Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline funkymonk  
#11 Оставлено : 24 апреля 2008 г. 18:13:33(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

И еще, прочел про утилиту certutil, пробовал вот такую команду:

certutil -verify -urlfetch

при попытке обращения по URL взятому из AIA получаю такое сообщение

---------------- Сертификат AIA ----------------
Ошибка "AIA" Время: 0
Ошибка при получении URL: Требуемый объект не найден. 0x80092009 (-2146885623)
http://bft-0idesebr99r/ocsp/ocsp.srf

В жрунале службы ocsp читаю следующее:

Отправлен ответ слуюжы не содержащий информации о статусах сертификатов.

Что бы это значило?
Offline funkymonk  
#12 Оставлено : 24 апреля 2008 г. 18:14:38(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Смирнов написал:
Для начала просмотрите сертификат средствами ОС. Должна построиться цепочка без ошибок.


ОС показывает цепочку. Последний - сертификат ЦС.
Offline Павел Смирнов  
#13 Оставлено : 24 апреля 2008 г. 18:20:49(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
-urlfetch проверяет не то, что Вас интересует.
Приведите в форуме вывод команды certutil -verify -v. Выполнить её надо на той же машине и под тем же пользователем, под которым осуществляется создание КриптоПро ЭЦП.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline funkymonk  
#14 Оставлено : 24 апреля 2008 г. 18:31:37(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

вот что выдал -verify с -v:

Цитата:
Поставщик:
CN=Test CA Deadlock
OU=CROT
O=BFT
L=MOSCOW
S=MOSCOW
C=RU
E=admin@testca.ru
[0,0]: CERT_RDN_IA5_STRING, Длина = 15 (15/128 Символы)
1.2.840.113549.1.9.1 Электронная почта (E)="admin@testca.ru"

61 64 6d 69 6e 40 74 65 73 74 63 61 2e 72 75 admin@testca.ru

61 00 64 00 6d 00 69 00 6e 00 40 00 74 00 65 00 a.d.m.i.n.@.t.e.
73 00 74 00 63 00 61 00 2e 00 72 00 75 00 s.t.c.a...r.u.

[1,0]: CERT_RDN_PRINTABLE_STRING, Длина = 2 (2/2 Символы)
2.5.4.6 Страна или регион (C)="RU"

52 55 RU

52 00 55 00 R.U.

[2,0]: CERT_RDN_PRINTABLE_STRING, Длина = 6 (6/128 Символы)
2.5.4.8 Область, штат (S)="MOSCOW"

4d 4f 53 43 4f 57 MOSCOW

4d 00 4f 00 53 00 43 00 4f 00 57 00 M.O.S.C.O.W.

[3,0]: CERT_RDN_PRINTABLE_STRING, Длина = 6 (6/128 Символы)
2.5.4.7 Размещение (L)="MOSCOW"

4d 4f 53 43 4f 57 MOSCOW

4d 00 4f 00 53 00 43 00 4f 00 57 00 M.O.S.C.O.W.

[4,0]: CERT_RDN_PRINTABLE_STRING, Длина = 3 (3/64 Символы)
2.5.4.10 Организация (O)="BFT"

42 46 54 BFT

42 00 46 00 54 00 B.F.T.

[5,0]: CERT_RDN_PRINTABLE_STRING, Длина = 4 (4/64 Символы)
2.5.4.11 Подразделение (OU)="CROT"

43 52 4f 54 CROT

43 00 52 00 4f 00 54 00 C.R.O.T.

[6,0]: CERT_RDN_PRINTABLE_STRING, Длина = 16 (16/64 Символы)
2.5.4.3 Обычное имя (CN)="Test CA Deadlock"

54 65 73 74 20 43 41 20 44 65 61 64 6c 6f 63 6b Test CA Deadlock

54 00 65 00 73 00 74 00 20 00 43 00 41 00 20 00 T.e.s.t. .C.A. .
44 00 65 00 61 00 64 00 6c 00 6f 00 63 00 6b 00 D.e.a.d.l.o.c.k.

