Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924  Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
В цепочке сертификата, на котором вы создаете подпись, или сертификата службы штампов есть промежуточные центры сертификации?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123  Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Андрей *  Локальный OCSP доступен? имеется ввиду ссылка эта из сертификата? доступна Цитата:В цепочке сертификата, на котором вы создаете подпись, или сертификата службы штампов есть промежуточные центры сертификации? у самого сертификата нет промежуточных сертификат->УЦ у сертификата службы штампов времени есть промежуточные
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
К сожалению, по приложенному куску лога нельзя понять, о проверке какого именно сертификата идет речь. Скорее всего - о проверке промежуточного сертификата в цепочке службы штампов.
Проверьте, что у всех промежуточных сертификатов есть ссылки как минимум на CRL и эти CRL доступны.
Например certutil -verify сертификат_оператора_службы_штампов.cer
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Корневой в доверенные установлен? Если да, то проверьте по времени действия или по отпечатку, что это тот же самый корневой. Возможно была плановая смена ключа. Отредактировано пользователем 12 ноября 2014 г. 18:06:48(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
корневой установлен в доверенные, вообще все эти промежуточные сертификаты для службы штампов времени ставились из одного p7b контейнера, вот что в корневом http://take.ms/EQ3Zf , т.е. дата нормальная
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Что говорит certutil -verify сертификат_оператора_службы_штампов.cer ? Не промежуточный, не корневой, а именно сертификат оператора службы штампов.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
перезагрузка темы.... видимо с тем сертификатом то ли что-то не так было, то ли что... Связались с самим УЦ, с техническими специалистами, они сказали, что из сертификатов есть только корневой, который у нас установлен. Сказали, что для службы штампов не нужен отдельный сертификат и этот корневой - это единственный корневой сертификат. Также добавлю, что их сертификаты первоначально предназначены для работы во внутренней сети (там даже в сертификатах есть две ссылки на службы http://take.ms/YpTHy, так же и с tsp и ocsp), но, сказали, что никаких ограничений по работе по внешней сети, интернет (как работаем мы) нет и все должно работать. Но, то ли лыжи не едут, то ли... Получили от них другой сертификат, только что выданный. Корневой вот отсюда (http://ca.rzd.ru/aca/root.p7b) установлен, при попытке подписи этим сертификатом через browser plugin выдается ошибка "Unspecified error (0x80004005)". Лог подписи здесь https://yadi.sk/i/jYkWetD0cy4Qn Через криптоарм подписывается, но говорит, что нет полного доверия к сертификату подписи http://take.ms/vRvIV Что это может быть, подскажите, пожалуйста, уже всю голову сломали
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
В логе:
stampTime >= response.get_SRThisUpdate(index)
Время в штампе времени на подпись больше, чем время thisUpdate в OCSP-ответе. Вариантов 2:
- Либо служба работает по CRL и не установлена галочка "Заменять время последнего обновления CRL текущим временем". (Вообще, режим работы по CRL рекомендуется использовать только в тестовых целях)
- Либо рассинхронизировано время на машинах со службами TSP и OCSP
|
 1 пользователь поблагодарил Новожилова Елена за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Да, Елена, вы были правы, проблема была на стороне УЦ, благодарю всех за помощь, проблема решена
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
