Не работает S/MIME в версии 3.80.03

Новичок

Сообщений: 5 Баллов: 2 Rating: 0 Authority: 0 Регистрация: 15.05.2006

Свирепый админ

15.05.2006 08:19:18

Я использую центр сертификации, встроенный в Windows Server 2003, выдаю сертификаты корпоративным пользователям эл. почты.
Для подписания писем использую MS CryptoAPI. Все работало неплохо до версии 3.80. Сейчас появляется ошибка (Error.png). На
Windows XP SP1 такую ошибку выдавали все предыдущие версии. На SP2 только 3.80. Сейчас я использую только внутреннюю
реализацию S/MIME The Bat 3.80, но старые подписи на письмах (CpyptoAPI) не действительны. Пишет, что статус одзыва
сертификата в цепочке не подтвержден, хотя пользователи локальной сети имеют доступ к серверу, где расположен центр
сертификации и список отзыва сертификатов.

Прикрепленные файлы

Error.PNG (14.59 КБ)

Иван Болховитинов Гуру Сообщений: 3529 Баллов: 6711 Rating: 73 Authority: 73 Регистрация: 18.09.2004 Машина должна работать, а человек думать	#2 0 15.05.2006 21:37:47 Пока откатитесь на предыдущую версию. Это сообщение я перенаправил в саппорт.

Maxim Masiutin

Гуру

Сообщений: 644 Баллов: 1158 Rating: 20 Authority: 19 Регистрация: 09.09.2003

17.05.2006 09:42:09

В какой именно версии The Bat! этот сертификат был действительным?

Дело в том, что ни внутренняя реализация S/MIME ни CryptoAPI предыдущих версий The Bat! не проверяли статус отзыва сертификатов (Certificate Revocation Lists).

Новая версия The Bat! выполняет эти проверки в режиме CryptoAPI. Поэтому если, например, список отозванных сертификатов утратил силу, или отсутствует связь с сервером проверки статуса сертификата, то подпись считается недействительной.

Владимир Федоров

Новичок

Сообщений: 5 Баллов: 2 Rating: 0 Authority: 0 Регистрация: 15.05.2006

Свирепый админ

19.05.2006 07:20:54

Связь с сервером существует однозначно.
Список отзыва автомотически обновляется раз в неделю.
Сама Crypto API говорит, что сертификат действителен.
Права NTFS не мешают читать список отзыва на сервере, и вообще-то когда я намудрил с NTFS(никто не мог прочитать список отзыва), The Bat! 3.62 выдавал сообщение о том, что не может проверить статус отзыва сертификата, так как не доступен список отзыва. Так что насчет того, что The Bat! 3.80 вдруг начал проверять этот список, как-то мало верится.
Кстати, внутренняя реализация S/MIME прекрасно подписывает письма в любой версии и не кричит ничего насчет проверки подписи.
Еще интересен тот факт, что я подписываю в версии 3.80 письмо сертификатом, список отзыва которого не доступен, и ничего работает, потормозит немного и дальше работает (не заметно, что не найдя списка отзыва The Bat! считает этот сертификат не действительным...?).

Maxim Masiutin

Гуру

Сообщений: 644 Баллов: 1158 Rating: 20 Authority: 19 Регистрация: 09.09.2003

22.05.2006 06:10:18

Вы пишите, что проблема не только в последней версии 3.80, но и в 3.62, которую Вы не обновляли?

Версии после 3.70.08 проверяют статус отзыва всех сертификатов в цепочке включая корневой (CERT_CHAIN_REVOCATION_CHECK_CHAIN).

Версии с 3.63.06 по 3.70.08 The Bat! проверяли статусы отзывов сертификатов за исключением корневого (CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT).

Версии до 3.63.06 не проверяли статус отзыва.

Ammker Новичок Сообщений: 5 Баллов: 2 Rating: 0 Authority: 0 Регистрация: 15.05.2006 Свирепый админ	#6 0 22.05.2006 06:28:13 Я примерно так и думал, что проблема в том что в программе убрали CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT. У меня центр сертификации (корневой сертификат самовыдача), форточка на него желтый знак восклицания показывает, а потом я ей говорю добавить принудительно к доверенным и все хорошо, было... А нельзя расширить настройки проверки сертификатов CryptoAPI в The Bat! новых версий?

Продукты

Поддержка

Новости

О компании

Сообщество