Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58  Сказал(а) «Спасибо»: 10 раз
|
Добрый день! Возник вопрос: какие проверки выполняются в методе Certificate::IsValid()? certificate_status = certificate.IsValid() certificate_status.Result Result возвращает только True|False. Соответствуют ли проверки этому флагу CAPICOM_CHECK_ONLINE_ALL, который используется по-умолчанию в capicom? https://docs.microsoft.c...tificatestatus-checkflagИнтересует информация по Linux версии. Проверяется ли валидность по дате выпуска/истечения?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Автор: Ситдиков Денис  Автор: nomhoi Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать. Вариант добавить папки с ключами и хранилищами в докер вам не подойдет? Код:docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
Спасибо, попробую.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Автор: mstdoc Автор: Ситдиков Денис Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы. После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает. Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется. Пользуемся своим, но, насколько я понимаю, проблема не в конкретном билде. У докера в принципе были и есть проблемы с системными журналами. Они заводятся, но весьма костыльными методами. Нужно настраивать: https://docs.docker.com/...ntainers/logging/syslog/По-умолчанию работает драйвер логгирования json-file.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 02.01.2021(UTC)
Сообщений: 2
Сказал(а) «Спасибо»: 1 раз
|
Автор: Санчир Момолдаев Автор: Clutcher Добрый день, я бы хотел создать сайт на django для учёбы, чтобы там была возможность войти по ЭЦП и организовать подписание документов. Возможно ли реализовать это при помощи данного расширения? Или есть готовые решения? Добрый день. Именно на python примера нет. Общая мысль: у клиента должна подписываться некоторая уникальная строка которая приходит с сервера. На сервере проверяется подпись и сравниваются подписанные данные. Front: html + js (cades plugin) Backend: python + pycades Возможно ли реализовать это на windows? И есть ли какая-нибудь документация для windows?
|
|
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
|
Автор: Clutcher Автор: Санчир Момолдаев Автор: Clutcher Добрый день, я бы хотел создать сайт на django для учёбы, чтобы там была возможность войти по ЭЦП и организовать подписание документов. Возможно ли реализовать это при помощи данного расширения? Или есть готовые решения? Добрый день. Именно на python примера нет. Общая мысль: у клиента должна подписываться некоторая уникальная строка которая приходит с сервера. На сервере проверяется подпись и сравниваются подписанные данные. Front: html + js (cades plugin) Backend: python + pycades Возможно ли реализовать это на windows? И есть ли какая-нибудь документация для windows? На windows расширение не поддерживается и в ближайшее время поддержка не планируется.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Автор: nomhoi Добрый день! Возник вопрос: какие проверки выполняются в методе Certificate::IsValid()? certificate_status = certificate.IsValid() certificate_status.Result Result возвращает только True|False. Соответствуют ли проверки этому флагу CAPICOM_CHECK_ONLINE_ALL, который используется по-умолчанию в capicom? https://docs.microsoft.c...tificatestatus-checkflagИнтересует информация по Linux версии. Проверяется ли валидность по дате выпуска/истечения? Проверяю на сертификатах выданных для входа на тестовые серверы ЕИС. На просрочнном сертификате выдает Result=False, а действующем Result=True. У обоих сертификатов тот-же самый ЦА. Как видим проверка по датам истечения выполняется. Ваш процесс валидации соответствует, например, этому процессу? https://docs.oracle.com/...20-4811/gdzea/index.html
|
|
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
|
