Статус: Участник
Группы: Участники
Зарегистрирован: 04.07.2019(UTC)
Сообщений: 26
|
Автор: Евгений Афанасьев  У itextpdf есть методы проверки, посмотрите пример SignVerifyPDFExample из пакета PDF в sampels-sources.jar. Из примера: Код:
/**
* Проверка подписи PDF документа.
*
* @param fileToVerify PDF документ для проверки.
* @param trustStore Хранилище с корневыми сертификатами.
* @param crl CRL для проверки цепочки сертификатов.
* @param provider Имя провайдера для проверки подписи.
* @return количество подписей.
* @throws Exception
*/
public static int verify(String fileToVerify, KeyStore trustStore,
CRL crl, String provider) throws Exception {
1. CRL, насколько я понимаю, это Certificate Revocation List, то есть список отозванных сертификатов, по которому нужно проверить сертификат на отозванность. А в комментарии указано "для проверки цепочки сертификатов". Как список отозванных связан с проверкой цепочки сертификатов? 2. Где взять "trustStore Хранилище с корневыми сертификатами"? Напомню кейс. Нужен сервис, работающий на JCP, в который приходит подписанный при помощи КриптоПро PDF PDF-файл. На данный момент смог проверить подпись на валидность, вытянуть из сертификата, который прилагаются к PDF-файлу, ссылку на список отозванных сертификатов, проверить по нему. Видимо, осталось проверить корневые сертификаты.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Автор: Сергей1102
1. CRL, насколько я понимаю, это Certificate Revocation List, то есть список отозванных сертификатов, по которому нужно проверить сертификат на отозванность. А в комментарии указано "для проверки цепочки сертификатов". Как список отозванных связан с проверкой цепочки сертификатов?
2. Где взять "trustStore Хранилище с корневыми сертификатами"? Напомню кейс. Нужен сервис, работающий на JCP, в который приходит подписанный при помощи КриптоПро PDF PDF-файл. На данный момент смог проверить подпись на валидность, вытянуть из сертификата, который прилагаются к PDF-файлу, ссылку на список отозванных сертификатов, проверить по нему. Видимо, осталось проверить корневые сертификаты.
1. Статусы сертификатов в цепочке проверяются с помощью CRL. 2. trustStore нужно создать, в нем должны находиться доверенные корневые сертификаты. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.07.2019(UTC)
Сообщений: 26
|
Автор: Евгений Афанасьев
2. trustStore нужно создать, в нем должны находиться доверенные корневые сертификаты.
Можно как-то обойтись без создания trustStore? Раз мы подписываем pdf-файл при помощи криптопро pdf, значит в сертификате должна быть информация о сертификате УЦ КриптоПро?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Информация может быть или может отсутствовать. Если даже есть, то на клиенте этому корневому нет доверия, пока нельзя убедиться, что корневой есть в списке доверенных корневых сертификатов, т.е. trust store. Это стандартная практика, точно также вы должны установить корневые в хранилище Root в Windows, чтобы построилась цепочка. Отредактировано пользователем 19 февраля 2020 г. 12:48:58(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 04.07.2019(UTC)
Сообщений: 26
|
Автор: Евгений Афанасьев Информация может быть или может отсутствовать. Если даже есть, то на клиенте этому корневому нет доверия, пока нельзя убедиться, что корневой есть в списке доверенных корневых сертификатов, т.е. trust store. Это стандартная практика, точно также вы должны установить корневые в хранилище Root в Windows, чтобы построилась цепочка. Вот есть 50 машин с криптопро пдф, они подписывают файлы и отправляют в сервис для проверки подписи. Мне получается с этих 50-ти машин нужно собрать их корневые серты положить их в хранилище сертов на машине, где сервис находится, и только тогда я смогу проверять подпись? Я может какую-то чушь спрашиваю от недостатка информации :) Может есть какой-то мануал или теоретические сведения по этому поводу?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Автор: Сергей1102 Вот есть 50 машин с криптопро пдф, они подписывают файлы и отправляют в сервис для проверки подписи. Мне получается с этих 50-ти машин нужно собрать их корневые серты положить их в хранилище сертов на машине, где сервис находится, и только тогда я смогу проверять подпись? В целом, да (промежуточные тоже соберите на всякий случай). На компьютерах могут быть всяческие стандартные наборы корневых сертификатов, которые реально в криптопро пдф не используются. Поэтому как минимум (при условии что не используются зарубежные алгоритмы для подписи pdf) можно сузить круг и выбрать только гост сертификаты. Если на всех компьютерах подписывают квалифицированными сертификатами гост-2012, то обычно достаточно только один корневой Минкомсвязи и периодически обновлять полный список промежуточных (есть на https://e-trust.gosuslugi.ru/ ). Если есть самодельные УЦ, то надо и их сертификаты собирать (но тут уже зависит каким УЦ сервис будет доверять: например, в продакшн нежелательно добавлять тестовые УЦ, так как тестовые не контролируют кто получил сертификат с какими данными). Отредактировано пользователем 19 февраля 2020 г. 13:21:55(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
