Статус: Новичок
Группы: Участники
Зарегистрирован: 26.02.2019(UTC)
Сообщений: 8
Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Не проходит проверку подпись сделанная УЦ "ФГБУ ФБ МСЭ Минтруда России". Основания полагать что с подписью всё окей - проходит проверку на Госуслугах (https://www.gosuslugi.ru/pgu/eds/). Проверка происходит на сервере в Java приложении, использованием следующего ПО: CSP: КриптоПро CSP 4.0.9963 (Abel) от 23.11.2018 JDK: 1_8_144 JCP: jcp-2.0.39852 В логи приложения выпадает следующий стактрейс: Код:
Caused by: ru.CryptoPro.CAdES.exception.CAdESException: Error building certification path for CN=Министерство труда и социальной защиты Российской Федерации, T=Начальник отдела, OU=Отдел по организации мероприят
at ru.CryptoPro.CAdES.CAdESSignerPKCS7Impl.verify(Unknown Source) ~[CAdES.jar!/:na]
at ru.CryptoPro.CAdES.CAdESSignerBESImpl.verify(Unknown Source) ~[CAdES.jar!/:na]
at ru.CryptoPro.CAdES.cl_0.verify(Unknown Source) ~[CAdES.jar!/:na]
at ru.CryptoPro.CAdES.cl_0.verify(Unknown Source) ~[CAdES.jar!/:na]
at ru.naumen.utils.SignDataHelper.getVerified(SignDataHelper.java:425) ~[classes!/:na]
at ru.naumen.controllers.EnhanceSignController.lambda$null$0(EnhanceSignController.java:54) ~[classes!/:na]
at ru.naumen.utils.ThrowingSupplier.get(ThrowingSupplier.java:11) ~[classes!/:na]
... 58 common frames omitted
Caused by: ru.CryptoPro.AdES.exception.AdESException: Error building certification path for CN=Министерство труда и социальной защиты Российской Федерации, T=Начальник отдела, OU=Отдел по организации мероприятий
at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unknown Source) ~[AdES-core.jar!/:na]
at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unknown Source) ~[AdES-core.jar!/:na]
at ru.CryptoPro.AdES.external.signature.AdESSigner.build(Unknown Source) ~[AdES-core.jar!/:na]
... 65 common frames omitted
Также дополнительно приложены трейс логи самого JCP. Дополнительно замечу, что проверка подписи на других онлайн сервисах ( https://crypto.kontur.ru/verify , https://www.justsign.me/verifyqca/Verify/ ) - не проходит. Собственно главный первоочередной вопрос к КриптоПро - в чем причина (на каком этапе какая конкретная ошибка приводит к невозможности проверить) того что данная подпись не проходит проверку на сервисе от КриптоПро - https://www.justsign.me/verifyqca/Verify/ ? Приложу скриншоты проверок. Второй вопрос к КриптоПро, уже конкретно по JCP - в чем причина (на каком этапе какая конкретная ошибка приводит к невозможности проверить), того что данная подпись не проходит проверку на JCP? Прикладываю файл с прикрепленной подписью.  TEST.pdf.sig (124kb) загружен 2 раз(а).Исходный подписываемый файл (на всякий случай). TEST.pdf (87kb) загружен 2 раз(а).Стактрей из логов java приложения. stacktrace.txt (2kb) загружен 1 раз(а).Логи jvm с трейсингом работы JCP. java_0_0.log.crop (248kb) загружен 1 раз(а).Скриншоты с онлайн проверками online-check_cryptopro.png (120kb) загружен 5 раз(а). online-check_gosuslugi.png (91kb) загружен 4 раз(а). online-check_kontur.png (102kb) загружен 4 раз(а).Отредактировано пользователем 6 апреля 2020 г. 13:30:36(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
Продублирую ответ из почты: Я посмотрел подпись. Что сразу бросилось в глаза. Подписант документа - Цитата: SET (1 elem) SEQUENCE (2 elem) OBJECT IDENTIFIER 1.2.840.113549.1.9.1 emailAddress (PKCS #9. Deprecated, use an altName extension instead) IA5String SharaninAV@rosmintrud.ru SET (1 elem) SEQUENCE (2 elem) OBJECT IDENTIFIER 2.5.4.10 organizationName (X.520 DN component) UTF8String Министерство труда и социальной защиты Российской Федерации SET (1 elem) SEQUENCE (2 elem) OBJECT IDENTIFIER 2.5.4.11 organizationalUnitName (X.520 DN component) UTF8String Отдел по организации мероприятий по мобилизационной подготовке и SET (1 elem) SEQUENCE (2 elem) OBJECT IDENTIFIER 2.5.4.12 title (X.520 DN component) UTF8String Начальник отдела SET (1 elem) SEQUENCE (2 elem) OBJECT IDENTIFIER 2.5.4.3 commonName (X.520 DN component) UTF8String Министерство труда и социальной защиты Российской Федерации Его издатель некий УЦ “ФГБУ ФБ МСЭ Минтруда России”. Вот только в подписанте нет ни одной ссылки где проверяющая сторона должна взять этот сертификат. Скорее всего из-за этого вам дают статус - “Не удается построить цепочку сертификатов до доверенного корневого центра”. Если сертификат издателя найти и поставить руками (передать в функцию проверки в случае с JCP) то возможно подпись проверится. Отредактировано пользователем 6 апреля 2020 г. 17:08:21(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,113
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
|
Федеральное Бюро Медико-Социальной Экспертизы, скорее всего предоставило сертификат, созданный в (их) защищённой сети (ViPNet). Без специальных телодвижений списки отзыва создаются и распространяются только в рамках этой сети.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602  Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Поддерживаю версию предыдущего сообщения, у нас вот тоже сертификат подобного УЦ с Vipnet - публикуется на страничке УЦ в интернете. Сейчас хотя бы сделали нормальный URL в сертификате до своей странички и раз в квартал публикуют список отзыва (публикуют вручную; бывало что просрочены, а новой версии еще нет), ранее мы скачивали сертификат и списки отзыва вручную, так как в URL была кириллица. OCSP-ответчик тоже есть, но... указан адрес в сети випнет, недоступный из интернета. Отмечу, что в утилите самого випнета это не вызывает затруднений - можно подписать просроченным сертификатом. Госуслуги имеют актуальную копию списков и сертификатов УЦ с портала Минкомсвязи и также проблем нет. Отредактировано пользователем 7 апреля 2020 г. 5:22:54(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
