Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76
Сказал(а) «Спасибо»: 3 раз
|
Здравствуйте. Есть сертификат клиента, в нем есть CRL, но нет OCSP. При попытке улучшить подпись до XLong1, естественно, падает исключение из-за невозможности получить OCSP-ответ. Самое интересное, что OCSP-сервер, похоже, совсем отсутствует у удостоверяющего центра. Раньше был по адресу http://ocsp.roskazna.ru/ocsp/ocsp.srf. Найти, куда он делся, так и не удалось. Сейчас домен ocsp.roskazna.ru не существует. Как-то сейчас можно обойти отсутствие OCSP в сертификате?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Здравствуйте.
В текущей версии адрес берется только из сертификата. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76
Сказал(а) «Спасибо»: 3 раз
|
То есть, даже что-то вроде Код:
keytool -importcert -file "f:\fk.cer" -keystore "c:\Program Files\Java\jdk1.8.0_101\jre\lib\security\cacerts" -alias fk1 -ext AIA=ocsp:http://ocsp.roskazna.ru/ocsp/ocsp.srf
никак не спасет? Получется, что улучшить подписи для сертификатов от этого УЦ вообще никак нельзя?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Нет, ocsp ссылка берется из сертификата. А что дает расширение -ext? Не удалось найти в описании (jdk1.8.0_112): Код:
>keytool -importcert -help
keytool -importcert [OPTION]...
Imports a certificate or a certificate chain
Options:
-noprompt do not prompt
-trustcacerts trust certificates from cacerts
-protected password through protected mechanism
-alias <alias> alias name of the entry to process
-file <filename> input file name
-keypass <arg> key password
-keystore <keystore> keystore name
-storepass <arg> keystore password
-storetype <storetype> keystore type
-providername <providername> provider name
-providerclass <providerclass> provider class name
-providerarg <arg> provider argument
-providerpath <pathlist> provider classpath
-v verbose output
Use "keytool -help" for all available commands
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76
Сказал(а) «Спасибо»: 3 раз
|
Вот документация на -ext: http://docs.oracle.com/j...ols/solaris/keytool.htmlЭто я сначала пробовал повторить рекомендацию, которая описана тут, по аналогии: http://cpdn.cryptopro.ru.../cades/requirements.htmlЦитата:либо его можно указать в свойствах сертификата УЦ, выдавшего данный сертификат. Как-то так: Код:
keytool -importcert -file "f:\fk.cer" -keystore "c:\Program Files\Java\jdk1.8.0_101\jre\lib\security\cacerts" -alias fk1 -ext AIA=ocsp:http://ocsp.roskazna.ru/ocsp/ocsp.srf
Сертификат добавился, но ничего не изменилось. Возможно, надо адрес ocsp брать в кавычки - нигде не нашел примеров, как правильно его указать. А потом я уже обратил внимание, что мне это все равно не поможет, т.к. ocsp.roskazna.ru вообще не существует. А нет ли способа при улучшении подписи игнорировать в особенных случаях отсутствие OCSP? Якобы, его наличие не является обязательным в CAdES-C, если верить википедии. Отредактировано пользователем 10 октября 2017 г. 15:59:31(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76
Сказал(а) «Спасибо»: 3 раз
|
Пока еще не проверял, в порядке бредового эксперимента, а что будет, если в ext передать какой-нибудь не родной, но рабочий ocsp, чтобы получить какое-нибудь другое сообщение об ошибке - уже не остсутствие OCSP, а какой-нибудь нехороший ответ от него. Просто чтобы выяснить, работает ли оно хоть как-нибудь.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Автор: auglov  ертификат добавился, но ничего не изменилось Написано, что "The option can be used in -genkeypair and -gencert to embed extensions into the certificate generated". В CAdES.jar формируются подписи формата BES, T или X Long Type 1 (в последней и требуется именно адрес OCSP, CAdES-C не поддерживается). Отредактировано пользователем 10 октября 2017 г. 17:04:19(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76
Сказал(а) «Спасибо»: 3 раз
|
Ну, вдруг бы повезло и сработало для -importcert тоже. Все-таки, в разделе Common Options описано. Тем более, раз, в целом, бывает возможность указать альтернативный OCSP, то почему бы не поискать эту возможность в Java. Так, вроде же, XLong1 - это расширение для CAdES-C (https://ru.wikipedia.org/wiki/CAdES). То, что нет возможности сформировать именно ее, а можно либо T, либо сразу XLong1, не отменяет "и/или" из предложения Цитата:
Второй атрибут содержит идентификаторы сертификатов из списка отзыва сертификатов (Certificate Revocation Lists, CRL) и/или ответы протокола установления статуса сертификатов (Online Certificate Status Protocol, OCSP)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.12.2014(UTC)
Сообщений: 76
Сказал(а) «Спасибо»: 3 раз
|
Автор: auglov Так, вроде же, XLong1 - это расширение для CAdES-C (https://ru.wikipedia.org/wiki/CAdES). То, что нет возможности сформировать именно ее, а можно либо T, либо сразу XLong1, не отменяет "и/или" из предложения Цитата:
Второй атрибут содержит идентификаторы сертификатов из списка отзыва сертификатов (Certificate Revocation Lists, CRL) и/или ответы протокола установления статуса сертификатов (Online Certificate Status Protocol, OCSP)
Здравствуйте. Не подскажете ссылку на конкретный RFC или ГОСТ, где хоть как-то регламентируется обязательность или необязательность OCSP ответов для формирования CAdES-XLong1 из CAdES-BES? Википедия хоть и хороший источник, но все-таки неофициальный. Хочется окончательно разобраться в вопросе, что делать, если УЦ не предоставляет OCSP в принципе никак, а XLong1 хочется получить. Это не прав УЦ, или JCP, или чего-то не хватает в законах/стандартах, чтобы все работало как надо и ничему не противоречило? Отредактировано пользователем 13 ноября 2017 г. 12:28:15(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,470  Сказал «Спасибо»: 53 раз
Поблагодарили: 798 раз в 737 постах
|
Автор: auglov Автор: auglov Так, вроде же, XLong1 - это расширение для CAdES-C (https://ru.wikipedia.org/wiki/CAdES). То, что нет возможности сформировать именно ее, а можно либо T, либо сразу XLong1, не отменяет "и/или" из предложения Цитата:
Второй атрибут содержит идентификаторы сертификатов из списка отзыва сертификатов (Certificate Revocation Lists, CRL) и/или ответы протокола установления статуса сертификатов (Online Certificate Status Protocol, OCSP)
Здравствуйте. Не подскажете ссылку на конкретный RFC или ГОСТ, где хоть как-то регламентируется обязательность или необязательность OCSP ответов для формирования CAdES-XLong1 из CAdES-BES? Википедия хоть и хороший источник, но все-таки неофициальный. Хочется окончательно разобраться в вопросе, что делать, если УЦ не предоставляет OCSP в принципе никак, а XLong1 хочется получить. Это не прав УЦ, или JCP, или чего-то не хватает в законах/стандартах, чтобы все работало как надо и ничему не противоречило? Добрый день. На странице информации о КриптоПро ЭЦП есть ссылка на соответствующий стандарт и RFC 5126. Чтобы получать OCSP ответы (например, для создания CAdES Xlong1) УЦ должен развернуть OCSP сервер. Сертификат оператора OCSP сервера должен быть выдан этим УЦ и удовлетворять необходимым требованиям. Таким образом, если УЦ не развернул OCSP сервер, то создать CAdES Xlong1 не получится. Отредактировано пользователем 13 ноября 2017 г. 15:02:03(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
