Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline nex-54  
#11 Оставлено : 26 января 2012 г. 18:27:41(UTC)
nex-54

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2011(UTC)
Сообщений: 60
Мужчина
Откуда: Ekaterinburg

Сказал «Спасибо»: 1 раз
Ошибка остается.

OCSP и TSP сервер находятся на одной машине и проверены на работоспособность по инструкции.
В групповой политике OCSP клиента адрес задан.

В логах TSP сервера написано, что штамп выдан.
В логах OCSP сервера пусто.

Цитата:
Лог можно получить при помощи программы dbgView

лог получен, но на что обратить в нем внимание - не знаю.
вроде какой-то обмен данными с этими серверами идет...

При этом всем УЭЦП проверяется. И если использовать в качестве tsp сервера тестовый крипто-прошный, то и подписывается.

Отредактировано пользователем 26 января 2012 г. 18:34:41(UTC)  | Причина: Не указана

Offline Новожилова Елена  
#12 Оставлено : 26 января 2012 г. 18:38:44(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Лог можно выложить здесь, либо прислать мне.
Offline nex-54  
#13 Оставлено : 26 января 2012 г. 18:43:47(UTC)
nex-54

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2011(UTC)
Сообщений: 60
Мужчина
Откуда: Ekaterinburg

Сказал «Спасибо»: 1 раз
Offline Новожилова Елена  
#14 Оставлено : 27 января 2012 г. 17:04:22(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Судя по логу - происходит ошибка из-за рассинхронизации часов между TSP и OCSP-сервером:

[2248] cades.dll: {3636} /COcspCheck::COcspTimeSyncHandler::OnResponse/ RevocationCheck.h(556) : stampTime >= response.get_SRThisUpdate(index)
[2248] cades.dll: {3636} /COcspCheck::COcspTimeSyncHandler::OnResponse/ RevocationCheck.h(561) : sec > 60 (115): TSP and OCSP time is out of sync

Часы на вашей службе штампов показывают большее время (на 115 секунд), чем часы службы актуальных статусов http://www.cryptopro.ru/ocspnc/ocsp.srf.
Offline nex-54  
#15 Оставлено : 27 января 2012 г. 17:12:17(UTC)
nex-54

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2011(UTC)
Сообщений: 60
Мужчина
Откуда: Ekaterinburg

Сказал «Спасибо»: 1 раз
Спасибо. Я думал, что использую локальный ocsp сервер - я его прописал в групповой политике OCSP Client.
Там в логе есть упоминания http://localhost/OCSP/ocsp.srf - я подумал, что он используется.
Нужно еще где-то прописать адрес локального OCSP сервера?
Offline nex-54  
#16 Оставлено : 27 января 2012 г. 17:20:43(UTC)
nex-54

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2011(UTC)
Сообщений: 60
Мужчина
Откуда: Ekaterinburg

Сказал «Спасибо»: 1 раз
Я правильно понимаю, что ocsp client в первую очередь будет использовать для проверки адрес ocsp сервера прописанный в сертификате невзирая на то, что прописано в групповой политике?
Offline Новожилова Елена  
#17 Оставлено : 27 января 2012 г. 17:41:43(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Да, в первую очередь идет обращение по адресу, указанному в сертификате. Если такое обращение заканчивается с ошибкой (как в вашем случае), то берется адрес из групповой политики. В логе видно второе обращение к службе http://localhost/OCSP/ocsp.srf и ответ от этой службы. Но сам ответ не проходит проверку.

Как я понимаю, вы хотите использовать для создания подписи свою локальную службу ocsp. Судя по логу, с ней явно не все в порядке.
Попробуйте получить ocsp-ответ о статусе сертификата, на котором вы пытаетесь создать подпись, при помощи утилиты ocsputil.exe (как описано в документации). Сохранив полученный ответ в файл с расширением .ors вы сможете посмотреть его.
Offline nex-54  
#18 Оставлено : 27 января 2012 г. 18:09:47(UTC)
nex-54

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2011(UTC)
Сообщений: 60
Мужчина
Откуда: Ekaterinburg

Сказал «Спасибо»: 1 раз
Да, именно так.
Вот в этом то и странность - я написал в начале топика, что проверил его по инструкции. При этом для достоверности отключил соединение со внешней сетью. В ответе написано, что сертификат действительный.
Код:
ocsputil.exe makereq tobechecked.cer –o request.orq
ocsputil.exe sendreq --url=http://localhost/OCSP/ocsp.srf request.orq response.ors

Получил такой файл ответа Ответ ocsp сервера
И такой лог Лог

сертификат тот же самый, что я использую в коде...
В коде при отключенной внешней сети получаю "Error HRESULT E_FAIL has been returned from a call to a COM component."
и такой лог

Отредактировано пользователем 27 января 2012 г. 18:22:44(UTC)  | Причина: Не указана

Offline Новожилова Елена  
#19 Оставлено : 27 января 2012 г. 19:06:18(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Цитата:
Вот в этом то и странность - я написал в начале топика, что проверил его по инструкции. При этом для достоверности отключил соединение со внешней сетью. В ответе написано, что сертификат действительный.


В начале топика речь шла о службе штампов времени.

Цитата:
Получил такой файл ответа


В сертификате оператора TestOCSP отсутствует расширение no-check. См. требования, о которых я писала выше, предпоследний пункт:

Цитата:
Для сертификата службы актуальных статусов должна строиться цепочка, также он должен иметь расширение Признак доверия службе OCSP (id-pkix-ocsp-nocheck - OID 1.3.6.1.5.5.7.48.1.5)


И еще вот этот пункт:

Цитата:
OCSP-сервер должен быть сконфигурирован таким образом, чтобы в поле ThisUpdate OCSP-ответа проставлялось текущее время (например, в режиме работы по БД ЦС для КриптоПро OCSP Server).


выполняется?

Отредактировано пользователем 27 января 2012 г. 19:08:53(UTC)  | Причина: Не указана

Offline nex-54  
#20 Оставлено : 27 января 2012 г. 19:09:39(UTC)
nex-54

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.07.2011(UTC)
Сообщений: 60
Мужчина
Откуда: Ekaterinburg

Сказал «Спасибо»: 1 раз
понял, спасибо, буду разбираться
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.