Субъект:
CN=Client
OU=DC
O=BFT
L=Msk
C=RU
E=Client@pochta.ru
[0,0]: CERT_RDN_IA5_STRING, Длина = 16 (16/128 Символы)
1.2.840.113549.1.9.1 Электронная почта (E)="Client@pochta.ru"

43 6c 69 65 6e 74 40 70 6f 63 68 74 61 2e 72 75 Client@pochta.ru

43 00 6c 00 69 00 65 00 6e 00 74 00 40 00 70 00 C.l.i.e.n.t.@.p.
6f 00 63 00 68 00 74 00 61 00 2e 00 72 00 75 00 o.c.h.t.a...r.u.

[1,0]: CERT_RDN_PRINTABLE_STRING, Длина = 2 (2/2 Символы)
2.5.4.6 Страна или регион (C)="RU"

52 55 RU

52 00 55 00 R.U.

[2,0]: CERT_RDN_PRINTABLE_STRING, Длина = 3 (3/128 Символы)
2.5.4.7 Размещение (L)="Msk"

4d 73 6b Msk

4d 00 73 00 6b 00 M.s.k.

[3,0]: CERT_RDN_PRINTABLE_STRING, Длина = 3 (3/64 Символы)
2.5.4.10 Организация (O)="BFT"

42 46 54 BFT

42 00 46 00 54 00 B.F.T.

[4,0]: CERT_RDN_PRINTABLE_STRING, Длина = 2 (2/64 Символы)
2.5.4.11 Подразделение (OU)="DC"

44 43 DC

44 00 43 00 D.C.

[5,0]: CERT_RDN_PRINTABLE_STRING, Длина = 6 (6/64 Символы)
2.5.4.3 Обычное имя (CN)="Client"

43 6c 69 65 6e 74 Client

43 00 6c 00 69 00 65 00 6e 00 74 00 C.l.i.e.n.t.

Серийный номер сертификата: 1395db2600000000002d
2d 00 00 00 00 00 26 db 95 13

dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 3 Days, 3 Hours, 40 Minutes, 20 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 3 Days, 3 Hours, 40 Minutes, 20 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=Test CA Deadlock, OU=CROT, O=BFT, L=MOSCOW, S=MOSCOW, C=RU, E=admin@testca.ru
Subject: CN=Client, OU=DC, O=BFT, L=Msk, C=RU, E=Client@pochta.ru
Serial: 1395db2600000000002d
8e 19 5c b3 ff 9f 30 74 5d 77 e5 2c 11 26 e7 11 65 07 47 e4
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
CRL 4:
Issuer: CN=Test CA Deadlock, OU=CROT, O=BFT, L=MOSCOW, S=MOSCOW, C=RU, E=admin@testca.ru
03 36 c4 ea cb 6f fb 77 76 cb d0 2b 1e 25 60 37 b5 52 1b b2
Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[1] = 1.2.643.2.2.34.7 Центр Регистрации, КриптоПро ЦР, HTTP, TLS клиент

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=Test CA Deadlock, OU=CROT, O=BFT, L=MOSCOW, S=MOSCOW, C=RU, E=admin@testca.ru
Subject: CN=Test CA Deadlock, OU=CROT, O=BFT, L=MOSCOW, S=MOSCOW, C=RU, E=admin@testca.ru
Serial: 66faf4eeceaff09c47f057f3912229ac
ce f1 4a 9e c6 41 c1 95 33 90 7e 51 b4 f5 af d1 f6 55 ad 9d
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

Exclude leaf cert:
41 5e b7 a0 31 8a 31 5a 88 90 bf 33 ed 97 59 29 8d 2f b6 b4
Full chain:
76 87 d0 55 e6 6b 4b 73 b4 8a ae 7d 07 5f 1a 08 b8 1f 93 31

