Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline Aleks305  
#1 Оставлено : 20 марта 2011 г. 23:16:47(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Добрый день!
В организации тестируем УЦ, купили лицензию на криптопро csp, на базе win server 2003 развернули УЦ, ключевую пару сгенерили с помощью гост-криптоалгоритмов.
Возникла необходимость в подписи некоторых файлов с помощью усовершенственной подписью. Скачали пробную версию tsp и ocsp -серверов, завелось, заработало. Купили лицензию на КриптоАРМ Стандарт ПРо.
При формировании подписи с помощью КриптоАрм с включением меток времени - все проходит на ура.
Когда проверяем статусы сертов по ocsp - тоже все нормально.
Когда в интерактивном режиме КриптоАРМ ставим галочку в поле "Включать доказательства подлинности" - КриптоАРМ выдает ошибку.
По логам ocsp - видно, что обращение к нему идет, он тоже отвечает.
Посмотрел по таким проблемам форумы - нашел, что обязательным требованием для работы необходимо наличие расширения "id-pkix-ocsp-nocheck". Как это сделать???или может у меня в чем-то другом ошибка?
ЦС - изолированный, Active Directory нет.
Заранее благодарен.
Offline Aleks305  
#2 Оставлено : 21 марта 2011 г. 0:34:48(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Добавлю еще выскакивает сообщение вида:
Ошибка создания атрибутов усовершенствованной подписи
При проверке сертификата произошла ошибка (возможно, ответ службы не соответствует предъявляемым требованиям) (0х800b010e)
Offline Aleks305  
#3 Оставлено : 21 марта 2011 г. 14:10:25(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Есть какие-нить мнения по этому поводу???
Offline Новожилова Елена  
#4 Оставлено : 21 марта 2011 г. 16:44:16(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Действительно, для создания усовершенствованной ЭЦП в сертификате службы OCSP должно присутствовать расширение "id-pkix-ocsp-nocheck".

Если Вы используете центр сертификации Microsoft, то добавить расширение можно при помощи утилиты certutil следующим образом:

- добавить расширение в список разрешенных (эту операцию нужно проделать один раз)

Код:
certutil -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5


- добавить расширение в запрос

Код:
certutil -setextension <№ запроса> 1.3.6.1.5.5.7.48.1.5 0 @<имя файла c закодированным значением>


файл c закодированным значением должен содержать "05 00"

Более подробно можно прочитать здесь.

Отредактировано пользователем 30 июня 2011 г. 16:37:59(UTC)  | Причина: Не указана

Offline Aleks305  
#5 Оставлено : 21 марта 2011 г. 20:45:35(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Здравствуйте, Елена!
Спасибо за ответ. Первую часть касающуюся добавления certutil -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5 я делал. А вот по второй части нет. Попробовал следующим образом.
Ввел команду certutil -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5 - отработала успешно, перезапустил Центр.
С помощью КриптоПРО OCSP сформировал запрос на сертификат оператора, сохранил в файл.
Через web-морду подал запрос на сертификат в УЦ (запрос 20).
После этого скопировал содержимое запроса в файл probaocsp.txt.
В командной строке.
certutil -setextension 20 1.3.6.1.5.5.7.48.1.5 0 @probaocsp.txt
Команда выполнена успешно.
В командной строке есть 05 00 есть где-то в середине файла(но по-моему, эти значения и раньше были).
После этого я, подал новый запрос на сертификат с использованием получившегося файла. Выпустил серт, но в поле улучшенный ключ не появилось id-pkix-ocsp-nocheck.
Что я не так сделал?
Offline Aleks305  
#6 Оставлено : 21 марта 2011 г. 20:57:52(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Попробовал создать подпись с новым сертом для службы ocsp - ошибка выскочила та же самая.
А не нужно там чтобы был Active Directory был, у меня изолированный ЦС..
Блин, что же делать?
Offline Новожилова Елена  
#7 Оставлено : 21 марта 2011 г. 22:05:40(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Все надо делать не так.

В файле probaocsp.txt не должен содержаться весь запрос, там должно быть ТОЛЬКО "05 00". Этот файл нужно сделать вручную, в кодировке ASCII как описано здесь.

1. Подаете запрос на сертификат. НЕ выпускаете его сразу, запрос должен находиться в состоянии ожидания. Допустим, номер запроса 50.

2. Выполняете команду certutil -setextension 50 1.3.6.1.5.5.7.48.1.5 0 @probaocsp.txt

3. Вот теперь выпускаете сертификат по запросу с номером 50.

Отредактировано пользователем 21 марта 2011 г. 22:13:20(UTC)  | Причина: Не указана

Offline Aleks305  
#8 Оставлено : 22 марта 2011 г. 2:18:59(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Елена, спасибо за ответ. Завтра на работе обязательно попробую. Обязательно отпишусь!
Offline Aleks305  
#9 Оставлено : 22 марта 2011 г. 2:38:09(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

почитал по первому пункту. Возник вопрос по вот этим предложениям:
If you have an existing certificate, named MyCert.cer, with the exact encoding of the extension you want to add to a pending request, you can dump the request, along with the ASCII-text hexadecimal dump of each extension, by using the following command:

certutil -v mycert.cer

You can then copy the ASCII-text hexadecimal extension, 1.2.3.4.5, to a text file and then name that file Example.txt.

То есть нужно иметь сертификат с полем id-pkix-ocsp-nocheck? а если его нет??? можно ли тогда просто создать файл текстовый с цифрами 05 50 и дать команду?
Или я опять что-то не то горожу.
Извините уж пожалуйста)
Offline Aleks305  
#10 Оставлено : 22 марта 2011 г. 15:33:56(UTC)
Aleks305

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 74
Откуда: Санкт-Петербург

Спасибо большое за помощь - все получилось!!!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.