Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы123>
Модуль проверки сертификатов и электронной подписи не отправляет OCSP запросы
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline YaroslavHudoley  
#1 Оставлено : 12 сентября 2013 г. 23:28:44(UTC)
YaroslavHudoley

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 21
Откуда: Tula

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Имеется сервер с настроенной OCSP-службой.На том же сервере установлен модуль SVS(Модуль проверки сертификатов и электронной подписи). Доступ с клиентской машины к модулю есть. На той же клиентской машине установлен криптоАРМ. Проверяю в криптоАРМе пользовательский сертификат по OCSP службе-проверяется(то есть на сервер с OCSP службой приходит запрос и обратно уходит подписанный ответ). При попытке проверить тот же сертификат через SVS модуль выдается сообщение- "Сертификат не действителен". При этом на сервере с OCSP в журнале нет записей о том что приходил запрос с клиентской машины. Все сертификаты которые проверяю выданы тем же корневым что и сертификат оператора службы OCSP. Утилитой ocsputil с той же клиентской машины работоспособность службы так же успешно проверяется. То есть проблема именно в том что Модуль SVS не отправляет запрос к службе. Подскажите в какую сторону копать? Заранее спасибо
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Новожилова Елена  
#2 Оставлено : 1 октября 2013 г. 17:26:20(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
А корневой сертификат присутствует в списке авторизованных УЦ?
Вверх
Offline YaroslavHudoley  
#3 Оставлено : 7 октября 2013 г. 14:07:34(UTC)
YaroslavHudoley

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 21
Откуда: Tula

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Да. В хранилище TSL.
Вверх
Offline Новожилова Елена  
#4 Оставлено : 7 октября 2013 г. 17:45:10(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
1. Речь идет о хранилище TSL локального компьютера на сервере?
2. Смена ключа УЦ не проводилась?
Вверх
Offline YaroslavHudoley  
#5 Оставлено : 8 октября 2013 г. 8:41:07(UTC)
YaroslavHudoley

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 21
Откуда: Tula

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Да хранилище локального компьютера. Смена не проводилась. Если выбирать для проверки другие сертификаты, которые изданы корневым, которого нет в хранилище TSL, то в результате проверки ошибка "Издатель сертификат отсутствует в списке доверенных", т.е. модуль проверяет сертификат издателя, а клиентский сертификат нет.
Вверх
Offline Новожилова Елена  
#6 Оставлено : 8 октября 2013 г. 18:46:49(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
А в клиентском сертификате присутствует расширение AIA?
Вверх
Offline YaroslavHudoley  
#7 Оставлено : 9 октября 2013 г. 8:54:14(UTC)
YaroslavHudoley

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 21
Откуда: Tula

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
Да, расширение присутствует. Этот же сертификат проверяется через ocsputil и через криптоАРМ без ошибок. А при попытке проверить через SVS на сервере OCSP не фиксируется даже OCSP запрос от SVS.
Вверх
Offline Новожилова Елена  
#8 Оставлено : 9 октября 2013 г. 16:21:09(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Можете выложить или прислать сертификат (и корневой тоже), чтобы мы могли воспроизвести проблему?
Вверх
Offline shkodnik  
#9 Оставлено : 13 ноября 2013 г. 17:13:21(UTC)
shkodnik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2011(UTC)
Сообщений: 554
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
Коллеги, а как заставить модуль проверять по OCSP, а не по СОС?
Пользователь shkodnik прикрепил следующие файлы:
ScreenShot 202.png (57kb) загружен 49 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Вверх
БЛОГ Twitter
Offline Юрий  
#10 Оставлено : 13 ноября 2013 г. 17:42:57(UTC)
Юрий

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.01.2008(UTC)
Сообщений: 671
Мужчина
Российская Федерация
Откуда: Йошкар-Ола

Сказал «Спасибо»: 3 раз
Поблагодарили: 93 раз в 67 постах
Автор: shkodnik Перейти к цитате
Коллеги, а как заставить модуль проверять по OCSP, а не по СОС?

А с помощью чего это удалось проверить по СОС?
И с помощью чего такую подпись удалось сделать?
И, кстати, на каком релизе CAdES SDK состоялась такая проверка подписи?
С уважением,
Юрий Строжевский
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET