TSP/OCSP Service

[Alpatov 0]

Добрый день!

Разбираемся сейчас с установкой/настройкой сервера штампов времени. Правильно ли я понимаю, что он по сути не зависит от самого УЦ, в отличии от OCSP Сервиса? Т.е. для его работы необходимо только получить необходимые сертификаты и в дальнейшем он сам по себе автономен?

Также хотелось бы еще уточнить насчет создание и отправки TSP-запросов: в документации к сервису довольно таки общая фраза " под специальной программой подразумевается любое программное обеспечение, способное формировать и отправлять запросы по TSP-протоколу." А что это за программы такие? Кроме утилиты криптопро tsputil пока ничего больше не нашел! Каким образом происходит передача запроса именно в случае решения от Випнет?

[BRV 0]

Добрый день!

Да, сервер меток времени автономен от УЦ.

Вы можете использовать ViPNet CryptoFile или ViPNet PKI Client. При формировании ЭП в нее можно поместить штамп времени от TSP-сервера.

[Alpatov 0]

Ясно. К сожалению, столкнулись с определенными трудностями в развертывании данного сервиса. Вроде все делаем по документации, все ПО установлено и зарегистрировано, нужные сертификаты установлены (цепочки выстраиваются как надо), правила брандмауэра настроены, а подключения к сервису нет. Ошибка "операция прервана по тайм-ауту". Повторюсь, все делаем по инструкции, пробовали на разных ПК, а проблема одна и та же! Получается либо что-то в сети надо искать, либо еще какие-то настройки самой винды. Не подскажет никто? Причем ни удаленно, ни локально нельзя проверить доступность сервиса (проверяем с помощью CryptoFile).

[Vintik 0]

В тех.п. отписывали?  Они должны более точно подсказать.

[Buravchik 0]

Подскажите, как должны выглядеть адреса серверов TSP и ОСSP?
В руководстве этого я не нашёл

Подключиться к адресам такого вида не удается. Hostname - условно dns-имя ПК на котором развернут VipNeT TSP-OCSP Server
http://<hostname>:8777/ocsp
http://<hostname>:8777/tsp

[denis.r 0]

20 часов назад, Buravchik сказал:

http://<hostname>:8777/ocsp
http://<hostname>:8777/tsp

Адреса указаны верно. Попробуйте  открыть эти адреса в браузере. Какую ошибку при этом получаете?

[Alpatov 0]

Вновь актуальна проблема! С сегодняшнего дня сервис перестал отвечать на TSP-запросы, выдает ошибку 402: "TSP-запрос отклонен". Не могу понять в чем причина, еще в среду все работало и за эти два дня ничего не поменялось! CRL установлены актуальные, так что с этой стороны проблем быть не должно...

Где копать, может кто подсказать?

"Общие:
    Событие: Обработан запрос TSP
    Идентификатор: 306
    Код: 402
    Тип события: Ошибкa
    Время: 2018.03.16 12:41:45
Детальная информация
    Запрос TSP отклонён.
    
    Запрос: 
      OID алгоритма хеширования: 1.2.643.2.2.9
      Результат хеширования: 0101010101010101010101010101010101010101010101010101010101010101
      Идентификатор запроса: 
    
    Ответ: 303c303a02011930350c3354686520726571756573742063616e6e6f742062652068616e646c65642064756520746f2073797374656d206661696c757265"
 

[Buravchik 0]

Правильно я понимаю, чтобы OCSP-запрос был успешно обработан необходимо чтобы в сертификате пользователя была ссылка на ocsp-службу и присутствовал OID 1.2.643.2.4.1.1.1.1.3.1 ? 

[denis.r 0]

В 20.03.2018 в 07:34, Buravchik сказал:

необходимо чтобы в сертификате пользователя была ссылка на ocsp-службу

Верно!

 

В 20.03.2018 в 07:34, Buravchik сказал:

и присутствовал OID 1.2.643.2.4.1.1.1.1.3.1 ? 

Это не обязательно. 

[pivot 0]

В 16.03.2018 в 13:04, Alpatov сказал:

Вновь актуальна проблема! С сегодняшнего дня сервис перестал отвечать на TSP-запросы, выдает ошибку 402: "TSP-запрос отклонен". Не могу понять в чем причина, еще в среду все работало и за эти два дня ничего не поменялось! CRL установлены актуальные, так что с этой стороны проблем быть не должно...

Где копать, может кто подсказать?

"Общие:
    Событие: Обработан запрос TSP
    Идентификатор: 306
    Код: 402
    Тип события: Ошибкa
    Время: 2018.03.16 12:41:45
Детальная информация
    Запрос TSP отклонён.
    
