Статус: Участник
Группы: Участники
Зарегистрирован: 09.01.2023(UTC) Сообщений: 11  Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Добрый день! Подскажите пожалуйста, можно ли установить список отозванных сертификатов средствами браузерного плагина? В документации нашел объект CPCRL, инициализирую его и импортирую закодированную в base64 строку со списком отозванных сертификатов. Далее, как я понимаю, необходимо передать объект CPCRL в метод ICPStore::AddCRL. Стор открываю с параметрами StoreLocation - CADESCOM_MEMORY_STORE (0), StoreName - 'Ca' (пробовал 'Root', не помогло). Но почему-то не вижу список отзыва в инструментах КриптоПРО (ни во вкладке кэш, ни в промежуточных центрах сертификации). Что я делаю не так? Работает ли метод AddCRL в браузере и каким образом? Пример кода: Код:
const crlObject = yield plugin.CreateObjectAsync('CAdESCOM.CRL');
// crl - строка закодированная в base64, содержащая список отозванных сертификатов
yield crlObject.Import(crl);
const crlStore = yield plugin.CreateObjectAsync('CAdESCOM.Store');
yield crlStore.Open(0, 'Ca', 2);
yield crlStore.AddCRL(crlObject);
PS. Сама изначальная строка валидная. При декодировании ее и создании файла .crl из декодированного содержимого, файл можно спокойно импортировать в криптопровайдер и CRL будет доступен. Но задача стоит устанавливать список автоматически
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,045
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 141 раз в 127 постах
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.01.2023(UTC) Сообщений: 11 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Получаю от бэкенда закодированные в base64: - сертификат клиента (тот, для которого есть закрытый ключ, запрос создавался на компьютере пользователя и отправлялся в УЦ), - сертификат самого УЦ, - сертификат ключа финансового посредника (он будет передаваться в recipients при шифровании), - списки отозванных сертификатов УЦ. Необходимо установить списки отозванных сертификатов для подтверждения цепочки сертификата клиента. Так как без них, получаю ошибку в цепочке сертификатов: Процесс отмены не может быть продолжен - проверка сертификатов недоступна. (0x800b010e) Отредактировано пользователем 23 марта 2023 г. 11:58:56(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,045
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 141 раз в 127 постах
|
Списки отзыва формирует УЦ, поэтому их надо передавать не "с сертификатом клиента", а "по мере доступности".
Самое правильное решение - настроить обновление списков УЦ средствами ОС.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.01.2023(UTC) Сообщений: 11 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Автор: basid  Списки отзыва формирует УЦ, поэтому их надо передавать не "с сертификатом клиента", а "по мере доступности".
Самое правильное решение - настроить обновление списков УЦ средствами ОС. Правильно понимаю, что описанный в документации способ не работает? Требования бизнеса в задаче - наименьшее привлечение пользователя к ручной работе с сертификатами и списками отзыва. Можно ли все-таки как-то установить CRL средствами браузерного плагина. Допустим, запрашивать их мы будем "по мере доступности", а не вместе с сертификатами.
|
|
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 95 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 29 раз в 20 постах
|
Автор: couscous_mate Автор: basid Списки отзыва формирует УЦ, поэтому их надо передавать не "с сертификатом клиента", а "по мере доступности".
Самое правильное решение - настроить обновление списков УЦ средствами ОС. Правильно понимаю, что описанный в документации способ не работает? Требования бизнеса в задаче - наименьшее привлечение пользователя к ручной работе с сертификатами и списками отзыва. Можно ли все-таки как-то установить CRL средствами браузерного плагина. Допустим, запрашивать их мы будем "по мере доступности", а не вместе с сертификатами. Добрый день! Метод AddCRL работает только с типом хранилища CADESCOM_MEMORY_STORE. Хранилище этого типа является аналогом CAPICOM_MEMORY_STORE, изменения в нем не сохраняются. Этот метод нужно использовать только для проверки конкретной подписи или сертификата, но не для перманентной установки CRL на машину пользователя.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.01.2023(UTC) Сообщений: 11 Откуда: Москва Сказал(а) «Спасибо»: 3 раз
|
Спасибо за ответ! Автор: Ситдиков Денис Этот метод нужно использовать только для проверки конкретной подписи или сертификата, но не для перманентной установки CRL на машину пользователя. Было бы славно это в документации прописать. Так как в Инструментах КриптоПРО есть раздел списки отзыва и в нем подраздел "Кеш", что наводит на мысль, что все таки в кеш CRL положить можно.
|
|
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 95 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 29 раз в 20 постах
|
Добавили. Спасибо за обратную связь!
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
