Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

24 Страницы«<89101112>»
Опции
К последнему сообщению К первому непрочитанному
Offline Ситдиков Денис  
#91 Оставлено : 15 января 2021 г. 16:18:34(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 95
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 29 раз в 20 постах
Автор: nomhoi Перейти к цитате
Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать.


Вариант добавить папки с ключами и хранилищами в докер вам не подойдет?
Код:
docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py
Offline mstdoc  
#92 Оставлено : 15 января 2021 г. 17:10:00(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Ситдиков Денис Перейти к цитате

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.



Код:
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]


Если я правильно понимаю, вот с этим проблема?
И похоже что проблема именно в настройке самого ocsp-сервера?
Код:
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.


Отсюда вопросы:
1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для
1.1. сертификата подписанта?
1.2. сертификата промежуточного?
2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl?
Offline mstdoc  
#93 Оставлено : 15 января 2021 г. 17:11:47(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Ситдиков Денис Перейти к цитате
Автор: nomhoi Перейти к цитате
Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать.


Вариант добавить папки с ключами и хранилищами в докер вам не подойдет?
Код:
docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py



А может есть готовый рецепт для включения дебажных логов криптопро в докере?
Или перенаправления их из syslog в какой-либо файл?
Offline Ситдиков Денис  
#94 Оставлено : 15 января 2021 г. 17:32:28(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 95
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 29 раз в 20 постах
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.



Код:
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]


Если я правильно понимаю, вот с этим проблема?
И похоже что проблема именно в настройке самого ocsp-сервера?
Код:
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.


Отсюда вопросы:
1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для
1.1. сертификата подписанта?
1.2. сертификата промежуточного?
2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl?


Насколько я понимаю, в вашем случае это 2 независимые ошибки. Вам нужно добиться проверки сертификата OCSP оператора и добавить хэш сертификата в настройку "Службы OCSP: сертификаты уполномоченных служб OCSP".
Если ocsputil respinfo для вашего запроса выполнится успешно, то запросы к crl для этого сертификата выполняться не должны.
Offline Ситдиков Денис  
#95 Оставлено : 15 января 2021 г. 17:34:40(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 95
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 29 раз в 20 постах
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате
Автор: nomhoi Перейти к цитате
Еще было бы неплохо настроить в Dockerfile установку сертификатов с приватными ключами на контейнере. Чтобы контейнер с ключами сохранился в отдельном томе. Мне пока не понятно, как это сделать.


Вариант добавить папки с ключами и хранилищами в докер вам не подойдет?
Код:
docker run -v `pwd`/code:/code -v /var/opt/cprocsp/keys/$USER:/var/opt/cprocsp/keys/root -v /var/opt/cprocsp/users/$USER/stores:/var/opt/cprocsp/users/root/stores -it pycades python3 sample_sign_verify.py



А может есть готовый рецепт для включения дебажных логов криптопро в докере?
Или перенаправления их из syslog в какой-либо файл?


Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы.
После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает.

Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется.

Отредактировано пользователем 15 января 2021 г. 17:37:00(UTC)  | Причина: Не указана

Offline mstdoc  
#96 Оставлено : 15 января 2021 г. 17:44:03(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Ситдиков Денис Перейти к цитате


Если вы пользуетесь докером из https://github.com/nomhoi/pycades_build , то там не установлены системные журналы.
После доустановки необходимых пакетов и выполнения инструкции по включению логов дебаговый вывод там работает.

Готового рецепта в общем случае нет, из syslog в файл вывод не перенаправляется.


Пользуемся своим, но, насколько я понимаю, проблема не в конкретном билде.
У докера в принципе были и есть проблемы с системными журналами.
Они заводятся, но весьма костыльными методами.
Offline mstdoc  
#97 Оставлено : 15 января 2021 г. 20:10:54(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Ситдиков Денис Перейти к цитате
Автор: mstdoc Перейти к цитате
Автор: Ситдиков Денис Перейти к цитате

Если есть возможность, сохраните ответ OCSP службы и проверьте его при помощи ocsputil respinfo.



