Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163  Откуда: Москва Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
|
Сертификат был отозван, о чем есть соответствующая запись в CRL. Но проверка дает положительный результат (цепочка строится без ошибок). При этом если загрузить только нужные СОСы, то проверка не проходит. Но при наличии в хранилище других списков отзыва проверка начинает проходить. На Windows в тех же условиях все работает корректно - выдает "сертификат отозван". Прикладываю архив с файлами: cert.cer - сертификат issuer.cer - сертификат выдавшего УЦ uc.cer - сертификат корневого УЦ crl.crl - список отзыва, где содержится cert.cer crl_uc.crl - список отзыва корневого УЦ root.sto - хранилище с CRL, при которых проходит проверка ca.sto - хранилище CA - на всякий случай приложил  certs.7z.jpg (384kb) загружен 5 раз(а). - Это архив 7z. Да, забыл написать номер сборки: Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX. Отредактировано пользователем 27 января 2022 г. 13:18:38(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
|
Разработка КриптоПро CSP 4.0 прекращена https://www.cryptopro.ru...&m=118953#post118953поэтому любые ошибки интересны, только если они проявляются в КриптоПро CSP 5.0. Проверка цепочки сертификатов - очень сложный процесс. Схематично опишу её фрагмет в разрезе вашего запроса: * при проверке сертификата надо узнать его статус, скажем, по CRL * для этого ищется первый попавшийся CRL в хранилище CA с подходящим издателем. если в CA ничего нет, то по CDP в сертификате скачивается CRL с УЦ, при этом попадёт он уже в хранилище cache. и если до скачивания в хранилище cache действительный CRL был, то ничего не будет качаться заново * если этот CRL действует, то никакие дополнительные действия не нужны, чтобы принять решение насчёт отзыва: смотрим в этот CRL: там либо есть сертификат, либо его нет Другими словами, возможно, у вас в хранилище cache лежит всё ещё действующий CRL Казначейства (у него же срок - неделя), где сертификат Марины не отозван. Пока CRL действует, совершенно корректно при построении цепочки считать сертификат неотозванным. P.S. На чистой системе с КриптоПро CSP 5.0 R3 проблема не проявляется, потому что скачивается уже новый CRL, где сертификат Марины отозван. Отредактировано пользователем 27 января 2022 г. 14:15:05(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163 Откуда: Москва Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
|
У нас при проверках отключен online revocation check - используется ключ CERT_CHAIN_REVOCATION_CHECK_CACHE_ONLY. Так что процесс проще.
на 5.0 проверим.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163 Откуда: Москва Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
|
На 5.0 R3 проблема не воспроизводится
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