Проверенные политики выдачи: Нет
Проверенные политики применения:
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.2.643.2.2.34.7 Центр Регистрации, КриптоПро ЦР, HTTP, TLS клиент
Проверка отзыва сертификата выполнена
CertUtil: -verify - команда успешно выполнена.
Offline funkymonk  
#15 Оставлено : 24 апреля 2008 г. 18:32:09(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Как раз тут по моему всё чисто
Offline Павел Смирнов  
#16 Оставлено : 24 апреля 2008 г. 18:47:10(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Да, вроде всё нормально. Проверьте, что со временами всё в порядке. Точнее, что на время в выдаваемом штампе оба сертификата цепочки действуют.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline funkymonk  
#17 Оставлено : 24 апреля 2008 г. 18:55:00(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Смирнов написал:
Да, вроде всё нормально. Проверьте, что со временами всё в порядке. Точнее, что на время в выдаваемом штампе оба сертификата цепочки действуют.


а как это проверить? могу с помощью tsputil получить штамп но как узнать что в нем?
Offline Павел Смирнов  
#18 Оставлено : 24 апреля 2008 г. 18:59:05(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Сохранить в файл с расширением .tsr и открыть этот файл.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline funkymonk  
#19 Оставлено : 24 апреля 2008 г. 19:08:44(UTC)
funkymonk

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.04.2008(UTC)
Сообщений: 32

Время тоже соответствует.

Может лучше так :

вот что было в логе который я приводил ранее:

Цитата:
00000049 11.24188423 [3208] tspcli.dll: {1980} /CryptoPro::PKI::TSP::Client::CRequest::Impl::MakeRequest/ TSPRequest_Impl.cpp(193) : Making request... OK.
00000050 11.27703667 [3208] cades.dll: {3580} /DllMain/ cades.cpp(5385) : hInstance=6E000000, dwReason=2 lpReserved=0
00000051 11.32722664 [3208] cades.dll: {2084} /DllMain/ cades.cpp(5385) : hInstance=6E000000, dwReason=2 lpReserved=0
00000052 11.32800484 [3208] cades.dll: {2912} /DllMain/ cades.cpp(5385) : hInstance=6E000000, dwReason=2 lpReserved=0
00000053 11.38349724 [3208] cades.dll: {1980} /CadesMsgEnhanceSignatureImpl/ cades.cpp(1671) : signatureTimeStampToken recieved and added to signature
00000054 11.38491535 [3208] cades.dll: {2120} /DllMain/ cades.cpp(5385) : hInstance=6E000000, dwReason=2 lpReserved=0
00000055 11.39461040 [3208] cades.dll: {1980} /CadesMsgEnhanceSignatureImplNamespace::MakeCAdES_X_Long/ cades.cpp(1320) : Assert FAILED: CadesVerifyCertificateImpl( signer.GetHandle(), &validationData, false, hMsg, hStore, pProxyPara, 0, false, false, false, &stampTime, 0, SignaturePolicy::ocspcheck, dwStatus)
00000056 11.39531326 [3208] cades.dll: {1980} /CadesMsgEnhanceSignature/ cades.cpp(1703) : CAtlException, m_hr=0x800b010a
00000057 11.39653683 [3208] cades.dll: {1980} /CadesMsgEnhanceSignature/ cades.cpp(1713) : (res=0, GetLastError=0x800b010a
00000058 11.39690971 [3208] cades.dll: {1980} /CadesSignMessageImpl/ cades.cpp(3545) : Last win32 error thrown as exception
00000059 11.39774895 [3208] cades.dll: {1980} /CadesSignMessage/ cades.cpp(3594) : CAtlException, m_hr=0x800b010a
00000060 11.39802742 [3208] cades.dll: {1980} /CadesSignMessage/ cades.cpp(3604) : (res=0, GetLastError=0x800b010a


Насколько я понимаю там сработал Assert , так может скажете что там этот Assert требует?
Offline Павел Смирнов  
#20 Оставлено : 24 апреля 2008 г. 20:26:06(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Да видел я этот Assert. С ним сейчас и разбираемся. Честно говоря, не понятно что не так с цепочкой. Вы последней версией КриптоПро ЭЦП SDK пользуетесь?
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
5 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.