Статус: Новичок
Группы: Участники
Зарегистрирован: 02.03.2023(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 3 раз
|
Добрый день! Требуется протестировать корректность проверки отозванных сертификатов по CRL или(и) по OCSP перед подписанием. Для этих целей был выпущен тестовый сертификат http://testca2012/cryptopro.ru/ui, затем был отозван там же. Но следующие проверки проходят успешно: успешная проверка цепочки сертификатов - ./certmgr -list -chain -file test.cer; в указанном списке отзыва (его адрес взял из описания сертификата) также отсутствует серийный номер тестового сертификата (проверял тут https://lapo.it/asn1js/)Может это проблема именно тестового центра?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,074   Сказал «Спасибо»: 612 раз
Поблагодарили: 2371 раз в 1866 постах
|
Здравствуйте.
CRL имеет период действия.
В новом - должен быть среди отозванных. |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.03.2023(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 3 раз
|
Автор: Андрей *  Здравствуйте.
CRL имеет период действия.
В новом - должен быть среди отозванных. Так и подумал, нашел в cptools раздел "Списки отзыва", там в кеше обнаружил, что списки отзыва по указанному url и правда скачиваются. Решил удалить из кеша, чтобы "подкачать" обновленный, но там все еще отсутствует мой.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,074 Сказал «Спасибо»: 612 раз
Поблагодарили: 2371 раз в 1866 постах
|
Автор: Дмитрий2776 Автор: Андрей * Здравствуйте.
CRL имеет период действия.
В новом - должен быть среди отозванных. Так и подумал, нашел в cptools раздел "Списки отзыва", там в кеше обнаружил, что списки отзыва по указанному url и правда скачиваются. Решил удалить из кеша, чтобы "подкачать" обновленный, но там все еще отсутствует мой. Когда отозвали? Какой период действия в CRL? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.03.2023(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 3 раз
|
Автор: Андрей * Автор: Дмитрий2776 Автор: Андрей * Здравствуйте.
CRL имеет период действия.
В новом - должен быть среди отозванных. Так и подумал, нашел в cptools раздел "Списки отзыва", там в кеше обнаружил, что списки отзыва по указанному url и правда скачиваются. Решил удалить из кеша, чтобы "подкачать" обновленный, но там все еще отсутствует мой. Когда отозвали? Какой период действия в CRL? Отозван сертификат был вчера (01.03) В кеш подкачиваются CRL для "Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)" со сроком до 01.04.2023 И CRL для "Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)" со сроком до 02.03.2023
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 468
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Код:openssl pkcs7 -inform DER -in cacerts.p7b -print_certs | openssl crl -lastupdate
lastUpdate=Mar 2 10:50:08 2023 GMT
Сегодня CRL обновился, в нем проверяли ? |
|
1 пользователь поблагодарил TolikTipaTut1 за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.03.2023(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 3 раз
|
