Обсуждение использования сервисов TSP и OCSP

Использование сервисов метки времени (TSP) и проверки статуса сертификатов (OCSP)

а что это за сервисы? они общедоступны?

Использование сервисов метки времени (TSP) и проверки статуса сертификатов (OCSP)

И что всё чтоль?
Почему у нас так мало информации для разработчиков выпустили какой то хэпл с описанием функций и всё отмучились для галочки.
В России целые форумы посвящённые разработчикам ЭЦП у нас же даже раздела такого нет, если вы написали библиотеки будьте добры к ним нормальные здоровые примеры, например страничку которая будет всё проверять, а не жидкие кнопки с вызовом функций.
Я надеюсь моя речь на кого-то повлияет!

Сервисы OCSP и TSP реализованы в виде CGI. Воспользоваться ими можно используя метод POST в коде.

Вот их URL-ы:

1) http://ocsp.pki.kz:62223/cgi/status - OCSP

2) http://tsp.pki.kz:62224/cgi/tsp - TSP

Ниже представлен пример рабочего HTML кода

Шаг 1. (OCSP)
Отправляем на сервер тело сертификата.
При этом сертификат должен быть в формате Base64.
Вставлять в форму следует только содержимое между тегами и

<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
    <title>Проверка</title>
</head>
<body>

<FORM id=myform name=myform method=post action="http://ocsp.pki.kz:62223/cgi/status">
    <DIV align=center>
        <TABLE cellSpacing=2 cellPadding=1 width=350 border=0>
            <TBODY>
            <TR>
                <TD bgColor=#faba43>
                    <TABLE cellSpacing=0 cellPadding=7 width="100%" border=0>
                        <TBODY>
                        <TR bgColor=#fefdf1>
                            <TD noWrap align=right width="40%">
                                <font color="red" face="Arial" size="2">Сертификат:</font>
                            </TD>
                            <TD>
                                <textarea id=certificate name=certificate rows=10 cols="140"></textarea>
                            </TD>
                        </TR>

Сервер вернет кодированный текст.
Его следует открыть и скопировать его содержимое!

Шаг 2 (OCSP) Отправляем на сервер скопированный текст, использую следующую форму (отличается от других!):

<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
    <title>Проверка</title>
</head>
<body>

<FORM id=myform name=myform method=post action="http://ocsp.pki.kz:62223/cgi/status">
    <DIV align=center>
        <TABLE cellSpacing=2 cellPadding=1 width=350 border=0>
            <TBODY>
            <TR>
                <TD bgColor=#faba43>
                    <TABLE cellSpacing=0 cellPadding=7 width="100%" border=0>
                        <TBODY>
                        <TR bgColor=#fefdf1>
                            <TD noWrap align=right width="40%">
                                <font color="red" face="Arial" size="2">Сертификат:</font>
                            </TD>
                            <TD>
                                <textarea id=responce name=responce rows=10 cols="140"></textarea>
                            </TD>
                        </TR>

Шаг 3 (OCSP). Проверка квитанции.

Получаем ответ-квитанцию от сервера

Обратите внимание на пункт "статус сертификата: 0". Есть три статуса сертификата 0 - не отозван, 1 - отозван, 2- статус не известен
Также учтите, что OCSP сервис не проверяет в сертификате срок действия!
Другими словами, вы должны помимо анализа OCSP ответа, делать проверку срока действия сертификата

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Шаг 1. (TimeStamp)
Отправляем на сервер хеш файла (не менее 32 байт), использую форму ниже (отличается от первой!):.
Например:

<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
    <title>Проверка</title>
</head>
<body>

<FORM id=myform name=myform method=post action="http://tsp.pki.kz:62224/cgi/tsp">
    <DIV align=center>
        <TABLE cellSpacing=2 cellPadding=1 width=350 border=0>
            <TBODY>
            <TR>
                <TD bgColor=#faba43>
                    <TABLE cellSpacing=0 cellPadding=7 width="100%" border=0>
                        <TBODY>
                        <TR bgColor=#fefdf1>
                            <TD noWrap align=right width="40%">
                                <font color="red" face="Arial" size="2">Сертификат:</font>
                            </TD>
                            <TD>
                                <textarea id=digest name=digest rows=10 cols="140"></textarea>
                            </TD>
                        </TR>

Вставляем в форму и нажимаем "Отправить"

Сервер вернет в ответ кодированный текст.
Его следует открыть и скопировать его содержимое!

