Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline ОнкоДисп  
#1 Оставлено : 20 мая 2024 г. 12:20:31(UTC)
ОнкоДисп

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.05.2024(UTC)
Сообщений: 8
Российская Федерация
Откуда: КБР

Здравствуйте.
Установили КриптоПро CSP 5.0.12000 на новый компьютер с ОС AstraLinux. Через учетную запись Администратора при проверки создания электронной подписи CAdES-BES подпись формируется успешно ошибок нет.
Но при попытке проверки создания ЭП из учетной записи пользователя появляется ошибка: "Ошибка при проверке цепочки сертификатов. Возможно на компьютере не установлены сертификаты УЦ, выдавшего ваш сертификат"

Oshibka pri proverke cepochki sertifikatov.png (71kb) загружен 7 раз(а).

При этом формирование ЭП идет несколько минут.
Так же при попытке открыть свойства сертификата КриптоПро зависает и открывает свойства так же спустя несколько минут. При этом внутри свойств в графе "Цепочка сертификатов" ошибка "Процесс отмены не может быть продолжен - проверка сертификатов недоступна"

Process otmeny ne mozhet byt' prodolzhen.png (70kb) загружен 6 раз(а).

ЭЦП была выдана Казначейством.
Доверенные, промежуточные, анулированные сертификаты устанавливались.
Непонятно почему Подпись формируется через Администратора, но не через Пользователя.
Offline nickm  
#2 Оставлено : 20 мая 2024 г. 12:34:37(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,346

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: ОнкоДисп Перейти к цитате
Непонятно почему Подпись формируется через Администратора, но не через Пользователя.

Очевидно, что корневой и промежуточные сертификаты установлены из-под одного пользователя, хранилища которого, недоступны другому.

Вы можете привести листинг установленных корневых и промежуточных сертификатов из-под проблемного пользователя?

Хотя у Вас с цепочкой полный порядок.

Похоже на то, что у Вас проблема с доступом к спискам отзывов.

Доступ к сети Интернет ограничен? VPN, прокси, защитное ПО и прочее?

Во время просмотра свойств сертификата загляните в системный лог, что отобразится?

Отредактировано пользователем 20 мая 2024 г. 12:36:28(UTC)  | Причина: Не указана

Offline ОнкоДисп  
#3 Оставлено : 20 мая 2024 г. 13:00:14(UTC)
ОнкоДисп

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.05.2024(UTC)
Сообщений: 8
Российская Федерация
Откуда: КБР

Автор: nickm Перейти к цитате
Автор: ОнкоДисп Перейти к цитате
Непонятно почему Подпись формируется через Администратора, но не через Пользователя.

Очевидно, что корневой и промежуточные сертификаты установлены из-под одного пользователя, хранилища которого, недоступны другому.

Вы можете привести листинг установленных корневых и промежуточных сертификатов из-под проблемного пользователя?

Хотя у Вас с цепочкой полный порядок.

Похоже на то, что у Вас проблема с доступом к спискам отзывов.

Доступ к сети Интернет ограничен? VPN, прокси, защитное ПО и прочее?

Во время просмотра свойств сертификата загляните в системный лог, что отобразится?


Doverennye kornevye.png (111kb) загружен 5 раз(а). Promezhutochnye.png (200kb) загружен 5 раз(а).

Доступ к сети Интернет не ограничен. VPN, прокси и защитное ПО не стоят.

Фрагмент логов после открытия свойств сертификата syslog.txt (19kb) загружен 2 раз(а).
Offline nickm  
#4 Оставлено : 20 мая 2024 г. 13:09:47(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,346

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: ОнкоДисп Перейти к цитате
Фрагмент логов после открытия свойств сертификата

Код:
May 20 12:44:34 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://reestr-pki.ru/cdp/guc2022.crl). 
May 20 12:44:34 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:39 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://company.rt.ru/cdp/guc2022.crl). 
May 20 12:44:39 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:44 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://rostelecom.ru/cdp/guc2022.crl). 
May 20 12:44:44 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:49 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://reestr-pki.ru/cdp/guc2022.crl). 
May 20 12:44:49 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:54 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://company.rt.ru/cdp/guc2022.crl). 
May 20 12:44:54 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:59 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://rostelecom.ru/cdp/guc2022.crl). 
May 20 12:44:59 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004


Вот это и означает проблему доступа к спискам отзывов:

Цитата:
12002 ERROR_INTERNET_TIMEOUT


Проверяйте, что может блокировать доступ к указанным адресам.

А, как у Вас со скоростью доступа к сети Интернет?

Проверять доступ можете в консоли, например, таким образом:
Код:
$ /opt/cprocsp/bin/amd64/curl http://company.rt.ru/cdp/guc2022.crl -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1438  100  1438    0     0   9044      0 --:--:-- --:--:-- --:--:--  9044


Код:
$ /opt/cprocsp/bin/amd64/curl http://reestr-pki.ru/cdp/guc2022.crl -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1438  100  1438    0     0  13439      0 --:--:-- --:--:-- --:--:-- 13439

Отредактировано пользователем 20 мая 2024 г. 13:14:30(UTC)  | Причина: Не указана

Offline nickm  
#5 Оставлено : 20 мая 2024 г. 13:26:58(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,346

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
+
у Вас корневой сертификат затесался в промежуточное хранилище:
Код:
$ /opt/cprocsp/bin/amd64/certmgr -list -store uCA | grep -A5 -B3 -i 00951FA3477C61043AADFA858627823442

Отредактировано пользователем 20 мая 2024 г. 13:31:10(UTC)  | Причина: Не указана

Offline nickm  
#6 Оставлено : 20 мая 2024 г. 13:56:09(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,346

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: ОнкоДисп Перейти к цитате
Доверенные, промежуточные, анулированные сертификаты устанавливались.

