Jump to content
Violet

Импорт САС доверенных сетей в администраторе 3.2

Recommended Posts

Доброго времени суток. Имеется 2 сети ViPNet, которые связаны межсетевым взаимодействием. Из сети сторонней организации в сеть моей организации по деловой почте приходят письма с вложениями, подписанными внешней (не випнетовской) ЭП. О ней и будет речь. Цепочка сертификатов этой подписи состоит из корневого, промежуточного и собственно сертификата подписи. Изначально подпись на моей стороне проверку не проходила с ошибкой неполноты цепочки сертификатов. Вручную импортирую сертификаты корневого и промежутчного УЦ в администраторе. Теперь на моей стороне ошибка становится другой: вся цепочка кроме корневого имеет ошибку, что САС от вышестоящего УЦ не получены. Импортирую в администраторе вручную САС промежуточного УЦ. Ошибка с сертификата подписи уходит. Ошибка остается только на промежуточном сертификате. А вот импортировать САС от корневого сертификата почему-то не получается. При его загрузке написано, что он (САС) якобы не действителен, и кнопка импорта недоступна. Вроде всё по науке делаю, но никак не получится. Может я что-то не так делаю?

Share this post


Link to post
Share on other sites

Нельзя импортировать С(писок)О(тзыва)С(ертификатов), если истёк срок действия этого списка.
Практически это означает, что СОС надо регулярно скачивать и импортировать вручную.

Share this post


Link to post
Share on other sites

Ок, пусть будет СОС, мне просто С(писок) А(ннулированных) С(ертификатов) привычней как-то. В том то и дело, что не дает импортировать вполне себе действующий СОС. Причем для сертификатов промежуточных УЦ всё импортируется прекрасно, я для корневого никак.
 

Share this post


Link to post
Share on other sites

Уточняю:

СОС Головного УЦ имрортировать не можете?

Если да то это Глюк УКЦ некоторых сборок версии 3.2.

У меня такая же проблема, вот только при импортированном Корневом "Головной Удостоверяющий Центр" на СОСы от него у меня в ДП не ругается.

Share this post


Link to post
Share on other sites

Если у Вас ругается, можно попробовать установить на данной машине Корневой Головного УЦ в хранилище Windows, если не поможет и СОС тоже импортировать в Windows. Если поможет можно просто регулярно ставить СОС в хранилище Windows.

Ну или обновить Версию Администратора на ту, которая позволяет импортировать СОС Головного УЦ.

Share this post


Link to post
Share on other sites

Если СОС в формате "crl", попробуйте импортировать его вручную, по правой кнопке мыши на нём, "Установить список отзыва (CRL)". Хранилище выберите "Промежуточные центры сертификации".

P.S. В качестве лирического отступления. На самом деле, для тех, кто достаточно долго занимается делами с электронной подписью, привычнее именно СОС (список отозванных сертификатов). Именно такая аббревиатура использовалась долгое премя в удостоверяющих центрах от различных производителей. С понятием САС (список аннулированных сертификатов), лично я, столкнулся только тогда, когда начал заниматься ViPNet 4-ой версии.

Share this post


Link to post
Share on other sites
4 минуты назад, xrockx сказал:

Если поможет можно просто регулярно ставить СОС в хранилище Windows.

Полагаю, в любом случае необходимо будет в ручную периодически устанавливать актуальный СОС.

 

Share this post


Link to post
Share on other sites

СОС или САС, какая разница. Тут лишь можно обращаться к 63-ФЗ, в последних пока ещё не принятых поправках вроде как про САС речь идёт.

Но не будем же отходить от Темы, интересно будет ли проверяться цепочка при установленном Корневом в хранилище, но не установленном никуда СОС, как работает у нас?

Share this post


Link to post
Share on other sites

Да, действительно не выходит проимпортировать СОС сертификата корневого УЦ. Статус у него якобы "Не действителен" и кнопка импорта просто неактивна (см. скрин).

Добавление всей цепочки и всех СОС в системное хранилище на машине с ДП ситуацию не меняет (пробовал в разных вариациях - результат тот же). При проверке подписи в ДП цепочка выглядит как на скриншоте.

Администратор установлен версии 3.2 (9.15066) КС3. Известна версия сборки лишенная этой проблемы?

dp.PNG

import.png

Share this post


Link to post
Share on other sites

У нас версия Админа 3.2.(11.19292) - ситуация такая же. Про билд в котором данной проблемы нет не подскажу - лучше обратиться в Инфотекс.

Есть ещё, как вариант, в ДП - Инструменты - Настройка Параметров Безопасности - вкладка "Администратор" - поставить галочку игнорировать отсутствие списков отозванных сертификатов. Это залипуха конечно, но если не критично то Вам в помощь.

Ну или обращаться на ТП в Инфотекс. У нас к сожалению нет купленной поддержки Инфотекса, потому и сидим на данной косячной версии УКЦ и нет билдов, которые могли бы корректно импортировать СОС ГУЦ'а.

Share this post


Link to post
Share on other sites
1 час назад, Violet сказал:

Да, действительно не выходит проимпортировать СОС сертификата корневого УЦ.

При этом сам сертификат головного УЦ добавлен в УКЦ?

Share this post


Link to post
Share on other sites
2 часа назад, xrockx сказал:

Есть ещё, как вариант, в ДП - Инструменты - Настройка Параметров Безопасности - вкладка "Администратор" - поставить галочку игнорировать отсутствие списков отозванных сертификатов. Это залипуха конечно, но если не критично то Вам в помощь.

В таком случае ошибки ожидаемо нет. Нам переход на ViPNet версии 4 вышестоящая организация обещает, поэтому как временное решение пойдет. Большое Вам спасибо! Я что-то про эту галочку даже и не вспомнил...

 

1 час назад, denis.r сказал:

При этом сам сертификат головного УЦ добавлен в УКЦ?

Да, конечно.

Share this post


Link to post
Share on other sites
В 09.08.2017в13:28, xrockx сказал:

СОС или САС, какая разница. Тут лишь можно обращаться к 63-ФЗ, в последних пока ещё не принятых поправках вроде как про САС речь идёт.

Но не будем же отходить от Темы, интересно будет ли проверяться цепочка при установленном Корневом в хранилище, но не установленном никуда СОС, как работает у нас?

Согласен, в терминологии сейчас ввели САС, но как ЭП, а до сих пор и привычнее и ещё лет 100 будет как ЭЦП.

Но согласен, что надо на САС уже переформулироваться помаленьку, как там говорится "Три пишем - два в уме" ;) 

Вы же тут все профессионалы, а не любители, вам не допустимо так ошибаться :-)

Share this post


Link to post
Share on other sites
В 09.08.2017в16:09, Violet сказал:

Да, действительно не выходит проимпортировать СОС сертификата корневого УЦ. Статус у него якобы "Не действителен" и кнопка импорта просто неактивна (см. скрин).....

Конечно в боевой машине где УЦ не хочется эксперементировать, но если есть для проверки дэмо стенд, то что будет если допустим поставить там новую CSP 4 ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.