Ошибка при загрузке crl не распознан адрес crl fsfk local

CADES — КриптоПРО ЭЦП Browser Plug-in, не видит сертификаты ГОСТ2012

В своё время столкнулся с этим в модуле учёта начислений ssl.mun.minfin.ru
sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14312

При подписании с помощью КриптоПРО ЭЦП Browser Plug-in
в выпадающем списке не было видно сертификатов по ГОСТ 2012, только сертификаты по ГОСТ 2001

Мне тогда не дали толком разобраться из-за чего была проблема, починил и ладно.

На текущий момент, есть три предположения из-за чего была проблема:

1. Нужно установить Корневые сертификаты ФК в локальный компьютер

Если корневые сертификаты ФК установлены не в локальный компьютер,
Корневой сертификат

Минкомсвязь России

(01.07.2036)
Промежуточные сертификаты

Федеральное казначейство

(19.11.2033) и

Федеральное казначейство

(05.02.2035)

найти через оснастку КриптоПРО — Сертификаты
в Win10 это файл («C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc«)
, удалить их и установить с помощью автоматического инсталлятора

2. Нужно проверить доступны ли точки распределения списка отзыва

Например в промежуточных сертификатах УЦ ФК — Федеральное казначейство Действительного до 05.02.2035
Вкладка — Состав
Точки распределения списка отзыва (CRL)

[1]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://reestr-pki.ru/cdp/guc_gost12.crl
[2]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://company.rt.ru/cdp/guc_gost12.crl
[3]Точка распределения списка отзыва (CRL)
Имя точки распространения:
Полное имя:
URL=http://rostelecom.ru/cdp/guc_gost12.crl

Нужно пингануть, если все точки распространения недоступны, то возможно ошибка в этом.
ping reestr-pki.ru
ping company.rt.ru
ping rostelecom.ru

в
сообщении по ошибке в модуле учёта начислений ssl.mun.minfin.ru

есть как скачать списки отзыва скриптом
CRL — Скачивание списков отзывов сертификатов скриптом.ZIP
Запускать файл ImportCRL_http.bat

3. Выставить настройки для КриптоПРО как для Электронного бюджета

Настройка КриптоПро для работы в ЭБ
КриптоПРО CSP
вкладка — Настройки TLS
Включить — Не проверять сертификат сервера на отзыв.
Включить — Не проверять назначение собственного сертификата.
Отключить — Не использовать устаревшие chiper suite-ы.

Проверьте подписание через Chromium GOST
QuickCG — Порядок быстрой настройки Chromium GOST
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16364
Для Chromium GOST в Электронном бюджете Континент TLS-клиент не нужен.
Для подписания документов в ЭБ используется КриптоПРО ЭЦП Browser Plug-in

oilcoil пишет: Комп стоит в локалке к интернету доступа нет.

Если вы из ОФК и ходите в ЭБ через сеть ЗКВС, то Отдел РСиБИ должны были прописать на своих континентах
чтобы точки распределения списка отзыва

reestr-pki.ru

,

company.rt.ru

и

rostelecom.ru

были доступны.

Ещё остался вариант удалить КриптоПРО ЭЦП Browser Plug-in, перезагрузится и снова установить,
но вы скорее всего — это уже проверяли.

Форум КриптоПро
 » 
Общие вопросы
 » 
Общие вопросы
 » 
Ошибка при проверке цепочки сертификатов — 2

7443498	#1 Оставлено : 12 мая 2022 г. 16:30:22(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	Добрый день уважаемые форумчане. Обращаюсь за помощью к сообществу. На одном из компов в фирме негаданно прекратил подписываться запрос на регистрацию карт на сайте Росимущества. На остальных сайтах все работает. На компе установлена криптопро 4. начал проверять цепочку сертификата — высветилась ошибка. скачал корневые сертификаты и минцифры и казначейства, но ошибка не уходит. возможно это проявилось после обновления плагина(но не уверен). Посмотрел ряд информации на форумах, к сожалению ничего не помогло. каковы варианты?
	WWW

