Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Как загрузить отозванные сертификаты на Ubuntu (ошибка 0x800B010E)? - The revocation process could not continue - the certificate(s) could not be checked.'n (0x800B010E)
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline NickNV  
#1 Оставлено : 2 февраля 2023 г. 15:55:39(UTC)
NickNV

Статус: Участник

Группы: Участники
Зарегистрирован: 17.01.2023(UTC)
Сообщений: 10
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
Криптопро на сервере выдаёт ошибку The revocation process could not continue - the certificate(s) could not be checked.\n (0x800B010E).

Ос Ubuntu 20.04 без графического окружения.

Какие команды мне нужны для постройки цепочки сертификатов или добавления отозванных чтобы исправить ошибку?

Отредактировано пользователем 3 февраля 2023 г. 13:00:37(UTC)  | Причина: Не указана
Вверх
Offline nickm  
#2 Оставлено : 2 февраля 2023 г. 15:58:26(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,997

Сказал(а) «Спасибо»: 682 раз
Поблагодарили: 534 раз в 505 постах
Что-то типа такого:
Код:
/<путь_до_утилиты>/certmgr -install -crl -store mCA -file /<путь_до_списка>/список.crl
Вверх
Offline NickNV  
#3 Оставлено : 2 февраля 2023 г. 16:55:13(UTC)
NickNV

Статус: Участник

Группы: Участники
Зарегистрирован: 17.01.2023(UTC)
Сообщений: 10
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
certmgr -inst -store mroot -file /root/test-ca-root.crt
certmgr -install -crl -store mCA -file /root/test-crl.crl

И всё равно:

"The revocation process could not continue - the certificate(s) could not be checked.\n (0x800B010E)"

Хотя сертификат установился:

Certmgr 1.1 (c) "Crypto-Pro", 2007-2022.
Program for managing certificates, CRLs and stores.
Installing:
=============================================================================
1-------
Issuer : E=dit@digital.gov.ru, C=RU, S=77 Москва, L=г. Москва, STREET="Пресненская набережная, дом 10, строение 2", O=Минцифры России, ОГРН=1047702026701, ИНН ЮЛ=7710474375, CN=Минцифры России
Subject : ИНН ЮЛ=7707329152, E=uc@tax.gov.ru, ОГРН=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=Федеральная налоговая служба
Serial : 0x6ED5B64E000000000649
SHA1 Thumbprint : 021b60da90edb6dce479528359057be69d4d4884
SubjKeyID : fcb21945f2bb7670b371b03cee94381d4f975cd5
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 21/04/2022 12:33:13 UTC
Not valid after : 21/04/2037 12:33:13 UTC
PrivateKey Link : No
Identification Kind : Without personal presence by qualified signature
CA cert URL : http://reestr-pki.ru/cdp/guc2022.crt
CDP : http://reestr-pki.ru/cdp/guc2022.crl
CDP : http://company.rt.ru/cdp/guc2022.crl
CDP : http://rostelecom.ru/cdp/guc2022.crl
=============================================================================

[ErrorCode: 0x00000000]

Certmgr 1.1 (c) "Crypto-Pro", 2007-2022.
Program for managing certificates, CRLs and stores.
Installing:
=============================================================================
1-------
Issuer : ИНН ЮЛ=7707329152, E=uc@tax.gov.ru, ОГРН=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=Федеральная налоговая служба
ThisUpdate : 02/02/2023 05:50:13 UTC
NextUpdate : 02/02/2023 19:22:00 UTC
AuthKeyID : fcb21945f2bb7670b371b03cee94381d4f975cd5
=============================================================================

[ErrorCode: 0x00000000]

Отредактировано пользователем 2 февраля 2023 г. 17:28:57(UTC)  | Причина: Не указана
Вверх
Offline nickm  
#4 Оставлено : 2 февраля 2023 г. 18:03:58(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,997

Сказал(а) «Спасибо»: 682 раз
Поблагодарили: 534 раз в 505 постах
Автор: NickNV Перейти к цитате
certmgr -inst -store mroot -file /root/test-ca-root.crt

И что за сертификаты и списки Вы устанавливаете, для чего - вопрос о "test" в наименовании?
Вроде у Вас чуть ниже ФНС "светится".

И да, по поводу хранилищ прочтите эту тему.

Автор: NickNV Перейти к цитате
Serial : 0x6ED5B64E000000000649
SHA1 Thumbprint : 021b60da90edb6dce479528359057be69d4d4884

Этот сертификат нужно в промежуточные ставить.

А этот в корневое хранилище:
Автор: NickNV Перейти к цитате
CA cert URL : http://reestr-pki.ru/cdp/guc2022.crt


Т.е. не понятно, что-и-зачем Вы делаете?

