Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC)
Сообщений: 112
|
Подписал файл с помощью утилиты cryptcp действительным сертификатом и специально отозванным.
Проверка соответственно проходит успешно на действительном и неуспешно на отозванном:
CryptCP 3.42 (c) "КРИПТО-ПРО", 2002-2013.
Утилита командной строки для подписи и шифрования файлов.
Будет использован следующий сертификат:
Субъект:********************
Действителен с 17.05.2016 11:23:22 по 26.05.2017 11:10:47
Цепочка сертификатов не проверена для следующего сертификата:
Субъект:********************
Действителен с 17.05.2016 11:23:22 по 26.05.2017 11:10:47
Один из сертификатов в цепочке отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?
Цепочки сертификатов проверены.
Папка '.\':
1.txt... Проверка подписи... ���� 0%����
���� 0%����
Автор подписи: ********************
Один из сертификатов в цепочке отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?
Подпись проверена.
[ReturnCode: 0]
1. Где именно берётся список отозванных сертификатов? В свойствах сертификата есть ссылка на "Точка распределения списка отзыва (CRL)" - но неужели при каждой проверке происходит обращение к этому URL?
2. Возможен ли запуск утилиты в полностью неинтерактивном режиме (если с подписью что-то не так - возвращать ненулевой код ошибки без вопросов)
Следов ссылки на список отзыва в реестре не нашёл...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,336   Откуда: Калининград Сказал «Спасибо»: 40 раз
Поблагодарили: 590 раз в 566 постах
|
Здравствуйте. 1. ссылка на crl берет из сертификата которым подписывается файл. Если ее там нет, то должны быть установлены локально на компьютере действующие crl. 2. возможен. если вам требуется при подписании получать ошибку (если например не строится цепочка), то указывайте команду -errchain: Код:cryptcp.exe -sign -q -errchain q.txt q.txt.sig
CryptCP 3.42 (c) "КРИПТО-ПРО", 2002-2013.
Утилита командной строки для подписи и шифрования файлов.
Будет использован следующий сертификат:
Субъект:test
Действителен с 29.02.2016 13:37:17 по 29.05.2016 13:47:17
Цепочка сертификатов не проверена для следующего сертификата:
Субъект:test
Действителен с 29.02.2016 13:37:17 по 29.05.2016 13:47:17
Цепочка сертификатов не проверена для следующего сертификата (код ошибки 1000060):
Certs.cpp:323: 0x20000133
[ErrorCode: 0x20000133]
Если требуется наоборот, чтоб выполнялось без ошибок, то используйте -nochain: Код:cryptcp.exe -sign -q -nochain q.txt q.txt.sig
CryptCP 3.42 (c) "КРИПТО-ПРО", 2002-2013.
Утилита командной строки для подписи и шифрования файлов.
Будет использован следующий сертификат:
Субъект:test
Действителен с 29.02.2016 13:37:17 по 29.05.2016 13:47:17
Папка '.\':
q.txt... Подпись данных...
Подписанное сообщение успешно создано.
[ReturnCode: 0]
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC)
Сообщений: 112
|
Хм, а если ссылка на CRL в сертификате указана, но в настоящий момент недоступна по HTTP? Возможно ли указывать локальный CRL в виде файла?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,070  Сказал «Спасибо»: 612 раз
Поблагодарили: 2370 раз в 1865 постах
|
Автор: mihmig  Хм, а если ссылка на CRL в сертификате указана, но в настоящий момент недоступна по HTTP? Возможно ли указывать локальный CRL в виде файла? Здравствуйте. CRL необходимо импортировать в хранилище. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC)
Сообщений: 112
|
Спасибо за ответы.
Ну, и чтоб окончательно закрыть вопрос спрошу:
если проверка ЭП происходит несколько раз в минуту - CRL каждый раз скачивается с указанного в сертификате URL или есть какое-то кеширование?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.03.2016(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 2 раз
|
Добрый день, пробую отключить интерактивный зарос как в теме Код:[root@q uploads]# cryptcp -nochain -verify -verall cert_sha1.sig cert_sha1.sig.desig
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Folder './':
cert_sha1.sig... Signature verifying...
Signer: TEST1, RU
The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?
но все примеры не работают, если попытаться обратиться к cryptcp из коммандной строки, в автоматическом режиме(например в php exec() ) то процесс зависнет в ожидании ввода с клавиатуры. Получается если передать любую подпись с подомным сертификатом, например со злым умыслом, это подвесит процесс сервер apache, далее идут нюансы подвешивания не относящиеся к вопросу. Можно ли полностью избавиться от ввода с клавиатуры?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC)
Сообщений: 112
|
Alex19801
Попробуйте добавить ключик:
-norev не проверять сертификаты в цепочке на предмет отозванности
Но вообще, мне кажется использование утилиты таким образом не совсем корректно - это тестовая программа, для интерактивной работы наверное...
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.03.2016(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 2 раз
|
Автор: mihmig Alex19801
Попробуйте добавить ключик:
-norev не проверять сертификаты в цепочке на предмет отозванности
Но вообще, мне кажется использование утилиты таким образом не совсем корректно - это тестовая программа, для интерактивной работы наверное... Это сообщение выдается на обычный самоподписанный сертификат, наверняка злоумышленники будут пробовать такой вариант. Комманда cryptcp -norev -verify -verall cert_sha1.sig требует ввода с клавиатуры Код:The certificate or certificate chain is based on an untrusted root.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?
как и раньше. Тогда получается, что с Apache ничего не выйдет, у CSP нет модулей для Php который работает в сервере Apache.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.05.2016(UTC)
Сообщений: 112
|
Нууу, если сильно "задаться целью", то можно запустить bat-ник так:
echo Y|cryptcp.exe -uMy -dn "somaName" -norev -vsignf 1.txt
Сможет ли компания CryptoPro доработать утилиту командной строки для полностью неинтерактивной работы? Наверное нет, т.к. такое её использование позволит обойтись покупкой только CSP (без покупки JCP)...
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.03.2016(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 2 раз
|
mihmig Спасибо. Про передачи параметров по конвееру я знал, но что их можно передавать в интерактивный ввод не догадался  Пока не пофиксили надо юзать, JCP начал смотреть, но пока не могу найти нормальные примеры, которые были бы похожи на Код:echo N | cryptcp -verify -norev -verall cert_sha1.sig
Из примеров samples-sources.jar\userSamples\SignAndVerify.java сразу генерит ключ а не берет его из хранилища. Отредактировано пользователем 2 июня 2016 г. 12:28:39(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
