Проверка цепочки сертификатов/почему медленно? / Программирование

2.0.49

Планшетная версия Контакт Правила FAQ Помощь

Гость

Нов. | Гор. | Избр.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Программирование [игнор отключен] [закрыт для гостей] / Проверка цепочки сертификатов/почему медленно? / 11 сообщений из 11, страница 1 из 1

25.02.2021, 18:24

#40048740

avhohlov

Гость

Проверка цепочки сертификатов/почему медленно?

Средствами WinCrypt (за ним стоит Crypto-Pro) проверяется отсоединенная подпись
и следующий фрагмент кода на рабочей машине выполняется примерно секунду.
На тестовой быстро. SDK старый, все поля структуры CERT_CHAIN_ENGINE_CONFIG
заполнены. dwFlags = CERT_CHAIN_CACHE_ONLY_URL_RETRIEVAL не помогает.

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.

HCERTCHAINENGINE         hChainEngine;

CERT_CHAIN_ENGINE_CONFIG chainConfig;

chainConfig.cbSize                    = sizeof(CERT_CHAIN_ENGINE_CONFIG);
chainConfig.hRestrictedRoot           = NULL;
chainConfig.hRestrictedTrust          = hStore; //Хранилище сертификатов в памяти (из файла подписи)
chainConfig.hRestrictedOther          = NULL;
chainConfig.cAdditionalStore          = 0;
chainConfig.rghAdditionalStore        = NULL;
chainConfig.dwFlags                   = 0;
chainConfig.dwUrlRetrievalTimeout     = 0;
chainConfig.MaximumCachedCertificates = 0;
chainConfig.CycleDetectionModulus     = 0;

PCCERT_CHAIN_CONTEXT     pChainContext;

if (!CertCreateCertificateChainEngine(&chainConfig, &hChainEngine))
{
   ...
}

Что я делаю не так?

Спасибо.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

28.02.2021, 10:30

#40049319

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 2 / 0

Проверка цепочки сертификатов/почему медленно?

Измеряй точнее, сколько миллисекунд на рабочей и тестовой проходит проверка подписи.

И дай нам версии CryptoPro и всего остального. И модели процессоров.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

28.02.2021, 14:33

#40049348

Barlone

Участник

Сообщения: 1 506
Рейтинг: 0 / 0

Проверка цепочки сертификатов/почему медленно?

avhohlov

Что я делаю не так?

файрвол режет доступ к спискам отозванных сертификатов?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

01.03.2021, 17:09

#40049635

avhohlov

Гость

Проверка цепочки сертификатов/почему медленно?

Рабочая система Xeon Platinum 8280/VmWare/WindowsServer2012R2/доменая структура.
Крипто-Про CSP 4.0.9842/core 4.0.9014 Серверная.
Доступа в интернет нет.
Программа 32-bit.

Время выполнения CertCreateCertificateChainEngine 765 - 1187 мс.
Все прочие действия, в том числе и построение цепочки по крайней мере на порядок быстрее.

Так было не всегда, на похожей системе (WindowsServer2008R2, остальное такое же) сохранился лог начала декабря 2020, время выполнения CertCreateCertificateChainEngine неизвестно, но вся проверка подписи занимала 0 - 15 мс, сейчас и на ней тоже медленно.

Тестовая система VmWarePlayer/Win7x64/Core i5-7600/доступ с интернет есть,
время прямо сейчас сказать не могу, но оно мало.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

01.03.2021, 17:35

#40049649

Basil A. Sidorov

Участник

Сообщения: 11 633
Рейтинг: 0 / 0

Проверка цепочки сертификатов/почему медленно?

avhohlov

Доступа в интернет нет.

Регулярно скачивайте списки отзыва сертификатов (СОС/CRL) на компьютере, имеющем доступ к интернету и устанавливайте их локально.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

01.03.2021, 18:38

#40049662

avhohlov

Гость

Проверка цепочки сертификатов/почему медленно?

Basil A. Sidorov,
Скачал и установил (неважно, в хранилище текущего пользователя или компьютера) два CRL - корневого УЦ и УЦ, выдавшего сертификат ключа подписи.
Ничего не изменилось..

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.03.2021, 09:50

#40049741

Basil A. Sidorov

Участник

Сообщения: 11 633
Рейтинг: 0 / 0

Проверка цепочки сертификатов/почему медленно?

Во-первых - важно, а во-вторых: в какое именно из нескольких хранилищ устанавливали?
OCSP/TSP используются? А сертификаты и списки отзыва их УЦ установлены? А в правильные хранилища?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.03.2021, 17:30

#40049939

avhohlov

Гость

Проверка цепочки сертификатов/почему медленно?

Basil A. Sidorov,

Под "неважно, в хранилище текущего пользователя или компьютера" следует понимать, что оба варианта были проверены:

1. Сертификаты - текущий пользователь/Сертификаты, к которым нет доверия/Реестр/Список отзыва сертификатов
2. Сертификаты (локальный компьютер)/Сертификаты, к которым нет доверия/Реестр/Список отзыва сертификатов

Думаю, что OCSP/TSP не используются

На собственной виртуалке все быстро и при отключенной сети.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.03.2021, 17:41

#40049950

avhohlov

Гость

Проверка цепочки сертификатов/почему медленно?

И еще, сертификат УЦ есть в

Сертификаты - текущий пользователь/Промежуточные центры сертификации/Реестр/Сертификаты

Для просмотра он открывается меленно - до нескольких секунд...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.03.2021, 18:10

#40049957

Basil A. Sidorov

Участник

Сообщения: 11 633
Рейтинг: 0 / 0

Проверка цепочки сертификатов/почему медленно?

Корневые сертификаты (корневой сертификат ГУЦ) ставятся в доверенные корневые.
Все подчинённые, начиная с подчинённых УЦ самого ГУЦ и акредитованных УЦ - устанавливаются в промежуточные.
Списки отзыва, внезапно, тоже устанавливаются в промежуточные.
В "которым нет доверия" - устанавливаются скомпрометированные сертификаты корневых УЦ.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

10.03.2021, 10:13

#40052173

kealon(Ruslan)

Участник

Откуда: Нижневартовск
Сообщения: 4 020
Рейтинг: 0 / 0

Проверка цепочки сертификатов/почему медленно?

avhohlov,

было что-то такое, сервера могут быть забанены нашими ведомствами
просмотри снифером каким нить куда щемится проверка, особеннно отказы соединения

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=16&mobile=1&tid=1339683]:	0ms
get settings:	12ms
get forum list:	16ms
check forum access:	4ms
check topic access:	4ms
track hit:	29ms
get topic data:	13ms
get forum data:	3ms
get page messages:	45ms
get tp. blocked users:	2ms
others:	14ms

total:	142ms