Как проверить сертификат через CryptoPro OCSP?

Ключевое слово в защите информации

КЛЮЧЕВОЕ СЛОВО
в защите информации

Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

Как проверить сертификат через CryptoPro OCSP?

Опции

К последнему сообщению

К первому непрочитанному

Предыдущая тема Следующая тема

ACS_fess		#1 Оставлено : 19 августа 2011 г. 13:37:29(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.08.2011(UTC) Сообщений: 1 Откуда: Екатеринбург		Здравствуйте. Есть сервер проверки сертификатов на базе КриптоПро OSCP. Есть задача реализовать проверку статуса сертификата на заданную дату при помощи этого сервера. Просто проверить сертификат с использованием OCSP мы знаем как. Но как проверить его статус именно на определенную дату? Подскажите пожалуйста, куда смотреть, какие функции использовать или ткните пож. в документацию?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Femi		#2 Оставлено : 19 августа 2011 г. 14:19:25(UTC)
Статус: Padawan Группы: Администраторы Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах		Средствами нашего OCSP никак.
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

dert		#3 Оставлено : 19 августа 2011 г. 14:42:13(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.08.2011(UTC) Сообщений: 4 Откуда: RUS		Хмм. а как тогда быть? Есть документ, подписанный ЭЦП. При подписи использовался TSP, т.е. в значение ЭЦП встроена метка времени. Прошло полгода. сертификат уже отозван. Как проверить, что в момент подписи сертификат действовал и подпись корректна. УЦ построен на продуктах Крипто-Про. Отредактировано пользователем 19 августа 2011 г. 14:44:48(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Femi		#4 Оставлено : 19 августа 2011 г. 15:05:15(UTC)
Статус: Padawan Группы: Администраторы Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах		Надо было УЭЦП делать :)
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

dert		#5 Оставлено : 19 августа 2011 г. 15:44:47(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.08.2011(UTC) Сообщений: 4 Откуда: RUS		Упс. А вот с этим мы не разбирались :( Пытались делать запросы к OCSP с использованием класса CExtHistoricalRequest. А можно ссылку на описание использования УЭЦП? с ходу не нашел :( что делать, чтобы получать требуемый результат? (проверку подлинности ЭЦП на требуемый момент времени). Отредактировано пользователем 19 августа 2011 г. 15:45:36(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Femi		#6 Оставлено : 19 августа 2011 г. 15:52:38(UTC)
Статус: Padawan Группы: Администраторы Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах		Чтобы Вам проверить статус сертификата в тот момент времени(в штампе который): 1. Вопользоваться,например, Армом разбора конфликтных ситуаций(если сертификат получали в нашем УЦ, то мы такую услугу можем оказать. Или если Ваш УЦ -КриптоПро УЦ, можно данный сервис установить и такую проверку осуществить) 2. Обратиться в УЦ, в котором получали сертификат с запросом - какое время был действителен данный сертификат- Вам дадут ответ-с такого-то время по такое, не отзывался в промежуток этот и не приостанавливался. Если время создания подписи попадает в этот промежуток-то соответственно и тогда он был действителен С OCSP этого осуществить никак нельзя.
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

dert		#7 Оставлено : 19 августа 2011 г. 17:16:07(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.08.2011(UTC) Сообщений: 4 Откуда: RUS		Спасибо за консультацию. мы пока в процессе разработки решений... УЦ внутри организации. модернизируется система обмена документами. часть из них уже подписана ЭЦП. Храниться они будут долго. Сертификаты могут отзываться до окончания срока действия (напр. человек уволился) Задача именно автоматизировать процесс проверки ЭЦП. С учетом архивных документов и статуса сертификата на момент подписи... и желательно было бы обойтись без локальных CRL. Почему-то возникла мысль, что можно обойтись OCSP... Попробуем посмотреть в сторону УЭЦП. Только насколько будут совместимы документы с обычной ЭЦП и с УЭЦП с точки зрения проверки?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Femi		#8 Оставлено : 19 августа 2011 г. 17:49:30(UTC)
Статус: Padawan Группы: Администраторы Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз Поблагодарили: 69 раз в 47 постах		OCSP-служба онлайн проверки статуса сертификата. Но в состав УЭЦП входит OCSP и TSP -ответы. Обойдетесь без CRL. Про архивное хранение можно тут почитать: http://www.cryptopro.ru/....aspx?g=posts&t=3611 Цитата: Только насколько будут совместимы документы с обычной ЭЦП и с УЭЦП с точки зрения проверки? Не совсем поняла.
		Техническую поддержку оказываем тут. Наша база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

dert		#9 Оставлено : 19 августа 2011 г. 18:27:38(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.08.2011(UTC) Сообщений: 4 Откуда: RUS		Femi написал: OCSP-служба онлайн проверки статуса сертификата. Да. я понимаю. Просто у нас была информация, что он вроде как может предоставить стстус не только на текущий момент, но и на указанную дату. ввели в заблуждение ... :( Femi написал: Но в состав УЭЦП входит OCSP и TSP -ответы. Обойдетесь без CRL. А где можно глянуть описание работы с УЭЦП? последовательность действий при создании подписи и при ее последующей проверке? Цитата: Только насколько будут совместимы документы с обычной ЭЦП и с УЭЦП с точки зрения проверки? Femi написал: Не совсем поняла. это я уже задумался про реализацию. вопрос возник из-за того, что не совсем понятен механизм работы с УЭЦП в целом. ведь, как я понимаю, структура УЭЦП отличается от ЭЦП. При проверке ЭЦП и УЭЦП должны вызываться одни и те же функции? или придется ЭЦП проверять одним набором функций, а ЭЦП другим? Спасибо за ссылку. буду изучать.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

i25061		#10 Оставлено : 23 августа 2011 г. 14:59:40(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 09.03.2011(UTC) Сообщений: 28 Откуда: Екатеринбург Сказал «Спасибо»: 2 раз Поблагодарили: 1 раз в 1 постах		Femi написал: Чтобы Вам проверить статус сертификата в тот момент времени(в штампе который): [...удалено...] С OCSP этого осуществить никак нельзя. Хотелось бы понять, принципиально нельзя? Тогда какой смысл имеет класс CryptoPro::PKI::OCSP::CExtHistoricalRequest, описание которого фигурирует в заголовочном файле ocsp.h, который содержится в ocspsdk. Привожу комментарий к этому классу: /** * \brief Расширение Historical Request * * Запрос состояния сертификата на определенный момент в прошлом. * * \sa CExtValue, CExtension */ Если попробовать запустить утилиту "ocsputil.exe makereq --help", она выдаёт: ocsputil makereq 1.5 Usage: ocsputil makereq [OPTIONS]... [SUBJECT.CER[\|ISSUER.CER]]... -h, --help Print help and exit -V, --version Print version and exit Output Control: -o, --request=FILE Output request file name -f, --format=FORMAT Write request in specific format (possible values="binary", "base64" default=`base64') Signature Control: -c, --sign-cert=FILE Make signed OCSP-request with specified certificate --pincode=PINCODE Use pincode for access to private key Request Control: -A, --add-cert=FLAG Add additional certificates (possible values="none", "only-cert", "chain-except-root", "whole-chain") -n, --nonce=FLAG Generate random nonce field (possible values="no", "yes") --acceptable-responce=FLAG Include AcceptableResponses extension (possible values="no", "yes") --service-locator[=CERTFILE] Include ServiceLocator extension from AIA of certificate --crl-locator[=CERTFILE] Include CRLLocator extension from CDP of certificate --hashalg=HASHALG Hash algorithm (ALGID or OID) CryptoPro Request Extensions: --hist-time=YYYYMMDDhhmmss.ddddddZ Make historical request on date --hist-crl-number=N Make historical request with CRL number --hist-cdp-url=URL Make historical request with CDP Обратите внимание на раздел "CryptoPro Request Extensions" Я попробовал создать ocsp-запрос с таким расширением. Создаётся. Попробовал послать его в http://www.cryptopro.ru/ocsp/. Даже получаю ответ. Если заказывать "historical request", то статус сертификата в ответе значится как неизвестен, независимо от значения времени --hist-time. Если же не заказывать "historical request", то статус сертификата - валиден.
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close