    Запрос: 
      OID алгоритма хеширования: 1.2.643.2.2.9
      Результат хеширования: 0101010101010101010101010101010101010101010101010101010101010101
      Идентификатор запроса: 
    
    Ответ: 303c303a02011930350c3354686520726571756573742063616e6e6f742062652068616e646c65642064756520746f2073797374656d206661696c757265"
 

Аналогичная проблема, в логах сообщение  "    Запрос TSP отклонён."

Пытался подписывать с помощью PKI Client

В чем может быть проблема?

{quote}

Общие:
    Событие: Обработан запрос TSP
    Идентификатор: 28
    Код: 402
    Тип события: Ошибкa
    Время: 2018.05.15 11:53:04
Детальная информация
    Запрос TSP отклонён.
    
    Запрос:
    Ответ: 3030302e02010530290c275468652064617461207375626d697474656420686173207468652077726f6e6720666f726d6174

{/quote}

[Buravchik 0]

Доброго дня!

 

В руководстве по TSP/OCSP Service сказано:

 

По завершении обработки запроса сервер формирует ответ, содержащий выпущенный штамп времени. В сформированном штампе времени содержится:

·         Значение хэш-функции от документа, на который выдан штамп, и идентификатор алгоритма хэширования.

·         Идентификатор политики (OID (см. глоссарий, стр. 88)), в соответствии с которой был выдан штамп времени.

·         Метка времени. Предоставляется источником времени, который используется ViPNet TSP/OCSP-сервером (см. Настройка источника точного времени (на стр. 39))

·         Точность времени и другая дополнительная информация.

 

Подскажите, откуда попадает точность времени в TSP-Ответ?

Где она может быть настроена?

 

Ответ который возвращается нашим TSP-сервером в поле «точность» пишет «неопределено».

[basid 0]

"Точность времени", скорее всего, корявый перевод для stratum.
Стратум 0 - эталон времени, стратум 1 - серверы, напрямую получающие информацию от эталона, ну и далее по убывающе-возрастающей.

[akuzmenko 0]

Добрый день!

Подскажите, пожалуйста, есть ли возможность на одном рабочем месте настроить работу по 2-м ГОСТам: и 2001, и 2012?

Попробовали настроить - по ГОСТ 2001 все работает, а вот по 2012 - нет. При этом сертификаты, СОСы установлены, но при обработке OCSP-запросов выдается 505 ошибка.

[BRV 0]

4 часа назад, akuzmenko сказал:

Добрый день!

Подскажите, пожалуйста, есть ли возможность на одном рабочем месте настроить работу по 2-м ГОСТам: и 2001, и 2012?

Попробовали настроить - по ГОСТ 2001 все работает, а вот по 2012 - нет. При этом сертификаты, СОСы установлены, но при обработке OCSP-запросов выдается 505 ошибка.

Добрый день!

Утоните версию ViPNet TSP-OCSP Service.

[akuzmenko 0]

2 минуты назад, BRV сказал:

Добрый день!

Утоните версию ViPNet TSP-OCSP Service.

4.6.0.43099

[BRV 0]

2 минуты назад, akuzmenko сказал:

4.6.0.43099

а версия ViPNet CSP?

[akuzmenko 0]

2 минуты назад, BRV сказал:

а версия ViPNet CSP?

4.2.2.36190

[BRV 0]

4 часа назад, akuzmenko сказал:

4.2.2.36190

Уточните, какое клиентское ПО используется для отправки OCSP-запросов? Попробуем воспроизвести Вашу ошибку.

[akuzmenko 0]

14 часов назад, BRV сказал:

Уточните, какое клиентское ПО используется для отправки OCSP-запросов? Попробуем воспроизвести Вашу ошибку.

Проверял через утилиту CryptExpert. Вчера проверял - была ошибка, сегодня уже корректно обрабатываются. Хотя никаких дополнительных настроек не производил. 

 

Тогда такой вопрос еще. Ошибки возвращаются по запросам ТП Фабрикант (https://www.fabrikant.ru/digital-signature/uc). Это уже с самой площадкой надо решать?

[BRV 0]

Добрый день!

[BRV 0]

"Ошибки возвращаются по запросам ТП Фабрикант (https://www.fabrikant.ru/digital-signature/uc). Это уже с самой площадкой надо решать?" - ошибка 505?

[akuzmenko 0]

14 часов назад, BRV сказал:

"Ошибки возвращаются по запросам ТП Фабрикант (https://www.fabrikant.ru/digital-signature/uc). Это уже с самой площадкой надо решать?" - ошибка 505?

Да

[BRV 0]

а Фабрикант перешел на ГОСТ 2012? 

[akuzmenko 0]

1 час назад, BRV сказал:

а Фабрикант перешел на ГОСТ 2012? 

Да