"КриптоАРМ" позволяет
проверять статус цифрового сертификата в режиме получения (и их
участия в процедурах проверок) СОС в онлайн-режиме из CDP и/или
сетевого справочника системы.
Для использования
возможности получения СОС из УЦ необходимо соблюдение следующих
условий
- В проверяемом сертификате должно присутствовать расширение
«Точка распространения СОС / CRL Distribution Point
(CDP)».
При этом если значений (URL’ов) в расширении несколько, то ПО
"КриптоАРМ" будет пытаться скачать СОС по всем адресам до первого
успешного скачивания. Поддерживаются часто используемые протоколы -
"ftp", "http" и "file":
- По одной из точек распространения СОС (оптимально,
если по первой) можно скачать СОС с помощью веб-браузера, например,
MS IE. При этом не вводя никакой дополнительной информации (имени
пользователя, пароля, перехода по
ссылкам)!
Протестировать можно следующим образом:
- закрыть все окна IE (т.к. они могут хранить параметры доступа к
серверу);
- запустить IE и вставить в поле адреса URL из точки
распространения СОС (например, для сертификата тестового УЦ
КриптоПро - http://www.cryptopro.ru/CertEnroll/Test%20Center%20CRYPTO-PRO.crl);
- нажать Enter, после чего IE должен сразу предложить сохранить
скачанный файл СОС;
- сохранить СОС в файл и открыть его проводником Windows (должна
без ошибок открыться форма просмотра СОС).
Проверять статусы сертификатов в хранилище вы можете через Главное окно программы (вид "Эксперт").
Чтобы проверить статус
сертификата:
- В дереве элементов главного окна выберите раздел
Сертификаты - нужное вам
хранилище, в котором выберите сертификат для
проверки.
- В контекстном меню объекта или на панели инструментов выберите
пункт Проверить статус -> по СОС из
УЦ
! Для того чтобы
упростить процедуру проверки статуса сертификата, вы можете
в настройках выполнения операций указать
параметры проверки сертификатов. Для выбранных сертификатов в
процессе работы всегда автоматически будет использоваться указанный
вами способ проверки.
Статусы сертификатов
Возможны 3 статуса действительности
сертификатов, выданных УЦ:
«действителен» – выполняются все условия действительности
сертификата
«недействителен» -
-
- срок действия сертификата истек
- есть непросроченный СОС и в нем находится указанный
сертификат
- не строится цепочка сертификации
- сертификат имеет некорректную ЭЦП
«неизвестен» – статус, возможный только для сертификатов, которым
не требуется проверка по СОС, полученному из УЦ
-
- отсутствует СОС
- СОС просрочен
- не удалось получить СОС из УЦ
Возможные ошибки обновления СОС
Ошибка
|
Объяснение
|
0x800C0005
|
ошибка скачивания СОС по сети, например,
файл не найден или нет доступа
|
0x80092004 (Cannot find
object or property.)
|
- не найден издатель проверяемого сертификата
- файл СОС не соответствует проверяемому сертификату
|
0x80092007 (The specified
certificate is self signed.)
|
проверяемый сертификат - самоподписанный.
Нет смысла проверять самоподписанный сертификат по СОС, т.к. СОС
подписывается тем же самым самоподписанным сертификатом
|
|