Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Michael311  
#1 Оставлено : 16 мая 2019 г. 10:31:15(UTC)
Michael311

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.02.2019(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Добрый день, столкнулись с проблемой подписи PDF документов.
Установлены КриптоПРО CSP 4.0, КриптоПРО PDF, TSP, OCSP. Ключи действительны.
Получили от УЦ ключ с нашим сертификатом, по инструкции установили все корневые сертификаты в соответствии с гостом 2012. Все работает.

При просмотре свойства сертификата все замечательно.
Закрытый ключ есть, Алгоритм подписи: ГОСТ Р 34.11-2012/34.10-2012 256 бит

Путь сертификации

Когда пробуем подписать документ, то в свойствах сертификата некая ошибка проверки сертификата Минкомсвязи.

Минкомсвязь

Далее при подписи документа с штампом времени при использовании сервиса TSP от КриптоПРО "http://qs.cryptopro.ru/tsp/tsp.srf" без галки "доказательства подлинности" все подписывается без ошибок. Если использовать галку доказательства подлинности, то он ругается на отсутствие сервера OCSP с ошибкой "Невозможно вычислить подпись --- Не задан адрес службы OCSP", если же использовать другие TSP службы, например Контур, то вылетает ошибка "Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции".

Далее если все подписано с TSP от КриптоПРО и открыть документ на другом компьютере, то можно увидеть следующее:

Ошибка подписи

Мало того, что подпись не определена, так еще меня дополнительно смущает строчка "Время подписи указывается в соответствии с данными часов на компьютере подписавшего", я же указывал штамп времени.

Так же я проверил подписанный документ на сторонних ресурсах и вот результаты:

Госуслуги проверка файла
Госуслуги проверка сертификата

Justsign проверка файла
Justsign проверка сертификата

Пожалуйста, помогите разобраться! Спасибо!

P.S. Картинки не работают, извините, что скриншоты ссылками.

Отредактировано пользователем 16 мая 2019 г. 10:34:11(UTC)  | Причина: Не указана

Offline two_oceans  
#2 Оставлено : 20 мая 2019 г. 5:55:53(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Добрый день. С путем сертификации какие-то проблемы, но по скриншотам сложно сказать какие именно. Предположительно в хранилище есть несколько сертификатов Минкомсвязи и при подписании в цепочку берется неверный, а когда смотрите цепочку - берется верный. Возможны и другие варианты причины сбоев.

Автор: Michael311 Перейти к цитате
Мало того, что подпись не определена, так еще меня дополнительно смущает строчка "Время подписи указывается в соответствии с данными часов на компьютере подписавшего", я же указывал штамп времени.
Препполагаю, что строчка про время как раз из-за непоставленной галки "Доказательства подписи", то есть метка времени проставлена и подписана Вами, но не удостоверена сервером доверенного времени. При этом подпись похоже уже не соответствует формату Cades-T, попробуйте проверить как cades-BES.

Вообще достаточно странно, что Вы используете сереверы доверенного времени КриптоПро и Контура, при том что сертификат, которым подписан документ, выпущен другим УЦ. При этом скорее всего в самом сертификате не прописан адрес OCSP сервера выпустившего УЦ и "чужой" сервер доверенного времени не может проверить сертификат. К слову, Контур скорее всего не принимет "чужие" сертифимкаты, полагаю ошибка говорит именно об этом. Чтобы избежать такой путаницы, в идеале нужно знать адрес сервера доверенного времени УЦ, выпустившего сертификат, которым подписываете документ и использовать именно его адрес. Тогда сервер доверенного времени узнает "свой" УЦ и проверит подлинность сертификата каким-то из способов.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
Michael311 оставлено 20.05.2019(UTC)
Offline Michael311  
#3 Оставлено : 20 мая 2019 г. 14:56:43(UTC)
Michael311

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.02.2019(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Связывался с нашим УЦ, сказали, что у них нет своей TSP-службы собственно из-за этого и пробовал пользоваться сторонними.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.