ошибка при создании подписи 1 не задан адрес службы Ocsp 0xc2110121

ошибка при создании подписи 1 не задан адрес службы Ocsp 0xc2110121 ЭЦП
На чтение 11 мин. Просмотров 3 Опубликовано
Содержание
  1. Основные характеристики
  2. Trusted esign
  3. Как вызывается revocation provider
  4. Как работает revocation provider
  5. Как я настраивал новые утилиты по работе с электронной подписью в linux
  6. Настройка «криптопро» csp
  7. Настройка ocsp в криптопро
  8. Настройка работы с рутокен эцп 2.0
  9. Настройки работы с ocsp службой
  10. Не проходит проверка подлинности подписи #243
  11. Операционные системы
  12. Ошибка при создании подписи 1 не задан адрес службы ocsp 0xc2110121
  13. Подпись средствами «криптопро csp»
  14. Получаем тестовый сертификат
  15. Резюме

Основные характеристики

КриптоПро OCSP Client:

источник

Trusted esign

Второй продукт, про который мы поговорим, это Trusted eSign от компании “Цифровые технологии”. Она известна на российском рынке ИБ как разработчик средства по работе с подписью и шифрованием для ОС Windows – «КриптоАРМ».

Главное, не путать этот продукт с Trusted.eSign – web-сервисом по работе с подписью этой же компании.

Как вызывается revocation provider

Будучи установленным в системе, Revocation Provider вызывается для проверки сертификата(ов) при каждом вызове функции CryptoAPI CertVerifyRevocation. Фактически, все параметры этой функции передаются без изменений в Revocation Provider.

Как работает revocation provider

Когда приложение, работающее с CryptoAPI, вызывает функцию проверки статуса сертификата, в Revocation Provider передаётся этот сертификат вместе с рядом дополнительных параметров.

Revocation Provider, получив на проверку сертификат, создаёт OCSP-запрос на данный сертификат и обращается к одной или нескольким службам OCSP с этим запросом. При получении OCSP-ответа, осуществляет его проверку. Если ответ проходит проверку и содержит статус сертификата good или revoked, в отличие от unknown (см.

Очерёдность обращения к службам OCSP определяется следующим образом:

  1. По расширению AIA (AuthorityInformationAccess) в сертификате. Среди различных точек AIA выбирает те, к которым указан метод доступа по протоколу OCSP, обращения к ним происходят по очереди их расположения в сертификате.
  2. Если ни по одному из адресов OCSP-серверов, указанных в расширении AIA сертификата, не удаётся получить удовлетворяющий этим условиям ответ, или если таких адресов в сертификате не указано, то Revocation Provider пробует обратиться за статусом к OCSP-серверу, адрес которого задан групповой политикой, если она определена.

Если на предыдущих шагах не удаётся получить удовлетворяющем описанным условиям ответ, то сертификат передаётся на проверку в Microsoft Revocation Provider, входящий в состав ОС Windows. Microsoft Revocation Provider осуществляет проверку данного сертификата с использованием СОС. Полученный статус сертификата возвращается приложению.

Как я настраивал новые утилиты по работе с электронной подписью в linux

Поговорим немного про средства электронной подписи (ЭП) с использованием отечественных ГОСТ-алгоритмов в Linux. Несмотря на то, что различные средства и интерфейсы по работе с ЭП в Linux развиты даже лучше, чем в Windows, использовать их не так просто.

Такое положение вещей сохранялось последние несколько лет. Но с конца 2022 года ситуация изменилась в лучшую сторону. Появилось сразу два продукта, которые позволяют работать с электронной подписью по стандарту ГОСТ и шифрованием без использования консоли – это Rosa Crypto Tool и Trusted eSign.

«КриптоПро CSP» под Linux — неоднозначный продукт. С одной стороны, это одно из самых распространенных и мощных сертифицированных средств по работе с криптографией как в Windows, так и в Linux. С другой стороны, для простого человека пользоватся его интерфейсами даже в Windows не так-то просто.

Для настройки нам понадобится:

  • Любимый дистрибутив Linux. Я использовал Ubuntu Linux 16.04 LTS и ROSA Fresh GNOME R8;
  • Сертифицированная версия КриптоПро CSP 4.0 R2 для Windows, UNIX и macOS;
  • Рутокен ЭЦП 2.0.

