Atom Лента - Форум КриптоПро - Тема:Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Oshi'=bkaproverkisertifikata,prinalichiisertifikataUCvkhranilishchesertifikatovdoverennykhCS-10:1Copyright 2024 Форум КриптоПро2024-03-28T15:16:13Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruЮрий Волобуевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57341&name=Юрий ВолобуевЮрий Волобуевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57341&name=Юрий ВолобуевTolikTipaTut1https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=49415&name=TolikTipaTut1TolikTipaTut1https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=49415&name=TolikTipaTut1Юрий Волобуевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57341&name=Юрий ВолобуевАндрей *https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=15008&name=Андрей *Юрий Волобуевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57341&name=Юрий ВолобуевЮрий Волобуевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57341&name=Юрий ВолобуевАндрей *https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=15008&name=Андрей *Андрей *https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=15008&name=Андрей *TolikTipaTut1https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=49415&name=TolikTipaTut1YetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid126153:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer_Alt" width="100%"><tr><td>Всем спасибо за помощь!<br /><br />После того, как перевыпустили сертификаты с измененным протоколом доступа к crl (http url), проверка сертификатов в плагине заработала корректно.<br /></td></tr></table>2021-07-20T09:21:25+03:002021-07-20T09:21:25+03:00Юрий Волобуев<table class="content postContainer_Alt" width="100%"><tr><td>Всем спасибо за помощь!<br /><br />После того, как перевыпустили сертификаты с измененным протоколом доступа к crl (http url), проверка сертификатов в плагине заработала корректно.<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126074:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer" width="100%"><tr><td>По поводу cryptcp: <br />Я бы попробовал подписать документ, а потом проверить полученную ЭП, чтобы посмотреть, какая там ошибка возникнет. Но в целом, скорее всего, ошибка та же, что и на сайте КриптоПро, в разделе проверки работы плагина </td></tr></table>2021-07-16T16:46:21+03:002021-07-16T16:46:21+03:00TolikTipaTut1<table class="content postContainer" width="100%"><tr><td>По поводу cryptcp: <br />Я бы попробовал подписать документ, а потом проверить полученную ЭП, чтобы посмотреть, какая там ошибка возникнет. Но в целом, скорее всего, ошибка та же, что и на сайте КриптоПро, в разделе проверки работы плагина </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126073:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Юрий Волобуев <a href="/forum2/default.aspx?g=posts&m=126069#post126069"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />Это критично? Если да, то буду разбираться, кто и почему так настроил.</div></div><br /><br /><a rel="nofollow" href="https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.13" title="https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.13">https://datatracker.ietf...rfc5280#section-4.2.1.13</a><br /><br />Это rfc 5280. Вас интересует пункт 4.2.1.13. <br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>If the distributionPoint field contains a directoryName, the entry for that directoryName contains the current CRL for the associated reasons and the CRL is issued by the associated cRLIssuer. The CRL may be stored in either the certificateRevocationList or authorityRevocationList attribute. The CRL is to be obtained by the application from whatever directory server is locally configured. The protocol the application uses to access the directory (e.g., DAP or LDAP) is a local matter. <br /><br />If the DistributionPointName contains a general name of type URI, the following semantics MUST be assumed: the URI is a pointer to the current CRL for the associated reasons and will be issued by the associated cRLIssuer. When the HTTP or FTP URI scheme is used, the URI MUST point to a single DER encoded CRL as specified in [RFC2585]. HTTP server implementations accessed via the URI SHOULD specify the media type application/pkix-crl in the content-type header field of the response. When the LDAP URI scheme [RFC4516] is used, the URI MUST include a <dn> field containing the distinguished name of the entry holding the CRL, MUST include a