Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Jesterson  
#1 Оставлено : 25 мая 2009 г. 23:10:19(UTC)
Jesterson

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.05.2009(UTC)
Сообщений: 30
Откуда: Moscow

Проблема в следующем - получаю сертификат тестовой службы TSP (http://www.cryptopro.ru/cryptopro/products/tsp/tsa.cer), устанавливаю. При проверке через OCSP в ответе в строчке о подписи получаю "Верна, но сертификат не корректен (Функция
отзыва не смогла произвести проверку отзыва для сертификата)". В групповых политиках настроен доступ OCSP-клиента через прокси, в качестве адреса службы по умолчанию указан http://www.cryptopro.ru/ocsp/ocsp.srf.

Подскажете в чем может быть проблема?
Offline Павел Смирнов  
#2 Оставлено : 26 мая 2009 г. 11:25:23(UTC)
Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
Рекомендую пользоваться службой http://www.cryptopro.ru/ocspnc/ocsp.srf. Её адрес как раз указан в расширении AIA проверяемого сертификата. Отличие от службы, которой вы воспользовались, заключается в наличии расширения nocheck в сертификате подписи OCSP-ответов - такой сертификат не надо проверять на отзыв.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Jesterson  
#3 Оставлено : 26 мая 2009 г. 14:56:43(UTC)
Jesterson

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.05.2009(UTC)
Сообщений: 30
Откуда: Moscow

Спасибо, помогло, но не окончательно.

Получаю сертификат tsa.cer, делаю через ocsputil запрос (ocsputil mp tsa.cer >ocsp.ans), просматриваю ответ (ocsputil.exe pd ocsp.ans) - всё хорошо, подпись верна.

Устанавливаю tsa.cer, делаю запрос штампа (tsputil ms tsp.req time.req), просматриваю ответ (tsputil.exe sd time.req) - подпись "Верна, но сертификат не корректен (Функция отзыва не смогла произвести проверку отзыва для сертификата)".

Предположительно эта ошибка в конечном счете приводит в прикладном коде к 0xc2100100, которая обсуждалась в другом топике, но там, к сожалению, способ устранения ошибки с "Верна, но сертификат.." не описан.

В чём ещё может быть проблема?

(tsa.cer устанавливается в хранилище по умолчанию "Другие пользователи", если устанавливать в "Промежуточные центры сертификации" - не находит)

Отредактировано пользователем 26 мая 2009 г. 14:57:46(UTC)  | Причина: Не указана

Offline IvanZzz  
#4 Оставлено : 26 мая 2009 г. 17:14:59(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Посмотрите, значение ключа Dll в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT

Отредактировано пользователем 26 мая 2009 г. 17:15:58(UTC)  | Причина: Не указана

Offline Jesterson  
#5 Оставлено : 26 мая 2009 г. 17:23:58(UTC)
Jesterson

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.05.2009(UTC)
Сообщений: 30
Откуда: Moscow

IvanZzz написал:
Посмотрите, значение ключа Dll в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT


cryptnet.dll
Offline IvanZzz  
#6 Оставлено : 26 мая 2009 г. 17:59:40(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Установите корневые сертификаты тестового ЦС: http://www.cryptopro.ru/certsrv/certcarc.asp
Offline Jesterson  
#7 Оставлено : 26 мая 2009 г. 18:14:31(UTC)
Jesterson

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.05.2009(UTC)
Сообщений: 30
Откуда: Moscow

IvanZzz написал:
Установите корневые сертификаты тестового ЦС: http://www.cryptopro.ru/certsrv/certcarc.asp


Устанавливал. Тоже самое.
Offline IvanZzz  
#8 Оставлено : 26 мая 2009 г. 18:58:27(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Откройте корневой сертификат тестового центра из хранилища "Доверенные корневые ЦС" - вкладку сертификата "Путь сертификации" и посмотрите состояние сертификата.
Offline Jesterson  
#9 Оставлено : 26 мая 2009 г. 19:21:53(UTC)
Jesterson

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.05.2009(UTC)
Сообщений: 30
Откуда: Moscow

IvanZzz написал:
Откройте корневой сертификат тестового центра из хранилища "Доверенные корневые ЦС" - вкладку сертификата "Путь сертификации" и посмотрите состояние сертификата.


"Этот сертификат действителен."

Кстати, если это поможет - то проблема начала себя проявлять после установки нового SDK. Правда после переустановки старого она не исчезла.
Offline IvanZzz  
#10 Оставлено : 26 мая 2009 г. 19:36:12(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Установите КриптоПро Revocation Provider: http://cryptopro.ru/cryp...download/default.asp?n=3 без ввода лицензии. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT ключ Dll должен поменяться на reprov.dll, проверка будет проходить через наш RP.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.