Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline warlight  
#1 Оставлено : 14 июля 2011 г. 14:58:34(UTC)
warlight

Статус: Участник

Группы: Участники
Зарегистрирован: 10.02.2011(UTC)
Сообщений: 11
Откуда: Москва

Добрый день.
У нас на сервере установлена сборка Crypto Pro CSP 3.6, включающая в себя cryptcp. Версия сервера - FreeBSD x64.
Также у нас на другом сервере стоит УЦ от Крипто Про (Крипто Про УЦ 1.5).

Странности поведения cryptcp заключаются в следующем:
Через certmgr прогружены два корневых сертификата: нашего УЦ и стороннего УЦ (ГНИВЦ).

(вот что выдает certmgr -list)
1-------
Issuer : E=uc@kartoteka.ru, C=RU, L=Москва, O=ООО Коммерсантъ КАРТОТЕКА, OU=Удостоверяющий центр, CN=KARTOTEKA
Subject : E=uc@kartoteka.ru, C=RU, L=Москва, O=ООО Коммерсантъ КАРТОТЕКА, OU=Удостоверяющий центр, CN=KARTOTEKA
Serial : 0x4124B153A606F34BACD615E999356836
PrivateKey Link: No
2-------
Issuer : E=ucinfo@gnivc.ru, C=RU, L=Москва, O=ФГУП ГНИВЦ ФНС России, OU=Удостоверяющий центр, CN=GNIVC FNS RUS
Subject : E=mns12705@nalog.ru, C=RU, L=Moscow, O=Federal Tax Service, CN=FNS Russia
Serial : 0x07510000000095F0E93C
PrivateKey Link: No

Хранилище root

далее если проверять подписанное по одному алгоритму (через CAPICOM) сначала ГНИВЦовой подписью, потом нашей - ГНИВЦовая подпись проверяется нормально, цепочки строятся, а на нашу подпись, cryptcp ругается (Один из сертификатов в цепочке не имеет доверенного корневого ЦС)

/opt/cprocsp/bin/amd64/cryptcp -verify 'public2.xml.sig' -f 'public.xml.sig' -errchain

Самое веселое, что установив на локальной машине Крипто АРМ, мы смогли проверить обе подписи.

Также, что остается не ясным, почему если удалить из хранилища корневой сертификат ГНИВЦа, то проверка с построением цепочек все равно проходит.
Может мы чего не так понимаем?
Объясните пожалуйста, в чем может быть дело? Есть мысль, что сборка Crypto Pro какая-то тестовая и недоработанный cryptcp, либо ещё как вариант - может у нас чего не хватает в выдаваемых подписях? Хотя корневой сертификат в подписанном имеется.
Вложение(я):
public.xml.sig (4kb) загружен 8 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline mka  
#2 Оставлено : 14 июля 2011 г. 16:56:08(UTC)
mka

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2011(UTC)
Сообщений: 45

Какая точная сборка КриптоПро CSP?
csptest -oid info

Что выводится в консоль при выполнении: certmgr -list -store root

С сервера доступен список отзыва опубликованный в сертификате?

curl http://uc.kartoteka.ru/KARTOTEKA.crt
Offline warlight  
#3 Оставлено : 14 июля 2011 г. 17:42:42(UTC)
warlight

Статус: Участник

Группы: Участники
Зарегистрирован: 10.02.2011(UTC)
Сообщений: 11
Откуда: Москва

csptest -version
CSP (Type:71) v3.6.5359 KC1 Release Ver:3.6.6643 OS:FreeBSD CPU:AMD64 FastCode:NoHardwareSupport.
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6643 OS:FreeBSD CPU:AMD64 FastCode:NoHardwareSupport.
License is expired

cryptcp стоит там же, где лежит списки отозванных и принятых. сам себя он пингует по днс-имени.

certmgr -list -store root
оказалось, что в нем нет нужного сертификата. странно немного, ибо вроде смотрел - там был "картотечный" корневой сертификат.
сейчас проверка прошла. пробую удалить корневой сертификат ГНИВЦа и посмотреть, что из этого выйдет.

уже благодарен, а то так бы и не заметил, что не то хранилище смотрю )))
Offline warlight  
#4 Оставлено : 14 июля 2011 г. 17:49:10(UTC)
warlight

Статус: Участник

Группы: Участники
Зарегистрирован: 10.02.2011(UTC)
Сообщений: 11
Откуда: Москва

Да, проблема была в том, что использовался не тот контейнер, который был подготовлен под нужные действия.
Спасибо)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.