Здравствуйте.

На системе с java_8_144 и jcp 2.0.39852 производится проверка подписи, сертификат по которой выпущен "УЦ Правосудие" которого непосредственно нет в реестре (https://e-trust.gosuslugi.ru/CA/DownloadTSL?schemaVersion=0), однако есть кросс сертификат с таким же keyId который добавлен в cacerts, в результате проверка выдает ошибку:
java.lang.RuntimeException: Root certificate:<поля сертификата УЦ из подписи> is untrusted; error codes: [32] 'Root certificate is in the certificate chain but not in cacerts'
Caused by: ru.CryptoPro.CAdES.exception.CAdESException: Root certificate:<поля сертификата УЦ из подписи> is untrusted
Caused by: ru.CryptoPro.AdES.exception.AdESException: Root certificate :<поля сертификата УЦ из подписи> is untrusted.
(полный стактрейс приложу в файле).

Нашел похожу тему - https://www.cryptopro.ru....aspx?g=posts&t=8460 , но описанная там проблема кажется уже не актуальна и предложенное решение не применимо. При проверке выбран провайдер "JCP". Каких-то специфичных настроек или параметров в приложении не задается.

Насколько понял из декомпилированных внутренностей JCP строится цепочка непосредственно из подписи (сертификат которым подписывали + его непосредственно выпустивший сертификат УЦ, которого нет в cacerts), при этом почему-то не строится цепочка которая включается кросс сертификат по соответствию keyId, хотя вроде как должен.

Насколько понимаю в конечном счете проверка должна проходить успешно. Также успешно проверяли данную подпись на госуслугах (www.gosuslugi.ru/pgu/eds/) и контур.крипто (crypto.kontur.ru/verify).
Пожалуйста, помогите выяснить причину и устранить проблему.


Прикладываю файлы документа, его подписи, стактрейса ошибки и сертификатов.
cryptoPro-crosscertificate-problem.zip (115kb) загружен 6 раз(а).

Отредактировано пользователем 26 февраля 2019 г. 16:05:21(UTC)  | Причина: Не указана