single <attrdesc> that contains an appropriate attribute description for the attribute that holds the CRL [RFC4523], and SHOULD include a <host> (e.g., <ldap://ldap.example.com/cn=example%20CA,dc=example,dc=com? certificateRevocationList;binary>). Omitting the <host> (e.g., <ldap:///cn=CA,dc=example,dc=com?authorityRevocationList;binary>) has the effect of relying on whatever a priori knowledge the client might have to contact an appropriate server. <br /><br />When present, DistributionPointName SHOULD include at least one LDAP or HTTP URI. <br /></div></div><br /><br />КриптоПро делали проверку скорее всего по RFC, возможно поэтому ваша схема не работает (но лучше все же дождаться ответа Андрея *)</td></tr></table>2021-07-16T16:44:28+03:002021-07-16T16:44:28+03:00TolikTipaTut1<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Юрий Волобуев <a href="/forum2/default.aspx?g=posts&m=126069#post126069"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><br />Это критично? Если да, то буду разбираться, кто и почему так настроил.</div></div><br /><br /><a rel="nofollow" href="https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.13" title="https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.13">https://datatracker.ietf...rfc5280#section-4.2.1.13</a><br /><br />Это rfc 5280. Вас интересует пункт 4.2.1.13. <br /><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>If the distributionPoint field contains a directoryName, the entry for that directoryName contains the current CRL for the associated reasons and the CRL is issued by the associated cRLIssuer. The CRL may be stored in either the certificateRevocationList or authorityRevocationList attribute. The CRL is to be obtained by the application from whatever directory server is locally configured. The protocol the application uses to access the directory (e.g., DAP or LDAP) is a local matter. <br /><br />If the DistributionPointName contains a general name of type URI, the following semantics MUST be assumed: the URI is a pointer to the current CRL for the associated reasons and will be issued by the associated cRLIssuer. When the HTTP or FTP URI scheme is used, the URI MUST point to a single DER encoded CRL as specified in [RFC2585]. HTTP server implementations accessed via the URI SHOULD specify the media type application/pkix-crl in the content-type header field of the response. When the LDAP URI scheme [RFC4516] is used, the URI MUST include a <dn> field containing the distinguished name of the entry holding the CRL, MUST include a single <attrdesc> that contains an appropriate attribute description for the attribute that holds the CRL [RFC4523], and SHOULD include a <host> (e.g., <ldap://ldap.example.com/cn=example%20CA,dc=example,dc=com? certificateRevocationList;binary>). Omitting the <host> (e.g., <ldap:///cn=CA,dc=example,dc=com?authorityRevocationList;binary>) has the effect of relying on whatever a priori knowledge the client might have to contact an appropriate server. <br /><br />When present, DistributionPointName SHOULD include at least one LDAP or HTTP URI. <br /></div></div><br /><br />КриптоПро делали проверку скорее всего по RFC, возможно поэтому ваша схема не работает (но лучше все же дождаться ответа Андрея *)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126069:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Андрей * <a href="/forum2/default.aspx?g=posts&m=126055#post126055"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Почему используете 2001 ГОСТ в клиентском сертификате?</div></div><br />Это тестовые сертификаты, используются нами для прогона юнит тестов. Есть и с 2001 ГОСТ, и с 2012. С 2012 ГОСТ те же самые проблемы. <br /><br /><div class="quote"><span class="quotetitle">Автор: Андрей * <a href="/forum2/default.aspx?g=posts&m=126055#post126055"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Почему в CDP протокол file, а не http?</div></div><br />Это критично? Если да, то буду разбираться, кто и почему так настроил.</td></tr></table>2021-07-16T13:59:14+03:002021-07-16T13:59:14+03:00Юрий Волобуев<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Андрей * <a href="/forum2/default.aspx?g=posts&m=126055#post126055"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Почему используете 2001 ГОСТ в клиентском сертификате?</div></div><br />Это тестовые сертификаты, используются нами для прогона юнит тестов. Есть и с 2001 ГОСТ, и с 2012. С 2012 ГОСТ те же самые проблемы. <br /><br /><div class="quote"><span class="quotetitle">Автор: Андрей * <a href="/forum2/default.aspx?g=posts&m=126055#post126055"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Почему в CDP протокол file, а не http?