Отредактировано пользователем 2 февраля 2023 г. 18:28:35(UTC)  | Причина: Не указана
Вверх
Offline NickNV  
#5 Оставлено : 3 февраля 2023 г. 10:07:54(UTC)
NickNV

Статус: Участник

Группы: Участники
Зарегистрирован: 17.01.2023(UTC)
Сообщений: 10
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
Тест просто потому что тестирую пока конфигурацию.

Ставил вот эти, которые после 6 мая: https://www.nalog.gov.ru...ities/ucfns/ccenter_res/
Вверх
Offline NickNV  
#6 Оставлено : 3 февраля 2023 г. 12:07:45(UTC)
NickNV

Статус: Участник

Группы: Участники
Зарегистрирован: 17.01.2023(UTC)
Сообщений: 10
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
Автор: nickm Перейти к цитате

SHA1 Thumbprint : 021b60da90edb6dce479528359057be69d4d4884
Этот сертификат нужно в промежуточные ставить.


А какой командой ставится промежуточный сертификат?
Вверх
Offline nickm  
#7 Оставлено : 3 февраля 2023 г. 12:18:01(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,997

Сказал(а) «Спасибо»: 682 раз
Поблагодарили: 534 раз в 505 постах
Автор: NickNV Перейти к цитате
А какой командой ставится промежуточный сертификат?


Код:
/<путь_до_утилиты>/certmgr -install -store mCA -file /<путь_до_файла-сертификата>/сертификат.crt
Вверх
Offline NickNV  
#8 Оставлено : 3 февраля 2023 г. 12:53:30(UTC)
NickNV

Статус: Участник

Группы: Участники
Зарегистрирован: 17.01.2023(UTC)
Сообщений: 10
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
Автор: nickm Перейти к цитате

И да, по поводу хранилищ прочтите эту тему.


Правильно ли я понимаю, сначала мне нужно установить корневой сертификат:

certmgr -inst -store mroot -file guc2022.crt

Затем промежуточный:

certmgr -install -crl -store mCA -file CA_FNS_Russia_2022_01.crt

Затем цепочку отозванных сертификатов:

certmgr -install -crl -store mCA -file CA_FNS_Russia_2018.crl

И всё это под root?

И какой командой проверить что сертификаты правильно встали и цепочка построена?
Вверх
Offline nickm  
#9 Оставлено : 3 февраля 2023 г. 13:30:55(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,997

Сказал(а) «Спасибо»: 682 раз
Поблагодарили: 534 раз в 505 постах
Автор: NickNV Перейти к цитате
Правильно ли я понимаю, сначала мне нужно установить корневой сертификат:

В общем случае да, порядок не важен, главное - каждому виду сертификата Своё хранилище (для промежуточных и списков отзыва (m)(u)CA, для корневых (m)(u)root).

В чём отличие (m) и (u) Вы уже ознакомились, полагаю повторять уже не стоит.

При этом убедиться/ выверить, что сертификаты не перепутались в хранилищах, т.е. каждый находится на Своём месте;

Автор: NickNV Перейти к цитате
И какой командой проверить что сертификаты правильно встали и цепочка построена?

Не могу подсказать точный/ правильный вариант, но вот такой возможный...
Попытаться скопировать сертификат и:
либо получить ошибку:
Код:
$ /opt/cprocsp/bin/amd64/cryptcp -copycert -dn CN=Имя -df /tmp/tmp.cer
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2022.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:
Действителен с 15.11.2022 10:20:00 по 08.02.2024 10:20:00

Цепочка сертификатов не проверена для следующего сертификата:
Субъект:
Действителен с 15.11.2022 10:20:00 по 08.02.2024 10:20:00

Один из сертификатов в цепочке возможно отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])


либо нет:
Код:
$ /opt/cprocsp/bin/amd64/cryptcp -copycert -dn CN=Имя -df /tmp/tmp.cer
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2022.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат:
Субъект:
Действителен с 15.11.2022 10:20:00 по 08.02.2024 10:20:00

Цепочки сертификатов проверены.
Копирование сертификатов завершено.
[ErrorCode: 0x00000000]
Вверх
Offline NickNV  
#10 Оставлено : 3 февраля 2023 г. 13:40:45(UTC)
NickNV

Статус: Участник

Группы: Участники
Зарегистрирован: 17.01.2023(UTC)
Сообщений: 10
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
Автор: nickm Перейти к цитате

В чём отличие (m) и (u) Вы уже ознакомились, полагаю повторять уже не стоит.


Да, это я понял, благодарю.

Код:
$ /opt/cprocsp/bin/amd64/cryptcp -copycert -dn CN=Имя -df /tmp/tmp.cer


А где взять имя сертификата для CN?
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET