Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline codegen  
#1 Оставлено : 21 июня 2011 г. 21:25:46(UTC)
codegen

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2008(UTC)
Сообщений: 204
Мужчина
Российская Федерация

Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Доброго времени суток.

Настраиваю OCSP сервер. Указал папку с CRL. Положил туда свежий crl. Настроил права доступа к папке в соответствии с КриптоПро OCSP Server. Руководство администратора.

Запускаю службу. Служба запускается, но пишет что не загружено ни одного crl.
Возможные причины:
- неверно указана папка.
- истек срок действия.
- недостаточно прав.

Все причины проверил. Их быть неможет вроде как.

В чем может быть проблема?

Отредактировано пользователем 22 июня 2011 г. 13:39:44(UTC)  | Причина: Не указана

Offline Новожилова Елена  
#2 Оставлено : 21 июня 2011 г. 22:54:47(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Например, crl подписан не тем сертификатом УЦ, на котором выпущен сертификат оператора службы OCSP.
Offline codegen  
#3 Оставлено : 22 июня 2011 г. 13:44:25(UTC)
codegen

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2008(UTC)
Сообщений: 204
Мужчина
Российская Федерация

Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Новожилова Елена написал:
Например, crl подписан не тем сертификатом УЦ, на котором выпущен сертификат оператора службы OCSP.


Да, я пытаюсь подсунуть СОС, выданный другим УЦ, но:

Из "КриптоПро OCSP Server. Руководство администратора" пункт 6.3.1

"Служба может одновременно выдавать ответы о статусах сертификатов нескольких разных УЦ. Для этого необходимы несколько СОС."

Offline codegen  
#4 Оставлено : 22 июня 2011 г. 17:53:15(UTC)
codegen

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2008(UTC)
Сообщений: 204
Мужчина
Российская Федерация

Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Запустить удалось подсунув в папку СОС, выданный УЦ, которым выпущен сертификат оператора OCSP.

Теперь при подписании в DebugView выскакивает строка:
Цитата:
[6376] pkivalidator.dll: Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case).
Offline Новожилова Елена  
#5 Оставлено : 22 июня 2011 г. 18:57:33(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Для того, чтобы ответы о статусах сертификатов нескольких разных УЦ, выданные такой службой, проверялись на клиенте, необходимо дополнительно настроить групповую политику Службы OCSP: сертификаты уполномоченных служб OCSP. См. пункт 6.6 "КриптоПро OCSP Server. Руководство администратора"
Offline codegen  
#6 Оставлено : 22 июня 2011 г. 21:07:04(UTC)
codegen

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2008(UTC)
Сообщений: 204
Мужчина
Российская Федерация

Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Новожилова Елена написал:
Для того, чтобы ответы о статусах сертификатов нескольких разных УЦ, выданные такой службой, проверялись на клиенте, необходимо дополнительно настроить групповую политику Службы OCSP: сертификаты уполномоченных служб OCSP. См. пункт 6.6 "КриптоПро OCSP Server. Руководство администратора"


Настроил. Теперь при попытке подписания ругается на "Не удается построить цепочку сертификатов до доверенного корневого центра HRESULT: 0x800B010A"


Пытаюсь с помощью ocsputil проверить сертификат. В итоге respdisp говорит что Статус сертификата: неизвестен.

Резервирование пробовал включать - тоже самое.

Offline Новожилова Елена  
#7 Оставлено : 22 июня 2011 г. 23:20:33(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
А корневой УЦ (для сертификата оператора и для используемого CRL) установлен в хранилище "Доверенные корневые центры сертификации"?
Если да, то в хранилище Текущего пользователя или Локального компьютера?
Offline codegen  
#8 Оставлено : 23 июня 2011 г. 14:13:34(UTC)
codegen

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2008(UTC)
Сообщений: 204
Мужчина
Российская Федерация

Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Новожилова Елена написал:
А корневой УЦ (для сертификата оператора и для используемого CRL) установлен в хранилище "Доверенные корневые центры сертификации"?
Если да, то в хранилище Текущего пользователя или Локального компьютера?


Действительно не было одного корневого сертификата. Теперь этой ошибки нет, но в лолгах все еще осталось:

Цитата:
[4012] pkivalidator.dll: {2924} /OCSPSigningImpl/ CertDllVerifyCertificateChainPolicyImpl.cpp(709) : Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case).


В групповой политике указан отпечаток сертификата оператора службы OCSP.

При этом выскакивает ошибка: 0х80070010
Offline Новожилова Елена  
#9 Оставлено : 23 июня 2011 г. 16:10:00(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Можете привести лог целиком, с момента

Цитата:
[4012] pkivalidator.dll: {2924} /OCSPSigningImpl/ CertDllVerifyCertificateChainPolicyImpl.cpp(709) : Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case).
?

Групповую политику настраивали "Текущего пользователя" или "Локального компьютера"?

Как я понимаю, вы собираетесь создавать УЭЦП с использованием службы OCSP, настроенной подобным образом.
В зависимости от особенностей системы стоит продумать, все ли участники документооборота согласны доверять ответам такой службы.
Offline codegen  
#10 Оставлено : 23 июня 2011 г. 19:20:53(UTC)
codegen

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2008(UTC)
Сообщений: 204
Мужчина
Российская Федерация

Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Новожилова Елена написал:
Можете привести лог целиком, с момента

Цитата:
[4012] pkivalidator.dll: {2924} /OCSPSigningImpl/ CertDllVerifyCertificateChainPolicyImpl.cpp(709) : Certificate of OCSP responder is not valid for signing status of pExtraPara->rgCertId[0]: issuer in CertId differs from one of OCSP certificate (end entity case).
?

Групповую политику настраивали "Текущего пользователя" или "Локального компьютера"?


Настраивал политику "Локальный компьютер".

В какую сторону еще посмотреть можно?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.