Статус: Участник
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 17  Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Добрый день! Имеется АРМ на Astra Linux SE 1.6 Установлена КриптоПро CSP 5.0.11455 Изначально компьютер не подключен к сети. При попытке создания ЭП выдаёт ошибку: Процесс отмены не может быть продолжен - проверка сертификатов недоступна.
Код ошибки: 0х800B010E (2148204814)При подключении к сети всё ОК. После вторичного отключения тоже подписывает, но не понятно как долго он не будет производить проверку. Предполагается, что АРМ не должен подключаться к сети. Как отключить проверку сертификата по сети или решить проблему иначе? Отредактировано пользователем 3 февраля 2022 г. 17:42:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,493  Сказал «Спасибо»: 53 раз
Поблагодарили: 805 раз в 743 постах
|
Автор: alvserg  Добрый день!
Имеется АРМ на Astra Linux SE 1.6
Установлена КриптоПро CSP 5.0.11455
Изначально компьютер не подключен к сети. При попытке создания ЭП выдаёт ошибку:
Процесс отмены не может быть продолжен - проверка сертификатов недоступна.
Код ошибки: 0х800B010E (2148204814)
При подключении к сети всё ОК. После вторичного отключения тоже подписывает, но не понятно как долго он не будет производить проверку.
Предполагается, что АРМ не должен подключаться к сети. Как отключить проверку сертификата по сети или решить проблему иначе? Здравствуйте. Когда есть подключения по сети, то автоматически скачиваются в кэш списки отзыва сертификатов для всей цепочки сертификатов (конечного сертификата и сертификатов промежуточных удостоверяющих центров). Когда нет подключения по сети, то идет проверка по спискам отзыва из кэша или установленным локально. То есть подписание будет выполняться пока срок действия этих списков отзыва не истечет. Соответственно, или нужно локально устанавливать актуальные списки отзыва из цепочки или отключать проверку цепочки сертификатов на отзыв. Возможно ли отключить проверку на отзыв и как это сделать зависит от того каким образом создается подпись. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 17 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Подпись создаётся через графический интерфейс КриптоПро 5. Можно ли в данном случае отключить проверки?
Если нет, то подскажите как установить актуальный список отзыва?
Скачал список отзыва. Там указано:
Действителен с 4 февраля
Следующее обновление 11 февраля.
Я правильно понимаю, что при необходимости список отзыва можно обновлять раз в неделю?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,493 Сказал «Спасибо»: 53 раз
Поблагодарили: 805 раз в 743 постах
|
Цитата:Подпись создаётся через графический интерфейс КриптоПро 5. Можно ли в данном случае отключить проверки? Вы имеете ввиду панель Инструменты КриптоПро? Цитата:Если нет, то подскажите как установить актуальный список отзыва? В панели Инструменты КриптоПро в CSP 5.0 R3 это можно сделать в разделе Списки отзыва (раздел доступен после нажатия кнопки Показать расширенные). В более старых сборках это можно сделать только через командную строку: Код:/opt/cprocsp/bin/amd64/certmgr -inst -crl -store ca -file /path/to/crl/file
Это команда для текущего пользователя, чтобы установить список отзыва глобально для всего компьютера (будет действовать для всех пользователей) ca надо заменить на mca и выполнять от root или через sudo. Цитата:Скачал список отзыва. Там указано:
Действителен с 4 февраля
Следующее обновление 11 февраля.
Я правильно понимаю, что при необходимости список отзыва можно обновлять раз в неделю?
В данном случае да. Необходимо также следить за сроком действия списков отзыва (обычно срок их действия сильно больше, чем для сертификатов конечных пользователей) промежуточных удостоверяющих центров в цепочке при их наличии в цепочке. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 17 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Спасибо. Попробуем импортировать список через командную строку.
У нас версия КриптоПро CSP 5.0.11455. Я так понял там нет возможности импорта через панель Инструменты КриптоПро
R3 несерифицирована и у нас лицензия на КриптоПро 4. Я так понял не подойдёт для более свежих версии.
Отключить проверку нет возможности?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,493 Сказал «Спасибо»: 53 раз
Поблагодарили: 805 раз в 743 постах
|
Автор: alvserg Спасибо. Попробуем импортировать список через командную строку.
У нас версия КриптоПро CSP 5.0.11455. Я так понял там нет возможности импорта через панель Инструменты КриптоПро
R3 несерифицирована и у нас лицензия на КриптоПро 4. Я так понял не подойдёт для более свежих версии.
Отключить проверку нет возможности? 1) В CSP 5.0 R2 и новее можно активировать лицензию CSP 5.0 (постоянную или со сроком действия) или лицензию CSP 4.0 (только со сроком действия). Постоянная лицензия CSP 4.0 не подойдет. 2) Так и не увидел ответа на вопрос как именно подписываете. Глобально на уровне КриптоПро CSP отключить проверку сертификатов по спискам отзыва нельзя. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.12.2013(UTC) Сообщений: 17 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Формирование ЭП осуществляется через графический интерфейс Инструменты КриптоПро, пункт Создание подписи. Поскольку предполагается, что подпись будет формировать сам пользователь, необходим максимально "дружественный" механизм без командной строки.
У нас постоянная лицензия на CSP 4.0
Если глобально нельзя отключить проверку, будем пока ставить списки отзыва, а в перспективе возможно напишем графическую утилиту для пользователя, которая будет формировать подпись без проверки.
При формировании подписи через командную строку есть возможность исключить проверку?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,493 Сказал «Спасибо»: 53 раз
Поблагодарили: 805 раз в 743 постах
|
Автор: alvserg Формирование ЭП осуществляется через графический интерфейс Инструменты КриптоПро, пункт Создание подписи. Поскольку предполагается, что подпись будет формировать сам пользователь, необходим максимально "дружественный" механизм без командной строки.
У нас постоянная лицензия на CSP 4.0
Если глобально нельзя отключить проверку, будем пока ставить списки отзыва, а в перспективе возможно напишем графическую утилиту для пользователя, которая будет формировать подпись без проверки.
При формировании подписи через командную строку есть возможность исключить проверку?
См. опцию -norev для: Код:/opt/cprocsp/bin/amd64/cryptcp -sign -help
|
|
 1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
