Не работает СОС выпущенный УЦ

Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Error

Не работает СОС выпущенный УЦ

Опции

Предыдущая тема Следующая тема

Anton_mgt111		#1 Оставлено : 6 июля 2022 г. 9:50:50(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.07.2022(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 2 раз		Добрый день, перед внедрением УЦ проводим тестирование системы и готовимся к пилоту. Установили УЦ выпустили пару сертификатов, все работает корректно и радует глаз, до момента отзыва сертификатов. В консоли управления центра сертификации настроили расписание выпуска списка отозванных сертификатов и публикацию на https://center-registracii/cdp/ Так же на https://center-registracii/UI/CaCerts.aspx публикуется PKCS7 файл содержащий все те же списки отзыва. Но когда доходит дело до их установки, то СОСы из PKCS7 вообще никуда не попадают, в консоли ОС "Сертификаты" ни в разделе "Промежуточные центры сертификации - Список отзыва сертификатов" ни в разделе "Сертификаты к которым нет доверия - Список отзыва сертификатов" ничего не появляется. При установке CRL с https://center-registracii/cdp/ СОСы появляются только в "Промежуточные центры сертификации - Список отзыва сертификатов" в них есть информация об отозванных сертификатах, но при просмотре сертификата через файл или через адресную книгу КриптоАРМ ГОСТ сертификат не проверяется по СОСу Единственное что реально помогло, это вручную установить отозванный сертификат в раздел "Сертификаты к которым нет доверия - Сертификаты" и тогда сертификат в адресной книге помечается как отозванный. Сейчас это тесты на 10 человек, вскоре будет внедрен УЦ на 3к пользователей. Контролировать СОСы таким способом физически невозможно. В документации к консоли УЦ не нашли настроек которые могут изменить формат контейнера для СОСа З.Ы. Есть еще задача автоматически распространять СОСы, без использования OCSP, как выяснилось КриптоАРМ ГОСТ не имеет таких настроек, а КриптоАРМ 5 уже не сертифицирован ( Отредактировано пользователем 6 июля 2022 г. 9:59:05(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Захар Тихонов		#2 Оставлено : 6 июля 2022 г. 11:37:07(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз Поблагодарили: 585 раз в 562 постах		Здравствуйте Автор: Anton_mgt111 В консоли управления центра сертификации настроили расписание выпуска списка отозванных сертификатов и публикацию на https://center-registracii/cdp/ Так же на https://center-registracii/UI/CaCerts.aspx публикуется PKCS7 файл содержащий все те же списки отзыва. Если вам изначальная настройка не понравилась, то пришлите скриншот, как вы настроили. Из вашего описания не ясно что вы сделали. Автор: Anton_mgt111 Но когда доходит дело до их установки, то СОСы из PKCS7 вообще никуда не попадают, в консоли ОС "Сертификаты" ни в разделе "Промежуточные центры сертификации - Список отзыва сертификатов" ни в разделе "Сертификаты к которым нет доверия - Список отзыва сертификатов" ничего не появляется. На ЦС или ЦР? Или на каком-то выделенном ПК? Автор: Anton_mgt111 При установке CRL с https://center-registracii/cdp/ СОСы появляются только в "Промежуточные центры сертификации - Список отзыва сертификатов" в них есть информация об отозванных сертификатах, но при просмотре сертификата через файл или через адресную книгу КриптоАРМ ГОСТ сертификат не проверяется по СОСу Это стоит вам направить вопрос в ТП используемой вами ОС и в ТП Цифровых технологий - почему они сразу не проверяют сертификат на отзыв и не показывают вам актуальную информацию. Вообще, это нормально, сертификат обычно проверяется при использовании. Например - при создании подписи. Автор: Anton_mgt111 Единственное что реально помогло, это вручную установить отозванный сертификат в раздел "Сертификаты к которым нет доверия - Сертификаты" и тогда сертификат в адресной книге помечается как отозванный. CRL должны быть установлены только в промежуточных ЦС. Не стоит их устанавливать в другие хранилища. Автор: Anton_mgt111 В документации к консоли УЦ не нашли настроек которые могут изменить формат контейнера для СОСа CRL формируются на ЦР с расширением *.crl. То что вы загружаете через веб портал ЦР, это сделано общее хранилище с цепочкой сертификатов и CRL. Удобно этот файл скачать и перенести на ПК без интернета и установить сразу все в правильные хранилища. В других случаях CRL опубликованы и доступны из сети - при проверке на отзыв сертификата компуктер сам сходит за ними (если требуется). Автор: Anton_mgt111 З.Ы. Есть еще задача автоматически распространять СОСы, без использования OCSP, как выяснилось КриптоАРМ ГОСТ не имеет таких настроек, а КриптоАРМ 5 уже не сертифицирован ( Служба OCSP - не занимается распространением CRL. УЦ 2.0 по умолчанию их публикует у себя на ЦР. Если вам не нравится точка публикации на ЦР, то вы самостоятельно на своем веб сайте публикуете CRL от вашего УЦ. Организуете перенос CRL с ЦР на выделенный ваш сервер автоматически или переносите руками - это уже на ваше усмотрение. На ЦР они лежат вот тут C:\ProgramData\Crypto Pro\CDP
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Anton_mgt111		#3 Оставлено : 6 июля 2022 г. 12:10:59(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.07.2022(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 2 раз		Автор: Захар Тихонов Если вам изначальная настройка не понравилась, то пришлите скриншот, как вы настроили. Из вашего описания не ясно что вы сделали. Настройку и установку УЦ делали на полный стандарт, размещение PKCS7 файла, который содержит весь комплект полностью устраивает. Автор: Захар Тихонов На ЦС или ЦР? Или на каком-то выделенном ПК? На доменном АРМе под управлением Windows 10, как будто обычный пользователь. Автор: Захар Тихонов Это стоит вам направить вопрос в ТП используемой вами ОС и в ТП Цифровых технологий - почему они сразу не проверяют сертификат на отзыв и не показывают вам актуальную информацию. Вообще, это нормально, сертификат обычно проверяется при использовании. Например - при создании подписи. С запросом в MS наверное будет сложнее, а в ТП Цифровых технологий писали, толку 0, общая отписка с предложением купить поддержку. Автор: Захар Тихонов CRL должны быть установлены только в промежуточных ЦС. Не стоит их устанавливать в другие хранилища. Ручками добавляли в качестве эксперимента, естественно должно работать через стандартные средства. Автор: Захар Тихонов CRL формируются на ЦР с расширением *.crl. То что вы загружаете через веб портал ЦР, это сделано общее хранилище с цепочкой сертификатов и CRL. Удобно этот файл скачать и перенести на ПК без интернета и установить сразу все в правильные хранилища. В других случаях CRL опубликованы и доступны из сети - при проверке на отзыв сертификата компуктер сам сходит за ними (если требуется). В ЭП есть поле [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://center-registracii/cdp/dab4a219174e448b151da006bd0350629f7c76d6.crl Но почему-то система к нему не обращается, ни КриптоАРМ, ни встроенная оснастка винды "Сертификаты" Автор: Захар Тихонов Служба OCSP - не занимается распространением CRL. УЦ 2.0 по умолчанию их публикует у себя на ЦР. Если вам не нравится точка публикации на ЦР, то вы самостоятельно на своем веб сайте публикуете CRL от вашего УЦ. Организуете перенос CRL с ЦР на выделенный ваш сервер автоматически или переносите руками - это уже на ваше усмотрение. На ЦР они лежат вот тут C:\ProgramData\Crypto Pro\CDP Я уже придумал механизм распространения/обновления CRL через доменные политики или планировщик заданий. К тому же, если в сертификате вшит путь к СОСу, то при нормальной работе он должен сам проверяться в момент подписания или проверки В целом складывается ощущение, что проблема заключается в настройках доменной машины. Для эксперимента стандартными средствами установили Сертификат Корневого цетра, Сертификат отозванного пользователя, СОС на 2 другие машины, не в домене, с разными версиями Винды, ситуация везде одинаковая, сертификат не проверяется по загруженному СОСу Spisok otozvannykh sertiifkatov.jpg (183kb) загружен 6 раз(а). Otozvannyjj sertifikat.jpg (182kb) загружен 6 раз(а). Otozvannyjj sertifikat po SOS.jpg (154kb) загружен 7 раз(а).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Захар Тихонов		#4 Оставлено : 6 июля 2022 г. 12:32:59(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,314 Откуда: Калининград Сказал «Спасибо»: 40 раз Поблагодарили: 585 раз в 562 постах		Автор: Anton_mgt111 Настройку и установку УЦ делали на полный стандарт, размещение PKCS7 файла, который содержит весь комплект полностью устраивает. Делайте на конечный файл в URL, ни кто не будет загружать и парсить PKCS7. Автор: Anton_mgt111 На доменном АРМе под управлением Windows 10, как будто обычный пользователь. Вы настроили на своем домене распространение ваших CRL доменными политиками и это не работает? Или почему они там должны появиться? Автор: Anton_mgt111 В ЭП есть поле [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://center-registracii/cdp/dab4a219174e448b151da006bd0350629f7c76d6.crl Но почему-то система к нему не обращается, ни КриптоАРМ, ни встроенная оснастка винды "Сертификаты" А как вы в этом убеждаетесь? Выполните команду Certutil -verify -urlfetch "файл сертификат.cer" Проверится сертификат на отзыв, там увидите сходит ли Certutil по URL из сертификата или нет. Автор: Anton_mgt111 В целом складывается ощущение, что проблема заключается в настройках доменной машины. Для эксперимента стандартными средствами установили Сертификат Корневого цетра, Сертификат отозванного пользователя, СОС на 2 другие машины, не в домене, с разными версиями Винды, ситуация везде одинаковая, сертификат не проверяется по загруженному СОСу Spisok otozvannykh sertiifkatov.jpg (183kb) загружен 6 раз(а). Otozvannyjj sertifikat.jpg (182kb) загружен 6 раз(а). Otozvannyjj sertifikat po SOS.jpg (154kb) загружен 7 раз(а). Повторюсь - это нормально, сертификат обычно проверяется при использовании. Например - при создании подписи. Не будет вам Windows (как и любая другая ОС) при просмотре сертификата проверять его на отзыв, только при использовании сертификата (или специально при проверке на отзыв).
		Техническую поддержку оказываем тут. Наша база знаний.

1 пользователь поблагодарил Захар Тихонов за этот пост.		Anton_mgt111 оставлено 06.07.2022(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#5 Оставлено : 6 июля 2022 г. 13:12:48(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,128 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 154 раз в 139 постах		Автор: Anton_mgt111 Код: `Имя точки распространения: Полное имя: URL=http://center-registracii/cdp/dab4a219174e448b151da006bd0350629f7c76d6.crl` Но почему-то система к нему не обращается, ни КриптоАРМ, ни встроенная оснастка винды "Сертификаты" Укажите имя "по-человечески" (с доменом). Проверьте, что веб-сервер, который вы используете не перенаправляет http-запрос на https.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Anton_mgt111		#6 Оставлено : 6 июля 2022 г. 13:43:36(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.07.2022(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 2 раз		Автор: Захар Тихонов Делайте на конечный файл в URL, ни кто не будет загружать и парсить PKCS7. СОСы забираем с https://soib-iperf/cdp/dab4a219174e448b151da006bd0350629f7c76d6.crl это ЦР нашего тестового УЦ. Тут все ок. Автор: Захар Тихонов Вы настроили на своем домене распространение ваших CRL доменными политиками и это не работает? Или почему они там должны появиться? Нет, это просто доменная машина. Через политики мы только планируем обновлять СОСы. Сейчас СОСы не отрабатывают вообще ни каким образом, отозванные сертификаты проходят любую проверку и спокойно подписывают документы. Автор: Захар Тихонов А как вы в этом убеждаетесь? По разному. Пробовали отключить АРМ от сети, выключить ЦР и ЦС, закрыть доступ к ЦР и ЦС на уровне ACL, снимал дампим сетевых пакетов. Автор: Захар Тихонов Выполните команду Certutil -verify -urlfetch "файл сертификат.cer" Проверится сертификат на отзыв, там увидите сходит ли Certutil по URL из сертификата или нет. Дамп поймал запрос.... Автор: Захар Тихонов Повторюсь - это нормально, сертификат обычно проверяется при использовании. Например - при создании подписи. Не будет вам Windows (как и любая другая ОС) при просмотре сертификата проверять его на отзыв, только при использовании сертификата (или специально при проверке на отзыв). Принудительно установил СОС в реестр Промежуточных центов и теперь КриптоАРМ ГОСТ в контактах отображает сертификаты как отозванные, при проверке подписи сообщает об ошибке, при подписании сообщает об отзыве сертификата... В очередной раз убеждаюсь, что посты на профильных форумах магическим образом решают возникшие трудности. Ваша профессиональная аура настолько сильна, что достает даже до столицы ) Захар, спасибо вам! Автор: basid Автор: Anton_mgt111 Код: `Имя точки распространения: Полное имя: URL=http://center-registracii/cdp/dab4a219174e448b151da006bd0350629f7c76d6.crl` Но почему-то система к нему не обращается, ни КриптоАРМ, ни встроенная оснастка винды "Сертификаты" Укажите имя "по-человечески" (с доменом). Проверьте, что веб-сервер, который вы используете не перенаправляет http-запрос на https. http://center-registracii/cdp/dab4a219174e448b151da006bd0350629f7c76d6.crl это рабочая ссылка, по ней доступен указанный файл. Отредактировано пользователем 6 июля 2022 г. 13:49:56(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#7 Оставлено : 7 июля 2022 г. 6:11:16(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,128 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 154 раз в 139 постах		Автор: Anton_mgt111 СОСы забираем с https://soib-iperf/cdp/dab4a219174e448b151da006bd0350629f7c76d6.crl это ЦР нашего тестового УЦ. Тут все ок ... http://center-registracii/cdp/dab4a219174e448b151da006bd0350629f7c76d6.crl это рабочая ссылка, по ней доступен указанный файл. Перенаправлять с http на https списки отзыва, которые обеспечивают работу (в том числе) TLS - очень неудачная идея. Даже если "тут всё ок".


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close