Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ошибка при проверке цепочки сертификатов - 2
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Поздравляю. Автор: nickm  Проверьте и Минцифры в "корневых". Я исхожу из даты изготовления Вашего сертификата - головной и промежуточный изданы как раз началом января, возможно и Ваш "казначейский" был подписан этими январскими сертификатами. По факту Казначейство вводит новый сертификат своего УЦ примерно через месяц после выпуска сертификата Минкомсвязью / Минцифрой. Частично это объясняется процедурой получения из Минцифры - после выпуска сотрудник аккредитованного УЦ еще должен об этом как-то узнать, зайти в личный кабинет и скачать оттуда сертификат УЦ. Потом понятно установить на УЦ (который по идее изолирован от Интернета, то есть скачать прямо на УЦ - не очень идея), протестировать работу, в данном случае еще и переключить интеграцию с ФЗС. Как я писал выше, у меня есть сертификат на одного сотрудника от 4 февраля 2022, выданный еще на сертификате Казначейства 2021 года. Также есть сертификат от 15 февраля 2022 года на другого сотрудника, выданный на новом сертификате Казначейства 2022 года. В силу технических процедур допускаю, что возможен период когда один запрос ушел из ФЗС на старый УЦ, УЦ переключили на новый, следующий запрос из ФЗС ушел на новый УЦ и оба запроса выпущены почти одновременно. Однако, скорее всего такой период "перекрывания" не более недели (в том смысле, что сейчас обработка сертификатов руководителей, в которых не к чему оператору придраться - 5 дней от запроса до выпуска). У моих сертификатов разница 11 дней, так что более-менее надежно сказать, что хотя с 10 января был сертификат нового УЦ, до 27 января точно выпускались на сертификате 2021 года. Это подтверждается и цитатой ссылки из сертификата о неработающем списке отзыва с цифрой 2021. Добавлю, что ссылки на домены с окончанием .local (как в частности crl.fsfk.local) и не должны работать вне сети организации, в общем Интернете, так как их не разрешает ни один "корневой" DNS сервер. Эта ссылка действительна исключительно в сети Федерального Казначейства ("только для своих"). Извне же ее разрешить крайне сложно: нужно установить VPN с нужной сетью (причем чтобы было разрешено обращение к тому адресу на сервере доступа) и каким-то образом получить оттуда DNS ответ либо записать в hosts. Короче, просто забудьте про ссылки .local если не сотрудник организации, что выпускает сертификаты.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 22.05.2022(UTC)
Сообщений: 2
|
По факту Казначейство вводит новый сертификат своего УЦ примерно через месяц после выпуска сертификата Минкомсвязью / Минцифрой. Частично это объясняется процедурой получения из Минцифры - после выпуска сотрудник аккредитованного УЦ еще должен об этом как-то узнать, зайти в личный кабинет и скачать оттуда сертификат УЦ. Потом понятно установить на УЦ (который по идее изолирован от Интернета, то есть скачать прямо на УЦ - не очень идея), протестировать работу, в данном случае еще и переключить интеграцию с ФЗС. Как я писал выше, у меня есть сертификат на одного сотрудника от 4 февраля 2022, выданный еще на сертификате Казначейства 2021 года. Также есть сертификат от 15 февраля 2022 года на другого сотрудника, выданный на новом сертификате Казначейства 2022 года.
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Ошибка при проверке цепочки сертификатов - 2
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
