Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.08.2012(UTC)
Сообщений: 51
Сказал(а) «Спасибо»: 2 раз
|
Автор: Андрей *  Автор: Golodnyi Автор: Андрей * Автор: Golodnyi При попытки усовершенствованной подписи через ЭЦП брузер плагин, тестовым сертом от крипто про все проходит хорошо, при подписи реальным квалифицированным сертом, получаю ошибку Error: The URL of OCSP service is not specified, сервер штампов стоит от крипто про, в чем может быть проблема? Какие адреса указаны в квалифицированном сертификате? Сервер штампов - это TSP. OCSP - Online Certificate Status Protocol. [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://ca.sertum-pro.ru/cdp/sertum-pro-2013.crl [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://ca.sertum.ru/cdp/sertum-pro-2013.crl Это адреса публикации CRL-файлов. Посмотрите первое и второе сообщение в начале страницы [1]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.sertum-pro.ru/certificates/sertum-pro-2013.crt [2]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.sertum.ru/certificates/sertum-pro-2013.crt Я так понимаю УЦ не реализовал в сертификате поле, которое требуется для усовершенствованной подписи? Поле считается не обязательным?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,532   Сказал «Спасибо»: 556 раз
Поблагодарили: 2254 раз в 1759 постах
|
Автор: Golodnyi Автор: Андрей * Автор: Golodnyi Автор: Андрей * Автор: Golodnyi При попытки усовершенствованной подписи через ЭЦП брузер плагин, тестовым сертом от крипто про все проходит хорошо, при подписи реальным квалифицированным сертом, получаю ошибку Error: The URL of OCSP service is not specified, сервер штампов стоит от крипто про, в чем может быть проблема? Какие адреса указаны в квалифицированном сертификате? Сервер штампов - это TSP. OCSP - Online Certificate Status Protocol. [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://ca.sertum-pro.ru/cdp/sertum-pro-2013.crl [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://ca.sertum.ru/cdp/sertum-pro-2013.crl Это адреса публикации CRL-файлов. Посмотрите первое и второе сообщение в начале страницы [1]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.sertum-pro.ru/certificates/sertum-pro-2013.crt [2]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.sertum.ru/certificates/sertum-pro-2013.crt Я так понимаю УЦ не реализовал в сертификате поле, которое требуется для усовершенствованной подписи? Поле считается не обязательным? Да. |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.08.2012(UTC)
Сообщений: 51
Сказал(а) «Спасибо»: 2 раз
|
Автор: Андрей * Автор: Golodnyi Автор: Андрей * Автор: Golodnyi Автор: Андрей * Автор: Golodnyi При попытки усовершенствованной подписи через ЭЦП брузер плагин, тестовым сертом от крипто про все проходит хорошо, при подписи реальным квалифицированным сертом, получаю ошибку Error: The URL of OCSP service is not specified, сервер штампов стоит от крипто про, в чем может быть проблема? Какие адреса указаны в квалифицированном сертификате? Сервер штампов - это TSP. OCSP - Online Certificate Status Protocol. [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://ca.sertum-pro.ru/cdp/sertum-pro-2013.crl [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://ca.sertum.ru/cdp/sertum-pro-2013.crl Это адреса публикации CRL-файлов. Посмотрите первое и второе сообщение в начале страницы [1]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.sertum-pro.ru/certificates/sertum-pro-2013.crt [2]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.sertum.ru/certificates/sertum-pro-2013.crt Я так понимаю УЦ не реализовал в сертификате поле, которое требуется для усовершенствованной подписи? Поле считается не обязательным? Да. В итоге без этого поля в сертификате создать усовершенствованную подпись невозможно? Выше шла речь про обход через сервер штампа времени, но я эту часть не понял, TSP ведь используется в любом случае. Задача OCSP просто проверить актуальность сертификата? Можно ли отказаться от проверки отозванности и от проверки цепочки сертификатов в ЭЦП браузер плагине, это ведь не самый необходимый критерий на сколько я понимаю.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Фактически можно реализовать "усовершенствованную подпись" с помощью только CRL (и я, например, реализовал это в одном из сделанных мною продуктов). Однако в стандартном компоненте от Крипто-Про в качестве "доказательства подлинности" сертификата может использоваться исключительно только ответ от OCSP сервера. Причём для создания "усовершенствованной подписи" (в исполнении Крипто-Про) наличие таких OCSP ответов обязательно. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.08.2012(UTC)
