Добрый день!
Подали заявку на получение ключей ЭЦП для наших пользователей. Перед подписанием осуществляем проверки сертификата ключа ЭЦП согласно закону. Одна из этих проверок это построение цепочки сертификатов, которая требует подключение к сети. Однако не все наши пользователи имеют доступ к сети. Поговорив с руководством, определили два варианта решения проблемы. Первый вариант, когда мы подключаем всех пользователей к сети напрямую. Второй вариант, когда мы подключаем пользователей не напрямую, а через сервер, у которого есть доступ к сети, при этом с настройкой, что пользователи через данный сервер смогут обращаться только к http://tsp.pki.gov.kz:80 для проставления метки времени и http://ocsp.pki.gov.kz/ для проверки сертификатов в цепочки на отозванность. Для нас предпочтительнее второй вариант. Его нам реализовать быстрее, но мы не уверены, правильно ли так осуществлять проверку, например, с юридической точки зрения.
Корректность построения цепочки сертификатов через сервер
Добрый день!
Не совсем понимаю чего Вы от нас ждете. За реализацию ИС несет ответственность сама ИС. И что бы мы тут не написали - никакой юридической силы это иметь не будет.
Мы не можем что-то одобрить или забраковать 
По поводу реализации: Действительно, согласно пункта 6.2 Главы 2 “Правилу проверки подлинности ЭЦП” необходимым пунктом является проверка сертификата на отозванность. Но проверка может осуществляться 2-мя способами: Через онлайн сервис - OCSP, либо же через файл списка сертификатов (CRL). Какой удобнее вашей ИС, это решать вам…
Если в локальной сети ИС нет доступа в интернет, то можете ежедневно помещать CRL с нашего сайта себе в локальную сеть для успешной работы проверки на аннулирование РС. Если же доступ к сети имеется (или можете организовать обходными путями доступ к ocsp.pki.gov.kz ), то можете использовать мгновенную проверку через сервис OCSP.
Надеюсь, я правильно Вас понял.