Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2011(UTC) Сообщений: 32  Откуда: Москва
|
Андрей * написал:dennioushen написал:
Я просто пробовал все сертификаты созданные в teste, поэтому там другой указан... В процессе изменения код был...
Ни с одним сертификатом созданном в teste не работала подпись.
на демо странице создаются простые и усовершенствованные ЭЦП для тестовых сертификатов? Не совсем понял вопроса?! )
Для демо страницы сертифкаты создаются в тестовом центре сертификации криптопро
|
Семья тебя простит... Дон Корлеоне |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719  Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
dennioushen написал:Андрей * написал:dennioushen написал:
Я просто пробовал все сертификаты созданные в teste, поэтому там другой указан... В процессе изменения код был...
Ни с одним сертификатом созданном в teste не работала подпись.
на демо странице создаются простые и усовершенствованные ЭЦП для тестовых сертификатов? Не совсем понял вопроса?! )
Прежде чем что-то писать "свое" - проверь работу этих сертификатов на демо-странице 1) поставь плагин 2) укажи сертификат в списке 3) нажми на кнопку Подписать вернись к п.2) укажи "Тип подписи: Усовершенствованная подпись" и перейди к п.3 Да ладно  Цитата:
Примечание: После создания подпись будет проверена на стороне сервера. Для успешного прохождения этой процедуры сертификат ключа проверки электронной подписи должен быть выдан Удостоверяющим Центром, которому доверяет сервер. Такой сертификат можно получить, например, в тестовом центре сертификации. Если подпись сделана на сертификате стороннего УЦ, сервер вернёт ошибку: "Не удается построить цепочку сертификатов для доверенного корневого центра".
Если доберешься до такой проблемы - уже полдела... ( = подпись создана). Выбери сертификат от CA1 NIAST - та же ошибка? Отредактировано пользователем 15 октября 2012 г. 17:09:46(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2011(UTC) Сообщений: 32 Откуда: Москва
|
Андрей * написал:dennioushen написал:Андрей * написал:dennioushen написал:
Я просто пробовал все сертификаты созданные в teste, поэтому там другой указан... В процессе изменения код был...
Ни с одним сертификатом созданном в teste не работала подпись.
на демо странице создаются простые и усовершенствованные ЭЦП для тестовых сертификатов? Не совсем понял вопроса?! ) Прежде чем что-то писать "свое" - проверь работу этих сертификатов на демо-странице 1) поставь плагин 2) укажи сертификат в списке 3) нажми на кнопку Подписать вернись к п.2) укажи "Тип подписи: Усовершенствованная подпись" и перейди к п.3 Да ладно Цитата:
Примечание: После создания подпись будет проверена на стороне сервера. Для успешного прохождения этой процедуры сертификат ключа проверки электронной подписи должен быть выдан Удостоверяющим Центром, которому доверяет сервер. Такой сертификат можно получить, например, в тестовом центре сертификации. Если подпись сделана на сертификате стороннего УЦ, сервер вернёт ошибку: "Не удается построить цепочку сертификатов для доверенного корневого центра".
Если доберешься до такой проблемы - уже полдела... ( = подпись создана). Выбери сертификат от CA1 NIAST - та же ошибка?
Если помнишь как раз обсуждали вопрос, на демо странице не подписывает сертификат созданный тестовом центре сертификации криптопро - то что ты сказал шас проверить и у меня не проверялось... Была ошибка.
Данная проблема решается добавлением ссылки в реестр на штамп времени " http://www.cryptopro.ru/ocspnc/ocsp.srf "
Теперь все сертификаты подписываются усоверш. подп. и Пример 5
Вопрос встал чуть другой. Указал наш тестовый сертификат и он не проходит.?!
Отредактировано пользователем 15 октября 2012 г. 17:55:57(UTC)
| Причина: Не указана |
Семья тебя простит... Дон Корлеоне |
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
http://cpdn.cryptopro.ru.../cades/requirements.htmlЦитата:
Адрес OCSP-сервера должен либо содержаться в расширении AIA (Authority Information Access) сертификата, на ключе которого создаётся подпись, либо должен быть задан в групповой политике КриптоПро OCSP Client
Адрес службы OCSP по умолчанию.
Цитата:
проблема решается добавлением ссылки в реестр на штамп времени
в реестр, "руками"? Цитата:
Вопрос встал чуть другой. Указал наш тестовый сертификат и он не проходит?!
Опять будем гадать? чей "наш"? и с какой ошибкой не проходит? Отредактировано пользователем 15 октября 2012 г. 17:49:33(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2011(UTC) Сообщений: 32 Откуда: Москва
|
Андрей * написал:dennioushen * написал:
проблема решается добавлением ссылки в реестр на штамп времени
в реестр, "руками"? А как еще?! После добавления 4 пункта (Скрин ниже) на демо странице наконец начали подписываться усовр. подп.
Андрей * написал:dennioushen * написал:
Вопрос встал чуть другой. Указал наш тестовый сертификат и он не проходит?!
Опять будем гадать? чей "наш"? и с какой ошибкой не проходит? Да, извини. В спешке писал.
На данный момент в тестовом режиме в Browser plug-in подписываются сертификаты простой и усоверш. подписью криптопро.
Стоит следующий вопрос.
Подписываю усоверш.подпись. Использую штамп времени, сертификат УЦ НИИАС - выдает ошибку " Строка: 32 Символ: 2 Ошибка: либо внутренняя ошибка ASN1 либо ошибка дешифровки"
Как узнать где проблема у УЦ НИИАС или!?
Использую пример 5
Цитата:
Option Explicit
Const CADES_BES = 1
Const CADES_DEFAULT = 0
Const CAPICOM_ENCODE_BASE64 = 0
Const CAPICOM_CURRENT_USER_STORE = 2
' Укажите правильный серийный номер сертификата.
Dim sSerialNumber : sSerialNumber = "161BC4C0000300002EA8" ' NIIAS
'Dim sSerialNumber : sSerialNumber = "28A2E22700020002B52F"
' Укажите правильный адрес службы штампов времени.
'Dim sTSAAddress : sTSAAddress = "http://cryptopro.ru/tsp/"
Dim sTSAAddress : sTSAAddress = "http://tsp.pki.transtk.ru/tspca1/tsp.srf"
Dim oSigner
Set oSigner = CreateObject("CAdESCOM.CPSigner")
oSigner.Certificate = GetSignerCertificate(sSerialNumber)
Dim oSignedData
Set oSignedData = CreateObject("CAdESCOM.CadesSignedData")
oSignedData.Content = "Some very significant message"
Dim sSignedData
' Создание и проверка подписи CAdES BES
sSignedData = oSignedData.SignCades(oSigner, CADES_BES, False, CAPICOM_ENCODE_BASE64)
oSignedData.VerifyCades sSignedData, CADES_BES, False
'sSignedData = oSignedData.SignCades(oSigner, CADES_DEFAULT, False, CAPICOM_ENCODE_BASE64)
'oSignedData.VerifyCades sSignedData, CADES_DEFAULT, False
' Создание параллельной подписи CAdES X Long Type 1
sSignedData = oSignedData.CoSignCades(oSigner, CADES_DEFAULT, CAPICOM_ENCODE_BASE64)
' Проверка полученных параллельных подписей на соответствие CAdES BES
oSignedData.VerifyCades sSignedData, CADES_BES, False
' Дополнение подписи CAdES BES до подписи CAdES X Long Type 1 (вторая
' подпись остается без изменения, так как она уже CAdES X Long Type 1)
sSignedData = oSignedData.EnhanceCades(CADES_DEFAULT, sTSAAddress, CAPICOM_ENCODE_BASE64)
' Проверка полученных параллельных подписей на соответствие CAdES X Long Type 1
oSignedData.VerifyCades sSignedData, CADES_DEFAULT, False
Function GetSignerCertificate(SerialNumber)
Set GetSignerCertificate = Nothing
Dim oCert
Dim oStore
Set oStore = CreateObject("CAPICOM.Store")
oStore.Open CAPICOM_CURRENT_USER_STORE
For Each oCert In oStore.Certificates
If (oCert.SerialNumber = SerialNumber) Then
Set GetSignerCertificate = oCert
Exit For
End If
Next
End Function
Function CreateFile (sFileName, sContent)
Dim fso
Set fso = CreateObject("Scripting.FileSystemObject")
Dim NewFile
Set NewFile = fso.CreateTextFile(sFileName, True)
NewFile.WriteLine(sContent)
NewFile.Close
End Function
Отредактировано пользователем 15 октября 2012 г. 18:37:44(UTC)
| Причина: Не указана |
Семья тебя простит... Дон Корлеоне |
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924  Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
dennioushen написал:Андрей * написал:dennioushen * написал:
проблема решается добавлением ссылки в реестр на штамп времени
в реестр, "руками"? А как еще?! ... Через оснастку "Групповые политики"... На скриншоте ссылка не на службу штампов, а на службу OCSP. Вам действительно нужно ограничить используемые службы OCSP? Заполнение списка разрешенных служб подразумевает, что все остальные службы (которых нет в этом списке) использовать запрещено. Со службами штампов - аналогично. dennioushen * написал:
Щас стоит следующий вопрос.
Подписываю усоверш.подпись. Использую штамп времени УЦ НИИАС, их сертификат и выдает ошибку " Строка: 32 Символ: 2 Ошибка: либо внутренняя ошибка ASN1 либо ошибка дешифровки"
Как узнать где проблема у УЦ НИИАС или!?
Самый простой способ - собрать лог http://www.cryptopro.ru/....aspx?g=posts&t=4577
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2011(UTC) Сообщений: 32 Откуда: Москва
|
Логи
Скачать логи
Реестр[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\Tracing]  [HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Trace]  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\Tracing]  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Trace]  Отредактировано пользователем 15 октября 2012 г. 19:38:17(UTC)
| Причина: Не указана |
Семья тебя простит... Дон Корлеоне |
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.07.2011(UTC) Сообщений: 32 Откуда: Москва
|
|
Семья тебя простит... Дон Корлеоне |
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
В сертификате CA1 NIIAS присутствует расширение SubjectAltName (OID 2.5.29.17), но значение этого расширения не задано. RFC 5280 явно требует заполнение значения этого расширения: Цитата: If the subjectAltName extension is present, the sequence MUST contain
at least one entry. Unlike the subject field, conforming CAs MUST
NOT issue certificates with subjectAltNames containing empty
GeneralName fields.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
