3 commonName (X.520 DN component)
                  UTF8String ООО "АйтиКом"
            INTEGER (79 bit) 363548114137957045299989
          SEQUENCE (2 elem)
            OBJECT IDENTIFIER 1.2.643.7.1.1.2.2 gost2012Digest256 (GOST R 34.11-2012 256 bit digest)


А вот это издатель crl вашего сертификата:
Код:
OGRN = 1167746840843, INN = 007714407563, C = RU, ST = 77 г. Москва, L = Москва, street = "УЛИЦА 8 МАРТА, ДОМ 1, СТРОЕНИЕ 12, КОМНАТА 3,ПОМЕЩ XLII,ЭТ 7", OU = Удостоверяющий центр, O = ООО \"АйтиКом\", CN = ООО \"АйтиКом\"


Не уверен что это влияет, но не совпадает улица.
Значит что это два разных сертификата.

Хотя логичнее было бы сравнивать по отпечатку сертификатов, но возможности получить отпечаток сертификата из crl я не нашел.
Коллеги из КриптоПро, подскажите пжлст - возможно ли получить отпечаток сертификата издателя crl?

Ну вопрос ТС по прежнему актуален - по какому критерию идет сравнение?
Ну и мой вопрос про строки из лога тоже актуален )
Offline Санчир Момолдаев  
#10 Оставлено : 17 ноября 2021 г. 17:50:44(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,193
Российская Федерация

Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 274 раз в 254 постах
Добрый день!
сравниваются по SubjectName, они должны совпадать.

по поводу отпечатка: так делать нельзя т.к. изначально подразумевалось что ключ ЦС персонализирован.
т.е. дневной админ ЦС уходит домой, забирает свой ключ. приходит ночной админ вставляет свой ключ.
ключ разные, а проверка должна проходить в любом случае. не скажешь эту подпись проверяйте по дневным crl, а эту по ночным (утрированно)
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.