Настройка «криптопро» csp

Несмотря на то, что есть несколько неплохих статей по настройке «КриптоПро CSP» под Linux (например, тут или тут), я опишу здесь свой вариант. Основная причина в том, что большинство инструкций написаны для «Крипто Про CSP» версии 3.x. А современная версия «КриптоПро CSP» 4.

Настройка ocsp в криптопро

КриптоПро TSP Client и КриптоПро OCSP Client не имеют отдельных дистрибутивов для установки.

Чтобы установить КриптоПро TSP Client или КриптоПро OCSP Client неоходимо установить тот программный продукт, в состав которого входит КриптоПро TSP Client или КриптоПро OCSP Client.

КриптоПро TSP Client входит в состав:

  1. TSPCOM
  2. TSPUTIL — 64-х/32-х битные системы
  3. КриптоПро ЭЦП runtime (также будет установлен OCSP Client) — 64-х/32-х битные системы
  4. КриптоПро CADESCOM (также будет установлен OCSP Client) — 64-х/32-х битные системы
  5. КриптоПро ЭЦП Browser plug-in (также будет установлен OCSP Client)

КриптоПро OCSP Client входит в состав:

  1. OCSPCOM
  2. OCSPUTIL — 64-х/32-х битные системы
  3. КриптоПро ЭЦП runtime (также будет установлен TSP Client) — 64-х/32-х битные системы
  4. КриптоПро CADESCOM (также будет установлен TSP Client) — 64-х/32-х битные системы
  5. КриптоПро ЭЦП Browser plug-in (также будет установлен TSP Client)

КриптоПро TSP Client 2.0 входит в состав:

  1. TSPCOM 2.0
  2. TSPUTIL 2.0 — 64-х/32-х битные системы
  3. КриптоПро ЭЦП runtime 2.0 (также будет установлен OCSP Client 2.0) — 64-х/32-х битные системы
  4. КриптоПро CADESCOM 2.0 (также будет установлен OCSP Client 2.0) — 64-х/32-х битные системы
  5. КриптоПро ЭЦП Browser plug-in (также будет установлен OCSP Client 2.0)

КриптоПро OCSP Client 2.0 входит в состав:

источник

Настройка работы с рутокен эцп 2.0

Сделаем небольшое отступление. Для работы с электронной подписью и шифрованием нам не обойтись без ключевых пар и сертификатов. Надежное хранение закрытых ключей – один из основных факторов безопасности. А более надежных средств хранения, чем токен или смарт-карта, человечество пока не придумало.

Для работы с токенами в ОС Linux есть масса различных средств и драйверов. Для описания всех этих средств понадобится отдельная статья. Поэтому я не буду подробно описывать, как это работает, и почему нам нужны именно эти пакеты.

Устанавливаем пакеты для работы с Рутокен ЭЦП 2.0:

Нам также необходимо установить пакеты КриптоПро CSP для поддержки работы с токенами:

Настройки работы с ocsp службой

Для работы со Службой OCSP при создании классической электронной цифровой подписи необходимо указать параметры доступа к службе OCSP

в групповых политиках либо в сертификате и настройках «КриптоАРМ»:

Для работы со Службой OCSP при создании усовершенствованной электронной цифровой подписи необходимо

  • выполнять следующие условия:
    • OCSP-Служба должна быть настроена на работу с базой данных Удостоверяющего центра (а не по СОС)
    • Сертификат OCSP-оператора должен иметь расширение no-check (формируется «КриптоПро УЦ» версии 1.4)
  • указать параметры доступа к службе OCSP в групповых политиках либо в сертификате и настройках «КриптоАРМ»

Для настройки параметров доступа к службе OCSP в групповых политиках выполните следующие действия:

  1. Откройте ПускВыполнить.
  2. Укажите Редактор объекта групповой политики — gpedit.msc:
  1. Отредактируйте основные объекты групповой политики: Политика «Локальный компьютер»Конфигурация компьютера/КонфигурацияпользователяАдминистративные шаблоныКрипто-ПроКриптоПро OCSP Client (установите Включен):

