Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<12345>
Опции
К последнему сообщению К первому непрочитанному
Offline Vetel  
#21 Оставлено : 18 апреля 2023 г. 16:24:26(UTC)
Vetel

Статус: Участник

Группы: Участники
Зарегистрирован: 13.04.2023(UTC)
Сообщений: 24
Российская Федерация
Откуда: москва

Автор: Русев Андрей Перейти к цитате
Всё так. Видимо, листовой сертификат в порядке. Остаётся предположить, что не проверяется сам новый промежуточный. Выдача certutil -verify должна была про это рассказать, но вы тщательно всё порезали. Глянье там. Где точно будет видно, так это в новом certmgr.exe. Можно выдрать из установщика последнего КриптоПро CSP 5.0 R3 с помощью Far Manager или ещё какого-нибудь разархиватора и закинуть на сервер. Команда та же:
Код:
certmgr -list -chain -file user.cer


Я резал лишь то что не относилось к теме, да и данные лишние чтобы не светились((.
что вам показать? давайте я гляну.

У меня на компе есть Крипто Про 5, на ней проверю сертификат.

P/S
проверил, ругнулся, может это из за того что, ПК обычный и на нем чего-то не хватает?


Цепочка сертификатов: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . (0x80092013)
#0:
Издатель : Минцифры России
Субъект : Минцифры России
SHA1 отпечаток : 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a
#1:
Субъект : Казначейство России
SHA1 отпечаток : ef774890bdb325aa649032f7a16305dbaac5943f
#2:
Субъект : СЧЕТНАЯ ПАЛАТА РОССИЙСКОЙ ФЕДЕРАЦИИ
SHA1 отпечаток : 12c63b0692a029912d1c25fd61411dd80c715475
=============================================================================

[ErrorCode: 0x00000000]

Отредактировано пользователем 18 апреля 2023 г. 16:42:20(UTC)  | Причина: Не указана

Offline Русев Андрей  
#22 Оставлено : 18 апреля 2023 г. 16:47:46(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,524

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 620 раз в 430 постах
Упс, я забыл ключик -verbose (или просто -v).
Официальная техподдержка. Официальная база знаний.
Offline Vetel  
#23 Оставлено : 18 апреля 2023 г. 16:52:15(UTC)
Vetel

Статус: Участник

Группы: Участники
Зарегистрирован: 13.04.2023(UTC)
Сообщений: 24
Российская Федерация
Откуда: москва

Автор: Русев Андрей Перейти к цитате
Упс, я забыл ключик -verbose (или просто -v).


на моем компе сервер отзыва сертификатов не доступен, выдает ошибку((, а на сервере который принимает запросы соединения, стоит Крипто 4.096.

Snimok ehkrana 2023-04-18 164901.png (55kb) загружен 3 раз(а).

а как говорите можно еще посмотреть? на astra можно?

Отредактировано пользователем 18 апреля 2023 г. 17:34:28(UTC)  | Причина: Не указана

Offline Русев Андрей  
#24 Оставлено : 18 апреля 2023 г. 16:59:38(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,524

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 620 раз в 430 постах
Да, именно так. Но у вас тут старый certmgr - он тогда ещё не умел выводить нужные подробности про цепочку. Нужен 2022-09-02 КриптоПро CSP 5.0.12600 Quinotaur.
Официальная техподдержка. Официальная база знаний.
Offline Vetel  
#25 Оставлено : 18 апреля 2023 г. 17:09:40(UTC)
Vetel

Статус: Участник

Группы: Участники
Зарегистрирован: 13.04.2023(UTC)
Сообщений: 24
Российская Федерация
Откуда: москва

Автор: Русев Андрей Перейти к цитате
Да, именно так. Но у вас тут старый certmgr - он тогда ещё не умел выводить нужные подробности про цепочку. Нужен 2022-09-02 КриптоПро CSP 5.0.12600 Quinotaur.


установил этот новый плагин.
Snimok ehkrana 2023-04-18 170313.png (18kb) загружен 8 раз(а).
Offline Русев Андрей  
#26 Оставлено : 18 апреля 2023 г. 17:16:20(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,524

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 620 раз в 430 постах
Отлично. Теперь это не догадка, что проблема именно в промежуточном. Смотрите, какие в нём самом CDP и доступны ли они на машине - как вы делали это с листовым.
Официальная техподдержка. Официальная база знаний.
Offline Vetel  
#27 Оставлено : 18 апреля 2023 г. 17:21:09(UTC)
Vetel

Статус: Участник

Группы: Участники
Зарегистрирован: 13.04.2023(UTC)
Сообщений: 24
Российская Федерация
Откуда: москва

Автор: Русев Андрей Перейти к цитате
Отлично. Теперь это не догадка, что проблема именно в промежуточном. Смотрите, какие в нём самом CDP и доступны ли они на машине - как вы делали это с листовым.


если не затруднит напишите примером, я в данных терминах теряюсь (CDP, листовой)

может вы имели ввиду точки отзыва?

[1]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://адрес1/cdp/guc2022.crl - не доступен
[2]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://адрес2/cdp/guc2022.crl - не доступен
[3]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://адрес3/cdp/guc2022.crl - не доступен

Snimok ehkrana 2023-04-18 172417.png (41kb) загружен 3 раз(а).