Автор: TolikTipaTut1 Код:openssl pkcs7 -inform DER -in cacerts.p7b -print_certs | openssl crl -lastupdate
lastUpdate=Mar 2 10:50:08 2023 GMT
Сегодня CRL обновился, в нем проверяли ? Неоднократно после указанного вами времени удалял CRL из кеша и скачивал вновь. И почему-то только сейчас подкачался CRL со сроком действия до 03.03 (по переписке можете видеть, что до этого мне постоянно скачивался со сроком действия до 02.02) Наконец-то вижу свой сертификат в списке отозванных, странно правда, что столько времени потребовалось. Всем спасибо!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 468
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Подтверждаю. Если глянуть внутрь серта, то crl, который указан в серте, фактически, пустой ? ... Выкачивал cacerts.p7b в 14:05:50  cacerts.zip (18kb) загружен 1 раз(а).Код:1. openssl pkcs7 -inform DER -in cacerts.p7b -print_certs | openssl x509 -text | grep crl
URI:http://testca2012.cryptopro.ru/cdp/7f6b47c523681b0c599f6b3aab3c40ccae08e8ec.crl
2. curl --engine gost http://testca2012.cryptopro.ru/cdp/7f6b47c523681b0c599f6b3aab3c40ccae08e8ec.crl --output crl_clone.crl
3. openssl crl -in crl_clone.crl -inform DER -nextupdate -noout
nextUpdate=Apr 1 23:10:00 2023 GMT
4. openssl asn1parse -inform DER -in crl_clone.crl
0:d=0 hl=4 l= 620 cons: SEQUENCE
4:d=1 hl=4 l= 537 cons: SEQUENCE
8:d=2 hl=2 l= 1 prim: INTEGER :01
11:d=2 hl=2 l= 10 cons: SEQUENCE
13:d=3 hl=2 l= 8 prim: OBJECT :GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
23:d=2 hl=4 l= 336 cons: SEQUENCE
27:d=3 hl=2 l= 11 cons: SET
29:d=4 hl=2 l= 9 cons: SEQUENCE
31:d=5 hl=2 l= 3 prim: OBJECT :countryName
36:d=5 hl=2 l= 2 prim: PRINTABLESTRING :RU
40:d=3 hl=2 l= 21 cons: SET
42:d=4 hl=2 l= 19 cons: SEQUENCE
44:d=5 hl=2 l= 5 prim: OBJECT :1.2.643.100.4
51:d=5 hl=2 l= 10 prim: NUMERICSTRING :7717107991
63:d=3 hl=2 l= 32 cons: SET
65:d=4 hl=2 l= 30 cons: SEQUENCE
67:d=5 hl=2 l= 9 prim: OBJECT :emailAddress
78:d=5 hl=2 l= 17 prim: IA5STRING :info@cryptopro.ru
97:d=3 hl=2 l= 24 cons: SET
99:d=4 hl=2 l= 22 cons: SEQUENCE
101:d=5 hl=2 l= 5 prim: OBJECT :OGRN
108:d=5 hl=2 l= 13 prim: NUMERICSTRING :1037700085444
123:d=3 hl=2 l= 24 cons: SET
125:d=4 hl=2 l= 22 cons: SEQUENCE
127:d=5 hl=2 l= 3 prim: OBJECT :stateOrProvinceName
132:d=5 hl=2 l= 15 prim: UTF8STRING :77 Москва
149:d=3 hl=2 l= 21 cons: SET
151:d=4 hl=2 l= 19 cons: SEQUENCE
153:d=5 hl=2 l= 3 prim: OBJECT :localityName
158:d=5 hl=2 l= 12 prim: UTF8STRING :Москва
172:d=3 hl=2 l= 47 cons: SET
174:d=4 hl=2 l= 45 cons: SEQUENCE
176:d=5 hl=2 l= 3 prim: OBJECT :streetAddress
181:d=5 hl=2 l= 38 prim: UTF8STRING :ул. Сущёвский вал д. 18
221:d=3 hl=2 l= 37 cons: SET
223:d=4 hl=2 l= 35 cons: SEQUENCE
225:d=5 hl=2 l= 3 prim: OBJECT :organizationName
230:d=5 hl=2 l= 28 prim: UTF8STRING :ООО "КРИПТО-ПРО"
260:d=3 hl=2 l= 101 cons: SET
262:d=4 hl=2 l= 99 cons: SEQUENCE
264:d=5 hl=2 l= 3 prim: OBJECT :commonName
269:d=5 hl=2 l= 92 prim: UTF8STRING :Тестовый головной УЦ ООО "КРИПТО-ПРО" ГОСТ 2012 (УЦ 2.0)
363:d=2 hl=2 l= 13 prim: UTCTIME :230301105008Z
378:d=2 hl=2 l= 13 prim: UTCTIME :230401231000Z