Сообщений: 51
Сказал(а) «Спасибо»: 2 раз
|
Автор: Юрий Фактически можно реализовать "усовершенствованную подпись" с помощью только CRL (и я, например, реализовал это в одном из сделанных мною продуктов). Однако в стандартном компоненте от Крипто-Про в качестве "доказательства подлинности" сертификата может использоваться исключительно только ответ от OCSP сервера. Причём для создания "усовершенствованной подписи" (в исполнении Крипто-Про) наличие таких OCSP ответов обязательно. Ну это слишком суровый вариант, проверка актуальности сертификата всегда была как дополнительная опция, которая без проблем отключалась, в эцп браузер плагин наверняка тоже можно подать определенную опцию, говорящую что проверять ничего не надо? Задача только подписать, чтоб в будущем можно было проверить что эти данные были подписаны именно этим сертификатом, который к тому времени возможно уже истечет или будет отозван.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Golodnyi Автор: Юрий Фактически можно реализовать "усовершенствованную подпись" с помощью только CRL (и я, например, реализовал это в одном из сделанных мною продуктов). Однако в стандартном компоненте от Крипто-Про в качестве "доказательства подлинности" сертификата может использоваться исключительно только ответ от OCSP сервера. Причём для создания "усовершенствованной подписи" (в исполнении Крипто-Про) наличие таких OCSP ответов обязательно. Ну это слишком суровый вариант, проверка актуальности сертификата всегда была как дополнительная опция, которая без проблем отключалась, в эцп браузер плагин наверняка тоже можно подать определенную опцию, говорящую что проверять ничего не надо? Задача только подписать, чтоб в будущем можно было проверить что эти данные были подписаны именно этим сертификатом, который к тому времени возможно уже истечет или будет отозван. Нет, такой опции в Крипто-Про ЭЦП Browser Plug-in нет. Использование OCSP ответов там обязательно. |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924  Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Если в сертификате нет расширения AIA, то адрес службы OCSP можно задать в настройках групповой политики КриптоПро OCSP Client: Адрес службы OCSP по умолчанию. Или этот адрес можно задать в свойствах сертификата УЦ в хранилище (вкладка OCSP, только Windows)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
|
Автор: Новожилова Елена Если в сертификате нет расширения AIA, то адрес службы OCSP можно задать в настройках групповой политики КриптоПро OCSP Client: Адрес службы OCSP по умолчанию. Или этот адрес можно задать в свойствах сертификата УЦ в хранилище (вкладка OCSP, только Windows) Примечание: этот путь можно использовать только если OCSP сервер сможет давать ответы для проверяемых сертификатов. А этого достаточно сложно добиться (но возможно). |
С уважением,
Юрий Строжевский |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.08.2012(UTC)
Сообщений: 51
Сказал(а) «Спасибо»: 2 раз
|
Автор: Новожилова Елена Если в сертификате нет расширения AIA, то адрес службы OCSP можно задать в настройках групповой политики КриптоПро OCSP Client: Адрес службы OCSP по умолчанию. Или этот адрес можно задать в свойствах сертификата УЦ в хранилище (вкладка OCSP, только Windows) Ну возможно это выход, вот только как объяснить пользователям где им взять адрес, не понятно =)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Самый лучший вариант - чтобы УЦ добавлял этот адрес в расширение AIA сертификатов пользователей. Если с уже выданными сертификатами ничего поделать нельзя, то хотя бы в новые сертификаты. У вас у всех пользователей сертификаты выданы одним и тем же УЦ?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