</div></div><br />Это критично? Если да, то буду разбираться, кто и почему так настроил.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126055:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer_Alt" width="100%"><tr><td>Почему используете 2001 ГОСТ в клиентском сертификате?<br />Почему в CDP протокол file, а не http?</td></tr></table>2021-07-16T10:13:13+03:002021-07-16T10:13:13+03:00Андрей *<table class="content postContainer_Alt" width="100%"><tr><td>Почему используете 2001 ГОСТ в клиентском сертификате?<br />Почему в CDP протокол file, а не http?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126039:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Анатолий Колкочев <a href="/forum2/default.aspx?g=posts&m=126034#post126034"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Возможно ошибка возникает при попытке получить инфу о том отозван ли сертификат или нет (CRL или OCSP). Вы уверены, что ваш УЦ складывает CRL именно туда? Просто если проверяете цепочку не на стороне УЦ (а скорее всего так оно и есть), работать по идее ничего не будет (если флаги не поставить, например, утилита cryptcp.exe позволяет игнорировать CRL при проверке ЭП).<br /><br />Попробуйте просто утилитой cryptcp.exe проверить еще ЭП. Если и там не сработает, проблема скорее всего не в плагине.<br /><br />[attach]9817[/attach]</div></div><br /><br />Да,я тоже сначала грешил на пути к crl, проверил обычным експлорером: указанные там файлы при подключенном впн нормально качаются. Хотя по началу тоже грешил на то, что наши админы чего-то там с доступом при переводе на удаленку налажали. Но нет.<br /><br />По поводу cryptcp.exe пока не понял, я же пытаюсь пока просто проверить сертификат.<br /><br />П.С. Еще раз перепроверил, но похоже все таки наши админы накосячили. Т.е. такой файл есть и он качается, только это нифига не файл СОСа. Что там за формат еще придется разобраться, но это уже хоть что-то. <br />Попытаюсь разобраться, по результатам отпишусь.</td></tr></table>2021-07-16T02:49:41+03:002021-07-16T02:49:41+03:00Юрий Волобуев<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Анатолий Колкочев <a href="/forum2/default.aspx?g=posts&m=126034#post126034"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Возможно ошибка возникает при попытке получить инфу о том отозван ли сертификат или нет (CRL или OCSP). Вы уверены, что ваш УЦ складывает CRL именно туда? Просто если проверяете цепочку не на стороне УЦ (а скорее всего так оно и есть), работать по идее ничего не будет (если флаги не поставить, например, утилита cryptcp.exe позволяет игнорировать CRL при проверке ЭП).<br /><br />Попробуйте просто утилитой cryptcp.exe проверить еще ЭП. Если и там не сработает, проблема скорее всего не в плагине.<br /><br />[attach]9817[/attach]</div></div><br /><br />Да,я тоже сначала грешил на пути к crl, проверил обычным експлорером: указанные там файлы при подключенном впн нормально качаются. Хотя по началу тоже грешил на то, что наши админы чего-то там с доступом при переводе на удаленку налажали. Но нет.<br /><br />По поводу cryptcp.exe пока не понял, я же пытаюсь пока просто проверить сертификат.<br /><br />П.С. Еще раз перепроверил, но похоже все таки наши админы накосячили. Т.е. такой файл есть и он качается, только это нифига не файл СОСа. Что там за формат еще придется разобраться, но это уже хоть что-то. <br />Попытаюсь разобраться, по результатам отпишусь.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126038:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Андрей * <a href="/forum2/default.aspx?g=posts&m=126037#post126037"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>На этой странице <a rel="nofollow" href="https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html" title="https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html">https://www.cryptopro.ru...ge/cades_bes_sample.html</a> такая же ошибка? </div></div><br /><br />Да, ошибка точно такая же.<br /></td></tr></table>2021-07-16T02:22:16+03:002021-07-16T02:22:16+03:00Юрий Волобуев<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Андрей * <a href="/forum2/default.aspx?g=posts&m=126037#post126037"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>На этой странице <a rel="nofollow" href="https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html" title="https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html">https://www.cryptopro.ru...ge/cades_bes_sample.html</a> такая же ошибка? </div></div><br /><br />Да, ошибка точно такая же.