393:d=2 hl=2 l= 50 cons: SEQUENCE
395:d=3 hl=2 l= 48 cons: SEQUENCE
397:d=4 hl=2 l= 17 prim: INTEGER :030518C900BCAE6FB845E4D18D4BA884EA
416:d=4 hl=2 l= 13 prim: UTCTIME :220625210000Z
431:d=4 hl=2 l= 12 cons: SEQUENCE
433:d=5 hl=2 l= 10 cons: SEQUENCE
435:d=6 hl=2 l= 3 prim: OBJECT :X509v3 CRL Reason Code
440:d=6 hl=2 l= 3 prim: OCTET STRING [HEX DUMP]:0A0102
445:d=2 hl=2 l= 98 cons: cont [ 0 ]
447:d=3 hl=2 l= 96 cons: SEQUENCE
449:d=4 hl=2 l= 31 cons: SEQUENCE
451:d=5 hl=2 l= 3 prim: OBJECT :X509v3 Authority Key Identifier
456:d=5 hl=2 l= 24 prim: OCTET STRING [HEX DUMP]:301680147F6B47C523681B0C599F6B3AAB3C40CCAE08E8EC
482:d=4 hl=2 l= 11 cons: SEQUENCE
484:d=5 hl=2 l= 3 prim: OBJECT :X509v3 CRL Number
489:d=5 hl=2 l= 4 prim: OCTET STRING [HEX DUMP]:020200D7
495:d=4 hl=2 l= 28 cons: SEQUENCE
497:d=5 hl=2 l= 9 prim: OBJECT :1.3.6.1.4.1.311.21.4
508:d=5 hl=2 l= 15 prim: OCTET STRING [HEX DUMP]:170D3233303430313131303030305A
525:d=4 hl=2 l= 18 cons: SEQUENCE
527:d=5 hl=2 l= 9 prim: OBJECT :1.3.6.1.4.1.311.21.1
538:d=5 hl=2 l= 5 prim: OCTET STRING [HEX DUMP]:0203040004
545:d=1 hl=2 l= 10 cons: SEQUENCE
547:d=2 hl=2 l= 8 prim: OBJECT :GOST R 34.10-2012 with GOST R 34.11-2012 (256 bit)
557:d=1 hl=2 l= 65 prim: BIT STRING
Отредактировано пользователем 2 марта 2023 г. 14:37:48(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,074 Сказал «Спасибо»: 612 раз
Поблагодарили: 2371 раз в 1866 постах
|
Автор: Дмитрий2776 Автор: TolikTipaTut1 Код:openssl pkcs7 -inform DER -in cacerts.p7b -print_certs | openssl crl -lastupdate
lastUpdate=Mar 2 10:50:08 2023 GMT
Сегодня CRL обновился, в нем проверяли ? Неоднократно после указанного вами времени удалял CRL из кеша и скачивал вновь. И почему-то только сейчас подкачался CRL со сроком действия до 03.03 (по переписке можете видеть, что до этого мне постоянно скачивался со сроком действия до 02.02) Наконец-то вижу свой сертификат в списке отозванных, странно правда, что столько времени потребовалось. Всем спасибо! Snimok ehkrana ot 2023-03-02 15-33-35.png (84kb) загружен 14 раз(а). Snimok ehkrana ot 2023-03-02 15-33-19.png (87kb) загружен 11 раз(а). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 468
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 69 раз в 61 постах
|
Автор: Андрей * Автор: Дмитрий2776 Автор: TolikTipaTut1 Код:openssl pkcs7 -inform DER -in cacerts.p7b -print_certs | openssl crl -lastupdate
lastUpdate=Mar 2 10:50:08 2023 GMT
Сегодня CRL обновился, в нем проверяли ? Неоднократно после указанного вами времени удалял CRL из кеша и скачивал вновь. И почему-то только сейчас подкачался CRL со сроком действия до 03.03 (по переписке можете видеть, что до этого мне постоянно скачивался со сроком действия до 02.02) Наконец-то вижу свой сертификат в списке отозванных, странно правда, что столько времени потребовалось. Всем спасибо! Snimok ehkrana ot 2023-03-02 15-33-35.png (84kb) загружен 14 раз(а). Snimok ehkrana ot 2023-03-02 15-33-19.png (87kb) загружен 11 раз(а). Та как так-то... Почему у меня crl пустой ? ...  |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
