Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<12345>
Опции
К последнему сообщению К первому непрочитанному
Offline ReAlex  
#21 Оставлено : 8 февраля 2023 г. 11:04:01(UTC)
ReAlex

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2023(UTC)
Сообщений: 23
Российская Федерация

Настроил профиль без прокси, через шлюз. Ошибка прежняя. Куда копать?
Offline ReAlex  
#22 Оставлено : 8 февраля 2023 г. 11:38:45(UTC)
ReAlex

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2023(UTC)
Сообщений: 23
Российская Федерация

Посмотрел трафик от браузера при попытке использовать ЭЦП. Подключения к crl3.tensor.ru есть, к tax4.tensor.ru - нет.
Offline ReAlex  
#23 Оставлено : 15 февраля 2023 г. 11:19:57(UTC)
ReAlex

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2023(UTC)
Сообщений: 23
Российская Федерация

Обнаружил эту ошибку в свойствах сертификата, если использовать "Инструменты КриптоПро".

Цитата:
Цепочка сертификатов: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . (0x80092013)


Вопрос остается открытым. Какой службе или приложению надо дать доступ в интернет, чтобы КриптоПро смогла достучаться до серверов отзывов?
Offline ReAlex  
#24 Оставлено : 28 марта 2023 г. 9:13:33(UTC)
ReAlex

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2023(UTC)
Сообщений: 23
Российская Федерация

Так и не дождался ответа, пришлось делать все самому. Это для списка отзывов Минцифры. Пользователь при появлении ошибки запускает скрипт и все начинает работать. Нужен Curl, каталог, из которого запускается скрипт, должен быть открыт на запись для пользователя. Перед первым запуском надо рядом со скриптом положить актуальный crl.
Код:
@echo off>nul

if exist guc2022.crl.prev del guc2022.crl.prev

if exist guc2022.crl rename guc2022.crl guc2022.crl.prev

call c:\Programs\curl\curl.exe "http://reestr-pki.ru/cdp/guc2022.crl" -o guc2022.crl

if errorlevel 1 (call :er1 & goto :finale)

comp guc2022.crl guc2022.crl.prev /m >nul

if errorlevel 1 (echo --- new file downloaded) else (call :er2 & goto :finale)

rem here installing crl

"c:\Program Files\Crypto Pro\CSP\certmgr.exe" -inst -store uCA -file guc2022.crl -crl -silent

if errorlevel 1 (call :er3 & goto :finale)
echo -------------------------------
echo --- new crl installed
echo -------------------------------

:finale

pause

goto :eof

:er1
echo -------------------------------
echo --- download failed
echo -------------------------------
exit /B

:er2
echo -------------------------------
echo --- no new file
echo -------------------------------
exit /B

:er3
echo -------------------------------
echo --- installing crl failed
echo -------------------------------
exit /B

Но это все равно как-то неправильно.
Offline ReAlex  
#25 Оставлено : 28 марта 2023 г. 12:53:56(UTC)
ReAlex

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2023(UTC)
Сообщений: 23
Российская Федерация

Или лучше устаревший.
Offline basid  
#26 Оставлено : 30 марта 2023 г. 8:40:31(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Автор: ReAlex Перейти к цитате
Но это все равно как-то неправильно.
Да, неправильно.
Такие задачи запускают из планировщика, с установкой сертификатов/списков отзыва в ("машинные") Root/CA хранилища.
Задача запускается не реже одного раза в сутки. Оптимально - утром, перед началом рабочего дня. Можно, наверное и ежечасно.
Ну и для данной задачи удобнее wget:
Код:
@echo off
setlocal
pushd "%~dp0" && goto start
echo. ChDir "%~dp0" impossible, exiting ...
exit/b %errorlevel%

:start
wget --unlink -N^
 http://хост1/СОС1^
 http://хост2/СОС2^
...
 http://хост#/СОС#

for %%A in (*.crl) do @certutil -addstore CA "%%~A"

popd
endlocal
Если список отзывов очень длинный, то размещаем его в отдельном файле и загружаем командой:
Код:
wget --unlink -Ni список-urls
Можно и curl-ом, но список будет вместе с опциями:
Код:
-OR http://хост#/СОС#
Offline ReAlex  
#27 Оставлено : 3 апреля 2023 г. 14:40:57(UTC)
ReAlex

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2023(UTC)
Сообщений: 23
Российская Федерация

В моем случае списки обновляются раз в месяц, но не в одно и тоже время суток. Даже если их обновлять автоматом раз в день, все равно возникнет ситуация, когда новый список уже опубликован на сервере, но еще не скачан. Так что пусть уж пользователь сам это контролирует. Зачем скачивать каждый день файл, который нужен раз в месяц?

Думаю, идеальным решением будет каждый раз смотреть дату протухания списка и назначать время задания на скачивание и установку на +10 минут.
Дата протухания у нас есть.
Код:
ThisUpdate: 03/04/2023  10:50:01 UTC
NextUpdate: 03/05/2023  12:10:00 UTC


Когда я говорил, что это неправильно, я имел в виду, что это должно делаться средствами КриптоПро, а не наколенными скриптами.
Offline basid  
#28 Оставлено : 3 апреля 2023 г. 16:03:32(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Автор: ReAlex Перейти к цитате
В моем случае списки обновляются раз в месяц
Подчеркнул ключевой момент.
То, что вы можете целый месяц не знать, что конкретный сертификат уже отозван - вас не смущает.
Но, почему-то, смущает суточное отставание.
Offline ReAlex  
#29 Оставлено : 4 апреля 2023 г. 11:28:12(UTC)
ReAlex

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2023(UTC)
Сообщений: 23
Российская Федерация

Я кажется писал, это список отзывов для проверки сертификата, выданного Минцифрой Тензору. И он обновляется Минцифрой раз в месяц. Мы на это никак повлиять не можем. Но для работы ФГИС Зерна этот список должен быть актуален.
Offline basid  
#30 Оставлено : 4 апреля 2023 г. 18:02:10(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,098

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 151 раз в 136 постах
Я, конечно, за модой вообще не слежу, но есть Г(оловной)У(достоверяющий)Ц(ентр), за который отвечает Минцифры.
Есть подчинённые промежуточные УЦ, за которые тоже отвечает Минцифры. Именно эти промежуточные УЦ выдают сертификаты аккредитованным удостоверяющим центрам. Тензору - в том числе.
Аккредитованный УЦ, конечно, может внезапно потерять аккредитацию, но это крайне маловероятно. Поэтому Минцифры и может обновлять списки отзыва раз в месяц.
А вот аккредитованный УЦ выдаёт сертификаты "конечным пользователям" и, вероятно, обновляет списки отзыва гораздо чаще.
Насколько я понимаю, список отзыва со сроком действия больше недели - скорее исключение, чем правило.
И вам надо скачивать не только списки отзыва Минцифры, но и списки отзыва всех УЦ, которые выдали сертификаты, попавшие к вам на проверкку.
Если УЦ не совсем криво публикует файлы списков отзыва, то wget -N будет скачивать только обновлённые файлы.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
5 Страницы<12345>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.