OCSP сервер в режиме работы по CRL

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

OCSP сервер в режиме работы по CRL

Опции

Предыдущая тема Следующая тема

codegen		#1 Оставлено : 21 июня 2011 г. 21:25:46(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.08.2008(UTC) Сообщений: 204 Сказал «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		Доброго времени суток. Настраиваю OCSP сервер. Указал папку с CRL. Положил туда свежий crl. Настроил права доступа к папке в соответствии с КриптоПро OCSP Server. Руководство администратора. Запускаю службу. Служба запускается, но пишет что не загружено ни одного crl. Возможные причины: - неверно указана папка. - истек срок действия. - недостаточно прав. Все причины проверил. Их быть неможет вроде как. В чем может быть проблема? Отредактировано пользователем 22 июня 2011 г. 13:39:44(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Новожилова Елена		#2 Оставлено : 21 июня 2011 г. 22:54:47(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах		Например, crl подписан не тем сертификатом УЦ, на котором выпущен сертификат оператора службы OCSP.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

codegen		#3 Оставлено : 22 июня 2011 г. 13:44:25(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.08.2008(UTC) Сообщений: 204 Сказал «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		Новожилова Елена написал: Например, crl подписан не тем сертификатом УЦ, на котором выпущен сертификат оператора службы OCSP. Да, я пытаюсь подсунуть СОС, выданный другим УЦ, но: Из "КриптоПро OCSP Server. Руководство администратора" пункт 6.3.1 "Служба может одновременно выдавать ответы о статусах сертификатов нескольких разных УЦ. Для этого необходимы несколько СОС."


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

codegen		#4 Оставлено : 22 июня 2011 г. 17:53:15(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.08.2008(UTC) Сообщений: 204 Сказал «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		Запустить удалось подсунув в папку СОС, выданный УЦ, которым выпущен сертификат оператора OCSP. Теперь при подписании в DebugView выскакивает строка: Цитата: [6376] pkivalidator.dll: Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Новожилова Елена		#5 Оставлено : 22 июня 2011 г. 18:57:33(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах		Для того, чтобы ответы о статусах сертификатов нескольких разных УЦ, выданные такой службой, проверялись на клиенте, необходимо дополнительно настроить групповую политику Службы OCSP: сертификаты уполномоченных служб OCSP. См. пункт 6.6 "КриптоПро OCSP Server. Руководство администратора"


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

codegen		#6 Оставлено : 22 июня 2011 г. 21:07:04(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.08.2008(UTC) Сообщений: 204 Сказал «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		Новожилова Елена написал: Для того, чтобы ответы о статусах сертификатов нескольких разных УЦ, выданные такой службой, проверялись на клиенте, необходимо дополнительно настроить групповую политику Службы OCSP: сертификаты уполномоченных служб OCSP. См. пункт 6.6 "КриптоПро OCSP Server. Руководство администратора" Настроил. Теперь при попытке подписания ругается на "Не удается построить цепочку сертификатов до доверенного корневого центра HRESULT: 0x800B010A" Пытаюсь с помощью ocsputil проверить сертификат. В итоге respdisp говорит что Статус сертификата: неизвестен. Резервирование пробовал включать - тоже самое.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Новожилова Елена		#7 Оставлено : 22 июня 2011 г. 23:20:33(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах		А корневой УЦ (для сертификата оператора и для используемого CRL) установлен в хранилище "Доверенные корневые центры сертификации"? Если да, то в хранилище Текущего пользователя или Локального компьютера?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

codegen		#8 Оставлено : 23 июня 2011 г. 14:13:34(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.08.2008(UTC) Сообщений: 204 Сказал «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		Новожилова Елена написал: А корневой УЦ (для сертификата оператора и для используемого CRL) установлен в хранилище "Доверенные корневые центры сертификации"? Если да, то в хранилище Текущего пользователя или Локального компьютера? Действительно не было одного корневого сертификата. Теперь этой ошибки нет, но в лолгах все еще осталось: Цитата: [4012] pkivalidator.dll: {2924} /OCSPSigningImpl/ CertDllVerifyCertificateChainPolicyImpl.cpp(709) : Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case). В групповой политике указан отпечаток сертификата оператора службы OCSP. При этом выскакивает ошибка: 0х80070010


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Новожилова Елена		#9 Оставлено : 23 июня 2011 г. 16:10:00(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах		Можете привести лог целиком, с момента Цитата: [4012] pkivalidator.dll: {2924} /OCSPSigningImpl/ CertDllVerifyCertificateChainPolicyImpl.cpp(709) : Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case). ? Групповую политику настраивали "Текущего пользователя" или "Локального компьютера"? Как я понимаю, вы собираетесь создавать УЭЦП с использованием службы OCSP, настроенной подобным образом. В зависимости от особенностей системы стоит продумать, все ли участники документооборота согласны доверять ответам такой службы.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

codegen		#10 Оставлено : 23 июня 2011 г. 19:20:53(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.08.2008(UTC) Сообщений: 204 Сказал «Спасибо»: 9 раз Поблагодарили: 1 раз в 1 постах		Новожилова Елена написал: Можете привести лог целиком, с момента Цитата: [4012] pkivalidator.dll: {2924} /OCSPSigningImpl/ CertDllVerifyCertificateChainPolicyImpl.cpp(709) : Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case). ? Групповую политику настраивали "Текущего пользователя" или "Локального компьютера"? Настраивал политику "Локальный компьютер". В какую сторону еще посмотреть можно?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (4)

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close