Статус: Участник
Группы: Участники
Зарегистрирован: 16.10.2019(UTC) Сообщений: 22  Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
|
Разрабатывается сервис, в котором происходит проверка подписей.
При проверке подписей сертификатами именно ГлавНИВЦ вылетает ошибка (С другими УЦ все в порядке)
“For online validation by CRLDP parameter 'com.sun.security.enableCRLDP' (Oracle) or 'com.ibm.security.enableCRLDP' (IBM) must be set 'true' to enable or 'ocsp.enable' must be set 'true' (OCSP), or CRL passed for offline validation”
Данные параметры включены:
System.setProperty("com.sun.security.enableCRLDP", "true");
System.setProperty("com.ibm.security.enableCRLDP", "true");
System.setProperty("ru.CryptoPro.reprov.enableCRLDP", "true");
System.setProperty("ocsp.enable", "true");
При дебаге, ошибка вылетает в классе PKIXMasterCertPathValidator.java во время проверки CrlRevocationChecker
...
try {
currChecker.check(currCert, unresCritExts); <-- здесь
if (debug != null) {
debug.println("-checker" + (j + 1) +
" validation succeeded");
}
...
Падает с ошибкой: «Could not determine revocation status: unable to find valid certification path to requested target»
Crl файл через браузер скачивается.
Но не скачивается курлом (выдает 301 ошибку Moved Permanently)
Не подскажете в чем может быть проблема? ГлавНИВЦ заверяют, что с их crl все впорядке.
Сертификат добавлен в cacerts
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Скорее всего, в клиентском сертификате один единственный адрес CRL в списке CRLDP, у него выполняется переход (301) на https. Эти действия не поддерживаются, CRL не грузится, проверка статуса сертификата не выполняется. |
|
 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 16.10.2019(UTC) Сообщений: 22 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
|
Спасибо за подсказку!
Проблема решена.
Ссылка crl редиректила на https урл, поэтому я, вытащив crl урлы из подписи, используя HttpsURLConnection и HttpURLConnection, бегая по редиректам скачал crl файл.
[ InputStream is = httpsConn.getInputStream(); X509CRL crl = (X509CRL) certificateFactory.generateCRL(is); ]
и передал его в метод signature.verify(null, crlSet);
Проверка прошла успешно
|
1 пользователь поблагодарил ig-gor1995 за этот пост.
|
dbubb оставлено 28.10.2019(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.02.2011(UTC) Сообщений: 43  Откуда: Екатеринбург Сказал «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: ig-gor1995  Спасибо за подсказку!
Проблема решена.
Ссылка crl редиректила на https урл, поэтому я, вытащив crl урлы из подписи, используя HttpsURLConnection и HttpURLConnection, бегая по редиректам скачал crl файл.
[ InputStream is = httpsConn.getInputStream(); X509CRL crl = (X509CRL) certificateFactory.generateCRL(is); ]
и передал его в метод signature.verify(null, crlSet);
Проверка прошла успешно
Добрый день. Я правильно понимаю, что у вас КриптоПро JCP используется без JTLS? И если вы все-таки используете JTLS как вы обходите тот факт, что JTLS не дает работать по https с не-ГОСТ'овскими сертификатами?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
