Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline partyZANDR  
#1 Оставлено : 19 октября 2011 г. 20:55:33(UTC)
partyZANDR

Статус: Участник

Группы: Участники
Зарегистрирован: 19.10.2011(UTC)
Сообщений: 11
Откуда: Якутия

проблема: мой сертификат система огульно клеймит недействительным.
Сертификат точно рабочий - файл .cer для проверки извлекался с носителя, подгружался с сервера СБиС++ и копировался из архива - все копии идентичны.
Сборный скрин вкладок сертификата:
UserPostedImage



взяв на вооружение аналогичные случаи из форума сделал следующее:

1. переустановил крипропро на свежайшую версию. Алгоритмы в порядке, служба запускается нормально. Скрин:
UserPostedImage


2. выкинул из certmgr.msc корневой сертификат моего УЦ, закачал свежий и заново поставил. На вид ничего не изменилось, он и был рабочий. Заодно из скрина видно что другие гостовские сертификаты обрабатыватся нормально. Скрин вкладок:
UserPostedImage


3. проверил систему на вирусы, встроенным нодом и свежим короедом, как и ожидалось - ничего, система буквально три недели назад мной установлена, антивирус ставился раньше драйверов и обновляется круглосуточно, пользователь выдрессирован как полагается.


4. на всякий случай проверил настройки системной даты - всё в порядке, дата соответствует действительности.


5. попробовал отключить антивирус (Nod32 последних версий с блэкдж.. фаерволом и антиспамом) - те же тестикулы.


Система XP SP3 pro, других криптопровайдеров не установлено, криптопро используется с программой СБиС++. У меня больше нет идей что может быть не так. Кстати в процессе копания и переустановки других корневых сертификатов для СБиСовских нужд обнаружилось что не работает ещё один сертификат, причём рутом он имеет тот же самый УЦ. По иронии он выпущен той же самой организацией и доступен для скачивания на http://esotel.ru/corp/el...?menu_3=1&suba3_3=1. Есть подозрение что с корневым сертификатом Эсотела что-то не так, но насколько я понимаю систему работы сертификатов, подмена корневого сертификата так, чтобы мой сертификат считал его папой, невозможна, это же рушит всю систему доверия. скрин вкладок обнаруженного сертификата вот
UserPostedImage


Прошу помощи, отчётность ещё не горит, но уже тлеет, все привлечённые специалисты спасовали, а я вообще с отчётностью и бухгалтерией слабо связан. Подобные чудеса встреча уже третий раз за последние две недели в разных организациях, в предыдущие разы помогло шаманство и бубен, но хотелось бы понять в чём собственно корень проблем.

Offline Андрей Писарев  
#2 Оставлено : 19 октября 2011 г. 21:10:33(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2213 раз в 1727 постах
Цитата:
система огульно клеймит недействительным
- Этот сертификат содержит недействительную цифровую подпись.//

а то, что выполняются криптографические операции (создание ЭЦП, расшифровка) - это другое...
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#3 Оставлено : 19 октября 2011 г. 21:15:00(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2213 раз в 1727 постах
не тот УЦ у вас в корневых наверное
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#4 Оставлено : 19 октября 2011 г. 21:17:03(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2213 раз в 1727 постах
на сертификате "Специализированный оператор связи" проверил:

Идентификатор ключа ЦС = 4d b6 1b d2 a6 b0 af 9e 3a f9 40 9e 45 14 a9 1d cb 71 02 96

Открываю сертификат "Esotel-Rustelcom" - Идентификатор ключа = 75 cb 0f 7c 50 e4 c1 8f 1e 83 bc 2b 5e 51 69 df 36 ca d0 a1

вот...
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#5 Оставлено : 19 октября 2011 г. 21:19:41(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2213 раз в 1727 постах
+ версия ЦС 1.1
Хеш прежнего сертификата: 03 99 ca f9 2a 03 8b a1 af 9e 3b fa f3 1d cd 36 1c 2f 55 73
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#6 Оставлено : 19 октября 2011 г. 21:31:08(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2213 раз в 1727 постах
Автору partyZANDR - не смутило самого на картинках-то? сроки действия сертификата и сертификата УЦ ?

Выдан 13.01.2011
а у УЦ- выдан (самоподписан) - 05.09.11

на сайте - новый сертификат УЦ получается ...
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#7 Оставлено : 19 октября 2011 г. 21:43:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2213 раз в 1727 постах
и к сожалению сертификат УЦ не доступен
указанный к том сертификате... "Специализированный оператор связи"
Техническую поддержку оказываем тут
Наша база знаний
Offline partyZANDR  
#8 Оставлено : 19 октября 2011 г. 21:46:08(UTC)
partyZANDR

Статус: Участник

Группы: Участники
Зарегистрирован: 19.10.2011(UTC)
Сообщений: 11
Откуда: Якутия

то есть УЦ спокойно может взять и перевыпустить свой сертификат а мой будет продолжать считать его родным рутовским НО при этом думать что он сам недействительный а не указывать что рутовый сертификат не тот?
Это же дурдом. Система, основаная на делегировании доверия сверху вниз должна по идее либо быть абсолютно жесткой без возможности выдёргивать ствол из под веток, либо давать возможность менять звенья с сохранением работоспособности.
А то нормально получается, сертификат утверждает что он недействителен, хотя на самом деле проблема совсем не в нём, а понять что дело в корневом можно только по косвенным моментам. Даты меня не смутили потому что я эникейщик общего профиля, вообще по этим делам не работаю, просто все специалисты по бухгалтерии/отчетности сейчас недоступны. Для меня эти логические вычисления не очевидны.

Спасибо за помощь, буду трясти поддержку УЦ, которая зная о такой ловушке не вывесила на сайте всю хронологию корневых сертификатов.
Offline Андрей Писарев  
#9 Оставлено : 19 октября 2011 г. 21:50:01(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2213 раз в 1727 постах
ОС "проверяет" сертификат по имени УЦ (ищет в доверенных)... - в этом, наверное, дело...

про идентификатор ключа ЦС в сертификате пользователя и его совпадение (ид. ключа субъекта) в сертификате ЦС- т.к. самому приходилось реализовывать программно поиск
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#10 Оставлено : 19 октября 2011 г. 21:51:59(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,342
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2213 раз в 1727 постах
Цитата:
то есть УЦ спокойно может взять и перевыпустить свой сертификат


это уже другой будет...
ежегодно, например... так и происходит (срок действия закрытого ключа =~ 1 год)
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.