Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline trebuiu_cspfree  
#1 Оставлено : 14 февраля 2022 г. 18:04:51(UTC)
trebuiu_cspfree

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.02.2022(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Есть КриптоПРО PDF в Adobe Reader 9\10 и подписанный документ. Есть доступ ко всем CRL документа при отключенном интернете (через локальное зеркало, хосты прописаны).
1. Подпись не проходит проверку без интернета.
2. Включаю интернет. Делаю проверку. Проверка становится успешной. Выключаю интернет обратно.
3. Подпись стала проходить проверку без интернета.
В чем может быть причина невозможности проверить подпись сразу на 1 шаге? Что происходит на 2м шаге? Куда еще обращается проверка подписи кроме CRL всей цепочки?

Отредактировано пользователем 15 февраля 2022 г. 4:01:05(UTC)  | Причина: Не указана

Online basid  
#2 Оставлено : 14 февраля 2022 г. 18:49:58(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
А кто кроме вас в курсе про локальное зеркало???
Вот именно поэтому и надо устанавливать списки отзыва в соответствующие системные (или пользовательские) хранилища.
Offline trebuiu_cspfree  
#3 Оставлено : 15 февраля 2022 г. 3:59:13(UTC)
trebuiu_cspfree

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.02.2022(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Автор: basid Перейти к цитате
А кто кроме вас в курсе про локальное зеркало???
Вот именно поэтому и надо устанавливать списки отзыва в соответствующие системные (или пользовательские) хранилища.


Т.е. без установки в локальные хранилища КриптопроPDF работает нестабильнее?
Online basid  
#4 Оставлено : 15 февраля 2022 г. 12:10:24(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Вы создали некое "локальное зеркало" и, почему-то, считаете, что хоть какой-то софт этим зеркалом будет пользоваться. Лично я не вижу для этого ни одной причины.
Следовательно, надо взять файлы с этого зеркала и установить их в (общеизвестные) хранилища при помощи, например, certutil.
Offline trebuiu_cspfree  
#5 Оставлено : 15 февраля 2022 г. 13:40:53(UTC)
trebuiu_cspfree

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.02.2022(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Автор: basid Перейти к цитате
Вы создали некое "локальное зеркало" и, почему-то, считаете, что хоть какой-то софт этим зеркалом будет пользоваться. Лично я не вижу для этого ни одной причины.
Следовательно, надо взять файлы с этого зеркала и установить их в (общеизвестные) хранилища при помощи, например, certutil.


Файл hosts как работает же есть? Там если прописать:
127.0.0.1 crl.roskazna.ru
127.0.0.1 reestr-pki.ru
127.0.0.1 crl.fsfk.local
127.0.0.1 company.rt.ru
127.0.0.1 rostelecom.ru

То при CRL http://reestr-pki.ru/cdp/guc_gost12.crl будет обращение к зеркалу по IP 127.0.0.1 вместо интернетовского IP. Ну так ОС работает. Подробнее тут например https://ru.wikipedia.org/wiki/Hosts

Плюс на 3м то шаге без интернета софт этим зеркало пользуется, т.к. проверка успешной выходит. При отключении зеркала - не успешна, а при включении зеркала - успешна.
Просто сразу на 1м шаге бы так работало бы. В чем может быть причина?
Offline Андрей *  
#6 Оставлено : 15 февраля 2022 г. 13:44:29(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Автор: trebuiu_cspfree Перейти к цитате
Автор: basid Перейти к цитате
Вы создали некое "локальное зеркало" и, почему-то, считаете, что хоть какой-то софт этим зеркалом будет пользоваться. Лично я не вижу для этого ни одной причины.
Следовательно, надо взять файлы с этого зеркала и установить их в (общеизвестные) хранилища при помощи, например, certutil.


Файл hosts как работает же есть? Там если прописать:
127.0.0.1 crl.roskazna.ru
127.0.0.1 reestr-pki.ru
127.0.0.1 crl.fsfk.local
127.0.0.1 company.rt.ru
127.0.0.1 rostelecom.ru

То при CRL http://reestr-pki.ru/cdp/guc_gost12.crl будет обращение к зеркалу по IP 127.0.0.1 вместо интернетовского IP. Ну так ОС работает. Подробнее тут например https://ru.wikipedia.org/wiki/Hosts

Плюс на 3м то шаге без интернета софт этим зеркало пользуется, т.к. проверка успешной выходит. При отключении зеркала - не успешна, а при включении зеркала - успешна.
Просто сразу на 1м шаге бы так работало бы. В чем может быть причина?



т.е.
на локальном ПК есть web-сервер и воссозданы все каталоги для хранения CRL и их можно скачивать без интернета?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#7 Оставлено : 15 февраля 2022 г. 13:53:18(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Автор: trebuiu_cspfree Перейти к цитате


Плюс на 3м то шаге без интернета софт этим зеркало пользуется, т.к. проверка успешной выходит. При отключении зеркала - не успешна, а при включении зеркала - успешна.
Просто сразу на 1м шаге бы так работало бы. В чем может быть причина?



может всё таки речь про кэш?

certutil -urlcache
выдаёт нужные url?

удалить (при отключенном интернете):
certutil -urlcache * delete

перестанет выполняться проверка, так?
Что в логах web-сервера, идёт обращение к локальным CRL (или 404, потому что неправильно что-то прописано)?

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
trebuiu_cspfree оставлено 15.02.2022(UTC)
Offline trebuiu_cspfree  
#8 Оставлено : 15 февраля 2022 г. 17:39:24(UTC)
trebuiu_cspfree

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.02.2022(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате
Автор: trebuiu_cspfree Перейти к цитате
Автор: basid Перейти к цитате
Вы создали некое "локальное зеркало" и, почему-то, считаете, что хоть какой-то софт этим зеркалом будет пользоваться. Лично я не вижу для этого ни одной причины.
Следовательно, надо взять файлы с этого зеркала и установить их в (общеизвестные) хранилища при помощи, например, certutil.


Файл hosts как работает же есть? Там если прописать:
127.0.0.1 crl.roskazna.ru
127.0.0.1 reestr-pki.ru
127.0.0.1 crl.fsfk.local
127.0.0.1 company.rt.ru
127.0.0.1 rostelecom.ru

То при CRL http://reestr-pki.ru/cdp/guc_gost12.crl будет обращение к зеркалу по IP 127.0.0.1 вместо интернетовского IP. Ну так ОС работает. Подробнее тут например https://ru.wikipedia.org/wiki/Hosts

Плюс на 3м то шаге без интернета софт этим зеркало пользуется, т.к. проверка успешной выходит. При отключении зеркала - не успешна, а при включении зеркала - успешна.
Просто сразу на 1м шаге бы так работало бы. В чем может быть причина?



т.е.
на локальном ПК есть web-сервер и воссозданы все каталоги для хранения CRL и их можно скачивать без интернета?


Да.

Автор: Андрей * Перейти к цитате
Автор: trebuiu_cspfree Перейти к цитате


Плюс на 3м то шаге без интернета софт этим зеркало пользуется, т.к. проверка успешной выходит. При отключении зеркала - не успешна, а при включении зеркала - успешна.
Просто сразу на 1м шаге бы так работало бы. В чем может быть причина?



может всё таки речь про кэш?

certutil -urlcache
выдаёт нужные url?

удалить (при отключенном интернете):
certutil -urlcache * delete

перестанет выполняться проверка, так?
Что в логах web-сервера, идёт обращение к локальным CRL (или 404, потому что неправильно что-то прописано)?


1. certutil -urlcache. выдаёт нужные url.
2. certutil -urlcache * delete. проверка не перестает выполняться успешно.
3. в логах web-сервера, успешно идёт обращение к локальным CRL:
2022-02-15 14:29:53 127.0.0.1 GET /crl/ucfk_2021.crl - 80 - 127.0.0.1 Microsoft-CryptoAPI/10.0 - 200 0 0 43
2022-02-15 14:29:53 127.0.0.1 GET /cdp/guc_gost12.crl - 80 - 127.0.0.1 Microsoft-CryptoAPI/10.0 - 200 0 0 0

Проверил еще раз на 5м компьютере - и почему-то в ней все заработало без интернета с первого раза. Думаю в предыдущих 4х компьютерах что-то просто было пропущено. Пока дальше понаблюдаю спасибо за команды certutil.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.