Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Сказка о чудесах с сертификатами. В картинках.
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2011(UTC) Сообщений: 11 Откуда: Якутия
|
Задумался тут, а что теперь делать? Ведь даже если я добуду старый корневой сертификат - онне будет проходить проверку потому что логично было бы предположить что он действителен ДО 05.09.11, то есть он просрочен.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,343 Сказал «Спасибо»: 550 раз Поблагодарили: 2214 раз в 1728 постах
|
partyZANDR написал:Задумался тут, а что теперь делать? Ведь даже если я добуду старый корневой сертификат - онне будет проходить проверку потому что логично было бы предположить что он действителен ДО 05.09.11, то есть он просрочен. сертификат ДЕЙСТВИТЕЛЕН (до ..2016, точнее, наверное... до .. сентября 2015...) а закрытый ключ уже не должен быть использован => создали новый корневой.. Отредактировано пользователем 19 октября 2011 г. 22:01:02(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,343 Сказал «Спасибо»: 550 раз Поблагодарили: 2214 раз в 1728 постах
|
еще интересно: Список отзыва 2 - подписан таки старым корневым попросите, чтобы разместили на сайте старый корневой сертификат, рядом с CRL... |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2011(UTC) Сообщений: 11 Откуда: Якутия
|
Цитата:сертификат ДЕЙСТВИТЕЛЕН (до ..2016)
не понял, давайте на пальцах, я слабо в этом ориентируюсь пока. НОВЫЙ сертификат УЦ действителен с 05.09.2011 по 05.09.2016, так как мой сертификат создан 13.01.2011 значит ему для проверки нужно скормить прошлый сертификат УЦ, который по всей видимости был действительным предыдущие пять лет, тоесть с 05.09.2005 по 05.09.2011. Вытрясти то я его из поддержки вытрясу, но мой сертификат все равно не пройдёт проверку потому что сертификат УЦ, который ему подходит просрочен. Что делать? Цитата:подписан таки старым корневым а старый корневой не выдёргивается из списка отзыва никак? наподобие как из подписанного документа можно извлечь сертификат открытого ключа. Отредактировано пользователем 19 октября 2011 г. 22:15:54(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2011(UTC) Сообщений: 11 Откуда: Якутия
|
Цитата:ОС "проверяет" сертификат по имени УЦ а как тогда система определяет нужный ей корневой сертификат когда допустим в системе есть два - старый и новый, как в будет в моём случае если я добавлю в систему полученный старый? upd: вот например вот так, вон сколько дублей, это скрин из доверенных корневых центров, ага. Отредактировано пользователем 19 октября 2011 г. 22:15:32(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,343 Сказал «Спасибо»: 550 раз Поблагодарили: 2214 раз в 1728 постах
|
"Вытрясите" старый сертификат УЦ от ТП, установите и будет нормально все... (проверено ;)
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2011(UTC) Сообщений: 11 Откуда: Якутия
|
УРАААА, нашёл старый сертификат на бухсервере другой подопечной организации, идентификатор ключа СЦ как раз нужный 4d b6 1b d2 a6 b0 af 9e 3a f9 40 9e 45 14 a9 1d cb 71 02 96 эсотел мудрые васи, они клеят сертификаты не встык а внахлёст - старый годен с 03-04-2007 по 03-04-2012, так что мы вполне успеем перевыпуститься в штатном режиме.
оффтопом: интересно что будут делать те у кого сертификат выпущен между 04-04-2011 и 05.09.2011, потому что с 04.04.2012 у них будет тупик - старый УЦ с которым они выпущены уже перестанет действовать, а новый как мы теперь знаем не годен для проверки. Надо было нахлёст не менее года делать чтобы не морочить клиентов нештатным перевыпуском. А они ещё не сразу разберутся в чём дело, как я сейчас. Странно что на такой вопрос я первый напоролся, не нашёл в гугле даже близко похожих ситуаций.
Андрей, спасибо, вы очень помогли.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,343 Сказал «Спасибо»: 550 раз Поблагодарили: 2214 раз в 1728 постах
|
The CertGetIssuerCertificateFromStore function retrieves the certificate context from the certificate store for the first or next issuer of the specified subject certificate. The new Certificate Chain Verification Functions are recommended instead of the use of this function. предположение: т.к. был в системе не тот сертификат => использовался поиск по имени издателя... строилась цепочка для проверки... проверка подписи УЦ под сертификатом пользователе приводила к той "ошибке"... Отредактировано пользователем 19 октября 2011 г. 23:05:30(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2011(UTC) Сообщений: 11 Откуда: Якутия
|
все равно идиотизм. поиск должен вестить строго по идентификатору ключа субьекта, все равно ведь ключ с таким же именем но другим кодом не помогает.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,343 Сказал «Спасибо»: 550 раз Поблагодарили: 2214 раз в 1728 постах
|
partyZANDR написал:все равно идиотизм. поиск должен вестить строго по идентификатору ключа субьекта, все равно ведь ключ с таким же именем но другим кодом не помогает. Цитата:Уникальный идентификатор Издателя и Владельца
Данное поле может использоваться только в сертификатах версии 2 или 3. Поле было предусмотрено в версии 2 сертификатов X.509 для целей обеспечения использования одинакового имени Владельца или Издателя в разных сертификатах. С введением дополнений в версии 3 такая необходимость отпала. |
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Сказка о чудесах с сертификатами. В картинках.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close