Пользователи пакетной подписи «Окуляр ГОСТ» сталкиваются с проблемой долгой проверки ЭП.
При каждой подписи документа PDF с помощью «Окуляр ГОСТ» происходит проверка используемого электронного сертификата. Проверка происходит путём обращения к внешним серверам. Если сервера перегружены — возникают непредсказуемые задержки.
Решением данной проблемы может стать проверка по скачанному списку отозванных сертификатов. Для этого нужно на регулярной основе скачивать файл со списком отозванных сертификатов и добавлять его в «КриптоПро».
Алгоритм.
Выведите список собственных сертификатов:
$ /opt/cprocsp/bin/amd64/certmgr -list -store umy
Издатель : INNLE=7707329152, E=uc@tax.gov.ru, OGRN=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=Федеральная налоговая служба Серийный номер : 0x01E1A0D7005FAF67BE4D06B386A744B54C SHA1 отпечаток : c4d735120ed9294c84afa0c13037dcc04c7ccab3 Идентификатор ключа : 8653133ec37a8285578726f3739ca0ffd05b98d5 Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 02/12/2022 12:55:05 UTC Истекает : 02/03/2024 13:05:05 UTC Встроенная лицензия : КриптоПро CSP Ссылка на ключ : Есть Имя провайдера : Crypto-Pro GOST R 34.10-2012 KC1 CSP Инфо о провайдере : Тип провайдера: 80, тип ключа: 1, флаги: 0x0 Тип идентификации : При личном присутствии OCSP URL : http://pki.tax.gov.ru/ocsp01/ocsp.srf URL сертификата УЦ : http://pki.tax.gov.ru/crt/ca_fns_russia_2022_01.crt URL сертификата УЦ : http://c0000-app005/crt/ca_fns_russia_2022_01.crt URL сертификата УЦ : http://uc.nalog.ru/crt/ca_fns_russia_2022_01.crt URL списка отзыва : http://pki.tax.gov.ru/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl URL списка отзыва : http://c0000-app005/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl URL списка отзыва : http://uc.nalog.ru/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl
У нужного сертификата найдите поля «URL списка отзыва», например:
http://uc.nalog.ru/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl
При этом:
- полей «URL списка отзыва» может быть несколько;
- они могут представлять один и тот же список (файл) или разные.
Скачайте файл CRL (при отсутствии Интернета — на другой машине):
$ wget -O crl "http://uc.nalog.ru/cdp/fcb21945f2bb7670b371b03cee94381d4f975cd5.crl"
Установите CRL:
$ /opt/cprocsp/bin/amd64/certmgr -install -store uCA -crl -file crl $ rm crl
Теперь можно подписывать при отсутствии Интернета.
Срок действия списка отзыва — несколько дней, поэтому вам нужно будет постоянно повторять эту процедуру.