Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2023(UTC) Сообщений: 23 
|
Настроил профиль без прокси, через шлюз. Ошибка прежняя. Куда копать?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2023(UTC) Сообщений: 23
|
Посмотрел трафик от браузера при попытке использовать ЭЦП. Подключения к crl3.tensor.ru есть, к tax4.tensor.ru - нет.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2023(UTC) Сообщений: 23
|
Обнаружил эту ошибку в свойствах сертификата, если использовать "Инструменты КриптоПро". Цитата:Цепочка сертификатов: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . (0x80092013) Вопрос остается открытым. Какой службе или приложению надо дать доступ в интернет, чтобы КриптоПро смогла достучаться до серверов отзывов?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2023(UTC) Сообщений: 23
|
Так и не дождался ответа, пришлось делать все самому. Это для списка отзывов Минцифры. Пользователь при появлении ошибки запускает скрипт и все начинает работать. Нужен Curl, каталог, из которого запускается скрипт, должен быть открыт на запись для пользователя. Перед первым запуском надо рядом со скриптом положить актуальный crl. Код:@echo off>nul
if exist guc2022.crl.prev del guc2022.crl.prev
if exist guc2022.crl rename guc2022.crl guc2022.crl.prev
call c:\Programs\curl\curl.exe "http://reestr-pki.ru/cdp/guc2022.crl" -o guc2022.crl
if errorlevel 1 (call :er1 & goto :finale)
comp guc2022.crl guc2022.crl.prev /m >nul
if errorlevel 1 (echo --- new file downloaded) else (call :er2 & goto :finale)
rem here installing crl
"c:\Program Files\Crypto Pro\CSP\certmgr.exe" -inst -store uCA -file guc2022.crl -crl -silent
if errorlevel 1 (call :er3 & goto :finale)
echo -------------------------------
echo --- new crl installed
echo -------------------------------
:finale
pause
goto :eof
:er1
echo -------------------------------
echo --- download failed
echo -------------------------------
exit /B
:er2
echo -------------------------------
echo --- no new file
echo -------------------------------
exit /B
:er3
echo -------------------------------
echo --- installing crl failed
echo -------------------------------
exit /B
Но это все равно как-то неправильно.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2023(UTC) Сообщений: 23
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
|
Автор: ReAlex  Но это все равно как-то неправильно. Да, неправильно. Такие задачи запускают из планировщика, с установкой сертификатов/списков отзыва в ("машинные") Root/CA хранилища. Задача запускается не реже одного раза в сутки. Оптимально - утром, перед началом рабочего дня. Можно, наверное и ежечасно. Ну и для данной задачи удобнее wget: Код:@echo off
setlocal
pushd "%~dp0" && goto start
echo. ChDir "%~dp0" impossible, exiting ...
exit/b %errorlevel%
:start
wget --unlink -N^
http://хост1/СОС1^
http://хост2/СОС2^
...
http://хост#/СОС#
for %%A in (*.crl) do @certutil -addstore CA "%%~A"
popd
endlocal
Если список отзывов очень длинный, то размещаем его в отдельном файле и загружаем командой: Код:wget --unlink -Ni список-urls
Можно и curl-ом, но список будет вместе с опциями:
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2023(UTC) Сообщений: 23
|
В моем случае списки обновляются раз в месяц, но не в одно и тоже время суток. Даже если их обновлять автоматом раз в день, все равно возникнет ситуация, когда новый список уже опубликован на сервере, но еще не скачан. Так что пусть уж пользователь сам это контролирует. Зачем скачивать каждый день файл, который нужен раз в месяц? Думаю, идеальным решением будет каждый раз смотреть дату протухания списка и назначать время задания на скачивание и установку на +10 минут. Дата протухания у нас есть. Код:ThisUpdate: 03/04/2023 10:50:01 UTC
NextUpdate: 03/05/2023 12:10:00 UTC
Когда я говорил, что это неправильно, я имел в виду, что это должно делаться средствами КриптоПро, а не наколенными скриптами.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
|
Автор: ReAlex В моем случае списки обновляются раз в месяц Подчеркнул ключевой момент. То, что вы можете целый месяц не знать, что конкретный сертификат уже отозван - вас не смущает. Но, почему-то, смущает суточное отставание.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2023(UTC) Сообщений: 23
|
Я кажется писал, это список отзывов для проверки сертификата, выданного Минцифрой Тензору. И он обновляется Минцифрой раз в месяц. Мы на это никак повлиять не можем. Но для работы ФГИС Зерна этот список должен быть актуален.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
|
Я, конечно, за модой вообще не слежу, но есть Г(оловной)У(достоверяющий)Ц(ентр), за который отвечает Минцифры.
Есть подчинённые промежуточные УЦ, за которые тоже отвечает Минцифры. Именно эти промежуточные УЦ выдают сертификаты аккредитованным удостоверяющим центрам. Тензору - в том числе.
Аккредитованный УЦ, конечно, может внезапно потерять аккредитацию, но это крайне маловероятно. Поэтому Минцифры и может обновлять списки отзыва раз в месяц.
А вот аккредитованный УЦ выдаёт сертификаты "конечным пользователям" и, вероятно, обновляет списки отзыва гораздо чаще.
Насколько я понимаю, список отзыва со сроком действия больше недели - скорее исключение, чем правило.
И вам надо скачивать не только списки отзыва Минцифры, но и списки отзыва всех УЦ, которые выдали сертификаты, попавшие к вам на проверкку.
Если УЦ не совсем криво публикует файлы списков отзыва, то wget -N будет скачивать только обновлённые файлы.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