<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126037:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer" width="100%"><tr><td>На этой странице <a rel="nofollow" href="https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html" title="https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html">https://www.cryptopro.ru...ge/cades_bes_sample.html</a> такая же ошибка? </td></tr></table>2021-07-16T01:25:36+03:002021-07-16T01:25:36+03:00Андрей *<table class="content postContainer" width="100%"><tr><td>На этой странице <a rel="nofollow" href="https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html" title="https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html">https://www.cryptopro.ru...ge/cades_bes_sample.html</a> такая же ошибка? </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126036:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Юрий Волобуев <a href="/forum2/default.aspx?g=posts&m=126033#post126033"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый вечер!<br />Столкнулся сегодня с очень неожиданной проблемой.<br />При проверке сертификата через утилиту CSP имеем: сертификат действителен. На странице "Путь сертификации" тоже все отображается корректно (корневой сертификат есть, установлен в хранилище и действителен).<br />При проверке в плагине выдает сообщение: Ошибка при проверке цепочки сертификатов. Возможно на компьютере не установлены сертификаты УЦ, выдавшего ваш сертификат.<br />После того, как несколько раз убедился, что корневой сертификат УЦ (для разработки и тестов используем собственный УЦ) установлен в хранилище доверенных серификатов, снял лог ProcMon`ом. Он явно показывает, что плагин читает ветку реестра с доверенными сертификатами и считывает нужный нам сертификат УЦ, чтоб можно было построить цепочку.<br />Резюмируя: у меня затык куда копать. Варианты есть, но все они затратны по времени, и не гарантируют, что наши заказчики не столкнутся с этой проблемой. <br /><br />Прошу помощи в решении проблемы. Или хотя бы направления в котором копать.<br />П.С. Готов предоставить любую информацию, которая поможет решить проблему. Сейчас прилагаю тестовые сертификаты, на которых и обнаружилась эта проблема. <br /><br /><br />[attach]9816[/attach]</div></div><br /><br />Как тестирование делаете, тип подписи cades bes? </td></tr></table>2021-07-16T01:23:25+03:002021-07-16T01:23:25+03:00Андрей *<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Юрий Волобуев <a href="/forum2/default.aspx?g=posts&m=126033#post126033"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый вечер!<br />Столкнулся сегодня с очень неожиданной проблемой.<br />При проверке сертификата через утилиту CSP имеем: сертификат действителен. На странице "Путь сертификации" тоже все отображается корректно (корневой сертификат есть, установлен в хранилище и действителен).<br />При проверке в плагине выдает сообщение: Ошибка при проверке цепочки сертификатов. Возможно на компьютере не установлены сертификаты УЦ, выдавшего ваш сертификат.<br />После того, как несколько раз убедился, что корневой сертификат УЦ (для разработки и тестов используем собственный УЦ) установлен в хранилище доверенных серификатов, снял лог ProcMon`ом. Он явно показывает, что плагин читает ветку реестра с доверенными сертификатами и считывает нужный нам сертификат УЦ, чтоб можно было построить цепочку.<br />Резюмируя: у меня затык куда копать. Варианты есть, но все они затратны по времени, и не гарантируют, что наши заказчики не столкнутся с этой проблемой. <br /><br />Прошу помощи в решении проблемы. Или хотя бы направления в котором копать.<br />П.С. Готов предоставить любую информацию, которая поможет решить проблему. Сейчас прилагаю тестовые сертификаты, на которых и обнаружилась эта проблема. <br /><br /><br />[attach]9816[/attach]</div></div><br /><br />Как тестирование делаете, тип подписи cades bes? </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid126035:1Ошиь=бка проверки сертификата, при наличии сертификата УЦ в хранилище сертификатов доверенных ЦС<table class="content postContainer" width="100%"><tr><td>Отпишитесь потом, пожалуйста, как с cryptcp прошло</td></tr></table>2021-07-15T23:34:06+03:002021-07-15T23:34:06+03:00TolikTipaTut1<table class="content postContainer" width="100%"><tr><td>Отпишитесь потом, пожалуйста, как с cryptcp прошло</td></tr></table>