невозможно получить штамп времени ЦБР- Page 3

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

4 Страницы<1 234 >

невозможно получить штамп времени ЦБР

Опции

Предыдущая тема Следующая тема

Андрей *		#21 Оставлено : 25 октября 2022 г. 22:46:37(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,523 Сказал «Спасибо»: 555 раз Поблагодарили: 2252 раз в 1757 постах		второй вариант, если прописали правильно в свойствах сертификата ЦБ локальный OCSP: отметить опции так: Snimok ehkrana ot 2022-10-25 23-43-13.png (7kb) загружен 65 раз(а). далее Сервисы\Работа с сертификатами\Проверить статус сертификата... в итоге - или ошибка при просмотре ответа будет или отобразится окно, например: Snimok ehkrana ot 2022-10-25 23-45-49.png (18kb) загружен 67 раз(а).
		Техническую поддержку оказываем тут Наша база знаний
		WWW
1 пользователь поблагодарил Андрей * за этот пост.		YuriSn оставлено 26.10.2022(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

YuriSn		#22 Оставлено : 26 октября 2022 г. 10:31:20(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 25.10.2022(UTC) Сообщений: 7 Откуда: SPb Сказал(а) «Спасибо»: 3 раз		Автор: Андрей * по теме: "Статус сертификата: Не удалось прочитать ответ" как раз и нужен ответный файл, что в ответ записалось ? очистить папку и проверить статус можете? Пришлите в архиве, что появилось потом там. Появился файл ответа .ors, 5 байт 0000000000: 30 03 0A 01 01 │ Цитата: далее - подписать, указав необходимые параметры (штамп времени и доказательства подлинности). Извините, подписать чем? После заворачивания в stunnel tsp2.ca.cbr.ru по 80 порту, наше массовое подписание проходит моментально, понятно, что видимо без проверки по списком отзыва.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

YuriSn		#23 Оставлено : 26 октября 2022 г. 11:51:48(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 25.10.2022(UTC) Сообщений: 7 Откуда: SPb Сказал(а) «Спасибо»: 3 раз		Автор: Андрей * второй вариант, если прописали правильно в свойствах сертификата ЦБ локальный OCSP: далее Сервисы\Работа с сертификатами\Проверить статус сертификата... Так сработало, статус сертификата "Действителен", подпись верна.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#24 Оставлено : 26 октября 2022 г. 12:31:10(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,523 Сказал «Спасибо»: 555 раз Поблагодарили: 2252 раз в 1757 постах		Автор: YuriSn Автор: Андрей * по теме: "Статус сертификата: Не удалось прочитать ответ" как раз и нужен ответный файл, что в ответ записалось ? очистить папку и проверить статус можете? Пришлите в архиве, что появилось потом там. Появился файл ответа .ors, 5 байт 0000000000: 30 03 0A 01 01 │ Цитата: далее - подписать, указав необходимые параметры (штамп времени и доказательства подлинности). Извините, подписать чем? После заворачивания в stunnel tsp2.ca.cbr.ru по 80 порту, наше массовое подписание проходит моментально, понятно, что видимо без проверки по списком отзыва. ... в CryptExpert, указав необходимый TSP? Или утилита используется только для проверки статуса сертификата? Snimok ehkrana ot 2022-10-26 13-30-28.png (26kb) загружен 37 раз(а). .. Что значит "видимо без проверки по списком отзыва"? Вы же stunnel подняли, чтобы быстро проверять статус по OCSP (например 0.1с, вместо скачивания\чтения большого CRL)
		Техническую поддержку оказываем тут Наша база знаний
		WWW
1 пользователь поблагодарил Андрей * за этот пост.		YuriSn оставлено 26.10.2022(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

YuriSn		#25 Оставлено : 26 октября 2022 г. 12:56:32(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 25.10.2022(UTC) Сообщений: 7 Откуда: SPb Сказал(а) «Спасибо»: 3 раз		Автор: Андрей * Или утилита используется только для проверки статуса сертификата? Да, только проверить работу, понять причину медленной работы пытаемся. Цитата: .. Что значит "видимо без проверки по списком отзыва"? Вы же stunnel подняли, чтобы быстро проверять статус по OCSP (например 0.1с, вместо скачивания\чтения большого CRL) То есть 5 байт это корректный ответ? Спасибо. Получается, действительно, дополнительные настройки в свойствах сертификата ЦБ игнорируются, и stunnel надо настраивать на прослушку 80 порта, а не 10001 как рекомендует поддержка ЦБ. Для остальных страдальцев, вроде нас, настройки stunnel для ЦБ у нас сейчас такие: [tls1-client-https-2] client = yes accept = 127.0.0.1:80 connect = 212.40.193.62:443 А первый tsp все равно не работает, поэтому там можно оставить все что угодно.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

