Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро ЭЦП (усовершенствованная ЭЦП)
»
Проблемы со списками отзыва крупных УЦ reestr-pki.ru cdp.skbkontur.ru company.rt.ru и пр.
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,173  Сказал(а) «Спасибо»: 94 раз
Поблагодарили: 263 раз в 246 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42  Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
Результаты: работаем на CADES-T все хорошо, но Крипто Про в данном режиме все ровно делает запросы на OCSP выяснили мы это после того как после +-часа работы подпись стала дико тормозить вплоть до 1 минуты на документ, по описанным ранее (в этой теме) причинам. Логи из программы Wireshark (логи текущие, то есть после того как мы неделю не делали запросы на OCSP, с тормозами не связаны о них ниже)  для понимания лога, всего у нас в логе 4 записи OCSP запросов, 2 до подписания что бы проверить что нам поступил корректный файл и 2 после создания штампа что бы убедиться что все прошло успешно, на картинке три - один не влез :) два запроса OCSP это запросы на сертификат подписи и на корневой сертификат, запрос на штамп один его видно протокол PKIXTSP. собственно проблему с тормозами решили путем добавления в Hosts строчек уже на сервере (да мы переключили наш ресурс на создание штампа на сервере, неделя - полет нормальный, спасибо) 127.0.0.1 tax4.tensor.ru 127.0.0.1 ocsp.taxcom.ru 127.0.0.1 ocsp1.taxcom.ru после добавления в hosts этих строк подпись стала летать как самолет. делаем вывод CADES-T - все ровно делает запрос на OCSP (если адрес прописан в сертификате) но игнорирует ошибки, как то странно. Идем далее ранее вы писали что сделали кеширование запроса на CRL Опять же на картинке видно что CRL один и тот же запрашивается 10! раз, один и тот-же 5 раз на проверку до создания штампа и 5 раз после, то есть получается не какого кеширования CRL нету :( версия плагина самая последняя 2.0.14590.0 по поводу добавления наших IP в anti-DDOS пока не от одного УЦ ответа не получили :( Чуть позже выложу логи с доказательством тормозов именно на taxcom и tensor(если получиться) ну просто у нас от этих УЦ больше всего сертификатов. Отредактировано пользователем 13 августа 2022 г. 9:27:27(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
|
Какая ОС? Версия CSP последняя? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
Windows Server 2019 Standart
CSP - 5.0.12000 KC1 лицензия серверная
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
|
Кэшированием CRL и OCSP на Windows мы в общем случае не управляем.
Приведите пожалуйста код, которым подписываете ( начиная с выбора сертификата)
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2014(UTC) Сообщений: 42 Сказал «Спасибо»: 7 раз
Поблагодарили: 4 раз в 4 постах
|
насчет кеширования CRL в Windows не соглашусь, при получении данных с реестра стоят директивы запрещающие кеширование, может и в этом дело, в любом случае мне кажется, совсем не оптимально делать 10 запросов буквально за секунду на один документ.  вот документация про кешь WinINet https://docs.microsoft.c...ws/win32/wininet/cachingпо коду подскажем чуть позже. Отредактировано пользователем 13 августа 2022 г. 10:10:07(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
|
no-cache — это директива для сервера (кэширующий реверс прокси, например) и её всегда выставляет MS CryptoAPI.
Ждём код и постараемся разобраться. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
|
Код конечный не смогу привести весь, т.к. там много лишней внутренней логики намешано, попробую убрать все лишнее и алгоритм касающийся подписи получится такой: 1) На сервере мы получаем с клиента Cades-BES подпись. 2) Дальше проверяем ее: Код:
var data = Activator.CreateInstance(Type.GetTypeFromProgID("CAdESCOM.CadesSignedData"))
data.ContentEncoding = _contentEncoding;
data.Content = _detached ? _documentContent : _content;
data.VerifyCades(_content, CADESCOM_CADES_TYPE.CADESCOM_CADES_BES, _detached);
3) Затем идут всякие внутренние проверки и т.к. это отдельный модуль, мы проверяем по сути ее еще раз и усовершенствуем Код:
var data = Activator.CreateInstance(Type.GetTypeFromProgID("CAdESCOM.CadesSignedData"))
data.ContentEncoding = _contentEncoding;
data.Content = _detached ? _documentContent : _content;
data.VerifyCades(_content, CADESCOM_CADES_TYPE.CADESCOM_CADES_BES, _detached);
var signedData = data.EnhanceCades(CADESCOM_CADES_T, tspUrl, CAPICOM_ENCODING_TYPE.CAPICOM_ENCODE_BINARY);
4) Затем мы получившийся бинарник проверяем на соответствие уже Cades-T: Код:
var data = Activator.CreateInstance(Type.GetTypeFromProgID("CAdESCOM.CadesSignedData"))
data.ContentEncoding = _contentEncoding;
data.Content = _detached ? _documentContent : _content;
data.VerifyCades(_content, CADESCOM_CADES_T, _detached);
По нашим ожиданиям не должно быть на каждую проверку запроса к CRL, хотя бы на какое-то время он может быть закэширован.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
|
Должно кэшировать. Какая версия cadescom на сервере? |
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро ЭЦП (усовершенствованная ЭЦП)
»
Проблемы со списками отзыва крупных УЦ reestr-pki.ru cdp.skbkontur.ru company.rt.ru и пр.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
