Jump to content

Recommended Posts

Добрый день!

Разбираемся сейчас с установкой/настройкой сервера штампов времени. Правильно ли я понимаю, что он по сути не зависит от самого УЦ, в отличии от OCSP Сервиса? Т.е. для его работы необходимо только получить необходимые сертификаты и в дальнейшем он сам по себе автономен?

Также хотелось бы еще уточнить насчет создание и отправки TSP-запросов: в документации к сервису довольно таки общая фраза " под специальной программой подразумевается любое программное обеспечение, способное формировать и отправлять запросы по TSP-протоколу." А что это за программы такие? Кроме утилиты криптопро tsputil пока ничего больше не нашел! Каким образом происходит передача запроса именно в случае решения от Випнет?

Share this post


Link to post
Share on other sites

Добрый день!

Да, сервер меток времени автономен от УЦ.

Вы можете использовать ViPNet CryptoFile или ViPNet PKI Client. При формировании ЭП в нее можно поместить штамп времени от TSP-сервера.

Share this post


Link to post
Share on other sites

Ясно. К сожалению, столкнулись с определенными трудностями в развертывании данного сервиса. Вроде все делаем по документации, все ПО установлено и зарегистрировано, нужные сертификаты установлены (цепочки выстраиваются как надо), правила брандмауэра настроены, а подключения к сервису нет. Ошибка "операция прервана по тайм-ауту". Повторюсь, все делаем по инструкции, пробовали на разных ПК, а проблема одна и та же! Получается либо что-то в сети надо искать, либо еще какие-то настройки самой винды. Не подскажет никто? Причем ни удаленно, ни локально нельзя проверить доступность сервиса (проверяем с помощью CryptoFile).

Share this post


Link to post
Share on other sites

В тех.п. отписывали?  Они должны более точно подсказать.

Share this post


Link to post
Share on other sites

Подскажите, как должны выглядеть адреса серверов TSP и ОСSP?
В руководстве этого я не нашёл

Подключиться к адресам такого вида не удается. Hostname - условно dns-имя ПК на котором развернут VipNeT TSP-OCSP Server
http://<hostname>:8777/ocsp
http://<hostname>:8777/tsp

Share this post


Link to post
Share on other sites
20 часов назад, Buravchik сказал:

http://<hostname>:8777/ocsp
http://<hostname>:8777/tsp

Адреса указаны верно. Попробуйте  открыть эти адреса в браузере. Какую ошибку при этом получаете?

Share this post


Link to post
Share on other sites

Вновь актуальна проблема! С сегодняшнего дня сервис перестал отвечать на TSP-запросы, выдает ошибку 402: "TSP-запрос отклонен". Не могу понять в чем причина, еще в среду все работало и за эти два дня ничего не поменялось! CRL установлены актуальные, так что с этой стороны проблем быть не должно...

Где копать, может кто подсказать?

"Общие:
    Событие: Обработан запрос TSP
    Идентификатор: 306
    Код: 402
    Тип события: Ошибкa
    Время: 2018.03.16 12:41:45
Детальная информация
    Запрос TSP отклонён.
    
    Запрос: 
      OID алгоритма хеширования: 1.2.643.2.2.9
      Результат хеширования: 0101010101010101010101010101010101010101010101010101010101010101
      Идентификатор запроса: 
    
    Ответ: 303c303a02011930350c3354686520726571756573742063616e6e6f742062652068616e646c65642064756520746f2073797374656d206661696c757265"

 

Share this post


Link to post
Share on other sites

Правильно я понимаю, чтобы OCSP-запрос был успешно обработан необходимо чтобы в сертификате пользователя была ссылка на ocsp-службу и присутствовал OID 1.2.643.2.4.1.1.1.1.3.1 ? 

Share this post


Link to post
Share on other sites
В 20.03.2018 в 07:34, Buravchik сказал:

необходимо чтобы в сертификате пользователя была ссылка на ocsp-службу

Верно!

 

В 20.03.2018 в 07:34, Buravchik сказал:

и присутствовал OID 1.2.643.2.4.1.1.1.1.3.1 ? 

Это не обязательно. 

Share this post


Link to post
Share on other sites
В 16.03.2018 в 13:04, Alpatov сказал:

Вновь актуальна проблема! С сегодняшнего дня сервис перестал отвечать на TSP-запросы, выдает ошибку 402: "TSP-запрос отклонен". Не могу понять в чем причина, еще в среду все работало и за эти два дня ничего не поменялось! CRL установлены актуальные, так что с этой стороны проблем быть не должно...

Где копать, может кто подсказать?

"Общие:
    Событие: Обработан запрос TSP
    Идентификатор: 306
    Код: 402
    Тип события: Ошибкa
    Время: 2018.03.16 12:41:45
Детальная информация
    Запрос TSP отклонён.
    
