Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
OCSP malformed request
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline vpodobaev  
#1 Оставлено : 14 ноября 2012 г. 20:23:46(UTC)
vpodobaev

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2012(UTC)
Сообщений: 6
Здравствуйте.

Пытаюсь связываться с вашим тестовым OCSP сервером (тот который ocspnc).

Кстати, чем отличаются ваши сервера?
http://www.cryptopro.ru/ocsp/ocsp.srf
http://www.cryptopro.ru/ocspnc/ocsp.srf

Когда я шлю запрос на статус одного сертификата, сервер нормально отвечает.
Когда я шлю запрос на статус двух сертификатов, сервер возвращает Malformed Request.
Почему? Это не поддерживается вашим сервером? Вроде как согласно RFC 2560 так можно делать.

Шлю дамп моего неудачного запроса. Визуально проверил запрос - вроде в нём всё корректно согласно RFC.

base64:
Код:

MIHZMIHWMIGUMEswSTAJBgUrDgMCGgUABBQmn/yqQinLItDklH0kSISgzTVo8AQUM7nLgBoOBfta
PqA3Ls2wWARD36ICEGmEAyhqplm6RjViLUneX9MwRTBDMAkGBSsOAwIaBQAEFCaf/KpCKcsi0OSU
fSRIhKDNNWjwBBQzucuAGg4F+1o+oDcuzbBYBEPfogIKGaQt4QACAAJYlKI9MDswHQYJKwYBBQUH
MAECBBCJCgqpEuFYzhsBQbNbEbJzMBoGCSsGAQUFBzABBAQNMAsGCSsGAQUFBzABAQ==


dumpasn1:
Код:

0  217: SEQUENCE { -- OCSPrequest
   3  214:   SEQUENCE { -- tbsRequest
   6  148:     SEQUENCE { -- requestList
   9   75:       SEQUENCE { -- request
  11   73:         SEQUENCE { -- reqCert (CertID)
  13    9:           SEQUENCE { -- hashAlg
  15    5:             OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
  22    0:             NULL
         :             } -- end of hashAlg
  24   20:           OCTET STRING -- issuerNameHash
         :             26 9F FC AA 42 29 CB 22 D0 E4 94 7D 24 48 84 A0
         :             CD 35 68 F0
  46   20:           OCTET STRING -- issuerKeyHash
         :             33 B9 CB 80 1A 0E 05 FB 5A 3E A0 37 2E CD B0 58
         :             04 43 DF A2
  68   16:           INTEGER -- serialNumber (of Cert)
         :             69 84 03 28 6A A6 59 BA 46 35 62 2D 49 DE 5F D3
         :           } -- end of reqCert (CertID)
         :         } -- end of request
  86   69:       SEQUENCE { -- request
  88   67:         SEQUENCE { -- reqCert (CertID)
  90    9:           SEQUENCE { -- hashAlg
  92    5:             OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
  99    0:             NULL
         :             } -- end of hashAlg
 101   20:           OCTET STRING -- issuerNameHash
         :             26 9F FC AA 42 29 CB 22 D0 E4 94 7D 24 48 84 A0
         :             CD 35 68 F0
 123   20:           OCTET STRING -- issuerKeyHash
         :             33 B9 CB 80 1A 0E 05 FB 5A 3E A0 37 2E CD B0 58
         :             04 43 DF A2
 145   10:           INTEGER 19 A4 2D E1 00 02 00 02 58 94 -- serialNumber (CertID)
         :           } -- end of reqCert (CertID)
         :         } -- end of request
         :       } -- end of requestList
 157   61:     [2] { -- requestExtensions
 159   59:       SEQUENCE { -- Extensions
 161   29:         SEQUENCE { -- Extension
 163    9:           OBJECT IDENTIFIER ocspNonce (1 3 6 1 5 5 7 48 1 2)
 174   16:           OCTET STRING
         :             89 0A 0A A9 12 E1 58 CE 1B 01 41 B3 5B 11 B2 73
         :           } -- end of Extension
 192   26:         SEQUENCE { -- Extension
 194    9:           OBJECT IDENTIFIER ocspResponse (1 3 6 1 5 5 7 48 1 4)
 205   13:           OCTET STRING, encapsulates { -- extnValue
 207   11:             SEQUENCE { -- AcceptableResponses
 209    9:               OBJECT IDENTIFIER ocspBasic (1 3 6 1 5 5 7 48 1 1)
         :               } -- end of AcceptableResponses
         :             } -- end of extnValue
         :           } -- end of Extension
         :         } -- end of Extensions
         :       } -- end of requestExtensions
         :     } -- end of tbsRequest
         :   } -- end of OCSPrequest
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Новожилова Елена  
#2 Оставлено : 16 ноября 2012 г. 17:42:48(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Отличие - в наличии расширения no-check в сертификате службы http://www.cryptopro.ru/ocspnc/ocsp.srf