7443498	#2 Оставлено : 12 мая 2022 г. 16:35:46(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb
	WWW

two_oceans	#3 Оставлено : 13 мая 2022 г. 7:50:27(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,598 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 388 раз в 363 постах	Добрый день. Сертификаты как я смотрю выданы в январе и начале февраля 2022 года. У меня под рукой есть сертификат от 4 февраля 2022 года. В эти сроки Казначейство выдавало сертификаты от «Федеральное казначейство», то есть для еще них нужен корневой Минкомсвязи 2018 года и Федерального казначейства 2021 года. В итоге, для конкретного сертификата от 19 января 2022 года нужны не самые последние сертификаты УЦ, а немного «постарее». Скачать можно на сайте Казначейства, выбрав нужный год. Еще там есть сертификат от 30 апреля 2021 года — для него я не уверен, возможно понадобится Федеральное казначейство 2020 года, так как сертификат казначейства 2021 от 13 апреля 2021 года, возможно до конца месяца выдавали еще на сертификате 2020 года. Также под рукой есть сертификат полученный 15 февраля 2022 года. Он уже выдан от «Казначейство России», для него нужен корневой Минцифры 2022 года и Казначейства России 2022 года. Где-то между 4 и 15 февраля 2022 года произошла смена цепочки для вновь выдаваемых сертификатов. Собственно, этих трех сертификатов Казначейства 2020, 2021, 2022 и двух корневых Минкомсвязи и Минцифры должно хватать на все еще действующие сертификаты Казначейства (плюс для сертификатов Континента у каждого региона своя схема). Отредактировано пользователем 13 мая 2022 г. 7:51:48(UTC)  | Причина: Не указана
1 пользователь поблагодарил two_oceans за этот пост.	nickm оставлено 13.05.2022(UTC)

7443498	#4 Оставлено : 13 мая 2022 г. 13:11:41(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	two_oceans, спасибо. Возможно дело не в сертификатах? До недавнего времени все работало, но в какой-то момент говорит о нарушении цепочки, так совпало что до этого момента айтишник обновлял плагин криптопро. может это совпадение. Сертификаты установлены, добавил и 21 и 20 годов, но ничего не изменилось. сегодня установил плагин ЕСЭП и подпись через него прошла, а через криптопро так и не отображает сертификаты
	WWW

7443498	#5 Оставлено : 16 мая 2022 г. 14:45:48(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	Приветствую уважаемое сообщество. Выходные частичго ушли на решение проблемы, но результат нулевой. сертификаты установлены. И корневой и промежуточный вроде действующие, но ошибка теста, хотя такой нюанс. решил для чистоты эксперимента установить сертификаты на другой комп — один сертификат по ссылке личного сертификата не находится, может дело в в этом? ( http://crl.fsfk.local/crl/ucfk_2021.crl ). https://ltdfoto.ru/image/MtGFV8 https://ltdfoto.ru/image/MtQAdA https://ltdfoto.ru/image/MtQEZU https://ltdfoto.ru/image/MtQeKs https://ltdfoto.ru/image/MtQw4C
	WWW

nickm	#6 Оставлено : 16 мая 2022 г. 15:06:25(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 765 Сказал(а) «Спасибо»: 232 раз Поблагодарили: 126 раз в 116 постах	Автор: 7443498 может дело в в этом? У Вас такой в промежуточных имеется ли? С отпечатком: Код: 0b48b8d07d142a5b45e9b0e8c52186687d75e58e Отредактировано пользователем 16 мая 2022 г. 15:07:08(UTC)  | Причина: Не указана

7443498	#7 Оставлено : 16 мая 2022 г. 16:23:51(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	Спасибо, но не помогло. Скачал, установил и все та же ошибка https://ltdfoto.ru/image/MtTu5f
	WWW

nickm	#8 Оставлено : 16 мая 2022 г. 16:31:34(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 765 Сказал(а) «Спасибо»: 232 раз Поблагодарили: 126 раз в 116 постах	Проверьте и Минцифры в «корневых». Я исхожу из даты изготовления Вашего сертификата — головной и промежуточный изданы как раз началом января, возможно и Ваш «казначейский» был подписан этими январскими сертификатами.