Автор: nomhoi Автор: nomhoi Добрый день! Возник вопрос: какие проверки выполняются в методе Certificate::IsValid()? certificate_status = certificate.IsValid() certificate_status.Result Result возвращает только True|False. Соответствуют ли проверки этому флагу CAPICOM_CHECK_ONLINE_ALL, который используется по-умолчанию в capicom? https://docs.microsoft.c...tificatestatus-checkflagИнтересует информация по Linux версии. Проверяется ли валидность по дате выпуска/истечения? Проверяю на сертификатах выданных для входа на тестовые серверы ЕИС. На просрочнном сертификате выдает Result=False, а действующем Result=True. У обоих сертификатов тот-же самый ЦА. Как видим проверка по датам истечения выполняется. Ваш процесс валидации соответствует, например, этому процессу? https://docs.oracle.com/...20-4811/gdzea/index.html Добрый день! Для проверки статуса сертификата используется построение цепочки при помощи функции CryptoAPI CertGetCertificateChain с флагами CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT | CERT_CHAIN_DISABLE_AUTH_ROOT_AUTO_UPDATE. Для более подробной информации нужно ознакомиться с документацией на эту функцию. Как она соотносится с флагами CertificateStatus.CheckFlag, не подскажу.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Автор: Ситдиков Денис Добрый день! Для проверки статуса сертификата используется построение цепочки при помощи функции CryptoAPI CertGetCertificateChain Это получается pycades при выполнении метода IsValid() обращается к вашему Windows серверу, где и выполняется эта функция? Цитата: с флагами CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT 0x40000000 Revocation checking is done on all certificates in all of the chains except the root certificate. Т.е. выполняется проверка - не отозваны ли сертификаты по всей цепочке, кроме корневого. Цитата:| CERT_CHAIN_DISABLE_AUTH_ROOT_AUTO_UPDATE. CERT_CHAIN_DISABLE_AUTH_ROOT_AUTO_UPDATE 0x00000100 Setting this flag inhibits the auto update of third-party roots from the Windows Update Web Server. И запрещается автоматическая установка третьесторонних корневых сертификатов из Windows Update Web Server. Так понимаю, в России один корневой центр ГУЦ, и другие ЦА нам не нужны. Получается, что с помощью этой функции IsValid() мы проверяем всю цепочку сертфикатов: - по датам выдачи и истечения сертификатов; - не отозваны ли сертификаты; Правильно? Т.е. результата выполнения этой функции достаточно, чтобы считать проверяемый сертификат валидным, и нам больше не нужно как-то дополнительно проверять сертификат? Отредактировано пользователем 25 января 2021 г. 13:28:12(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Администратор
Группы: Участники
Зарегистрирован: 01.03.2017(UTC) Сообщений: 103 Откуда: Москва Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 34 раз в 25 постах
|
Автор: nomhoi Автор: Ситдиков Денис Добрый день! Для проверки статуса сертификата используется построение цепочки при помощи функции CryptoAPI CertGetCertificateChain Это получается pycades при выполнении метода IsValid() обращается к вашему Windows серверу, где и выполняется эта функция? К windows ничего не обращается, интерфейс CryptoAPI портирован на unix. Цитата:Получается, что с помощью этой функции IsValid() мы проверяем всю цепочку сертфикатов:
- по датам выдачи и истечения сертификатов;
- не отозваны ли сертификаты;
Правильно?
Т.е. результата выполнения этой функции достаточно, чтобы считать проверяемый сертификат валидным, и нам больше не нужно как-то дополнительно проверять сертификат? Да, верно.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.10.2020(UTC) Сообщений: 58 Сказал(а) «Спасибо»: 10 раз
|
Автор: Ситдиков Денис Автор: nomhoi Автор: Ситдиков Денис Добрый день! Для проверки статуса сертификата используется построение цепочки при помощи функции CryptoAPI CertGetCertificateChain Это получается pycades при выполнении метода IsValid() обращается к вашему Windows серверу, где и выполняется эта функция? К windows ничего не обращается, интерфейс CryptoAPI портирован на unix. Цитата:Получается, что с помощью этой функции IsValid() мы проверяем всю цепочку сертфикатов:
- по датам выдачи и истечения сертификатов;
- не отозваны ли сертификаты;
Правильно?
Т.е. результата выполнения этой функции достаточно, чтобы считать проверяемый сертификат валидным, и нам больше не нужно как-то дополнительно проверять сертификат? Да, верно. Спасибо, понятно. А процесс проверки отозванных сертификатов соответствует этому описанию или есть отличия? https://docs.microsoft.c....10)?redirectedfrom=MSDN
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
