Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline iq21  
#1 Оставлено : 9 августа 2016 г. 15:36:30(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Доброго дня.
Подскажите, пожалуйста, что необходимо настроить на АРМ пользователя УЦ, чтобы при получении подписанного письма в Outlook происходила проверка СОС с сайта УЦ. Возможно ли вообще такое? Процедура проверки СОС происходит удачно, только если устанавливать СОС в ручную.
Offline Станислав Королёв  
#2 Оставлено : 9 августа 2016 г. 16:24:15(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
Добрый день,

Должна быть доступна ссылка на СОС в сертификате подписавшего.
Offline iq21  
#3 Оставлено : 9 августа 2016 г. 16:56:43(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Ссылка в сертификате есть, она доступна, а обращаться к ней Пользователь должен сам или можно как-то прописать эту ссылку для автоматического обращения?
Offline Станислав Королёв  
#4 Оставлено : 9 августа 2016 г. 16:59:36(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
Идет автоматическое обращение. Пришлите вывод команды certutil -verify "путь к файлу сертификата подписавшего".
Offline iq21  
#5 Оставлено : 9 августа 2016 г. 17:10:22(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

А эту команду необходимо на АРМ пользователя УЦ в cmd вводить или на сервере УЦ?
Offline Станислав Королёв  
#6 Оставлено : 9 августа 2016 г. 17:14:29(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
На АРМе.
Offline iq21  
#7 Оставлено : 9 августа 2016 г. 17:25:10(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

C:\Users\pds>certutil -verify c:\Users\pds\Documents\Документы\УЦ\Новая папка\Ры
чков Андрей Игоревич.cer
Ожидалось не более 3 аргументов, получено 4
CertUtil: Слишком много аргументов

Применение:
CertUtil [Параметры] -verify CertFile [ApplicationPolicyList | - [IssuancePoli
cyList]]
CertUtil [Параметры] -verify CertFile [CACertFile [CrossedCACertFile]]
CertUtil [Параметры] -verify CRLFile CACertFile [IssuedCertFile]
CertUtil [Параметры] -verify CRLFile CACertFile [DeltaCRLFile]
Просмотр CRL, сертификата или цепочки
CertFile - Сертификат, подлежащий проверке
ApplicationPolicyList - дополнительный список кодов политики применения
ObjectId, разделенных запятыми
IssuancePolicyList - дополнительный список необходимых кодов, разделенных

запятыми

CACertFile - дополнительный сертификат ЦС, выпущенный для проверк
и
CrossedCACertFile - дополнительный сертификат ЦС, выпущенный для
перекрестной проверки с CertFile

CRLFile - CRL, подлежащий проверке
IssuedCertFile - дополнительный сертификат, входящий в CRLFile
DeltaCRLFile - дополнительный разностный CRL

Если список ApplicationPolicyList указан, то построение цепочки ограничено
цепочками, допустимыми для указанных политик применения.
Если список IssuancePolicyList указан, то построение цепочки ограничено
цепочками, допустимыми для указанных политик выдачи.

Если указан параметр CACertFile, то поля этого файла сравниваются с полями
файловCertFile или CRLFile.
Если параметр CACertFile не указан, то файл CertFile выпускается для
построения и проверки всей цепочки.
Если указаны оба параметра CACertFile и CrossedCACertFile, то поля файлов
CACertFile и CrossedCACertFile сравниваются с полями файла CertFile.


Если указан параметр IssuedCertFile, то поля этого файла сравниваются с поля
ми
файла CRLFile.
Если указан параметр DeltaCRLFile, то поля этого файла сравниваются с полями

файла CRLFile.

Параметры:
-f -- Обязательная перезапись
-enterprise -- Использовать локальное хранилище сертификатов
-user -- Используйте ключи HKEY_CURRENT_USER или хранилище сертифи
катов
-gmt -- Вывод времени по Гринвичу (GMT)
-seconds -- Время отображения с секундами и миллисекундами
-silent -- Использовать флаг молчания для получения контекста шифров
ания
-split -- Отделение внедренных элементов ASN.1 и сохранение в файл
-v -- Подробное протоколирование работы
-privatekey -- Отобразить пароль и данные закрытого ключа
-urlfetch -- Извлечь и проверить AIA-сертификаты и CDP CRL
-t Таймаут -- Таймаут получения URL (мсек)

CertUtil -? -- Отображение списка команд
CertUtil -verify -? -- Отображение справки о команде "verify"
CertUtil -v -? -- Отображение справки по всем командам


Offline Станислав Королёв  
#8 Оставлено : 9 августа 2016 г. 17:29:27(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
Поставьте кавычки C:\Users\pds>certutil -verify "c:\Users\pds\Documents\Документы\УЦ\Новая папка\Рычков Андрей Игоревич.cer"
Offline iq21  
#9 Оставлено : 9 августа 2016 г. 17:40:45(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва



C:\Users\Администратор>certutil -verify "C:\Users\Администратор\Documents\сертиф
икаты пользователей\Рычков Андрей Игоревич.cer"
Поставщик:
CN=TESTCA
Субъект:
CN=Рычков Андрей Игоревич
OU=НТЦ УЖЦ СС
O=ФГУП НИИР
L=Москва
S=Москва
C=RU
E=rychkov@niir.ru
Серийный номер сертификата: 115ef93300000000000b

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwRevocationFreshnessTime: 2 Hours, 16 Minutes, 48 Seconds

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwRevocationFreshnessTime: 2 Hours, 16 Minutes, 48 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=TESTCA
NotBefore: 09.08.2016 16:31
NotAfter: 09.11.2017 16:41
Subject: CN=Рычков Андрей Игоревич, OU=НТЦ УЖЦ СС, O=ФГУП НИИР, L=Москва, S=Мо
сква, C=RU, E=rychkov@niir.ru
Serial: 115ef93300000000000b
49 12 6a 40 f8 4a 69 69 bc 42 1a db 0c 7c 60 bf 13 ec 27 95
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
CRL 08:
Issuer: CN=TESTCA
55 c9 41 da 00 3b b8 08 50 37 db c1 fe 15 29 ad 9f d2 8d 16
Application[0] = 1.2.643.2.2.34.6 Пользователь Центра Регистрации, HTTP, TLS к
лиент
Application[1] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[2] = 1.3.6.1.5.5.7.3.4 Защищенная электронная почта

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=TESTCA
NotBefore: 02.08.2016 9:32
NotAfter: 02.08.2021 9:41
Subject: CN=TESTCA
Serial: 77cdbc73eb0a74b64550f8669dfbbfda
4b 82 f7 37 18 b2 c3 57 9d b7 44 ad 4d a8 39 0e 16 b6 d5 49
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)

Exclude leaf cert:
9e f6 7f 0b e0 bc 7b 41 e7 0e 0c 16 87 31 f9 03 24 ea e4 1e
Full chain:
b4 79 f0 df d1 13 ee d7 69 d6 11 d8 4d ea cd a3 3e ad 47 bb

Проверенные политики выдачи: Нет
Проверенные политики применения:
1.2.643.2.2.34.6 Пользователь Центра Регистрации, HTTP, TLS клиент
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.7.3.4 Защищенная электронная почта
Проверка отзыва сертификата выполнена
CertUtil: -verify - команда успешно выполнена.

Offline Станислав Королёв  
#10 Оставлено : 10 августа 2016 г. 9:24:38(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
Извините, забыл написать, чтобы Вы удалили установленные СОС. И повторите попытку. Доступ в интернет у Вас через прокси?
Offline iq21  
#11 Оставлено : 10 августа 2016 г. 9:53:53(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

То есть нужно СОС удалить из хранилища, но оставить на сервере? Прокси нет.
Offline Станислав Королёв  
#12 Оставлено : 10 августа 2016 г. 9:58:51(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
Только на АРМе удалите.
Offline iq21  
#13 Оставлено : 10 августа 2016 г. 11:26:25(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Удалил СОС из хранилища-при выводе команды-ничего не изменилось. Или СОС совсем нужно удалить с компьютера?
Offline Станислав Королёв  
#14 Оставлено : 10 августа 2016 г. 11:50:40(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
CRL наверно в кэше. Удалить можно как описано здесь https://support.globalsi...or-delete-crl-ocsp-cache
- certutil -urlcache crl delete
Offline iq21  
#15 Оставлено : 10 августа 2016 г. 12:06:45(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

О да!Я понял к чему выводы команд!Действительно-почистил Кэш и оставил СОС по адресу точки распространения-опять удачной вывод, затем удалил СОС с сервера и тут же пошла ошибка. То есть резюмируя-если в сертификате указан URL файла СОС, то он будет проверять СОС даже в отсутствии его в хранилище и на самом АРМ, конечно же если есть доступ к URL. А если ссылки на файл СОС в сертификате нет то и обращения не будет?
Offline iq21  
#16 Оставлено : 10 августа 2016 г. 13:50:08(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

И еще вопрос, а если не вводить команду certutil то будет ли проверка почты при получении подписанного письма в Outlook?
Offline Станислав Королёв  
#17 Оставлено : 11 августа 2016 г. 16:14:45(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
Автор: iq21 Перейти к цитате
О да!Я понял к чему выводы команд!Действительно-почистил Кэш и оставил СОС по адресу точки распространения-опять удачной вывод, затем удалил СОС с сервера и тут же пошла ошибка. То есть резюмируя-если в сертификате указан URL файла СОС, то он будет проверять СОС даже в отсутствии его в хранилище и на самом АРМ, конечно же если есть доступ к URL. А если ссылки на файл СОС в сертификате нет то и обращения не будет?


Если в сертификате присутствует ссылка на СОС и она доступна, то локально его не нужно устанавливать. Certutil мы использовали для теста. В OUTLOOKе сертификат подписавшего должен был провериться на отзыв по ссылке, пришлите скриншот ошибки, если она повторится

Offline iq21  
#18 Оставлено : 11 августа 2016 г. 16:21:54(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Хорошо, я еще раз протестирую процедуру отправки подписанных ЭП писем, затем отзову сертификат, обновлю на сервере СОС, подпишу отозванным сертификатом письмо и посмотрю результат проверки. По результатам-напишу сюда. Заранее благодарен за помощь.
Offline iq21  
#19 Оставлено : 12 августа 2016 г. 14:02:04(UTC)
iq21

Статус: Участник

Группы: Участники
Зарегистрирован: 14.03.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Спасибо большое, все работает. outlook проверяет все без установленного локально СОС, а обращаясь к URL, который прописан в сертификате!Единственно не совсем понятно, как часто он обновляет запросы к по этому URL, ведь при обновлении СОС в котором будет отозван сертификат-должно об этом сообщиться в старом письме, подписанным ранее. Оно у меня сообщает, но только через некоторое время и после чистки кэша-можно ли это как то автоматизировать?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.