bng96c!s!		#26 Оставлено : 26 октября 2022 г. 14:30:36(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.10.2022(UTC) Сообщений: 3		Добрый день, так как в итоге настроить то ? Чтобы в ЛК ЦБ добавился наконец адрес службы штампов времени? Можете рабочий вариант написать пожалуйста. 1. В ЛК ЦБ какой адрес штампа времени указывать? Они пишут в инструкции http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf или http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf 2. В Stunnel конфиге, что прописать ? 3. В свойствах промежуточного сертификата локального компьютера что прописать? Сейчас прописано это: http://127.0.0.1:10001/ocsp http://127.0.0.1:10002/ocsp ПО: КриптоАРМ Гост КриптоПро 5 R2 Stunnel hosts прописан как в инструкции conf в папке stunnel и в windows system32 Сертификаты установлены все Ошибки в Stunnel: 2022.10.26 16:47:18 LOG7[14544:13648]: tls1-client-https-1 accepted FD=304 from 127.0.0.1:52580 2022.10.26 16:47:18 LOG7[14544:13648]: Creating a new thread 2022.10.26 16:47:18 LOG7[14544:13648]: New thread created 2022.10.26 16:47:18 LOG7[14544:2844]: client start 2022.10.26 16:47:18 LOG7[14544:2844]: tls1-client-https-1 started 2022.10.26 16:47:18 LOG7[14544:2844]: FD 304 in non-blocking mode 2022.10.26 16:47:18 LOG7[14544:2844]: TCP_NODELAY option set on local socket 2022.10.26 16:47:18 LOG5[14544:2844]: tls1-client-https-1 connected from 127.0.0.1:52580 2022.10.26 16:47:18 LOG7[14544:2844]: FD 372 in non-blocking mode 2022.10.26 16:47:18 LOG7[14544:2844]: tls1-client-https-1 connecting 2022.10.26 16:47:18 LOG7[14544:2844]: connect_wait: waiting 10 seconds 2022.10.26 16:47:18 LOG7[14544:2844]: connect_wait: connected 2022.10.26 16:47:18 LOG7[14544:2844]: Remote FD=372 initialized 2022.10.26 16:47:18 LOG7[14544:2844]: TCP_NODELAY option set on remote socket 2022.10.26 16:47:18 LOG7[14544:2844]: start SSPI connect 2022.10.26 16:47:18 LOG3[14544:2844]: Credentials complete 2022.10.26 16:47:18 LOG7[14544:2844]: 172 bytes of handshake data sent 2022.10.26 16:47:19 LOG5[14544:2844]: 1380 bytes of handshake(in handshake loop) data received. 2022.10.26 16:47:19 LOG5[14544:2844]: 1565 bytes of handshake(in handshake loop) data received. 2022.10.26 16:47:19 LOG5[14544:2844]: CertFindChainInStore not find certificate in store. Looking at LOCAL_MACHINE 2022.10.26 16:47:19 LOG5[14544:2844]: certificate chain found 2022.10.26 16:47:19 LOG5[14544:2844]: new schannel credential created 2022.10.26 16:47:19 LOG3[14544:2844]: **** Error 0x80090320 returned by InitializeSecurityContext (2) 2022.10.26 16:47:19 LOG3[14544:2844]: Error performing handshake 2022.10.26 16:47:19 LOG5[14544:2844]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.10.26 16:47:19 LOG7[14544:2844]: free Buffers 2022.10.26 16:47:19 LOG7[14544:2844]: delete c->hContext 2022.10.26 16:47:19 LOG7[14544:2844]: delete c->hClientCreds 2022.10.26 16:47:19 LOG5[14544:2844]: incomp_mess = 0, extra_data = 1 2022.10.26 16:47:19 LOG7[14544:2844]: tls1-client-https-1 finished (0 left) И еще вопрос. Где-то читал, что еще может быть проблема с тем что нет прав на сертификат Локальный компьютер - личное. Там не ставятся галочки, когда даешь права системе. Ставишь, сохраняешь - они пропадают. Такая была проблема у кого-нибудь? Отредактировано пользователем 26 октября 2022 г. 14:49:55(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

