Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
openssl ocsp - не могу проверить сертификат
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline plov  
#1 Оставлено : 9 мая 2015 г. 21:03:30(UTC)
plov

Статус: Участник

Группы: Участники
Зарегистрирован: 02.04.2015(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань
У меня есть отделенная подпись и оригинал файла, из подписи я извлкаю сертификат и пытаюсь проверить на oсsp сервере его актуальность утилитой, в ответ получаю "Error querying OCSP responder" без описания ошибки. Issuer сертификата - комания Тензор, в свою очередь её issuer - криптопро. Вот мой "путь":
1) Изначально имеем detached подпись - message.sig. Извлекаем сртификат:
openssl pkcs7 -in message.sig -print_certs -inform PEM -out mycert.pem
Я так понимаю, это сертификат того, кто подписал сообщение. Далее:

2) Парсю вывод команды
openssl x509 -in mycert.pem -noout -text
и вытаскиваю оттуда CA Issuers url, которые оканчиваются на crt, в моём случае таких ссылок две, но содержание сертификатов по ним одинаковое, сохраняю этот сертификат в issuer.crt. Далее:

3) Конвертирую в PEM:
openssl x509 -in issuer.crt -inform DER -out issuer.pem -outform PEM

4) Скачиваю http://cpca.cryptopro.ru/cacer.p7b, конвертирую в PEM
openssl pkcs7 -inform DER -outform PEM -print_certs -in cacer.p7b -out cacer.pem

5) Получаю урл OCSP сервера:
openssl x509 -in mycert.pem -noout -ocsp_uri
В моём случае вывод: http://tax4.tensor.ru/ocsp/ocsp.srf

6) openssl ocsp -CAfile cacer.pem -issuer issuer.pem -cert mycert.pem -url http://tax4.tensor.ru/ocsp/ocsp.srf
Возвращает "Error querying OCSP responder", при этом если поменять url на http://www.cryptopro.ru/ocsp/ocsp.srf - выдаёт "Responce Verify Failure" и "unable to get local issuer".
P.S. Пробовал "openssl ocsp -CAfile issuer.pem -issuer issuer.pem -cert mycert.pem -url http://tax4.tensor.ru/ocsp/ocsp.srf" c расчётом на то, что Тензор УЦ не зависит от Криптопро.

6.1) С чего я взял, что криптопро тут участвует?
Вывод информации о сертификате mycert.pem имеет такой кусок текста:
X509v3 extensions:
1.2.643.100.111:
0:d=0 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6)

1.2.643.100.112:
0:d=0 hl=4 l= 290 cons: SEQUENCE
4:d=1 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6)
49:d=1 hl=2 l= 83 prim: UTF8STRING :"Удостоверяющий центр "КриптоПро УЦ" версии 1.5
134:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/121-1859 от 17.06.2012
214:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/128-1822 от 01.06.2012

ИТОГ: Почему я не могу проверить сертификат? Может, я скармливаю OCSP программе не те сертификаты или ссылки? Если так, то что надо скармливать?
И вообще, как мне правильно проверить действительность (актуальность и подлиность) сертификата утилитой openssl или чем-то ещё, работающем из-под линукса?
P.S. Прикрепляю файл подписи.

Отредактировано пользователем 9 мая 2015 г. 21:05:56(UTC)  | Причина: Не указана

Вложение(я):
message.rar (3kb) загружен 1 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей Писарев  
#2 Оставлено : 9 мая 2015 г. 22:31:30(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,227
Мужчина
Российская Федерация

Сказал «Спасибо»: 540 раз
Поблагодарили: 2184 раз в 1707 постах
Автор: plov Перейти к цитате
У меня есть отделенная подпись и оригинал файла, из подписи я извлкаю сертификат и пытаюсь проверить на oсsp сервере его актуальность утилитой, в ответ получаю "Error querying OCSP responder" без описания ошибки. Issuer сертификата - комания Тензор, в свою очередь её issuer - криптопро. Вот мой "путь":
1) Изначально имеем detached подпись - message.sig. Извлекаем сртификат:
openssl pkcs7 -in message.sig -print_certs -inform PEM -out mycert.pem
Я так понимаю, это сертификат того, кто подписал сообщение. Далее:

2) Парсю вывод команды
openssl x509 -in mycert.pem -noout -text
и вытаскиваю оттуда CA Issuers url, которые оканчиваются на crt, в моём случае таких ссылок две, но содержание сертификатов по ним одинаковое, сохраняю этот сертификат в issuer.crt. Далее:

3) Конвертирую в PEM:
openssl x509 -in issuer.crt -inform DER -out issuer.pem -outform PEM

4) Скачиваю http://cpca.cryptopro.ru/cacer.p7b, конвертирую в PEM
openssl pkcs7 -inform DER -outform PEM -print_certs -in cacer.p7b -out cacer.pem

5) Получаю урл OCSP сервера:
openssl x509 -in mycert.pem -noout -ocsp_uri
В моём случае вывод: http://tax4.tensor.ru/ocsp/ocsp.srf

6) openssl ocsp -CAfile cacer.pem -issuer issuer.pem -cert mycert.pem -url http://tax4.tensor.ru/ocsp/ocsp.srf
Возвращает "Error querying OCSP responder", при этом если поменять url на http://www.cryptopro.ru/ocsp/ocsp.srf - выдаёт "Responce Verify Failure" и "unable to get local issuer".
P.S. Пробовал "openssl ocsp -CAfile issuer.pem -issuer issuer.pem -cert mycert.pem -url http://tax4.tensor.ru/ocsp/ocsp.srf" c расчётом на то, что Тензор УЦ не зависит от Криптопро.

6.1) С чего я взял, что криптопро тут участвует?
Вывод информации о сертификате mycert.pem имеет такой кусок текста:
X509v3 extensions:
1.2.643.100.111:
0:d=0 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6)

1.2.643.100.112:
0:d=0 hl=4 l= 290 cons: SEQUENCE
4:d=1 hl=2 l= 43 prim: UTF8STRING :"КриптоПро CSP" (версия 3.6)
49:d=1 hl=2 l= 83 prim: UTF8STRING :"Удостоверяющий центр "КриптоПро УЦ" версии 1.5
134:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/121-1859 от 17.06.2012
214:d=1 hl=2 l= 78 prim: UTF8STRING :Cертификат соответствия № СФ/128-1822 от 01.06.2012

ИТОГ: Почему я не могу проверить сертификат? Может, я скармливаю OCSP программе не те сертификаты или ссылки? Если так, то что надо скармливать?
И вообще, как мне правильно проверить действительность (актуальность и подлиность) сертификата утилитой openssl или чем-то ещё, работающем из-под линукса?
P.S. Прикрепляю файл подписи.


Приказ ФСБ РФ от 27 декабря 2011 г. № 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи"

Вывод: УЦ Тензора функционирует на базе ПО от ООО КРИПТО-ПРО.

Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline plov  
#3 Оставлено : 9 мая 2015 г. 22:40:39(UTC)
plov

Статус: Участник

Группы: Участники
Зарегистрирован: 02.04.2015(UTC)
Сообщений: 11
Российская Федерация
Откуда: Казань
Прекрасно, в этом я не ошибся. А что насчёт остальных пунктов моего вопроса?

UPDATE:
Значит ли это, что CA при проверке будет КриптоПРО?

Отредактировано пользователем 12 мая 2015 г. 20:19:38(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET