Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Алексей Перепёлкин  
#1 Оставлено : 16 апреля 2024 г. 23:30:28(UTC)
Алексей Перепёлкин

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.04.2024(UTC)
Сообщений: 4
Российская Федерация

Здравствуйте всем!

Имеется КриптоПро CSP 4.0.9963(серверная с введённым ключём лицензии) на ОС Win Server 2012 R2 Standart.

Ранее был установлен сертификат для ЭП с закрытым ключём в реестре + к нему цепочка сертификатов УЦ.
В Win-оснастке сертификатов показывалось всё валидное (никаких красных крестов на сертификатах и т.п.), всё работало. Но подошёл к концу период действия сертификата ЭП. Собственно, сама процедура установки более нового сертификата с закрытыми ключами через реестр + цепочка УЦ...повторялась ранее не раз и порядок действий знаком.

Теперь, я попытался установить новый сертификат (подобный предыдущему, со свежим периодом действия), так же с закрытым ключём в реестре. В цепочке сертификатов поменялся лишь один сертификат (их было и осталось 2 и у прежнего сертификата и у нового). Всё установилось по старой схеме.

В КриптоПро при тестировании контейнера закрытого ключа всё проходит без ошибок. Пишет, что открытая часть сертификата ЭП соотв. закрытой части в реестре, всё успешно и т.п. Но в Win-оснастке сертификатов, открывая любой из сертификатов данной цепочки (новый сертификат ЭП или любой из его цепочки УЦ) на первой закладке "Общие" красный крест, а на последней "Путь сертификации" пишет "Этот сертификат содержит недействительную цифровую подпись".
Помнится, что данная надпись ранее появлялась, если не были установлены верные сертификаты цепочки УЦ.
Всю цепочку сертификатов(закрытый ключ через реестр + открытые части через экспорт) я брал с др. ПК, где все они установлены без ошибок. Я сверил все сертификаты цепочки по серийникам - всё соответствует. Более того, в самих промежуточных сертификатах в данных "Доступ к сведениям центра сертификации" указаны ссылки по которым можно скачать сертификат по цепочке выше и они соотв-уют тем, что были установлены.

Быть может, кто подскажет, куда копать. Данную бяку встречаю впервые.

З.Ы.
- все сертификаты установлены в "локальный компьютер", т.к. этого требует сопутствующее ПО
- сертификат ЭП для закрытой части установлен в "личное"
- сертификаты цепочки УЦ установлены в "Доверенные корневые центры сертификации"
Offline Андрей *  
#2 Оставлено : 17 апреля 2024 г. 0:04:06(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Здравствуйте.

Откройте корневой сертификат, Минцифры, от 08.01.2022? В нем нет проблемы с проверкой подписи?
Техническую поддержку оказываем тут
Наша база знаний
Offline Алексей Перепёлкин  
#3 Оставлено : 17 апреля 2024 г. 10:38:44(UTC)
Алексей Перепёлкин

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.04.2024(UTC)
Сообщений: 4
Российская Федерация

Автор: Андрей * Перейти к цитате
Здравствуйте.

Откройте корневой сертификат, Минцифры, от 08.01.2022? В нем нет проблемы с проверкой подписи?


Именно он является корневым в данной цепочке.
Кем выдан: Минцифры России
Кому выдан: Минцифры России
Действителен с: ‎8 ‎января ‎2022 ‎г. 16:32:39

До попытки установки нового сертификата ЭП он был валидным(без красных крестов). После попыток и он стал с красным крестом и все цепочки от него.
Т.е. теперь как старая цепочка до сертифа ЭП, так и новая с красными крестами.
Offline Андрей *  
#4 Оставлено : 17 апреля 2024 г. 11:01:06(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
т.е. если его удалить из корневых - он корректен, подпись, но только нет доверия?

Значит пробуйте восстановить СКЗИ через панель Установка\удаление приложений.

Другие СКЗИ есть в реестре или их следы?


Посмотрите\приложите ветку, что там зарегистрованно:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults

Техническую поддержку оказываем тут
Наша база знаний
Offline Алексей Перепёлкин  
#5 Оставлено : 17 апреля 2024 г. 12:00:37(UTC)
Алексей Перепёлкин

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.04.2024(UTC)
Сообщений: 4
Российская Федерация

Автор: Андрей * Перейти к цитате
т.е. если его удалить из корневых - он корректен, подпись, но только нет доверия?

Значит пробуйте восстановить СКЗИ через панель Установка\удаление приложений.

Другие СКЗИ есть в реестре или их следы?


Посмотрите\приложите ветку, что там зарегистрованно:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\Defaults



Помогло "восстановить СКЗИ через панель Установка\удаление приложений".
После перезагрузки все сертификаты цепочек встали на место, все валидные и без ошибок.
Премного вам благодарен!!!

Если не секрет и ведаете, что это за ересь такая была/есть?
Offline Андрей *  
#6 Оставлено : 17 апреля 2024 г. 12:05:48(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
смотреть, какой софт ставили\удаляли, в реестре не было информации,
еще можно было бы посмотреть на алгоритм - ГОСТ 2012 был или числовой (OID) при просмотре сертификата.
Техническую поддержку оказываем тут
Наша база знаний
Offline Алексей Перепёлкин  
#7 Оставлено : 17 апреля 2024 г. 12:13:54(UTC)
Алексей Перепёлкин

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.04.2024(UTC)
Сообщений: 4
Российская Федерация

Автор: Андрей * Перейти к цитате
смотреть, какой софт ставили\удаляли, в реестре не было информации,
еще можно было бы посмотреть на алгоритм - ГОСТ 2012 был или числовой (OID) при просмотре сертификата.


По указанной вами ветке реестра были 3 от КриптоПРО с разными алгоритмами по ГОСТам и десяток от мелкософта.
Между установкой старого сертифа ЭП и этим новым новое ПО не ставили и прежнее не удаляли. Эту машину вовсе никто не трогал давно. Разве что ОС сама тихо у себя что-то обновила.

Я в данной теме не бум-бум, но визуально следы ведут на некие "кэши" СКЗИ + волшебные обновы в ОС.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.