Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Alagert  
#11 Оставлено : 10 апреля 2012 г. 21:57:19(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11

Новожилова Елена написал:
Внимательно посмотрела лог - URL в сертификате не игнорируется, в логе видно, что ошибка происходит при проверке полученного ответа.

В цепочках сертификатов конечного пользователя или службы OCSP присутствуют промежуточные центры?

Да, есть промежуточный УЦ. Он один и тот же для службы OCSP и конечных сертификатов.
Offline Новожилова Елена  
#12 Оставлено : 10 апреля 2012 г. 22:03:37(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
В сертификате промежуточного УЦ присутствует расширение Basic Constraints (основные ограничения)?
Offline Alagert  
#13 Оставлено : 10 апреля 2012 г. 22:10:54(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11

Есть. Вот его расширения:
Код:
Certificate Extensions: 7
    2.5.29.14: Flags = 0, Length = 16
    Subject Key Identifier
        3f 21 a8 1c 18 7a 3d 85 2c 56 8d 01 a6 a1 83 c4 29 32 9a 45

    1.3.6.1.4.1.311.20.2: Flags = 0, Length = c
    Certificate Template Name (Certificate Type)
        SubCA

    2.5.29.15: Flags = 0, Length = 4
    Key Usage
        Digital Signature, Certificate Signing, Off-line CRL Signing, CRL Signing (86)

    2.5.29.19: Flags = 1(Critical), Length = 5
    Basic Constraints
        Subject Type=CA
        Path Length Constraint=None

    2.5.29.35: Flags = 0, Length = 18
    Authority Key Identifier
        KeyID=92 12 f8 80 95 a1 d4 e3 ce 83 6c 28 76 70 0c ac 2e 8e c8 86

    2.5.29.31: Flags = 0, Length = 27
    CRL Distribution Points
        [1]CRL Distribution Point
             Distribution Point Name:
                  Full Name:
                       URL=http://www.server.ru/id/qca.crl

    1.3.6.1.5.5.7.1.1: Flags = 0, Length = 2d
    Authority Information Access
        [1]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=http://www.server.ru/id/qca.crt
Вложение(я):
dump.txt (3kb) загружен 11 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Новожилова Елена  
#14 Оставлено : 10 апреля 2012 г. 23:24:38(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Странная ошибка в логе:

Код:
[2208] pkivalidator.dll: {7072} /ReportError/ CertDllVerifyCertificateChainPolicyImpl.cpp(1287) : pOtherPolicyStatus->dwError = 0x80096019


Говорит об отсутствии расширения Basic Constraints в сертификате промежуточного УЦ. Промежуточный центр один?

Offline Alagert  
#15 Оставлено : 11 апреля 2012 г. 3:30:57(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11

Новожилова Елена написал:
Странная ошибка в логе:

Код:
[2208] pkivalidator.dll: {7072} /ReportError/ CertDllVerifyCertificateChainPolicyImpl.cpp(1287) : pOtherPolicyStatus->dwError = 0x80096019


Говорит об отсутствии расширения Basic Constraints в сертификате промежуточного УЦ. Промежуточный центр один?


Там такая структура: корневой УЦ (один) -> промежуточный УЦ (сертификат выше) -> конечные сертификаты. Может быть стоит что то проверить в сертификатах корневого УЦ?
Offline Новожилова Елена  
#16 Оставлено : 11 апреля 2012 г. 17:23:58(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Если корневой УЦ самоподписанный, то проверять не нужно. Если же не самоподписанный, то да, в его сертификате тоже должно быть расширение BasicConstraints.

Отредактировано пользователем 11 апреля 2012 г. 17:24:30(UTC)  | Причина: Не указана

Offline Alagert  
#17 Оставлено : 11 апреля 2012 г. 18:25:08(UTC)
Alagert

Статус: Участник

Группы: Участники
Зарегистрирован: 09.04.2012(UTC)
Сообщений: 11

Вот расширения корневого УЦ:
Код:
Certificate Extensions: 5
    1.3.6.1.4.1.311.20.2: Flags = 0, Length = 6
    Certificate Template Name (Certificate Type)
        CA

    2.5.29.15: Flags = 1(Critical), Length = 4
    Key Usage
        Digital Signature, Certificate Signing, Off-line CRL Signing, CRL Signing (86)

    2.5.29.19: Flags = 1(Critical), Length = 5
    Basic Constraints
        Subject Type=CA
        Path Length Constraint=None

    2.5.29.14: Flags = 0, Length = 16
    Subject Key Identifier
        92 12 f8 80 95 a1 d4 e3 ce 83 6c 28 76 70 0c ac 2e 8e c8 86

    1.3.6.1.4.1.311.21.1: Flags = 0, Length = 3
    CA Version
        V0.0


Все правильно?
Offline bastad  
#18 Оставлено : 14 мая 2012 г. 19:11:29(UTC)
bastad

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.05.2012(UTC)
Сообщений: 2
Откуда: Кострома

Аналогичная ошибка. По логам такие же записи.
Подскажите, что может быть?

Используется КриптоПро CSP 3.6.
Browser plugin.

Ошибка происходит при попытке подписать данные.

Отредактировано пользователем 14 мая 2012 г. 19:12:39(UTC)  | Причина: Не указана

Offline Новожилова Елена  
#19 Оставлено : 15 мая 2012 г. 21:17:13(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.