Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163  Откуда: Москва Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
|
КриптоПро CSP 5.0.12500 на Linux.
Установлены необходимые списки отзыва и корни. Сертификат проходит проверку. Но если установить пакеты cprocsp-pki-plugin-64-2.0.14589-1.x86_64 и cprocsp-pki-cades-64-2.0.14589-1.x86_64, то цепочка перестает строиться. После удаления этих пакетов, все приходит в норму. В чем может быть дело?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163 Откуда: Москва Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
|
Провел эксперимент на КриптоПро 5.0R2. Сгенерировал тестовый сертификат на тестовом УЦ КриптоПро https://www.cryptopro.ru/certsrv/Установил корень и сос в mRoot. Проверка проходит. Как только ставишь пакет cprocsp-pki-cades-64-2.0.14660-1.amd64.rpm - перестает находить список отзыва. Проверил на КриптоПро 5.0R3(12330) - тот же результат. При установленном PKI-CADES не проходит сертификат проверку. Отредактировано пользователем 9 марта 2023 г. 17:36:37(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163 Откуда: Москва Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
|
Установил сборку 5.0.12600 - там плагин идет в составе дистрибутива. Если его установить, то проверка сертификата не проходит. Если плагин не устанавливать, то все работает.
Заказчик планирует переходить на 5.0 - это критичная ошибка.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,853  Сказал «Спасибо»: 586 раз
Поблагодарили: 2320 раз в 1818 постах
|
1. Как \ в каком ПО проверяете? Какая ошибка\текст\код? 2. Указанный УЦ - корневой на базе ГОСТ-2001, лучше использовать: http://testgost2012.cryptopro.ru/certsrv/3. В тексте указано "установил CRL в mRoot" .. ? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163 Откуда: Москва Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
|
Автор: Андрей *  1. Как \ в каком ПО проверяете? Какая ошибка\текст\код? Обращаемся через API - вызываем CertGetCertificateChain. Возвращается код dwErrorStatus=0x00000040 - неизвестно состояние списка отзывов. Параметры вызова: CERT_CHAIN_REVOCATION_CHECK_CHAIN | CERT_CHAIN_REVOCATION_CHECK_CACHE_ONLY Автор: Андрей * Не имеет значения. Попробовал сегенеренный на ГОСТ-2012 - результат не отличается. Автор: Андрей * 3. В тексте указано "установил CRL в mRoot" .. ? Да. Устанавливал в mRoot. Без плагина все ок, с плагином - нет.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,486 Сказал «Спасибо»: 53 раз
Поблагодарили: 802 раз в 741 постах
|
Автор: Роман кислухин Автор: Андрей * 1. Как \ в каком ПО проверяете? Какая ошибка\текст\код? Обращаемся через API - вызываем CertGetCertificateChain. Возвращается код dwErrorStatus=0x00000040 - неизвестно состояние списка отзывов. Параметры вызова: CERT_CHAIN_REVOCATION_CHECK_CHAIN | CERT_CHAIN_REVOCATION_CHECK_CACHE_ONLY Автор: Андрей * Не имеет значения. Попробовал сегенеренный на ГОСТ-2012 - результат не отличается. Автор: Андрей * 3. В тексте указано "установил CRL в mRoot" .. ? Да. Устанавливал в mRoot. Без плагина все ок, с плагином - нет. Здравствуйте. Воспроизвели на стенде проблему при установке списков отзыва в хранилище root (CPCSP-13538). Если всё же устанавливать списки отзыва в нужное хранилище ca - Промежуточные центры сертификации ( uca для пользователя или mca глобально для компьютера), то проблема не воспроизводится. Решение: устанавливать списки отзыва в предназначенное для этого хранилище ca. Отредактировано пользователем 24 марта 2023 г. 17:39:17(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил Александр Лавник за этот пост.
|
nickm оставлено 24.03.2023(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,736
Сказал(а) «Спасибо»: 626 раз
Поблагодарили: 469 раз в 442 постах
|
Автор: Александр Лавник Если всё же устанавливать списки отзыва в нужное хранилище ca - Промежуточные центры сертификации (uca для пользователя или mca глобально для компьютера), то проблема не воспроизводится.
Решение: устанавливать списки отзыва в предназначенное для этого хранилище ca. Ну так это очевидное решение. Когда пользователь говорит, что все сертификаты установил, но при этом цепочка не строится, то как раз первым делом, для решения вопроса, хранилища вычищаются/ выверяются, где лишние/ ошибочные сертификаты удаляются, нужные доустанавливаются.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,524
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 620 раз в 430 постах
|
Добавлю, что для установки сертификатов и CRL-ей лучше использовать Инструменты КриптоПро (cptools), тогда ничего про хранилища знать не надо - всё само поставится в нужные места. Отмечу также, что мы интегрировали cptools в стандартный "проводник", так что можно ставить всё в нужные места мышью, даже не запуская явно cptools. |
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
nickm оставлено 25.03.2023(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,736
Сказал(а) «Спасибо»: 626 раз
Поблагодарили: 469 раз в 442 постах
|
Автор: olin Добавлю, что для установки сертификатов и CRL-ей лучше использовать Инструменты КриптоПро (cptools), тогда ничего про хранилища знать не надо - всё само поставится в нужные места. Отмечу также, что мы интегрировали cptools в стандартный "проводник", так что можно ставить всё в нужные места мышью, даже не запуская явно cptools. Так понимаю речь идёт о новой версии утилиты cptools в составе будущей, промежуточной версии СКЗИ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,524
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 620 раз в 430 постах
|
Автор: nickm Автор: olin Добавлю, что для установки сертификатов и CRL-ей лучше использовать Инструменты КриптоПро (cptools), тогда ничего про хранилища знать не надо - всё само поставится в нужные места. Отмечу также, что мы интегрировали cptools в стандартный "проводник", так что можно ставить всё в нужные места мышью, даже не запуская явно cptools. Так понимаю речь идёт о новой версии утилиты cptools в составе будущей, промежуточной версии СКЗИ? Автоматическое распределение сертификатов по хранилищам было ещё в КриптоПро CSP 5.0.12000 Kraken, а интеграция с проводником на Linux и macOS появилась в КриптоПро CSP 5.0.12500 Perun. В ближайшей версии появится ещё drag and drop. |
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
nickm оставлено 25.03.2023(UTC)
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
