Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.07.2011(UTC) Сообщений: 60  Откуда: Ekaterinburg Сказал «Спасибо»: 1 раз
|
Ошибка остается. OCSP и TSP сервер находятся на одной машине и проверены на работоспособность по инструкции. В групповой политике OCSP клиента адрес задан. В логах TSP сервера написано, что штамп выдан. В логах OCSP сервера пусто. Цитата:Лог можно получить при помощи программы dbgView лог получен, но на что обратить в нем внимание - не знаю. вроде какой-то обмен данными с этими серверами идет... При этом всем УЭЦП проверяется. И если использовать в качестве tsp сервера тестовый крипто-прошный, то и подписывается. Отредактировано пользователем 26 января 2012 г. 18:34:41(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924  Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Лог можно выложить здесь, либо прислать мне.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.07.2011(UTC) Сообщений: 60 Откуда: Ekaterinburg Сказал «Спасибо»: 1 раз
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Судя по логу - происходит ошибка из-за рассинхронизации часов между TSP и OCSP-сервером: [2248] cades.dll: {3636} /COcspCheck::COcspTimeSyncHandler::OnResponse/ RevocationCheck.h(556) : stampTime >= response.get_SRThisUpdate(index) [2248] cades.dll: {3636} /COcspCheck::COcspTimeSyncHandler::OnResponse/ RevocationCheck.h(561) : sec > 60 (115): TSP and OCSP time is out of sync Часы на вашей службе штампов показывают большее время (на 115 секунд), чем часы службы актуальных статусов http://www.cryptopro.ru/ocspnc/ocsp.srf.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.07.2011(UTC) Сообщений: 60 Откуда: Ekaterinburg Сказал «Спасибо»: 1 раз
|
Спасибо. Я думал, что использую локальный ocsp сервер - я его прописал в групповой политике OCSP Client.
Там в логе есть упоминания http://localhost/OCSP/ocsp.srf - я подумал, что он используется.
Нужно еще где-то прописать адрес локального OCSP сервера?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.07.2011(UTC) Сообщений: 60 Откуда: Ekaterinburg Сказал «Спасибо»: 1 раз
|
Я правильно понимаю, что ocsp client в первую очередь будет использовать для проверки адрес ocsp сервера прописанный в сертификате невзирая на то, что прописано в групповой политике?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Да, в первую очередь идет обращение по адресу, указанному в сертификате. Если такое обращение заканчивается с ошибкой (как в вашем случае), то берется адрес из групповой политики. В логе видно второе обращение к службе http://localhost/OCSP/ocsp.srf и ответ от этой службы. Но сам ответ не проходит проверку.
Как я понимаю, вы хотите использовать для создания подписи свою локальную службу ocsp. Судя по логу, с ней явно не все в порядке.
Попробуйте получить ocsp-ответ о статусе сертификата, на котором вы пытаетесь создать подпись, при помощи утилиты ocsputil.exe (как описано в документации). Сохранив полученный ответ в файл с расширением .ors вы сможете посмотреть его.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.07.2011(UTC) Сообщений: 60 Откуда: Ekaterinburg Сказал «Спасибо»: 1 раз
|
Да, именно так. Вот в этом то и странность - я написал в начале топика, что проверил его по инструкции. При этом для достоверности отключил соединение со внешней сетью. В ответе написано, что сертификат действительный. Код:ocsputil.exe makereq tobechecked.cer –o request.orq
ocsputil.exe sendreq --url=http://localhost/OCSP/ocsp.srf request.orq response.ors
Получил такой файл ответа Ответ ocsp сервераИ такой лог Логсертификат тот же самый, что я использую в коде... В коде при отключенной внешней сети получаю "Error HRESULT E_FAIL has been returned from a call to a COM component." и такой логОтредактировано пользователем 27 января 2012 г. 18:22:44(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Цитата:Вот в этом то и странность - я написал в начале топика, что проверил его по инструкции. При этом для достоверности отключил соединение со внешней сетью. В ответе написано, что сертификат действительный. В начале топика речь шла о службе штампов времени. Цитата:Получил такой файл ответа В сертификате оператора TestOCSP отсутствует расширение no-check. См. требования, о которых я писала выше, предпоследний пункт: Цитата:Для сертификата службы актуальных статусов должна строиться цепочка, также он должен иметь расширение Признак доверия службе OCSP (id-pkix-ocsp-nocheck - OID 1.3.6.1.5.5.7.48.1.5) И еще вот этот пункт: Цитата:OCSP-сервер должен быть сконфигурирован таким образом, чтобы в поле ThisUpdate OCSP-ответа проставлялось текущее время (например, в режиме работы по БД ЦС для КриптоПро OCSP Server). выполняется? Отредактировано пользователем 27 января 2012 г. 19:08:53(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.07.2011(UTC) Сообщений: 60 Откуда: Ekaterinburg Сказал «Спасибо»: 1 раз
|
понял, спасибо, буду разбираться
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
