Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Периодические проблемы с [ErrorCode: 0x20000133] - Периодчески у клиентов полявляются проблемы с их сертификатами.
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline tyurin  
#1 Оставлено : 9 марта 2017 г. 15:03:37(UTC)
tyurin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.03.2017(UTC)
Сообщений: 8
Российская Федерация
Добрый день,
Стоит:
Цитата:

CentOS release 6.5 (Final)
LSB_VERSION=base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch
lsb-cprocsp-capilite-64-3.9.0-4.x86_64
lsb-cprocsp-rdr-64-3.9.0-4.x86_64
lsb-cprocsp-base-3.9.0-4.noarch
cprocsp-curl-64-3.9.0-4.x86_64
lsb-cprocsp-kc1-64-3.9.0-4.x86_64


СКЗИ используется для аутентификации пользователей. Иногда 1 иногда 2-3 раза в месяц появляется ошибка вида:
Цитата:

The certificate revocation status or one of the certificates in the certificate chain is unknown.
[ErrorCode: 0x20000133]


Сертификат выдан через ГУЦ.
Сертификаты ГУЦ установлены в mRoot и mCa.
Сертификаты УЦ установлены в mRoot

сертификаты УЦ брал по ссылкам в сертификате пользователя.
СОС установил свежие.

В такая картина:
Цитата:

[root@xxx]# /opt/cprocsp/bin/amd64/cryptcp -verify -errchain -f tusur2016.cer tusur2016.cer
CryptCP 3.41 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN:ТУСУР, RU, 70 Томская область, г. Томск, "пр. Ленина, д. 40", ТУСУР, Удостоверяющий Центр Сибири, 1027000867068, 007021000043
Valid from 21.11.2016 11:48:00 to 21.11.2026 11:58:00
Certificate chains are checked.



[root@xxxxx]# /opt/cprocsp/bin/amd64/cryptcp -verify -errchain -f c.cer c.cer
CryptCP 3.41 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.

The following certificate will be used:
RDN:xxx xxxxxx xxxxxxxx, Директор филиала, "INN=5403167763/KPP=701702001/OGRN=1045404670211", "ул. Романова, 28", xxxxxx xxxxx xxxxxx, филиал «ЦЛАТИ по Томской области» ФГБУ «ЦЛАТИ по СФО» - г. Томск, ФГБУ «ЦЛАТИ по СФО», г. Новосибирск, 54 Новосибирская область, RU, listratova@clati-tomsk.ru, 005403167763, 1045404670211, 02882346974
Valid from 25.11.2016 04:48:00 to 25.11.2017 04:57:00

Certificate chain is not checked for this certificate:
RDN:xxxxxx xxxx xxxxxx, Директор филиала, "INN=5403167763/KPP=701702001/OGRN=1045404670211", "ул. Романова, 28", xxxx xxxxx xxxxx, филиал «ЦЛАТИ по Томской области» ФГБУ «ЦЛАТИ по СФО» - г. Томск, ФГБУ «ЦЛАТИ по СФО», г. Новосибирск, 54 Новосибирская область, RU, listratova@clati-tomsk.ru, 005403167763, 1045404670211, 02882346974
Valid from 25.11.2016 04:48:00 to 25.11.2017 04:57:00

The certificate revocation status or one of the certificates in the certificate chain is unknown.
[ErrorCode: 0x20000133]



При этом он довольно долго висит. strace показывает что он ходит по точкам и забирает cer crl.
Остальные УЦ подписанные на этом ГУЦ работают нормально.

Можно как то понять какой что конкретно ему не нравится в цепочке?


Корневик:
http://www.udcs.ru/certsrv/tusur2016.cer
http://www.udcs.ru/certsrv/tusur2016.crl
ОЧ сертификата: cert.zip (3kb) загружен 4 раз(а).
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей Емельянов  
#2 Оставлено : 13 марта 2017 г. 18:36:29(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Добрый день.
Цитата:
сертификаты УЦ брал по ссылкам в сертификате пользователя.

Приложенный сертификат c.cer подписан ключом с идентификатором
a1 c4 99 fc de d9 73 d7 39 1b 31 2c 41 52 1d c9 a9 58 2f eb

однако, по ссылкам из данного сертификата
Код:
[1]Точка распределения списка отзыва (CRL)
     Имя точки распространения:
          Полное имя:
               URL=http://www.udcs.ru/certsrv/tusur2016.crl
[2]Точка распределения списка отзыва (CRL)
     Имя точки распространения:
          Полное имя:
               URL=http://www2.udcs.ru/certsrv/tusur2016.crl

загружаются СОС, подписанные ключом 43 4e 96 f5 8a 57 a3 c7 fd c9 b3 76 ec 0c f3 f1 93 47 5f 8a
это делает невозможным проверку данного сертификата по CDP, соответственно актуальные СОС всегда надо ставить вручную.

Также, по ссылкам
Код:
[3]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://www.udcs.ru/certsrv/tusur2016.cer
[4]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://www2.udcs.ru/certsrv/tusur2016.cer


Можно получить информацию только о сертификате ключа с идентификатором 43 4e 96 f5 8a 57 a3 c7 fd c9 b3 76 ec 0c f3 f1 93 47 5f 8a
Соответственно, для правильного построения цепочки необходимо самостоятельно скачивать и устанавливать сертификат от ключа с идентификатором
a1 c4 99 fc de d9 73 d7 39 1b 31 2c 41 52 1d c9 a9 58 2f eb

Невыполнение вышеописанного приведет к ошибкам при построении/проверки цепочки для данного сертификата.

Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Вверх
Offline tyurin  
#3 Оставлено : 13 марта 2017 г. 18:44:12(UTC)
tyurin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.03.2017(UTC)
Сообщений: 8
Российская Федерация
Автор: eav Перейти к цитате
Добрый день.
Цитата:
сертификаты УЦ брал по ссылкам в сертификате пользователя.

Приложенный сертификат c.cer подписан ключом с идентификатором
a1 c4 99 fc de d9 73 d7 39 1b 31 2c 41 52 1d c9 a9 58 2f eb

однако, по ссылкам из данного сертификата
Код:
[1]Точка распределения списка отзыва (CRL)
     Имя точки распространения:
          Полное имя:
               URL=http://www.udcs.ru/certsrv/tusur2016.crl
[2]Точка распределения списка отзыва (CRL)
     Имя точки распространения:
          Полное имя:
               URL=http://www2.udcs.ru/certsrv/tusur2016.crl

загружаются СОС, подписанные ключом 43 4e 96 f5 8a 57 a3 c7 fd c9 b3 76 ec 0c f3 f1 93 47 5f 8a
это делает невозможным проверку данного сертификата по CDP, соответственно актуальные СОС всегда надо ставить вручную.

Также, по ссылкам
Код:
[3]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://www.udcs.ru/certsrv/tusur2016.cer
[4]Доступ к сведениям центра сертификации
     Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
     Дополнительное имя:
          URL=http://www2.udcs.ru/certsrv/tusur2016.cer


Можно получить информацию только о сертификате ключа с идентификатором 43 4e 96 f5 8a 57 a3 c7 fd c9 b3 76 ec 0c f3 f1 93 47 5f 8a
Соответственно, для правильного построения цепочки необходимо самостоятельно скачивать и устанавливать сертификат от ключа с идентификатором
a1 c4 99 fc de d9 73 d7 39 1b 31 2c 41 52 1d c9 a9 58 2f eb

Невыполнение вышеописанного приведет к ошибкам при построении/проверки цепочки для данного сертификата.



Благодарю за разъяснение!
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET