Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Проверка запроса на сертификат (req) на стороне УЦ
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.11.2013(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 2 раз
|
На VPN-шлюзе (Check Point) создано два запроса на сертифкат - "r3.req" и "FW-12test.req". Оба запроса успешно проверяется средствами certutil.exe -dump (с формулировкой "подпись соответсвует открытому ключу"). Однако, со сторны УЦ (MS CA) запрос "FW-12test.req" проверку не проходит (с формулировкой "неверная подпись"). При этом запрос "r3.req" на стороне того же УЦ проверку проходит успешно (выпускается сертифкат). В может заключаться причина невозможности УЦ проверить запрос? Текст запроса "FW-12test.req" (с проблемой): Код:-----BEGIN CERTIFICATE REQUEST-----
MIIBEDCBwAIBADAgMREwDwYDVQQDEwhGVzEydGVzdDELMAkGA1UEBhMCUlUwYzAc
BgYqhQMCAhMwEgYHKoUDAgIkAAYHKoUDAgIeAQNDAARAHaD01utVJXAKaB8CqZPo
84NfVspu0GebgyuJIkfYhwEifoaWxVt5JQw64KqLWV8U4XPhl7knWbuXp+9pMCcv
HqA0MDIGCisGAQQBgjcCAQ4xJDAiMBMGA1UdJQQMMAoGCCsGAQUFBwMBMAsGA1Ud
DwQEAwIE8DAIBgYqhQMCAgQDQQBck05LGoMy1VRfvsI0nx5GOJruQHOmg0ZRiybh
rFCWkYPlLaXL3zZEyXZmLv5Dso63mbtNtfVWpo9DK1gZ5Zhq
-----END CERTIFICATE REQUEST-----
Текст запроса "r3.req" (без проблем): Код:-----BEGIN CERTIFICATE REQUEST-----
MIIBDTCBvQIBADAdMQ4wDAYDVQQDEwVGdy0xMjELMAkGA1UEBhMCUlUwYzAcBgYq
hQMCAhMwEgYHKoUDAgIkAAYHKoUDAgIeAQNDAARAR9+2IYbXV54XjLUaZUeLh/I7
RfnPPHV5YSpYsy1pUv4v73Dviu0irsBHXUoFGQ0AuGYVkzqYq4x8QeZo1MZxAqA0
MDIGCisGAQQBgjcCAQ4xJDAiMBMGA1UdJQQMMAoGCCsGAQUFBwMBMAsGA1UdDwQE
AwIE8DAIBgYqhQMCAgQDQQDNUdLW2fvqfx6JpghKqU25vPQ9I1ohOl8pX8zqT7+K
mG3fi6Goy8uRpWDNjhERmF5AfSBZT7Sur5GdbSy6JTvH
-----END CERTIFICATE REQUEST-----
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,513   Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
Используется подпись (которая уже не поддерживается современными версиями КриптоПРО CSP 3.6 R3\R4):
szOID_CP_GOST_R3411_R3410 "1.2.643.2.2.4" Алгоритм цифровой подписи ГОСТ Р 34.10-94
А должно быть:
szOID_CP_GOST_R3411_R3410EL "1.2.643.2.2.3" Алгоритм цифровой подписи ГОСТ Р 34.10-2001 |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,513 Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
Хотя это и странно,
в 2х запросах указан один и тот же алгоритм... |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.11.2013(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 2 раз
|
У меня есть только одно предположение - проблемный запрос содержит синтаксичексие ошибки. Возможно, это вызвано ошибкой в процедуре преобразования в base64 или ещё чем-то.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:Используется подпись (которая уже не поддерживается современными версиями КриптоПРО CSP 3.6 R3\R4):
szOID_CP_GOST_R3411_R3410 "1.2.643.2.2.4" Алгоритм цифровой подписи ГОСТ Р 34.10-94
А должно быть:
szOID_CP_GOST_R3411_R3410EL "1.2.643.2.2.3" Алгоритм цифровой подписи ГОСТ Р 34.10-2001 Причем если 1.2.643.2.2.4 в запросе заменить на 1.2.643.2.2.3, то подпись проверяется нормально. Значит сделана она на 2001, а VPN шлюз по каким-то причинам алгоритм кладет неправильный. |
|
 1 пользователь поблагодарил Кирилл Соболев за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.11.2013(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 2 раз
|
Автор: Kirill Sobolev  Причем если 1.2.643.2.2.4 в запросе заменить на 1.2.643.2.2.3, то подпись проверяется нормально.
Значит сделана она на 2001, а VPN шлюз по каким-то причинам алгоритм кладет неправильный. Кирилл, спасибо! Подскажите, пожалуйста, каким инструментом я могу выполнить подобную замену? Иными словами, существуют ли редакторы, для работы с форматом PKCS#10?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,513 Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
Автор: nemchin Автор: Kirill Sobolev Причем если 1.2.643.2.2.4 в запросе заменить на 1.2.643.2.2.3, то подпись проверяется нормально.
Значит сделана она на 2001, а VPN шлюз по каким-то причинам алгоритм кладет неправильный. Кирилл, спасибо! Подскажите, пожалуйста, каким инструментом я могу выполнить подобную замену? Иными словами, существуют ли редакторы, для работы с форматом PKCS#10? ASN1.Editor, например. Только он не понимает base64 (предварительно нужно декодировать) Прикладываю отредактированный в нем запрос (у меня УЦ выпустил успешно сертификат) Вложение(я):  тест_bin.zip (1kb) загружен 7 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
|
2 пользователей поблагодарили Андрей * за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.11.2013(UTC)
Сообщений: 4
Сказал(а) «Спасибо»: 2 раз
|
Спасибо за разъяснения!
Открою кейс в Check Point.
|
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Проверка запроса на сертификат (req) на стороне УЦ
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