7443498	#9 Оставлено : 16 мая 2022 г. 16:45:58(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb
	WWW

7443498	#10 Оставлено : 17 мая 2022 г. 12:52:22(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 12.05.2022(UTC) Сообщений: 35 Откуда: CPb	Всем спасибо, разобрался сам — скачал новый список отзывов и все восстановилось
	WWW

Форум КриптоПро
 » 
Общие вопросы
 » 
Общие вопросы
 » 
Ошибка при проверке цепочки сертификатов — 2

Быстрый переход
 

Всем привет!

Сегодня особенный привет работникам бюджетной сферы. Поговорим о наболевшем. О работе в системе ГИС «Электронный бюджет». Который просто кишит ошибками.

Вот эта ошибка: «crl сертификата сервера не загружен или устарел» , по запросу на которую вы сюда и пришли, она тянется с августа 2020г. Тогда в электронном бюджете произошли большие изменения, и вместе с ними, например, «приклеились» и всякие ошибки, которые до сих пор не могут быть устранены в автоматическом режиме в «полюбившемся» вам континент tls 2.0. Уж извините за сарказм.

Однако, вернёмся к нашим баранам…  Такая у вас сейчас ошибка?

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

Проблема в том, что ещё 2 года назад программисты УФК говорили, что обычные пользователи не должны выискивать вручную в интернете «рецепты», и всё должно делаться автоматически в Континент TLS 2.0 «по кнопке»:

На этом скрине по задумке авторов — создателей ПО Континент TLS 2.0, мы, пользователи системы «Электронный бюджет», должны при возникновении подобных проблем лишь нажимать кнопку «обновить». Но .. реальность как всегда несколько иная… чем ожидания.

Да, кстати, если при попытке войти в электронный бюджет ПОСЛЕ выбора сертификата пользователя вылезает ошибка вида: «Необходимо обновить CRL серверного сертификата», то рецепт избавления тот же. Читаем внимательно текст НИЖЕ:

1. Перед тем как устанавливать список отзыва, необходимо вручную скачать и установить новый серверный сертификат для сервера «Континент TLS VPN» Инструкция с официального сайта Федерального казначейства . На рис.2 стрелочками указано как это сделать.

2. Теперь переходим к процедуре установки «списка отзыва»

Есть некая ссылка… — Вот она (http://crl.roskazna.ru/crl/)

По ней надо пройти, и вы увидите заголовок:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:

Список этот будет меняться с течением времени. Но ссылка работает пока. Это файлы с расширением .CRL на текущий момент их 6. Но не суть важно. Главное понять как их устанавливать. Итак, скачиваем все .CRL — файлы с этой страницы в какую-либо папку:

И правой мышкой, по очереди на каждом файле, нажимаем и выбираем в меню «Установить список отзыва CRL». Следуйте несложным инструкциям после этого (грубо говоря жмём на все вопросы «ОК», «далее» и т.п.)

После этого в TLS — клиенте на закладке «СЕРВЕРНЫЕ СЕРТИФИКАТЫ» вместо зловещего «требуется обновление»  или «не найден» , «не действителен» изменится тут же на «Действителен», и можно работать. Вот такой вот он…  Электронный бюджет… Желаю всем, чтобы это шаманство и вам помогло, ибо мне оно помогло..)

P.S. Данный рецепт  получил от тех.поддержки УФК.

Tattobu	#1 Оставлено : 6 апреля 2022 г. 12:49:50(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Среда: РедОС 7.3. сертифицированная Встроенный уже в РедОС браузер Chromium Версия 94.0.4606.81 (Официальная сборка), RED OS (64 бит) КриптоПро CSP: тестировалось с 5.0.12000 и до 5.0.12417. Пакет Cades plugin актуальный на сегодня: cprocsp-pki-plugin-64-2.0.14530-1.x86_64 cprocsp-pki-phpcades-64-2.0.14530-1.x86_64 cprocsp-pki-cades-64-2.0.14530-1.x86_64 Далее, что происходит: 1. При установке всего набора без Cades plugin всё работает замечательно. Логинимся в ГИСы по сертификатам ЭП, и дальше всё ок. 2. Если же на АРМ требуется пользователю подписывать документы своей ЭП — ставим дополнительно пакеты от Cades в систему, а в Chrоmium расширение. И тут начинаются проблемы даже со входом в ГИСы — либо вообще не удаётся зайти (ошибки: не получен ответ от системы, либо виснет Chromium), либо удается зайти после нескольких попыток со скрипом (обновляя страничку по тысяче раз, нажимая на вплывающее окно «подождать отклик от системы»). Но!В этой же конфигурации идём на страничку https://cryptopro.ru/sit…ge/cades_bes_sample.html для проверки работы ЭП — ЭП сотрудника проставляется без ошибок, то есть как бы всё ок и тест проходит. 3. Удаляем пакеты от Cades plugin — всё опять работает, можем логиниться на ГИСах. Но тогда нет возможности подписывать ЭП. ГИСы: https://sobi.cert.roskazna.ru https://ssl.budgetplan.minfin.ru/bp/ https://eb.cert.roskazna.ru Куда смотреть? Отредактировано пользователем 6 апреля 2022 г. 12:50:36(UTC)  | Причина: Не указана

nickm	#2 Оставлено : 6 апреля 2022 г. 14:18:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 765 Сказал(а) «Спасибо»: 232 раз Поблагодарили: 126 раз в 116 постах	Автор: Tattobu Куда смотреть? Сюда.

Tattobu	#3 Оставлено : 6 апреля 2022 г. 14:26:08(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Так там как раз и написано, что «Модуль Network в Chromium с 90 версии был помещён в песочницу, то есть теперь к библиотекам уровня Network предъявляются повышенные требования. Все версии CSP 5.0 удовлетворяют данным требованиям, CSP 4.0 к сожалению нет. Поэтому всем пользователям CSP 4.0 для работы TLS в браузере Chromium-Gost версии 90 и выше рекомендуется просто перейти на 5.0, первая сертифицированная версия 5.0.11455 поддерживает приобретённые лицензии от CSP 4.0 в полном объёме.» Что именно в нашей конфигурации не удовлетворяет этой цитате?

Tattobu	#4 Оставлено : 18 апреля 2022 г. 14:00:12(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Вопрос к сотрудникам КриптоПро. Подскажите, где можно взять предыдущие версии (сборки) КриптоПро ЭЦП Browser plug-in 2.0? Знаю, что актуальная тут: https://www.cryptopro.ru/products/cades/downloads А ранние версии есть где скачать? Нужна для 64 битной linux… т.е. архив cades-linux-amd64.tar.gz Отредактировано пользователем 18 апреля 2022 г. 14:02:52(UTC)  | Причина: Не указана

Александр Лавник	#5 Оставлено : 18 апреля 2022 г. 14:09:41(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,192 Сказал «Спасибо»: 51 раз Поблагодарили: 719 раз в 672 постах	Автор: Tattobu Вопрос к сотрудникам КриптоПро. Подскажите, где можно взять предыдущие версии (сборки) КриптоПро ЭЦП Browser plug-in 2.0? Знаю, что актуальная тут: https://www.cryptopro.ru/products/cades/downloads А ранние версии есть где скачать? Нужна для 64 битной linux… т.е. архив cades-linux-amd64.tar.gz Какая цель использования более старых сборок плагина?
Техническую поддержку оказываем тут Наша база знаний

Tattobu	#6 Оставлено : 18 апреля 2022 г. 14:36:42(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Протестировать в среде, которая описана в первом моём сообщении в этой теме выше.

Александр Лавник	#7 Оставлено : 18 апреля 2022 г. 16:37:38(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,192 Сказал «Спасибо»: 51 раз Поблагодарили: 719 раз в 672 постах	Автор: Tattobu Протестировать в среде, которая описана в первом моём сообщении в этой теме выше. Яндекс.Браузер пробовали использовать? Если нет, то проверьте в нем. Что в логе /var/log/messages при неудачной попытке входа?
Техническую поддержку оказываем тут Наша база знаний

Tattobu	#8 Оставлено : 19 апреля 2022 г. 9:51:40(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 31.10.2019(UTC) Сообщений: 5 Сказал(а) «Спасибо»: 1 раз	Автор: Александр Лавник Автор: Tattobu Протестировать в среде, которая описана в первом моём сообщении в этой теме выше. Яндекс.Браузер пробовали использовать? Если нет, то проверьте в нем. Что в логе /var/log/messages при неудачной попытке входа? 1. Да, в Яндекс браузере все работает хорошо и быстро. Но, извините, Яндекс браузер это какая-то рождественская ёлка с огоньками и алисой в комплекте. Нет желания такое ставить на АРМы пользователей. По логам: В логе проблемы с доступом к спискам отозванных: ===== chromium-browser[8008]: <ssp>tls_get_ems! no TLS_EXT_EXTENDED_MASTER_SECRET has been sent chromium-browser[8008]: <ssp>AddToMessageLog!CryptoPro TLS. This CLIENT_HELLO message’s extension does not sent: 0x17 chromium-browser[8008]: <ssp>InitializeSecurityContextW!(failed: 0xFFFFFFFF80090304) /etc/gdm/Xsession[8008]: [8008:8051:0419/092700.517957:ERROR:ssl_client_socket_impl.cc(1018)] handshake failed; returned 0, SSL error code 6, net_error -107 etc/gdm/Xsession[8008]: [8008:8051:0419/092700.518489:ERROR:ssl_client_socket_impl.cc(1018)] handshake failed; returned 0, SSL error code 6, net_error -107 chromium-browser[8008]: <ssp>tls_get_ems! no TLS_EXT_EXTENDED_MASTER_SECRET has been sent chromium-browser[8008]: <ssp>AddToMessageLog!CryptoPro TLS. This CLIENT_HELLO message’s extension does not sent: 0x17 chromium-browser[8008]: <ssp>InitializeSecurityContextW!(failed: 0xFFFFFFFF80090304) chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://rostelecom.ru/cdp/guc_gost12.crl). chromium-browser[8008]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>DownloadFromNetwork!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.fsfk.local/crl/ucfk_2021.crl). chromium-browser[8008]: <capi20>CryptRetrieveObjectByUrlA!DownloadFromNetwork failed, error code : 80092004 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x2 chromium-browser[8008]: <capi20>CertOpenStore!failed: LastError = 0x ==== С доступом к crl действительно есть проблемы. В соседней ветке обсуждение: https://www.cryptopro.ru…aspx?g=posts&t=20735 Все что выше было протестировано на сборке Cades — cprocsp-pki-*-64-2.0.14530-1_amd64 2. Нашел на сайте госзакупок (там где ПО у них) старую версию Cades — cprocsp-pki-cades-64_2.0.14458-1_amd64. Установил вместо 14530 — всё отлично теперь работает и в Chromium и в Яндекс браузере. Хотя в /var/log/messages ошибки присутствуют, но в несколько другом виде.

Быстрый переход
 

Плагин предназначен для загрузки и обновления из соответствующих источников обновления:

• реестра аккредитованных УЦ Минкомсвязи (TSL);
• cертификатов аккредитованных УЦ, выданных ГУЦ;
• списков отозванных сертификатов аккредитованных УЦ;
• дополнительных сертификатов УЦ и списков отозванных сертификатов УЦ, определенных администратором системы;
• настроек проверки соответствия квалифицированных сертификатов требованиям уполномоченных органов.

Загруженные данные проходят специальную подготовку и размещаются на сетевом ресурсе, доступном рабочим станциям пользователей (централизованное хранилище), откуда в дальнейшем загружаются плагином обновления сертификатов, CRL, TSL, выполняющимся на рабочих местах пользователей.

Плагин может быть настроен на отправку по электронной почте уведомления о возникших в ходе работы ошибках и предупреждениях. Рекомендуется указание соответствующих данных в настройках плагина.

В плагине имеется возможность настройки на загрузку данных из сети Интернет через прокси-сервер.

5.3.1.Входные параметры

Перечень входных параметров соответствует перечню настроек плагина.

Любой параметр, указанный в настройках, может быть переопределен при запуске плагина в http-запросе. В случае, если параметр не указан при вызове плагина – используется значение, заданное в настройках плагина.

5.3.2.Режимы работы

Плагин может работать в двух режимах:

• загрузка реестра TSL и обновление crl;
• только обновление crl.

Рекомендуется настройка периодического запуска плагина через планировщик в разных режимах, например:

• загрузка реестра TSL и обновление crl – 1 раз в 2 дня;
• только обновление crl – каждые 6 часов.

5.3.3.Формирование нескольких централизованных хранилищ

В настройках плагина имеется возможности:

• ограничения обрабатываемых реестровых номеров аккредитованных УЦ
• формирования нескольких хранилищ, содержащих различные наборы сертификатов
• указания параметров выполнения при запуске плагина

Указанные возможности могут быть использованы для выделения нескольких групп компьютеров, например:

• группа, которая работает с полным набором аккредитованных УЦ, содержащая полный реестр аккредитованных УЦ, все их сертификаты и CRL (например, на которых выполняется прием отчетности)
• одна или несколько групп, которые работают с ограниченным набором аккредитованных УЦ, содержащая ограниченный набор сертификатов и CRL (например, на которых выполняется работа только с УЦ ОПФР, а также ограниченным набором УЦ-контрагентов)

В случае применения нескольких хранилищ в настройках их загрузки должны различаться параметры:

• baseUrl
• targetUploadPath
• CARegistryNumbers

В случае применения нескольких хранилищ в настройках их загрузки могут различаться параметры:

• fileCertUrls
• fileCrlUrls
• fileCheckConfig

5.3.3.1.Пример настройки двух групп

5.3.4.Работа плагина

• инициализуется криптосессия с использованием сертификата, определенного «по умолчанию» в настройках плагина криптосервер (настройка defaultCertificate)

Внимание Администратору необходимо обеспечить условия для возможности корректной инициализации сессии (доступность и действительность сертификатов, наличие всех необходимых crl, возможность построения цепочки), т.к. в противном случае при попытке инициализации сессии будет получено сообщение об ошибке и работа плагина будет прервана.

• выполняется проверка соответствия значения поля CN владельца сертификата значению «Сrypto+ Download Service»

Внимание Значение поля CN владельца сертификата, с которым работает плагин, должно быть равно Crypto+ Download Service. Указанное значение не может быть переопределено или изменено.

