Статус: Новичок
Группы: Участники
Зарегистрирован: 01.11.2013(UTC) Сообщений: 7  Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Добрый день. Прошу прощения за может быть нубские вопросы.
Хотим в организации наладить документооборот с другими организациями.
В данный момент закупили офис сигнатур плюс крипто про и ЭЦП для каждого из офисов.
Интересует каким образом происходит проверка ЭЦП в документах
Допустим организация подписала документ своей ЭЦП, отправила этот документ мне. Я добавил корневой сертификат в доверенные (предварительно проверив его на госуслугах). При открытии документа ЭЦП действительна для данного документа. А каким образом определить что данная ЭЦП была отозвана или не отозвана?
Знаю, существуют списки отзыва CRL, которые прописаны в самой ЭЦП. Через IE я их могу скачать просмотреть, но кнопки добавить там не нахожу, не так как в добавлении обычного сертификата. Плюс у каждого crl сертификата есть такой же срок действия.
Правильно ли я понимаю, что при открытии подписанного файла (к примеру word) у меня открывается этот сертификат и в этот момент автоматически средствами Windows скачивается crl список и проверяется на отзыв сам сертификат.
Если это так, то что будет если на момент открытия файла срок действия crl истек, а новый не скачался (например нет интернета на данный момент или УЦ список новый не выпустил). Мне как то об этом программа сообщит?
Где в системе хранятся crl? Их можно посмотреть в самой системе?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,279  Сказал «Спасибо»: 548 раз
Поблагодарили: 2196 раз в 1714 постах
|
Автор: hh1nt 
Где в системе хранятся crl? Их можно посмотреть в самой системе? Пуск\Выполнить\ certmgr.msc Пользователь Андрей * прикрепил следующие файлы:  СОС.png (134kb) загружен 90 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Посмотрел по данному пути, увидел только один crl файл. Тех crl по сертификатам что я открывал- нет, даже нет тех, которые я скачивал в ручную с сайтов. Каким образом их можно установить? Каким образом происходит проверка сертификатов по crl? Что будет если crl истек, новый не скачивается, как в таком случае произойдет проверка сертификата/подписанного файла.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,279 Сказал «Спасибо»: 548 раз
Поблагодарили: 2196 раз в 1714 постах
|
Установить можно несколькими способами: 1) правой кнопкой - установить, выбрать хранилище "Промежуточные ЦС" 2) открыть certmgr.msc: выбрать хранилище "Промежуточные ЦС",правой кнопкой: Все задачи\Импорт\ в мастере выбрать "Список отзыва сертификатов" 3) используя утилиты, типа certmgr.exe Цитата:
CertMgr.exe /add /all "c:\file.crl" /s /r currentUser CA
Пользователь Андрей * прикрепил следующие файлы: Установка СОС.png (61kb) загружен 40 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
hh1nt оставлено 05.11.2013(UTC)
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,279 Сказал «Спасибо»: 548 раз
Поблагодарили: 2196 раз в 1714 постах
|
Автор: hh1nt Посмотрел по данному пути, увидел только один crl файл. Тех crl по сертификатам что я открывал- нет, даже нет тех, которые я скачивал в ручную с сайтов. Каким образом их можно установить? Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему.
Смотреть можно разве что срок действия и идентификатор ключа ЦС, остальное должно ПО делать (проверять подпись и искать серийный номер сертификата в СОС)
И СОС бывают разные...
Есть УЦ выпускающие СОС с 20 тыс записей,
сортировки и поиска по серийному номеру средствами визуализации в ОС нет.
|
|
1 пользователь поблагодарил Андрей * за этот пост.
|
hh1nt оставлено 05.11.2013(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Автор: Андрей * Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему.
Смотреть можно разве что срок действия и идентификатор ключа ЦС, остальное должно ПО делать (проверять подпись и искать серийный номер сертификата в СОС)
И СОС бывают разные...
Есть УЦ выпускающие СОС с 20 тыс записей,
сортировки и поиска по серийному номеру средствами визуализации в ОС нет.
1. Т.е. если мне пришел подписанный документ и я хочу проверить, что в данном документе подпись не состоит в списках отзыва, то нужно каждый раз скачивать СОС с сайта и каждый раз делать импорт? Или же по истечению СОСа автоматически скачается новый средствами ОС Windows? 2. Какую ошибку покажет документ при проверке сертификата, если СОС по данному сертификату истек, а новый не загружен?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: hh1nt Автор: Андрей * Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему.
Смотреть можно разве что срок действия и идентификатор ключа ЦС, остальное должно ПО делать (проверять подпись и искать серийный номер сертификата в СОС)
И СОС бывают разные...
Есть УЦ выпускающие СОС с 20 тыс записей,
сортировки и поиска по серийному номеру средствами визуализации в ОС нет.
1. Т.е. если мне пришел подписанный документ и я хочу проверить, что в данном документе подпись не состоит в списках отзыва, то нужно каждый раз скачивать СОС с сайта и каждый раз делать импорт? Или же по истечению СОСа автоматически скачается новый средствами ОС Windows? 2. Какую ошибку покажет документ при проверке сертификата, если СОС по данному сертификату истек, а новый не загружен? Поймите, что за проверку подписи отвечает только та программа, с помощью которой вы работаете с подписями. То есть это её обязанность смотреть CRL, запрашивать обновления, устанавливать обновления CRL в локальные хранилища и т.д. Так же и ошибка при истекшем CRL также может быть специфична. Обычно показывается, что статус сертификата неизвестен (так как нет информации о более новом CRL). |
С уважением,
Юрий Строжевский |
1 пользователь поблагодарил Юрий за этот пост.
|
hh1nt оставлено 07.11.2013(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Спасибо, Юрий. Описывал в 1 посте. Используется Word + Офис Сигнатур. И черт его знает в момент проверки ЭЦП сам WORD подгружает CRL или не подгружает. И возможности нет проверить, отозвать сертификат, снова проверить :)
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