    Запрос: 
      OID алгоритма хеширования: 1.2.643.2.2.9
      Результат хеширования: 0101010101010101010101010101010101010101010101010101010101010101
      Идентификатор запроса: 
    
    Ответ: 303c303a02011930350c3354686520726571756573742063616e6e6f742062652068616e646c65642064756520746f2073797374656d206661696c757265"

 

Аналогичная проблема, в логах сообщение  "    Запрос TSP отклонён."

Пытался подписывать с помощью PKI Client

В чем может быть проблема?

{quote}

Общие:
    Событие: Обработан запрос TSP
    Идентификатор: 28
    Код: 402
    Тип события: Ошибкa
    Время: 2018.05.15 11:53:04
Детальная информация
    Запрос TSP отклонён.
    
    Запрос:
    Ответ: 3030302e02010530290c275468652064617461207375626d697474656420686173207468652077726f6e6720666f726d6174

{/quote}

Share this post


Link to post
Share on other sites

Доброго дня!

 

В руководстве по TSP/OCSP Service сказано:

 

По завершении обработки запроса сервер формирует ответ, содержащий выпущенный штамп времени. В сформированном штампе времени содержится:

·         Значение хэш-функции от документа, на который выдан штамп, и идентификатор алгоритма хэширования.

·         Идентификатор политики (OID (см. глоссарий, стр. 88)), в соответствии с которой был выдан штамп времени.

·         Метка времени. Предоставляется источником времени, который используется ViPNet TSP/OCSP-сервером (см. Настройка источника точного времени (на стр. 39))

·         Точность времени и другая дополнительная информация.

 

Подскажите, откуда попадает точность времени в TSP-Ответ?

Где она может быть настроена?

 

Ответ который возвращается нашим TSP-сервером в поле «точность» пишет «неопределено».

Share this post


Link to post
Share on other sites

"Точность времени", скорее всего, корявый перевод для stratum.
Стратум 0 - эталон времени, стратум 1 - серверы, напрямую получающие информацию от эталона, ну и далее по убывающе-возрастающей.

Share this post


Link to post
Share on other sites

Добрый день!

Подскажите, пожалуйста, есть ли возможность на одном рабочем месте настроить работу по 2-м ГОСТам: и 2001, и 2012?

Попробовали настроить - по ГОСТ 2001 все работает, а вот по 2012 - нет. При этом сертификаты, СОСы установлены, но при обработке OCSP-запросов выдается 505 ошибка.

Share this post


Link to post
Share on other sites
4 часа назад, akuzmenko сказал:

Добрый день!

Подскажите, пожалуйста, есть ли возможность на одном рабочем месте настроить работу по 2-м ГОСТам: и 2001, и 2012?

Попробовали настроить - по ГОСТ 2001 все работает, а вот по 2012 - нет. При этом сертификаты, СОСы установлены, но при обработке OCSP-запросов выдается 505 ошибка.

Добрый день!

Утоните версию ViPNet TSP-OCSP Service.

Share this post


Link to post
Share on other sites
2 минуты назад, BRV сказал:

Добрый день!

Утоните версию ViPNet TSP-OCSP Service.

4.6.0.43099

Share this post


Link to post
Share on other sites
2 минуты назад, akuzmenko сказал:

4.6.0.43099

а версия ViPNet CSP?

Share this post


Link to post
Share on other sites
4 часа назад, akuzmenko сказал:

4.2.2.36190

Уточните, какое клиентское ПО используется для отправки OCSP-запросов? Попробуем воспроизвести Вашу ошибку.

Share this post


Link to post
Share on other sites
14 часов назад, BRV сказал:

Уточните, какое клиентское ПО используется для отправки OCSP-запросов? Попробуем воспроизвести Вашу ошибку.

Проверял через утилиту CryptExpert. Вчера проверял - была ошибка, сегодня уже корректно обрабатываются. Хотя никаких дополнительных настроек не производил. 

 

Тогда такой вопрос еще. Ошибки возвращаются по запросам ТП Фабрикант (https://www.fabrikant.ru/digital-signature/uc). Это уже с самой площадкой надо решать?

Share this post


Link to post
Share on other sites

а Фабрикант перешел на ГОСТ 2012? 

Share this post


Link to post
Share on other sites

Добрый день!

Нужен ли в поле «Улучшенный ключ» сертификата какой-то дополнительный объектный идентификатор (OID) (если нужен, то какой?), чтобы обеспечить работоспособность функции TSP для владельцев внешних сертификатов и на тех информационных системах, что будут требовать при создании электронной подписи создания штампов-меток времени? Разумеется, рассматривается программный комплекс OCSP/TSP от ОАО «ИнфоТеКС».

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.