Violet Опубликовано 8 Августа 2017 Жалоба Поделиться Опубликовано 8 Августа 2017 Доброго времени суток. Имеется 2 сети ViPNet, которые связаны межсетевым взаимодействием. Из сети сторонней организации в сеть моей организации по деловой почте приходят письма с вложениями, подписанными внешней (не випнетовской) ЭП. О ней и будет речь. Цепочка сертификатов этой подписи состоит из корневого, промежуточного и собственно сертификата подписи. Изначально подпись на моей стороне проверку не проходила с ошибкой неполноты цепочки сертификатов. Вручную импортирую сертификаты корневого и промежутчного УЦ в администраторе. Теперь на моей стороне ошибка становится другой: вся цепочка кроме корневого имеет ошибку, что САС от вышестоящего УЦ не получены. Импортирую в администраторе вручную САС промежуточного УЦ. Ошибка с сертификата подписи уходит. Ошибка остается только на промежуточном сертификате. А вот импортировать САС от корневого сертификата почему-то не получается. При его загрузке написано, что он (САС) якобы не действителен, и кнопка импорта недоступна. Вроде всё по науке делаю, но никак не получится. Может я что-то не так делаю? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 8 Августа 2017 Жалоба Поделиться Опубликовано 8 Августа 2017 Нельзя импортировать С(писок)О(тзыва)С(ертификатов), если истёк срок действия этого списка. Практически это означает, что СОС надо регулярно скачивать и импортировать вручную. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Violet Опубликовано 8 Августа 2017 Автор Жалоба Поделиться Опубликовано 8 Августа 2017 Ок, пусть будет СОС, мне просто С(писок) А(ннулированных) С(ертификатов) привычней как-то. В том то и дело, что не дает импортировать вполне себе действующий СОС. Причем для сертификатов промежуточных УЦ всё импортируется прекрасно, я для корневого никак. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xrockx Опубликовано 9 Августа 2017 Жалоба Поделиться Опубликовано 9 Августа 2017 Уточняю: СОС Головного УЦ имрортировать не можете? Если да то это Глюк УКЦ некоторых сборок версии 3.2. У меня такая же проблема, вот только при импортированном Корневом "Головной Удостоверяющий Центр" на СОСы от него у меня в ДП не ругается. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xrockx Опубликовано 9 Августа 2017 Жалоба Поделиться Опубликовано 9 Августа 2017 Если у Вас ругается, можно попробовать установить на данной машине Корневой Головного УЦ в хранилище Windows, если не поможет и СОС тоже импортировать в Windows. Если поможет можно просто регулярно ставить СОС в хранилище Windows. Ну или обновить Версию Администратора на ту, которая позволяет импортировать СОС Головного УЦ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 9 Августа 2017 Жалоба Поделиться Опубликовано 9 Августа 2017 Если СОС в формате "crl", попробуйте импортировать его вручную, по правой кнопке мыши на нём, "Установить список отзыва (CRL)". Хранилище выберите "Промежуточные центры сертификации". P.S. В качестве лирического отступления. На самом деле, для тех, кто достаточно долго занимается делами с электронной подписью, привычнее именно СОС (список отозванных сертификатов). Именно такая аббревиатура использовалась долгое премя в удостоверяющих центрах от различных производителей. С понятием САС (список аннулированных сертификатов), лично я, столкнулся только тогда, когда начал заниматься ViPNet 4-ой версии. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 9 Августа 2017 Жалоба Поделиться Опубликовано 9 Августа 2017 4 минуты назад, xrockx сказал: Если поможет можно просто регулярно ставить СОС в хранилище Windows. Полагаю, в любом случае необходимо будет в ручную периодически устанавливать актуальный СОС. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xrockx Опубликовано 9 Августа 2017 Жалоба Поделиться Опубликовано 9 Августа 2017 СОС или САС, какая разница. Тут лишь можно обращаться к 63-ФЗ, в последних пока ещё не принятых поправках вроде как про САС речь идёт. Но не будем же отходить от Темы, интересно будет ли проверяться цепочка при установленном Корневом в хранилище, но не установленном никуда СОС, как работает у нас? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Violet Опубликовано 9 Августа 2017 Автор Жалоба Поделиться Опубликовано 9 Августа 2017 Да, действительно не выходит проимпортировать СОС сертификата корневого УЦ. Статус у него якобы "Не действителен" и кнопка импорта просто неактивна (см. скрин). Добавление всей цепочки и всех СОС в системное хранилище на машине с ДП ситуацию не меняет (пробовал в разных вариациях - результат тот же). При проверке подписи в ДП цепочка выглядит как на скриншоте. Администратор установлен версии 3.2 (9.15066) КС3. Известна версия сборки лишенная этой проблемы? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xrockx Опубликовано 9 Августа 2017 Жалоба Поделиться Опубликовано 9 Августа 2017 У нас версия Админа 3.2.(11.19292) - ситуация такая же. Про билд в котором данной проблемы нет не подскажу - лучше обратиться в Инфотекс. Есть ещё, как вариант, в ДП - Инструменты - Настройка Параметров Безопасности - вкладка "Администратор" - поставить галочку игнорировать отсутствие списков отозванных сертификатов. Это залипуха конечно, но если не критично то Вам в помощь. Ну или обращаться на ТП в Инфотекс. У нас к сожалению нет купленной поддержки Инфотекса, потому и сидим на данной косячной версии УКЦ и нет билдов, которые могли бы корректно импортировать СОС ГУЦ'а. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 9 Августа 2017 Жалоба Поделиться Опубликовано 9 Августа 2017 1 час назад, Violet сказал: Да, действительно не выходит проимпортировать СОС сертификата корневого УЦ. При этом сам сертификат головного УЦ добавлен в УКЦ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Violet Опубликовано 9 Августа 2017 Автор Жалоба Поделиться Опубликовано 9 Августа 2017 2 часа назад, xrockx сказал: Есть ещё, как вариант, в ДП - Инструменты - Настройка Параметров Безопасности - вкладка "Администратор" - поставить галочку игнорировать отсутствие списков отозванных сертификатов. Это залипуха конечно, но если не критично то Вам в помощь. В таком случае ошибки ожидаемо нет. Нам переход на ViPNet версии 4 вышестоящая организация обещает, поэтому как временное решение пойдет. Большое Вам спасибо! Я что-то про эту галочку даже и не вспомнил... 1 час назад, denis.r сказал: При этом сам сертификат головного УЦ добавлен в УКЦ? Да, конечно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 14 Августа 2017 Жалоба Поделиться Опубликовано 14 Августа 2017 В 09.08.2017в13:28, xrockx сказал: СОС или САС, какая разница. Тут лишь можно обращаться к 63-ФЗ, в последних пока ещё не принятых поправках вроде как про САС речь идёт. Но не будем же отходить от Темы, интересно будет ли проверяться цепочка при установленном Корневом в хранилище, но не установленном никуда СОС, как работает у нас? Согласен, в терминологии сейчас ввели САС, но как ЭП, а до сих пор и привычнее и ещё лет 100 будет как ЭЦП. Но согласен, что надо на САС уже переформулироваться помаленьку, как там говорится "Три пишем - два в уме" Вы же тут все профессионалы, а не любители, вам не допустимо так ошибаться :-) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 14 Августа 2017 Жалоба Поделиться Опубликовано 14 Августа 2017 В 09.08.2017в16:09, Violet сказал: Да, действительно не выходит проимпортировать СОС сертификата корневого УЦ. Статус у него якобы "Не действителен" и кнопка импорта просто неактивна (см. скрин)..... Конечно в боевой машине где УЦ не хочется эксперементировать, но если есть для проверки дэмо стенд, то что будет если допустим поставить там новую CSP 4 ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.