Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Online Александр Лавник  
#11 Оставлено : 25 марта 2019 г. 17:02:29(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: HelpDSS Перейти к цитате
После того как вручную скачал запрос, подписал его в стороннем уц и веб интерфейсе вручную загрузил этот сертификат, то в статусе сертификата пишется "Не проверялся".
Установил корневой сертификат стороннего УЦ в доверенные.
Что нужно еще сделать, чтобы статус поменялся на "Действительный"?

Здравствуйте.

См. параметр ValidationMode в руководстве по интеграции с УЦ.
Техническую поддержку оказываем тут
Наша база знаний
Offline HelpDSS  
#12 Оставлено : 25 марта 2019 г. 18:04:38(UTC)
HelpDSS

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2019(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Да, про ValidationMode я понял.Непонятным остается, где прописать пути до crl для стороннего УЦ?
Online Александр Лавник  
#13 Оставлено : 26 марта 2019 г. 12:07:24(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: HelpDSS Перейти к цитате
Да, про ValidationMode я понял.Непонятным остается, где прописать пути до crl для стороннего УЦ?

Здравствуйте.

Пути до CRL обычно прописаны в расширении сертификата Точки распространения списков отзыва (CRL).

Также актуальные списки отзыва можно установить локально в хранилище Промежуточные центры сертификации локального компьютера на сервере с компонентом SignServer КриптоПро DSS.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
HelpDSS оставлено 26.03.2019(UTC)
Offline HelpDSS  
#14 Оставлено : 26 марта 2019 г. 14:32:26(UTC)
HelpDSS

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2019(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Отлично, это сработало. Сертификаты добавляются и статус у них "Действителен"
Даже документы ими подписываются. Но при проверке этих подписей, выдается такая ошибка (на скриншоте)
Корневой сертификат установлен в хранилище "Доверенные"


error.PNG (11kb) загружен 20 раз(а).
Online Александр Лавник  
#15 Оставлено : 26 марта 2019 г. 14:49:34(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: HelpDSS Перейти к цитате
Отлично, это сработало. Сертификаты добавляются и статус у них "Действителен"
Даже документы ими подписываются. Но при проверке этих подписей, выдается такая ошибка (на скриншоте)
Корневой сертификат установлен в хранилище "Доверенные"


error.PNG (11kb) загружен 20 раз(а).

См. описание хранилищ сертификатов <ApplicationName>-TSL и <ApplicationName>-Ca в Руководстве администратора КриптоПро SVS.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
HelpDSS оставлено 26.03.2019(UTC)
Offline HelpDSS  
#16 Оставлено : 28 марта 2019 г. 11:00:17(UTC)
HelpDSS

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2019(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
proverka ocsp.PNG (36kb) загружен 3 раз(а).

А есть ли возможность делать запрос на OCSP-сервер для проверки на отзыв при каждом взаимодействии с сертификатом (подпись, проверка подписи и тд)?
Насколько я понимаю, через OCSP-сервер не скачивается сам CRL файл, соответственно ничего не должно оставаться в кэше.
Сейчас при значении RevocationMode:online запрос на OCSP делается не при каждом взаимодействии с сертификатом, а только если операции делаются с каким то промежутком времени.
Заранее спасибо.
Online Александр Лавник  
#17 Оставлено : 28 марта 2019 г. 16:26:59(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: HelpDSS Перейти к цитате
proverka ocsp.PNG (36kb) загружен 3 раз(а).

А есть ли возможность делать запрос на OCSP-сервер для проверки на отзыв при каждом взаимодействии с сертификатом (подпись, проверка подписи и тд)?
Насколько я понимаю, через OCSP-сервер не скачивается сам CRL файл, соответственно ничего не должно оставаться в кэше.
Сейчас при значении RevocationMode:online запрос на OCSP делается не при каждом взаимодействии с сертификатом, а только если операции делаются с каким то промежутком времени.
Заранее спасибо.

Здравствуйте.

При создании подписи обращение к OCSP серверу происходит только для формата CAdES-X Long Type 1.

При проверке сертификата используется следующий порядк:

- локальные CRL,

- CRL, доступные по сети,

- OCSP сервер.

Изменить этот порядок нельзя.
Техническую поддержку оказываем тут
Наша база знаний
Offline HelpDSS  
#18 Оставлено : 1 апреля 2019 г. 14:10:14(UTC)
HelpDSS

Статус: Участник

Группы: Участники
Зарегистрирован: 17.03.2019(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
При первой загрузке сертификата со стороннего УЦ, он делает запрос на мой OCSP-сервер, прописанный в этом сертификате. А вот при дальнейших взаимоидействиях с этим сертификатом логика проверки не очень ясна. Либо есть какой-то тайм-аут после первой проверки, в период которого запросы не проводятся, либо что-то еще. Потому что при последующих манипуляциях с этим сертификатом (проверка,подпись) запрос на OCSP-сервер не происходит(в логах OCSP пустота). Но через какое-то неопределенное время (точно непонятно, но довольно-таки большой промежуток) при тех же манипуляциях с тем же сертификатом(проверка,подпись) запрос на OCSP идет (видно в логах OCSP).
Хотелось бы как то выяснить этот механизм, потому что необходимо, чтобы запросы на OCSP-сервер делались при любой манипуляции с сертификатом с любой частотой.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.