Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро ЭЦП (усовершенствованная ЭЦП)
»
Проблемы со списками отзыва крупных УЦ reestr-pki.ru cdp.skbkontur.ru company.rt.ru и пр.
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42   Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
версия плагина самая последняя 2.0.14590.0 CSP - 5.0.12000 KC1 Мы предположили что кеширования НЕ происходит из-за того что каждый раз объект Код:Activator.CreateInstance( Type.GetTypeFromProgID("CAdESCOM.CadesSignedData") )
создается по новой, уже поправили на единичный вызов, но пока не добрались до проверки
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
|
Пришлите пожалуйста подписанный файл, инициирующий скачивание CRL -- попробую воспроизвести. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
Сегодня утром проводили тестирование того же процесса на Windows 10 и там кеширование работает, запрос действительно прошел один раз и дальше уже не повторялся ближе к ночи попробуем еще раз внимательно посмотреть на Windows 2019 Server и отпишемся еще раз тогда с результатами
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.01.2019(UTC) Сообщений: 10 Откуда: Екатеринбург Сказал(а) «Спасибо»: 5 раз
|
Добрый день, пожалуйста, расскажите, чем дело кончилось? Помог ли кэш на Windows сервере? И работает ли он с JCP?
Мы тоже столкнулись с тем, что после нескольких часов работы скорость подписания значительно падает.
Криптопро может ждать один crl до 20 секунд (это несмотря на коннекшн-таймаут в 10 секунд)!
Причем на старых версиях jcp такого не наблюдалось. Возможно, в новые версии вкралась какая-то ошибка?
Но переходить обратно на старые версии плохой вариант. Т.к. старая версия не проверяет нормально XLong, созданные в других приложениях
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
Остановились на такой схеме работы: Пользователи создают на рабочих местах обычную подпись, далее передают ее на сервер и на сервер уже происходит ее усовершенствование, не какие кэши в Windows при использовании CadesCom видимо так и не работают (забили пока) при этом долго и мучительно добавилась от УЦ что бы IP адреса наших серверов внесли в белый список, у ТАКСКОМ он точно есть, с другими пока проблем не наблюдаем..
Таким образом при наличии нашего IP одного серверного в УЦ усовершенствование подписи происходит быстро проблемы решились, так же у пользователей нету проблем так как там создается простая подпись.
|
 1 пользователь поблагодарил Aleksandr_pro за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.01.2019(UTC) Сообщений: 10 Откуда: Екатеринбург Сказал(а) «Спасибо»: 5 раз
|
Спасибо за ответ.
Мы сталкиваемся как раз с проблемой замедления улучшения подписи на сервере. Некоторые crl отвечают страшно медленно. А когда улучшений много, то и коннекций ожидающих такой crl становится много. И jcp может улучшать отдельную подпись до 10 минут.
Наблюдаете ли вы такую проблему? Или на сервере у вас crl как-то кэшируются?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
нет сейчас таких проблем не наблюдаем, я так полагаю как раз потому что наши IP адреса в белом списке у УЦ
Сами не каких запросов к crl не кешируем но и не используем у нас OCSP запросы
|
1 пользователь поблагодарил Aleksandr_pro за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 18.01.2019(UTC) Сообщений: 10 Откуда: Екатеринбург Сказал(а) «Спасибо»: 5 раз
|
Вы просто отключили enableCRLDP = false ?
Или как вы этого добились?
А что оно делает с сертификатами, в которых нет crl, а есть только ocsp ?
Заранее спасибо за ответ.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
конкретно подробности не расскажу, мы используем CadesCom библиотеку там на входе минимум параметров по сути только вид подписи а дальше крипто про там само разруливает но если не ошибаюсь запросы на crl при использовании усиленной усовершенствованной подписи не происходят.
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро ЭЦП (усовершенствованная ЭЦП)
»
Проблемы со списками отзыва крупных УЦ reestr-pki.ru cdp.skbkontur.ru company.rt.ru и пр.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