для усовершенствованной ЭЦП

  • Адрес OCSP Службы: адреспо умолчанию (указывается в том случае, если она не указана в сертификате)
  • Аутентификация (прокси-сервер): тип по умолчанию (позволяет задать тип аутентификации, используемый по умолчанию при соединении с прокси-сервером) (указывается в том случае, если тип аутентификации не указан в настройке/мастере TSP)
  • Прокси-сервер: адрес прокси-сервера по умолчанию (определяет прокси-сервер, используемый по умолчанию при подключении к службе OCSP) (указывается в том случае, если тип аутентификации не указан в настройке/мастере TSP)
  • Адрес OCSP Службы: адреспо умолчанию (указывается в том случае, если она не указана в настройке OCSP и сертификате)
  • Аутентификация (прокси-сервер): тип по умолчанию (позволяет задать тип аутентификации, используемый по умолчанию при соединении с прокси-сервером) (указывается в том случае, если тип аутентификации не указан в настройке OCSP)
  • Прокси-сервер: адрес прокси-сервера по умолчанию (определяет прокси-сервер, используемый по умолчанию при подключении к службе OCSP) (указывается в том случае, если тип аутентификации не указан в настройке OCSP)

источник

Не проходит проверка подлинности подписи #243

Доброе время суток, прошу Вас помочь разобраться с проблемой.

Используя от Вас полученный тестовый ключ и КриптоПро Плагин создаю отсоединенную подпись CADES-BES и CADES-XLT1 Проверяю их на Вашем ресурсе Контур.Крипто проверку подпись не проходят.

Какие необходимо выполнить требования к подписи чтобы созданная не у Вас подпись прошла у Вас проверку? Во вложении 3 полписи

Добавляю архив с файлами: sign.zip

Все сформированные подписи прошли проверку КриптоПро DSS

The text was updated successfully, but these errors were encountered:

We are unable to convert the task to an issue at this time. Please try again.

The issue was successfully created but we are unable to update the comment at this time.

на строчке кода let sSignedMessage = yield oSignedData.SignCades(oSigner, cadesTypeSelected, isbDetached); выдаётся ошибка:

The URL of OCSP service is not specified (0xC2110121)

Не могли бы Вы помочь разобраться в причине возникновения этой ошибки? С тестовым криптопрошным на их TSP подпись формируется. С Вами формируется подпись типа BES

Сведения о тестовом сертификате:

Операционные системы

КриптоПро OCSP Client функционирует в следующих операционных системах:

  • Microsoft Windows XP / 2003 / Vista / 2008 / W7 / 2008 R2 / W8 / 2022 / W8.1 / 2022 R2 / 2022 / W10
  • ОС семейства Linux, удовлетворяющих LSB 3.1 и выше,
  • FreeBSD 7.x и выше,
  • AIX 5.3 и 6.x,
  • Apple MacOS 10.6 и выше.

Ошибка при создании подписи 1 не задан адрес службы ocsp 0xc2110121

Типовые ошибки при формировании подписи в веб-интерфейсе сервиса подписи.

1.1. Размер переданного файла превышает максимально допустимый размер

1.2. Неперехваченное исключение: Код состояния ответа не указывает на успешное выполнение: 413 (Request entity too large)

Возможные причины возникновения ошибки:На подпись был передан документ, чей размер превышает заданный в настройках сервисов DSS.

Рекомендуемое решение:Изменить значения для максимальных размеров документов сервисов DSS, в соответствие с руководством.

2. Неперехваченное исключение: Message: invalid_certificate MessageDetail: Сертификат не найден или недействителен

Пример:Instance Unique Identifier: 1/signserver Source: SignDocumentRequestValidator Message: SignDocumentRequestValidator. Ошибка: invalid_certificate;Описание: Сертификат не найден или недействителен.;

Возможные причины возникновения ошибки:— Ошибка при проверке сертификата подписанта на сервере DSS;— Сертификат подписанта был отозван/приостановлен.

Рекомендуемое решение:— Обеспечить проверку сертификата подписанта на сервере DSS (путем установки цепочки сертификатов издателей в хранилище локального компьютера сервера DSS);— Обеспечить проверку сертификата подписанта на сервере DSS на отзыв (путем установки CRL в хранилище «Промежуточные центры сертификации» локального компьютера сервера DSS или обеспечив доступность CRL по ссылкам, указанным в расширении «Точки распространения списков отзыва» сертификата подписанта и цепочки сертификатов издателей);— Убедиться, что сертификат подписанта не был отозван/приостановлен.

Подпись средствами «криптопро csp»

В составе «КриптоПро CSP» есть утилита csptestf, позволяющая выполнять различные криптографические операции. Как я уже писал выше, у этой утилиты есть 2 недостатка:

  • Отсутствие хорошей документации;
  • Отсутствие графического интерфейса.

Подписать можно с помощью команды:

Здесь, my — параметр, в котором надо указать часть Common Name сертификата для подписи; detached — позволяет создать открепленную подпись; alg GOST94_256 — задает алгоритм хэширования, который будет использоваться при создании подписи.

Более подробную информацию о возможных параметрах вы можете получить, выполнив команду:

Такой интерфейс отлично подходит для подготовленного пользователя или для автоматизации операций в скриптах.

Поговорим теперь об утилитах, которые облегчают жизнь обычным пользователям при работе с подписью и шифрованием в Linux.

Как следует из названия, это утилита для работы с электронной подписью и шифрованием для дистрибутива ROSA Linux. В данный момент утилита доступна в репозиториях Rosa Linux и Alt Linux.

Эта утилита разрабатывается одним человеком – Михаилом Вознесенским. У нее простой, но удобный интерфейс. На данный момент утилита находится в активной разработке – с ноября 2022 года мне удалось протестировать три версии. Последняя версия, доступная на момент написание статьи — 0.2.2.

Что внутри? Утилита написана на Python с использованием PyQt4 для графического интерфейса.

Установить ее можно, использовав «Управление программами» в Rosa Linux.

Вставляем токен и запускаем утилиту.

Видим, что токен определился успешно и был найден наш сертификат.

Интерфейс программы настолько прост, что описывать и показывать в статье все его функции не имеет смысла. Попробуем только подписать файл.

Выбираем файл и жмем “Подписать файл”. Получаем вот такое предупреждение.

Нажимаем «OK» и получаем информацию о том, что файл был подписан успешно.

Основное достоинство этой утилиты в том, что она совершенно бесплатная, в отличии нашего следующего продукта.

По сравнению с использованием «КриптоПро CSP» из консоли:

На порядок проще использовать; — Отсутствуют различные параметры подписи.

Исходный код программы доступен в публичном репозитории на ABF: abf.io/uxteam/rosa-crypto-tool-devel Система контроля версий, которую использует «НТЦ ИТ РОСА», интегрирована в сборочную среду и базируется на Git. Можно вполне использовать любой клиент git.

Надеюсь, разработчики других отечественных дистрибутивов Linux, таких как Astra Linux, GosLinux и другие добавят в свои дистрибутивы пакеты с rosa-crypto-tool.

Получаем тестовый сертификат

Перед тем как перейти непосредственно к работе с подписью, надо сгенерировать ключевую пару и создать сертификат электронной подписи. Если у вас уже есть Рутокен с контейнером «КриптоПро», то эту часть можно смело пропустить.

Резюме

Подведем итог. В конце 2022 – начале 2022 года наметился неплохой прогресс в средствах по работе с электронной подписью под Linux. Информационная безопасность начинает поворачиваться к пользователю лицом, и с каждым годом требуется все меньше действий для такого простого действия, как подписать или зашифровать файл с использованием отечественных алгоритмов.

Хочется дополнительно отметить такое развитие отечественных продуктов, учитывая современный тренд на замену Windows на Linux в государственных и муниципальных организациях. В рамках этого тренда становится актуальным использование средств криптографической защиты информации под Linux.

Такое развитие не может не радовать, особенно когда это происходит под Linux.

источник

28147 3410 3410-94 3411 3411-94 authority CA certificate certification certification authority CRL crypto cryptoapi csp digest digital signature e-commerce ecommerce encryption hash itu-t LDAP pkcs pki public key infrastructure RA registraction authotity registration rfc2459 rsa s/mime secure socket layer signarure smime SSL TLS vpn X.509 x509 безопасность гост закрытый ключ защита защита информации защита персональных данных защищенная почта защищенный документооборот защищенный электронный документооборот интернет информация инфраструктура ИСПДн конфиденциальность крипто крипто-про криптография криптозащита криптопро мккт несанкционированный доступ НСД открытый ключ персональные данные почта программное обеспечение программы регистрация секретный ключ сертификат сертификат ключа подписи сертификат открытого ключа сертификат ФСБ сертификация СКЗИ средства электронной цифровой подписи Средства ЭЦП удостоверяющий центр удостоверяющий центр ключей подписи центр регистрации центр сертификации цифровая подпись шифрование электронная подпись электронная цифровая подписи электронный документ ЭЦП юридическая значимость юридическая значимость электронного документооборота
Оцените статью
ЭЦП64
Добавить комментарий

© 2022 ЭЦП64