Шаг 2 (TimeStamp) Отправляем на сервер скопированный текст, использую следующую форму (отличается от других!):

<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
    <title>Проверка</title>
</head>
<body>

<FORM id=myform name=myform method=post action="http://tsp.pki.kz:62224/cgi/tsp">
    <DIV align=center>
        <TABLE cellSpacing=2 cellPadding=1 width=350 border=0>
            <TBODY>
            <TR>
                <TD bgColor=#faba43>
                    <TABLE cellSpacing=0 cellPadding=7 width="100%" border=0>
                        <TBODY>
                        <TR bgColor=#fefdf1>
                            <TD noWrap align=right width="40%">
                                <font color="red" face="Arial" size="2">Сертификат:</font>
                            </TD>
                            <TD>
                                <textarea id=responce name=responce rows=10 cols="140"></textarea>
                            </TD>
                        </TR>

Шаг 3 (TimeStamp). Проверка квитанции.

Получаем ответ-квитанцию от сервера

Обратите внимание на "время TSA:". Данное значение является фактическим временем подписи документа.

Более подробнее о OCSP и TimeStamp можно найти в Интернете.

При проверки квитанций OCSP И TimeStamp всегда следует проверять (обращать внимание на ...) подпись самих служб.
В обоих случаях это должна быть запись "подпись верна"!

Вот это уже шикарно просто, спасибо тебе админ )
Есть ещё вопрос, вот на госзакупе.гов.кз есть такая фитча, если в браузере установлены сертификаты выходит окно с выбором сертификатов? я к чему этот вопрос задал к тому что как мне определять какой сертификат проверять? т.е. может у юзера будет пять сертификатов

Добрый день.
Проверять следует тот сертификат, с которым пользователь непосредственно входит в систему.
Другой вопрос - это вопрос внутренней реализации (кода) проверки по OCSP.
То есть вам следует получить тело сертификата и передать внутреннему коду для формирования
POST запроса.

Получил ответ от сервера но при расшифровки функцией base64_decode(); у меня вылетают крякообразы в чём может быть проблема? в какой кодировке у вас приходит ответ?
Половина текста отображается нормально половина в крякообразах какбудто текст кусками состоит из разных кодировок.

Прошу прощения у "форумчан", забыл еще несколько очень важных пункта.
Я исправил мой пост выше (описание шагов).
Пробуйте.

Спасибо огромное, вот сейчас всё прекрасно теперь буду реализовывать это на php как сделаю, протестирую выложу исходники чтоб дргуим легче было.
Спасибо ещё раз если будут вопросы напишу.

раньше у вас на сайте выкладывались отозванные тестовые сертификаты, теперь их нет. но я попробовал проверить отозванный тестовый сертификат, который скачал ранее и мой старый сертификат. сервер возвращает статус 0! что делать?
а тестовые отозванные сертификаты не будут выкладываться?

Покажи данные поля Субъект в сертификате (C=KZ, ST=.., и т.п.)

E=TEST@TEST.RU;SN=IIN666555444333;G=ОТОЗВАННЫЙ;CN=ТЕСТ ТЕСТОВЫЙ;L=АСТАНА;ST=АСТАНА;C=KZ

Обратите внимание на поле статус сертификата[0] : 0.
Вы смотрели на статус квитанции: 0 ?
Это моя ошибка. Поправил пост. Добавил пару строк синим и красным. Прочтите.

спасибо! )
а как насчет тестовых отозванных сертификатов? они будут выкладываться?

Да, сегодня в течении дня мы обновим файлы с тестовыми сертификатами на сайте.
Ссылку выложу здесь же.