Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline partyZANDR  
#11 Оставлено : 19 октября 2011 г. 21:52:14(UTC)
partyZANDR

Статус: Участник

Группы: Участники
Зарегистрирован: 19.10.2011(UTC)
Сообщений: 11
Откуда: Якутия

Задумался тут, а что теперь делать? Ведь даже если я добуду старый корневой сертификат - онне будет проходить проверку потому что логично было бы предположить что он действителен ДО 05.09.11, то есть он просрочен.
Offline Андрей Писарев  
#12 Оставлено : 19 октября 2011 г. 21:55:24(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
partyZANDR написал:
Задумался тут, а что теперь делать? Ведь даже если я добуду старый корневой сертификат - онне будет проходить проверку потому что логично было бы предположить что он действителен ДО 05.09.11, то есть он просрочен.


сертификат ДЕЙСТВИТЕЛЕН (до ..2016, точнее, наверное... до .. сентября 2015...)
а закрытый ключ уже не должен быть использован => создали новый корневой..

Отредактировано пользователем 19 октября 2011 г. 22:01:02(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#13 Оставлено : 19 октября 2011 г. 21:56:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
еще интересно: Список отзыва 2 - подписан таки старым корневым

попросите, чтобы разместили на сайте старый корневой сертификат, рядом с CRL...
Техническую поддержку оказываем тут
Наша база знаний
Offline partyZANDR  
#14 Оставлено : 19 октября 2011 г. 22:08:13(UTC)
partyZANDR

Статус: Участник

Группы: Участники
Зарегистрирован: 19.10.2011(UTC)
Сообщений: 11
Откуда: Якутия

Цитата:
сертификат ДЕЙСТВИТЕЛЕН (до ..2016)

не понял, давайте на пальцах, я слабо в этом ориентируюсь пока.
НОВЫЙ сертификат УЦ действителен с 05.09.2011 по 05.09.2016,
так как мой сертификат создан 13.01.2011 значит ему для проверки нужно скормить прошлый сертификат УЦ, который по всей видимости был действительным предыдущие пять лет, тоесть с 05.09.2005 по 05.09.2011. Вытрясти то я его из поддержки вытрясу, но мой сертификат все равно не пройдёт проверку потому что сертификат УЦ, который ему подходит просрочен. Что делать?


Цитата:
подписан таки старым корневым

а старый корневой не выдёргивается из списка отзыва никак? наподобие как из подписанного документа можно извлечь сертификат открытого ключа.

Отредактировано пользователем 19 октября 2011 г. 22:15:54(UTC)  | Причина: Не указана

Offline partyZANDR  
#15 Оставлено : 19 октября 2011 г. 22:11:19(UTC)
partyZANDR

Статус: Участник

Группы: Участники
Зарегистрирован: 19.10.2011(UTC)
Сообщений: 11
Откуда: Якутия

Цитата:
ОС "проверяет" сертификат по имени УЦ


а как тогда система определяет нужный ей корневой сертификат когда допустим в системе есть два - старый и новый, как в будет в моём случае если я добавлю в систему полученный старый?

upd: вот например вот так, вон сколько дублей, это скрин из доверенных корневых центров, ага.
UserPostedImage

Отредактировано пользователем 19 октября 2011 г. 22:15:32(UTC)  | Причина: Не указана

Offline Андрей Писарев  
#16 Оставлено : 19 октября 2011 г. 22:16:46(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
"Вытрясите" старый сертификат УЦ от ТП, установите и будет нормально все... (проверено ;)

Техническую поддержку оказываем тут
Наша база знаний
Offline partyZANDR  
#17 Оставлено : 19 октября 2011 г. 22:31:57(UTC)
partyZANDR

Статус: Участник

Группы: Участники
Зарегистрирован: 19.10.2011(UTC)
Сообщений: 11
Откуда: Якутия

УРАААА, нашёл старый сертификат на бухсервере другой подопечной организации, идентификатор ключа СЦ как раз нужный 4d b6 1b d2 a6 b0 af 9e 3a f9 40 9e 45 14 a9 1d cb 71 02 96
эсотел мудрые васи, они клеят сертификаты не встык а внахлёст - старый годен с 03-04-2007 по 03-04-2012, так что мы вполне успеем перевыпуститься в штатном режиме.

оффтопом: интересно что будут делать те у кого сертификат выпущен между 04-04-2011 и 05.09.2011, потому что с 04.04.2012 у них будет тупик - старый УЦ с которым они выпущены уже перестанет действовать, а новый как мы теперь знаем не годен для проверки. Надо было нахлёст не менее года делать чтобы не морочить клиентов нештатным перевыпуском. А они ещё не сразу разберутся в чём дело, как я сейчас. Странно что на такой вопрос я первый напоролся, не нашёл в гугле даже близко похожих ситуаций.

Андрей, спасибо, вы очень помогли.
Offline Андрей Писарев  
#18 Оставлено : 19 октября 2011 г. 23:04:44(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
The CertGetIssuerCertificateFromStore function retrieves the certificate context from the certificate store for the first or next issuer of the specified subject certificate. The new Certificate Chain Verification Functions are recommended instead of the use of this function.

предположение:
т.к. был в системе не тот сертификат => использовался поиск по имени издателя... строилась цепочка для проверки... проверка подписи УЦ под сертификатом пользователе приводила к той "ошибке"...

Отредактировано пользователем 19 октября 2011 г. 23:05:30(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline partyZANDR  
#19 Оставлено : 21 октября 2011 г. 7:14:45(UTC)
partyZANDR

Статус: Участник

Группы: Участники
Зарегистрирован: 19.10.2011(UTC)
Сообщений: 11
Откуда: Якутия

все равно идиотизм. поиск должен вестить строго по идентификатору ключа субьекта, все равно ведь ключ с таким же именем но другим кодом не помогает.
Offline Андрей Писарев  
#20 Оставлено : 21 октября 2011 г. 14:57:30(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
partyZANDR написал:
все равно идиотизм. поиск должен вестить строго по идентификатору ключа субьекта, все равно ведь ключ с таким же именем но другим кодом не помогает.


Цитата:
Уникальный идентификатор Издателя и Владельца

Данное поле может использоваться только в сертификатах версии 2 или 3.
Поле было предусмотрено в версии 2 сертификатов X.509 для целей обеспечения использования одинакового имени Владельца или
Издателя в разных сертификатах.
С введением дополнений в версии 3 такая необходимость отпала.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.