Ограничение на максимальный размер запроса на службе http://www.cryptopro.ru/ocspnc/ocsp.srf - 150 байт. Скорее всего ваш запрос слишком большой.
Вверх
Offline vpodobaev  
#3 Оставлено : 16 ноября 2012 г. 19:38:22(UTC)
vpodobaev

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2012(UTC)
Сообщений: 6
Ок. Скажите, это ограничение 150 байт только на тестовом OCSP-сервере?
Если купить у Крипто-Про OCSP-сервер - можно увеличить это ограничение?
Вверх
Offline Femi  
#4 Оставлено : 16 ноября 2012 г. 19:54:13(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Вообще-да, это настраиваемый параметр.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vpodobaev  
#5 Оставлено : 19 ноября 2012 г. 14:55:55(UTC)
vpodobaev

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2012(UTC)
Сообщений: 6
Скажите, а вы можете настроить тестовый OCSP-сервер на приём хотя бы 300 байт?
Вверх
Offline Femi  
#6 Оставлено : 19 ноября 2012 г. 17:00:05(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
настроили на 1500 :)
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vpodobaev  
#7 Оставлено : 19 ноября 2012 г. 17:28:14(UTC)
vpodobaev

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2012(UTC)
Сообщений: 6
Что-то не сработало. Всё равно возвращает malformed request.

Запрос шлю на http://www.cryptopro.ru/ocspnc/ocsp.srf

Скажите, что неправильного в моём запросе?
base64:
Код:

MIHZMIHWMIGUMEswSTAJBgUrDgMCGgUABBQmn/yqQinLItDklH0kSISgzTVo8AQUM7nLgBoOBfta
PqA3Ls2wWARD36ICEGmEAyhqplm6RjViLUneX9MwRTBDMAkGBSsOAwIaBQAEFCaf/KpCKcsi0OSU
fSRIhKDNNWjwBBQzucuAGg4F+1o+oDcuzbBYBEPfogIKGaQt4QACAAJYlKI9MDswHQYJKwYBBQUH
MAECBBDjMLustNwy/V0baHmojOOFMBoGCSsGAQUFBzABBAQNMAsGCSsGAQUFBzABAQ==


dumpasn1:
Код:

   0  217: SEQUENCE {
   3  214:   SEQUENCE {
   6  148:     SEQUENCE {
   9   75:       SEQUENCE {
  11   73:         SEQUENCE {
  13    9:           SEQUENCE {
  15    5:             OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
  22    0:             NULL
         :             }
  24   20:           OCTET STRING
         :             26 9F FC AA 42 29 CB 22 D0 E4 94 7D 24 48 84 A0
         :             CD 35 68 F0
  46   20:           OCTET STRING
         :             33 B9 CB 80 1A 0E 05 FB 5A 3E A0 37 2E CD B0 58
         :             04 43 DF A2
  68   16:           INTEGER
         :             69 84 03 28 6A A6 59 BA 46 35 62 2D 49 DE 5F D3
         :           }
         :         }
  86   69:       SEQUENCE {
  88   67:         SEQUENCE {
  90    9:           SEQUENCE {
  92    5:             OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
  99    0:             NULL
         :             }
 101   20:           OCTET STRING
         :             26 9F FC AA 42 29 CB 22 D0 E4 94 7D 24 48 84 A0
         :             CD 35 68 F0
 123   20:           OCTET STRING
         :             33 B9 CB 80 1A 0E 05 FB 5A 3E A0 37 2E CD B0 58
         :             04 43 DF A2
 145   10:           INTEGER 19 A4 2D E1 00 02 00 02 58 94
         :           }
         :         }
         :       }
 157   61:     [2] {
 159   59:       SEQUENCE {
 161   29:         SEQUENCE {
 163    9:           OBJECT IDENTIFIER ocspNonce (1 3 6 1 5 5 7 48 1 2)
 174   16:           OCTET STRING
         :             E3 30 BB AC B4 DC 32 FD 5D 1B 68 79 A8 8C E3 85
         :           }
 192   26:         SEQUENCE {
 194    9:           OBJECT IDENTIFIER ocspResponse (1 3 6 1 5 5 7 48 1 4)
 205   13:           OCTET STRING, encapsulates {
 207   11:             SEQUENCE {
 209    9:               OBJECT IDENTIFIER ocspBasic (1 3 6 1 5 5 7 48 1 1)
         :               }
         :             }
         :           }
         :         }
         :       }
         :     }
         :   }



Вверх
Offline Femi  
#8 Оставлено : 20 ноября 2012 г. 17:16:36(UTC)
Наталья Мовчан

Статус: Padawan

Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC)
Сообщений: 1,381
Женщина
Российская Федерация
Откуда: Москва

Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
Да, есть еще ограничение на число сертификатов в запросе.
ПРобуйте еще раз)
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vpodobaev  
#9 Оставлено : 20 ноября 2012 г. 18:59:19(UTC)
vpodobaev

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.11.2012(UTC)
Сообщений: 6
Заработало. Спасибо!
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET