Проверка статуса сертификата по СОС из УЦ

"КриптоАРМ" позволяет проверять статус цифрового сертификата в режиме получения (и их участия в процедурах проверок) СОС в онлайн-режиме из CDP и/или сетевого справочника системы.

Для использования возможности получения СОС из УЦ необходимо соблюдение следующих условий

  1. В проверяемом сертификате должно присутствовать расширение «Точка распространения СОС / CRL Distribution Point (CDP)».
    При этом если значений (URL’ов) в расширении несколько, то ПО "КриптоАРМ" будет пытаться скачать СОС по всем адресам до первого успешного скачивания. Поддерживаются часто используемые протоколы - "ftp", "http" и "file":

  1. По одной из точек распространения СОС (оптимально, если по первой) можно скачать СОС с помощью веб-браузера, например, MS IE. При этом не вводя никакой дополнительной информации (имени пользователя, пароля, перехода по ссылкам)!

Протестировать можно следующим образом:
- закрыть все окна IE (т.к. они могут хранить параметры доступа к серверу);
- запустить IE и вставить в поле адреса URL из точки распространения СОС (например, для сертификата тестового УЦ КриптоПро - http://www.cryptopro.ru/CertEnroll/Test%20Center%20CRYPTO-PRO.crl);
- нажать Enter, после чего IE должен сразу предложить сохранить скачанный файл СОС;
- сохранить СОС в файл и открыть его проводником Windows (должна без ошибок открыться форма просмотра СОС).

Проверять статусы сертификатов в хранилище вы можете через Главное окно программы (вид "Эксперт").

Чтобы проверить статус сертификата:

  1. В дереве элементов главного окна выберите раздел Сертификаты - нужное вам хранилище, в котором выберите сертификат для проверки.
  2. В контекстном меню объекта или на панели инструментов выберите пункт Проверить статус -> по СОС из УЦ

! Для того чтобы упростить процедуру проверки статуса сертификата, вы можете в настройках выполнения операций указать параметры проверки сертификатов. Для выбранных сертификатов в процессе работы всегда автоматически будет использоваться указанный вами способ проверки.

Статусы сертификатов

Возможны 3 статуса действительности сертификатов, выданных УЦ:

  • «действителен» – выполняются все условия действительности сертификата
  • «недействителен» -
    • срок действия сертификата истек
    • есть непросроченный СОС и в нем находится указанный сертификат
    • не строится цепочка сертификации
    • сертификат имеет некорректную ЭЦП
  • «неизвестен» – статус, возможный только для сертификатов, которым не требуется проверка по СОС, полученному из УЦ
    • отсутствует СОС
    • СОС просрочен
    • не удалось получить СОС из УЦ

Возможные ошибки обновления СОС

Ошибка
Объяснение
0x800C0005 ошибка скачивания СОС по сети, например, файл не найден или нет доступа
0x80092004 (Cannot find object or property.)
  1. не найден издатель проверяемого сертификата
  2. файл СОС не соответствует проверяемому сертификату
0x80092007 (The specified certificate is self signed.) проверяемый сертификат - самоподписанный. Нет смысла проверять самоподписанный сертификат по СОС, т.к. СОС подписывается тем же самым самоподписанным сертификатом
________________________________________________
© 2002 - 2007, Digt.    Адрес для контактов: info@digt.ru;
Техническая поддержка: support@digt.ru