Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: glagola То после перезагрузки они исчезают из системы и их приходится скачивать и добавлять по новой. Так и должно быть?. Вы ничего не путаете, именно исчезают? Возможно они просрочиваются/ истекают по cроку действия? UPD: Да, забыл спросить ранее, а что у Вас в конфиге config64.ini, что покажет следующая команда? Код:cat /etc/opt/cprocsp/config64.ini | grep -i libcpcurl.so
Отредактировано пользователем 10 ноября 2022 г. 6:49:55(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2022(UTC) Сообщений: 17
|
Автор: nickm Возможно они просрочиваются/ истекают по cроку действия?
Возможно, при импорте crl списков я не указываю сроки. Как узнать просрочены они или нет? Импортирую командой: Код:certmgr -install -crl -store mCA -file ./path-to-file.crl
Автор: nickm Да, забыл спросить ранее, а что у Вас в конфиге config64.ini, что покажет следующая команда? выдает следующее: Код:"libcurl.so" = "/opt/cprocsp/lib/aarch64/libcpcurl.so"
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: glagola Как узнать просрочены они или нет? Срок их действия сутки-двое; Автор: glagola Код:"libcurl.so" = "/opt/cprocsp/lib/aarch64/libcpcurl.so"
А сам файл по указанному пути присутствует? К чему спрашиваю - ведь по сути эти списки отзывов должны? автоматически выкачиваться, если сведения о них в сертификате корректные и они по URL доступные. Отредактировано пользователем 11 ноября 2022 г. 5:55:23(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2022(UTC) Сообщений: 17
|
Автор: nickm Срок их действия сутки-двое; А время со сроком жизни зашито внутри списков с отозванными сертификатами (*.crl)? Если так, то там уже могут быть просроченная дата (просто ФНС не выложила свежие), при ручной установке они ставятся, а при перезагрузке их подчищают так как дата уже просрочена. Это мое предположение. Автор: nickm А сам файл по указанному пути присутствует? присутствует, и все зависимости вроде есть Snimok ehkrana 2022-11-11 v 12.51.09.png (315kb) загружен 2 раз(а).Автор: nickm по сути эти списки отзывов должны автоматически выкачиваться, если сведения о них в сертификате корректные и они по URL доступные. Сертификаты скачиваю с этой страницы ФНС . Как понять прописаны ли внутри сертификатов ФНС URL для списка отозванных? Судя по всему прописан, но мне приходится его вручную скачивать с сайта ФНС (ссылку приводил выше в этом сообщении). Тот что я скачиваю с сайта ФНС вручную и устанавливаю полностью идентичен тому, что можно скачать по ссылке из скриншота: Snimok ehkrana 2022-11-11 v 12.55.12.png (421kb) загружен 2 раз(а).Отредактировано пользователем 11 ноября 2022 г. 12:08:52(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2022(UTC) Сообщений: 17
|
С помощью этой команды решил посмотреть какие данные лежат в *.crl файле (которые распространяет ФНС): Код:openssl crl -inform DER -text -noout -in mycrl.crl
Если я правильно понял назначение этих дат, то судя по всему *.crl файлы живут около 14 часов: Snimok ehkrana 2022-11-11 v 13.12.15.png (255kb) загружен 3 раз(а).И тогда вопрос, почему КриптоПРО CSP сам их повторно не выкачивает - не понятна. А вообще вот эта фича, когда криптопро сам выкачивает *.crl давно появилась? в какой версии?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: glagola Тот что я скачиваю с сайта ФНС вручную и устанавливаю полностью идентичен тому, что можно скачать по ссылке из скриншота Угу, именно об этом Я и говорю - если URL в сертификате корректные, то по идее списки отзывов должны подгружаться автоматически. + у Вас ведь даже и OCSP в сертификате наверняка имеется? Но, почему этот функционал не работает в ОС "Linux", тут вопрос, наверное, скорее к разработчикам. Как вариант, Вам можно посоветовать автоматизировать процесс - подготовить сценарий, который по тому же cron, подгружает *.crl по заданному URL и устанавливает их в нужное хранилище. Так сказать заскриптовать и забыть как страшный сон (именно так бы Я и поступил, если бы появилась необходимость в этом в Своей организации). Отредактировано пользователем 11 ноября 2022 г. 12:25:08(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,272
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
Всё должно работать автоматически, не надо ничего запихивать ногами в cron. Давайте лучше разберёмся.
- Пожалуйста, установите последнюю версию КриптоПро CSP 5.0 R3: https://cryptopro.ru/pro...ads#latest_csp50r3_linux
- Популярная ошибка: выполнять действия в разных приложениях под разными пользователями (под root-ом и под обычным). Чтобы её избежать, не используйте su/sudo никогда, кроме этапа установки пакетов. Так как новый установщик сам поднимает привилегии, то можно сказать, что вообще никогда su/sudo не нужно: всё делает только обычный пользователь.
- Покажите результат построения цепочки для проблемного сертификата: в cptools на вкладке "Сертификаты" выбрать нужный и нажать "Свойства сертификата".
P.S. Работа по OCSP тоже поддерживается. В последних дистрибутивах КриптоПро CSP 5.0 R3 в его состав включён cades/plugin, поэтому при штатной установке через "ярлык" или install_gui.sh автоматически будет поддержка проверки цепочек по OCSP. |
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
nickm оставлено 11.11.2022(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: Андрей Русев Всё должно работать автоматически, не надо ничего запихивать ногами в cron. Давайте лучше разберёмся. Я только за! Давайте дождёмся glagola и посмотрим, проявит ли Он интерес. А пока подпишусь на указанную тему.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2022(UTC) Сообщений: 17
|
Автор: nickm Автор: glagola у Вас ведь даже и OCSP в сертификате наверняка имеется? Судя по тем скриншотам что я скидывал в мой сертификат от ФНС OCSP не зашит
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз Поблагодарили: 312 раз в 294 постах
|
Автор: glagola в мой сертификат от ФНС OCSP не зашит На примере: А вообще прислушайтесь к: Автор: Андрей Русев Всё должно работать автоматически, не надо ничего запихивать ногами в cron. Давайте лучше разберёмся. и давайте попробуем разобраться вместе
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close