Код:
"C:\Program Files\Crypto Pro\OCSP\ocsputil.exe" pi c:\cer\123.response
Status: 0 (successful)
Signature algorithm: 1.2.643.7.1.1.3.2, ALG_ID: 0x0
HasNonce: 1
ProducedAt: 15.01.2021 16:52:32
Extensions: none
Certificate of signer of OCSP response: CN=-censored-, O=-censored-, C=RU, S=-censored-, L=Симферополь, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.
Verification of OCSP response: succeed.
Single responses (1):
#1:
Hash algorithm: 1.2.643.7.1.1.2.2
Serial number: 0F31 CA00 55AC 62A3 4E30 3B1A BA5A CA9E
Issuer key hash: BD67 A435 7B56 FFE2 304D 4315 2B42 9A71 65CA F156 4E37 A7EA B83E AD61 3B76 2C21
Issuer name hash: 8FDB F859 3079 9637 2BEF C594 23CA 619C 8805 4645 632E 1A3A 81CC 0A63 EAE0 711F
Certificate status: Good
RevTime: none
RevReason: none
ThisUpdate: 15.01.2021 16:52:32
NextUpdate: none
Archive cutoff: none
Extensions: none
Verification of single response: succeed.
Certificates from OCSP response (1):
CN=-censored-, O=-censored-, C=RU, S=-censored-, L=-censored-, STREET="-censored-", E=-censored-, ИНН=-censored-, ОГРН=-censored-
[ErrorCode: 0x80096004]


Если я правильно понимаю, вот с этим проблема?
И похоже что проблема именно в настройке самого ocsp-сервера?
Код:
Verification of certificate of signer of OCSP response: FAILED, 0x80096004 Не удается проверить подпись сертификата.


Отсюда вопросы:
1. если этот момент устранить, будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl для
1.1. сертификата подписанта?
1.2. сертификата промежуточного?
2. если этот момент не устранить и добавить этот ocsp в "Службы OCSP: сертификаты уполномоченных служб OCSP", будут ли считать ответы этого ocsp сервера достаточными для предотвращения запросов в сторону crl?


Насколько я понимаю, в вашем случае это 2 независимые ошибки. Вам нужно добиться проверки сертификата OCSP оператора и добавить хэш сертификата в настройку "Службы OCSP: сертификаты уполномоченных служб OCSP".
Если ocsputil respinfo для вашего запроса выполнится успешно, то запросы к crl для этого сертификата выполняться не должны.



Ошибку 1.1 удалось устранить после того, как в хранилище CA был положен промежуточный сертификат сервера ocsp.
Теперь запрос в сторону crl подписанта не выполняется.

В настройки был добавлен параметр "AuthorizedOCSPs":
На винде ocsputil теперь выдает корректный ответ и для сертификата подписанта и для промежуточного.
Но на linux - сервере запрос в сторону промежуточного crl по прежнему выполняется, хотя там параметр AuthorizedOCSPs так же был прописан в настройки.

Код:

#cat /etc/opt/cprocsp/config64.ini 

......
DefaultOCSPURL = "http://ocsp.domain.ru/ocsp/ocsp.srf"
AuthorizedOCSPs = msz:"1ecbae543567b84d44b2e865ced9b5073ec77c8c"



Кстати, а где взять ocsputil для linux?
На странице загрузки есть только виндовая версия...
Offline Ситдиков Денис  
#98 Оставлено : 16 января 2021 г. 21:02:55(UTC)
Ситдиков Денис

Статус: Администратор

Группы: Участники
Зарегистрирован: 01.03.2017(UTC)
Сообщений: 95
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 29 раз в 20 постах
ocsputil ставится при установке пакета cprocsp-pki-cades, находится в папке /opt/cprocsp/bin/amd64.
Offline Санчир Момолдаев  
#99 Оставлено : 17 января 2021 г. 7:29:11(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Автор: mstdoc Перейти к цитате

Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату.
Если информация есть - филиал ее выдает, если нет, то нет.


я к тому что ваши усовершенствованные подписи у третьей стороны не проверятся.
т.к. они не будут доверять вашему ocsp серверу, т.к. у них в настройках не будет настроено доверие к вашему ocsp серверу.
проверьте вашу усовершенствованную подпись на других ресурсах. к примеру тут
Техническую поддержку оказываем тут
Наша база знаний
Offline mstdoc  
#100 Оставлено : 17 января 2021 г. 19:09:50(UTC)
mstdoc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Автор: Санчир Момолдаев Перейти к цитате
Автор: mstdoc Перейти к цитате

Думаю тут больше будет уместна аналогия с неким местным филиалом МВД, у которого на руках есть информация обо всех судимостях, актуальная на некую дату.
Если информация есть - филиал ее выдает, если нет, то нет.


я к тому что ваши усовершенствованные подписи у третьей стороны не проверятся.
т.к. они не будут доверять вашему ocsp серверу, т.к. у них в настройках не будет настроено доверие к вашему ocsp серверу.
проверьте вашу усовершенствованную подпись на других ресурсах. к примеру тут


Это понятно.
Но проблема с которой все началось заключалась не в подписании, а в проверке подписи другой стороны в ситуации недоступности их crl сервера.
Когда нужно проверять по 20-30 подписей в секунду, а crl недоступен, локальный ocsp сервер сильно поможет.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
24 Страницы«<89101112>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.