Избегайте ручной установки списков отзывов сертификатов если на то, отсутствует необходимость.

Я бы порекомендовал Вам удалить ранее установленные списки отзывов и разобраться с доступом к сети Интернет, после проверить автоматическую подгрузку списков отзывов из сети Интернет и успешное формирование подписи.
Offline ОнкоДисп  
#7 Оставлено : 20 мая 2024 г. 14:14:56(UTC)
ОнкоДисп

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.05.2024(UTC)
Сообщений: 8
Российская Федерация
Откуда: КБР

Автор: nickm Перейти к цитате
Автор: ОнкоДисп Перейти к цитате
Фрагмент логов после открытия свойств сертификата

Код:
May 20 12:44:34 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://reestr-pki.ru/cdp/guc2022.crl). 
May 20 12:44:34 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:39 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://company.rt.ru/cdp/guc2022.crl). 
May 20 12:44:39 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:44 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://rostelecom.ru/cdp/guc2022.crl). 
May 20 12:44:44 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:49 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://reestr-pki.ru/cdp/guc2022.crl). 
May 20 12:44:49 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:54 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://company.rt.ru/cdp/guc2022.crl). 
May 20 12:44:54 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 
May 20 12:44:59 astra certmgr: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://rostelecom.ru/cdp/guc2022.crl). 
May 20 12:44:59 astra certmgr: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004


Вот это и означает проблему доступа к спискам отзывов:

Цитата:
12002 ERROR_INTERNET_TIMEOUT


Проверяйте, что может блокировать доступ к указанным адресам.

А, как у Вас со скоростью доступа к сети Интернет?

Проверять доступ можете в консоли, например, таким образом:
Код:
$ /opt/cprocsp/bin/amd64/curl http://company.rt.ru/cdp/guc2022.crl -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1438  100  1438    0     0   9044      0 --:--:-- --:--:-- --:--:--  9044


Код:
$ /opt/cprocsp/bin/amd64/curl http://reestr-pki.ru/cdp/guc2022.crl -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1438  100  1438    0     0  13439      0 --:--:-- --:--:-- --:--:-- 13439




Код:
$ /opt/cprocsp/bin/amd64/curl http://company.rt.ru/cdp/guc2022.crl -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1438  100  1438    0     0    267      0  0:00:05  0:00:05 --:--:--   318



Код:
$ /opt/cprocsp/bin/amd64/curl http://reestr-pki.ru/cdp/guc2022.crl -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1438  100  1438    0     0    278      0  0:00:05  0:00:05 --:--:--   305
Offline nickm  
#8 Оставлено : 20 мая 2024 г. 14:28:25(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,346

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: ОнкоДисп Перейти к цитате
Код:
$ /opt/cprocsp/bin/amd64/curl http://company.rt.ru/cdp/guc2022.crl -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1438  100  1438    0     0    267      0  0:00:05  0:00:05 --:--:--   318



Код:
$ /opt/cprocsp/bin/amd64/curl http://reestr-pki.ru/cdp/guc2022.crl -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1438  100  1438    0     0    278      0  0:00:05  0:00:05 --:--:--   305

Автор: nickm Перейти к цитате
А, как у Вас со скоростью доступа к сети Интернет?

~3 мбит/ сек, в таком случае следует/ попробуйте увеличивать таймауты загрузки CRL.

Автор: Русев Андрей Перейти к цитате
Если у вас просто тормозная сеть, то можно попросить КриптоПро CSP давать не 15 секунд на скачивание, а побольше:
Код:
~# /opt/cprocsp/sbin/amd64/cpconfig -ini '\cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainUrlRetrievalTimeoutMilliseconds 30000




Offline ОнкоДисп  
#9 Оставлено : 20 мая 2024 г. 14:39:56(UTC)
ОнкоДисп

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.05.2024(UTC)
Сообщений: 8
Российская Федерация
Откуда: КБР

Автор: nickm Перейти к цитате
Автор: ОнкоДисп Перейти к цитате
Доверенные, промежуточные, анулированные сертификаты устанавливались.

Избегайте ручной установки списков отзывов сертификатов если на то, отсутствует необходимость.

Я бы порекомендовал Вам удалить ранее установленные списки отзывов и разобраться с доступом к сети Интернет, после проверить автоматическую подгрузку списков отзывов из сети Интернет и успешное формирование подписи.


Каким образом можно проверить автоматическую подгрузку списков отзывов из сети интернет?
Offline nickm  
#10 Оставлено : 20 мая 2024 г. 14:55:13(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,346

Сказал(а) «Спасибо»: 568 раз
Поблагодарили: 397 раз в 376 постах
Автор: ОнкоДисп Перейти к цитате
Каким образом можно проверить автоматическую подгрузку списков отзывов из сети интернет?

По отсутствию подобных ошибок в системном журнале:



, а так же наполнению хранилища ucache, например:

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.