Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Модуль проверки сертификатов и электронной подписи не отправляет OCSP запросы
Статус: Участник
Группы: Участники
Зарегистрирован: 29.10.2012(UTC) Сообщений: 21 Откуда: Tula
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Имеется сервер с настроенной OCSP-службой.На том же сервере установлен модуль SVS(Модуль проверки сертификатов и электронной подписи). Доступ с клиентской машины к модулю есть. На той же клиентской машине установлен криптоАРМ. Проверяю в криптоАРМе пользовательский сертификат по OCSP службе-проверяется(то есть на сервер с OCSP службой приходит запрос и обратно уходит подписанный ответ). При попытке проверить тот же сертификат через SVS модуль выдается сообщение- "Сертификат не действителен". При этом на сервере с OCSP в журнале нет записей о том что приходил запрос с клиентской машины. Все сертификаты которые проверяю выданы тем же корневым что и сертификат оператора службы OCSP. Утилитой ocsputil с той же клиентской машины работоспособность службы так же успешно проверяется. То есть проблема именно в том что Модуль SVS не отправляет запрос к службе. Подскажите в какую сторону копать? Заранее спасибо
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
А корневой сертификат присутствует в списке авторизованных УЦ?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.10.2012(UTC) Сообщений: 21 Откуда: Tula
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
1. Речь идет о хранилище TSL локального компьютера на сервере? 2. Смена ключа УЦ не проводилась?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.10.2012(UTC) Сообщений: 21 Откуда: Tula
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Да хранилище локального компьютера. Смена не проводилась. Если выбирать для проверки другие сертификаты, которые изданы корневым, которого нет в хранилище TSL, то в результате проверки ошибка "Издатель сертификат отсутствует в списке доверенных", т.е. модуль проверяет сертификат издателя, а клиентский сертификат нет.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
А в клиентском сертификате присутствует расширение AIA?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.10.2012(UTC) Сообщений: 21 Откуда: Tula
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 1 раз в 1 постах
|
Да, расширение присутствует. Этот же сертификат проверяется через ocsputil и через криптоАРМ без ошибок. А при попытке проверить через SVS на сервере OCSP не фиксируется даже OCSP запрос от SVS.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Можете выложить или прислать сертификат (и корневой тоже), чтобы мы могли воспроизвести проблему?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2011(UTC) Сообщений: 554 Откуда: Москва Сказал «Спасибо»: 52 раз Поблагодарили: 45 раз в 28 постах
|
Коллеги, а как заставить модуль проверять по OCSP, а не по СОС? Пользователь shkodnik прикрепил следующие файлы: ScreenShot 202.png (57kb) загружен 49 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах
|
Автор: shkodnik Коллеги, а как заставить модуль проверять по OCSP, а не по СОС? А с помощью чего это удалось проверить по СОС? И с помощью чего такую подпись удалось сделать? И, кстати, на каком релизе CAdES SDK состоялась такая проверка подписи? |
С уважением, Юрий Строжевский |
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Модуль проверки сертификатов и электронной подписи не отправляет OCSP запросы
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close