YuriSn		#27 Оставлено : 26 октября 2022 г. 18:54:29(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 25.10.2022(UTC) Сообщений: 7 Откуда: SPb Сказал(а) «Спасибо»: 3 раз		Автор: bng96c!s! Добрый день, так как в итоге настроить то ? Чтобы в ЛК ЦБ добавился наконец адрес службы штампов времени? Первое, надо проверить, что работает stunnel. Для этого надо зайти браузером на http://tsp1.ca.cbr.ru:10001 и на http://tsp2.ca.cbr.ru:10002 Должна открыться страничка Апача. У меня на одной машине не открывалось, в логе stunnel ошибки 8009030e, поставил в свойствах службы, на вкладке "вход в систему" чек-бокс "Разрешить взаимодействие с рабочим столом" и заработало. Цитата: 1. В ЛК ЦБ какой адрес штампа времени указывать? В ЛК еще не проверяли, проверили в КриптоАРМ ГОСТ, там указывали сервер штампа времени http://tsp1.ca.cbr.ru:10001/tsp С ним заработало. Пока не открывалась страница в браузере, штамп времени было не получить, и подписать не получалось. Цитата: 2. В Stunnel конфиге, что прописать? Как в инструкции, заработало. Цитата: 3. В свойствах промежуточного сертификата локального компьютера что прописать? Сейчас прописано это: http://127.0.0.1:10001/ocsp http://127.0.0.1:10002/ocsp Да, у нас это заработало. Цитата: conf в папке stunnel и в windows system32 Достаточно в system32 Цитата: И еще вопрос. Где-то читал, что еще может быть проблема с тем что нет прав на сертификат Локальный компьютер - личное. Там не ставятся галочки, когда даешь права системе. Ставишь, сохраняешь - они пропадают. Такая была проблема у кого-нибудь? Было такое, оснастку сертификаты надо запускать либо из cmd, запущенного под администратором, либо правой кнопкой, запустить под администратором, ну либо заходить админом. Запустил под пользователем, поменял в Мой компьютер с вводом пароля в момент обращения к этой ветке - не сохранилось.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

bng96c!s!		#28 Оставлено : 26 октября 2022 г. 19:22:28(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.10.2022(UTC) Сообщений: 3		Цитата: Первое, надо проверить, что работает stunnel. Для этого надо зайти браузером на http://tsp1.ca.cbr.ru:10001 и на http://tsp2.ca.cbr.ru:10002 Должна открыться страничка Апача. Не открывается почему-то. Можете написать какая версия у вас КриптоПРО, КриптоАРМ Гост, Stunnel. В каком Браузере пробуете? Какая Windows стоит? Какие настройки браузера (Панель управления - настройки браузера), если можно то скрин приложите пожалуйста. Конфиг у нас такой: verify = 0 output = C:\Stunnel\stunnel_cli.log service = Stunnel socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [tls1-client-https-1] client = yes accept = 127.0.0.1:10001 connect = 212.40.208.62:443 [tls1-client-https-2] client = yes accept = 127.0.0.1:10002 connect = 212.40.193.62:443 Цитата: У меня на одной машине не открывалось, в логе stunnel ошибки 8009030e, поставил в свойствах службы, на вкладке "вход в систему" чек-бокс "Разрешить взаимодействие с рабочим столом" и заработало. ПРобовал, результата не дало Цитата: Было такое, оснастку сертификаты надо запускать либо из cmd, запущенного под администратором, либо правой кнопкой, запустить под администратором, ну либо заходить админом. Запустил под пользователем, поменял в Мой компьютер с вводом пароля в момент обращения к этой ветке - не сохранилось. Из под админа тоже не сохраняется. У вас комп в домене ? У нас да. Заходить под админом, имеете ввиду можно под доменным, или локальным? Итого, КрипоАрм Гост не подписывает с указанием служб штампов времени ЦБР, и в ЛК ЦБ, штамп времени тоже не устанавлвивается. Также не заходит в браузере на страницы http://tsp1.ca.cbr.ru:10001 и на http://tsp2.ca.cbr.ru:10002 Отредактировано пользователем 26 октября 2022 г. 19:23:04(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

TYMRFIK		#29 Оставлено : 2 ноября 2022 г. 7:39:10(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.11.2022(UTC) Сообщений: 11 Сказал(а) «Спасибо»: 2 раз		Добрый день. Туннель запущен. Но не открывается через браузер. А ошибка у клиента на компьютере висит:" Не удалось создать подпись из-за ошибки: Время ожидания операции истекло (0x80072EE2)" (есть в сети прокси-сервер. Но там полностью разрешены адреса на cbr.ru) Подскажите, пожалуйста, как можно исправить?? Автор: Андрей * Автор: YuriSn Добрый день, коллеги. Месяц мучаемся с сертификатом от ЦБ. В какой-то момент получили вот такое сообщение от техподдержки УЦ ЦБ: "Рабочие адреса службы штампа времени есть, но они закрыты, т.к. в ходе тестирования было обнаружено, что в момент создания подписи X-Cades Long type 1 Крипто Плагин игнорирует конфигурацию Stunnel и направляет запрос к OCSP серверу по 80 порту, который в соответствии с требованиями ФСБ России закрыт. В результате приходит отрицательный ответ." Тест не проходит, а подписание этим ключом занимает больше минуты, видимо, пока не отвалится по таймауту. Проверка сертификата с помощью утилиты CryptExpert выдает ошибку: Ошибка: 12029 - Ошибка: 500 Sock [10060 : Connection timed out] время выполнения: 21047 мсек http://tsp2.ca.cbr.ru/ocsp Продолжительность проверки: 63406 мсек С включенным stunnel ошибка уже 404: Ошибка: 12029 - Ошибка: 404 Not Found Sock [0 : ] время выполнения: 0 мсек http://tsp2.ca.cbr.ru/ocsp Продолжительность проверки: 21172 мсек Отключения проверок ocsp в настройках КриптоПро, сертификатов, тоже ни к чему не приводит. Идеи кончились. а как же пост 7? пробовали в браузере открыть с включенным stunnel ? http://127.0.0.1:10001/ocsp http://127.0.0.1:10002/ocsp открывается?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

TYMRFIK		#30 Оставлено : 2 ноября 2022 г. 8:28:15(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.11.2022(UTC) Сообщений: 11 Сказал(а) «Спасибо»: 2 раз		АНАЛОГИЧНАЯ СИТУАЦИЯ: ничего не работает. Пробовали все варианты. Но если пойти с "азов": не открывается ни http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf ни http://tsp2.ca.cbr.ru:10002 - ОШИБКА: "Failed to load resource: the server responded with a status of 504 (Proxy Timeout". Лог - строго по Инструкции Банка России. Windows 10 разрядность 64. КриптоПро CSP версии 5. Автор: bng96c!s! Цитата: Первое, надо проверить, что работает stunnel. Для этого надо зайти браузером на http://tsp1.ca.cbr.ru:10001 и на http://tsp2.ca.cbr.ru:10002 Должна открыться страничка Апача. Не открывается почему-то. Можете написать какая версия у вас КриптоПРО, КриптоАРМ Гост, Stunnel. В каком Браузере пробуете? Какая Windows стоит? Какие настройки браузера (Панель управления - настройки браузера), если можно то скрин приложите пожалуйста. Конфиг у нас такой: verify = 0 output = C:\Stunnel\stunnel_cli.log service = Stunnel socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [tls1-client-https-1] client = yes accept = 127.0.0.1:10001 connect = 212.40.208.62:443 [tls1-client-https-2] client = yes accept = 127.0.0.1:10002 connect = 212.40.193.62:443 Цитата: У меня на одной машине не открывалось, в логе stunnel ошибки 8009030e, поставил в свойствах службы, на вкладке "вход в систему" чек-бокс "Разрешить взаимодействие с рабочим столом" и заработало. ПРобовал, результата не дало Цитата: Было такое, оснастку сертификаты надо запускать либо из cmd, запущенного под администратором, либо правой кнопкой, запустить под администратором, ну либо заходить админом. Запустил под пользователем, поменял в Мой компьютер с вводом пароля в момент обращения к этой ветке - не сохранилось. Из под админа тоже не сохраняется. У вас комп в домене ? У нас да. Заходить под админом, имеете ввиду можно под доменным, или локальным? Итого, КрипоАрм Гост не подписывает с указанием служб штампов времени ЦБР, и в ЛК ЦБ, штамп времени тоже не устанавлвивается. Также не заходит в браузере на страницы http://tsp1.ca.cbr.ru:10001 и на http://tsp2.ca.cbr.ru:10002


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (4)

4 Страницы<1 234 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close