• выполняется проверка возможности подписания с помощью сертификата, определенного в настройках

• в случае ошибки — прекращение выполнения, администратору направляется уведомление

• выполняется функция удаления сессии
• загрузка реестра TSL (в зависимости от режима):

• в режиме «загрузка из реестра аккредитованных УЦ» – выполняется загрузка реестра TSL из сети Интернет
• в режиме «только обновление crl» – реестр TSL загружается из сетевого размещения (централизованного хранилища). В случае отсутствия в нем ранее загруженного реестра выполняется загрузка реестра TSL из Интернет
• в случае ошибки — прекращение выполнения, администратору направляется уведомление
• выполняется добавление в файл индекса реестров данных о версии реестра TSL

• выполняется добавление в файл индекса реестров данных о версии файла конфигурации проверки квалифицированной подписи, указанного администратором в настройках плагина
• если указаны конкретные реестровые номера УЦ, то обработка будет происходить только для них.
• выполняется обработка записей реестра TSL – для каждой записи УЦ со статусом аккредитации «действует» для каждой записи сертификата (ключа):

• выполняется извлечение сертификатов УЦ из реестра TSL
• выполняется загрузка CRL данного УЦ путем обращения по каждому url CDP, опубликованному в реестре TSL для данного УЦ
• сертификаты и CRL размещаются во временный каталог, в котором создается структура каталогов (краткие названия соответствующих УЦ из реестра TSL), в которые помещаются файлы сертификатов и CRL с именами вида «номер_сертификата.cer» и «идентификатор_ключа_издателя.crl» соответственно

• самоподписанные сертификаты подписываются сертификатом «Сrypto+ Download Service», определенным в настройках приложения

• данные о сертификатах и CRL сохраняются во вспомогательном реестре
• в случае ошибки загрузки CRL — в зависимости от настройки плагина:

• данные о CRL добавляются во вспомогательный реестр, не загружая файл CRL
• данные о CRL не добавляются во вспомогательный реестр
• добавить в свой реестр данные о реестре ГУЦ

• выполняется построчная обработка файлов-списков дополнительных сертификатов УЦ и списков отозванных сертификатов УЦ, определенных администратором в настройках плагина:

• выполняется загрузка сертификатов и CRL
• сертификаты и CRL размещаются во временный каталог, в котором создается каталог «Дополнительные УЦ», в которые помещаются файлы сертификатов и CRL с именами вида «номер_сертификата.cer» и «идентификатор_ключа_издателя.crl» соответственно

• самоподписанные сертификаты подписываются сертификатом «Сrypto+ Download Service», определенным в настройках приложения

• данные о сертификатах и CRL сохраняются в дополнительном разделе во вспомогательном реестре.

• инициализуется криптосессия с использованием сертификата, определенного «по умолчанию» в настройках плагина криптосервер
• выполняется проверка соответствия значения поля CN владельца сертификата значению «Сrypto+ Download Service»
• выполняется проверка возможности подписания с помощью сертификата, определенного в настройках

• в случае ошибки — прекращение выполнения, администратору направляется уведомление

• вспомогательный реестр подписывается ЭП с использованием сертификата, определенного «по умолчанию» в настройках плагина криптосервер

• в случае ошибки — прекращение выполнения, администратору направляется уведомление

• выполняется сохранение на определенный в настройках плагина сетевой ресурс по unc-пути:

• файла вспомогательного реестра – Registry.xml;
• файла ЭП вспомогательного реестра – Registry.xml.p7s;
• файла вспомогательного реестра — Registry.2.0.xml
• файла ЭП вспомогательного реестра — Registry.2.0.xml.p7s
• файла индекса реестров — RegistryIndex.xml
• файла реестра TSL – TSLExt.1.0.xml;
• файла конфигурации проверки квалифицированной подписи – CheckConfig.xml;
• файлов сертификатов и CRL в структуре каталогов;
• файлов подписей, сформированных для самоподписанных сертификатов.

• по завершении загрузки выполняется отправка письма администратору с указанием количества загруженных/незагруженных CRL, адресов незагруженных CRL, иных ошибках и предупреждениях

Содержание

1. Содержание
2. СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
3. ОПИСАНИЕ ОПЕРАЦИЙ
4. Копирование нового сертификата сервера TLS на АРМ пользователя
5. Замена сертификата сервера TLS в ПО «Континент TLS Клиент»