Отредактировано пользователем 18 апреля 2023 г. 17:31:01(UTC)  | Причина: Не указана

Offline Русев Андрей  
#28 Оставлено : 18 апреля 2023 г. 17:42:05(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,524

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 620 раз в 430 постах
Корневой - ГУЦ, промежуточный - Казначейство, листовой - Счётная палата. Это как бы часть дерева.
Сертификат с таким отпечатком (ef774890bdb325aa649032f7a16305dbaac5943f) можно достать тут:
http://crl.roskazna.ru/crl/
http://crl.roskazna.ru/crl/ucfk_2023.crt
Проверяем:
Код:
C:\>"C:\Program Files (x86)\Crypto Pro\CSP\certmgr.exe" -list -v -chain -file ucfk_2023.crt 
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2023.                                                                                                                                                           17:32
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель            : E=dit@digital.gov.ru, C=RU, S=77 Москва, L=г. Москва, STREET="Пресненская набережная, дом 10, строение 2", O=Минцифры России, OGRN=1047702026701, INNLE=7710474375, CN=Минцифры Ро
ссии
Субъект             : E=uc_fk@roskazna.ru, S=77 Москва, INNLE=7710568760, OGRN=1047797019830, STREET="Большой Златоустинский переулок, д. 6, строение 1", L=г. Москва, C=RU, O=Казначейство России, CN=К
азначейство России
Серийный номер      : 0x00F0A9E28900000000079E
SHA1 отпечаток      : ef774890bdb325aa649032f7a16305dbaac5943f
Идентификатор ключа : a70b95286f9fe44b8a5180b2851f894afce7f09c
ID ключа УЦ         : c91358b14ca7623a7ed23f3ca6e7147c9d70a386
Алгоритм подписи    : GOST R 34.11-2012/34.10-2012 256 bit
Алгоритм откр. кл.  : GOST R 34.10-2012 256 bit (512 бит)
Открытый ключ       : 04 40 d7 12 ae bf ad d0 6d e7 b8 44 7d cf 13 2b
                      91 d5 29 2a fd d6 17 c9 4b 02 00 83 ab 31 5c 25
                      d0 a6 55 f0 16 e8 44 b4 21 ba d6 cf f0 2f 08 ba
                      fb a6 14 93 78 17 75 0c 54 81 c5 5a cd 04 fb f8
                      24 4f
Выдан               : 21/03/2023 15:00:46 UTC
Истекает            : 21/03/2038 15:00:46 UTC
Ссылка на ключ      : Нет
Тип идентификации   : Без личного присутствия по квалифицированной подписи
URL сертификата УЦ  : http://reestr-pki.ru/cdp/guc2022.crt
URL списка отзыва   : http://reestr-pki.ru/cdp/guc2022.crl
URL списка отзыва   : http://company.rt.ru/cdp/guc2022.crl
URL списка отзыва   : http://rostelecom.ru/cdp/guc2022.crl
Назначение ключа    : Цифровая подпись
                      Неотрекаемость
                      Подписывание сертификатов
                      Автономное подписывание списка отзыва
                      Подписывание списка отзыва
Цепочка сертификатов: Успешно проверена.
#0:
  Издатель          : Минцифры России
  Субъект           : Минцифры России
  Выдан             : 08/01/2022 13:32:39 UTC
  Истекает          : 08/01/2040 13:32:39 UTC
  SHA1 отпечаток    : 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a
#1:
  Субъект           : Казначейство России
  Выдан             : 21/03/2023 15:00:46 UTC
  Истекает          : 21/03/2038 15:00:46 UTC
  SHA1 отпечаток    : ef774890bdb325aa649032f7a16305dbaac5943f
=============================================================================

[ErrorCode: 0x00000000]

У меня всё в порядке, значит по указанным выше "URL списка отзыва" можно скачать актуальный CRL. Действительно, в кэше что-то лежит:
Код:
C:\>certutil.exe -urlcache CRL|findstr /i /c:guc
http://rostelecom.ru/cdp/guc.crl
http://reestr-pki.ru/cdp/guc2022.crl
http://rostelecom.ru/cdp/vguc1_4.crl
http://company.rt.ru/cdp/guc_gost12.crl
Официальная техподдержка. Официальная база знаний.
Offline Русев Андрей  
#29 Оставлено : 18 апреля 2023 г. 17:48:06(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,524

Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 620 раз в 430 постах
Надо сделать, чтобы был доступен. Либо раз в месяц приносить руками CRL ГУЦа с указанных адресов. Но так как для старого и нового ГУЦа и промежуточных CRL-и лежат на одних и тех же серверах, то в целом не сходится ваша история "раньше работало, а после смены - перестало".
Официальная техподдержка. Официальная база знаний.
Offline Vetel  
#30 Оставлено : 18 апреля 2023 г. 17:52:16(UTC)
Vetel

Статус: Участник

Группы: Участники
Зарегистрирован: 13.04.2023(UTC)
Сообщений: 24
Российская Федерация
Откуда: москва

Автор: Русев Андрей Перейти к цитате
Корневой - ГУЦ, промежуточный - Казначейство, листовой - Счётная палата. Это как бы часть дерева.
Сертификат с таким отпечатком (ef774890bdb325aa649032f7a16305dbaac5943f) можно достать тут:
http://crl.roskazna.ru/crl/
http://crl.roskazna.ru/crl/ucfk_2023.crt
[/code]


мы этот промежуточный сертификат и устанавливали на сервер.
Screenshot_20230418_174502.png (75kb) загружен 3 раз(а).

единственное на этом сервере нет КриптоПро5.

Отредактировано пользователем 18 апреля 2023 г. 17:58:57(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
5 Страницы<12345>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.