Добрый день,
У меня возникли вопросы по методам проверки сертификата на отозванность по OCSP. Использую ManagedOpenSsl.
Подписываю XML сертификатом старого типа (получен в ЦОНе недавно) с помощью IolaCOM.
Начинаю проверять сертификат в OCSP и получаю в ответе "-1". В комментариях из SDK, такого кода нету. Подскажите пожалуйста что означает этот код.
Адрес OCSP брал боевой и тестовый.
Вот код:
// Считывание корневого сертификата с файла
using (BIO rootBio = BIO.File(@"Assets\SDK 2.0 2015-09-10\CaCertificates\new_NCA_RSA.cer", "rb"))
{
using (X509Certificate rootCert = X509Certificate.FromDER(rootBio))
{
string ocspProductionUrl = "http://ocsp.pki.gov.kz/ocsp/";
string ocspSdkExampleUrl = "http://178.89.4.221/ocsp/";
int ocspCheckResult = certificate.CheckOCSP(rootCert, ocspSdkExampleUrl);
if (ocspCheckResult < 0)
throw new KalkanException("Сервис OCSP вернул некорректный результат");
if (ocspCheckResult > 0)
throw new KalkanException("Сертификат отозван, по данным OCSP");
//OCSP
/*
* CheckOCSP return:
* -10 - OCSP unknown result
* 0 - certificate is good
* > 1 - certificate is revoked
*Reason for revoked:
* unspecified (1),
* keyCompromise (2),
* cACompromise (3),
* affiliationChanged (4),
* superseded (5),
* cessationOfOperation (6),
* certificateHold (7),
* removeFromCRL (9)
*/
}
}
Далее, вопрос по сертификатам CA для проверки OCSP.
В SDK я нашел 3 подобных сертификата:
- new_NCA_RSA.cer
- NCA_GOST.der
- new_NCA_GOST.der
Можно ли их использовать в боевом режиме? Если нет, то где их можно скачать.