Ошибка построения цепочки сертификатов.

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Ошибка построения цепочки сертификатов. - редирект при загрузке корневого сертификата УЦ

Опции

Предыдущая тема Следующая тема

Denid		#1 Оставлено : 7 декабря 2020 г. 15:42:37(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.12.2020(UTC) Сообщений: 2		Добрый день. Есть проблема с построением цепочки сертификатов. Есть сертификат, у которого указан URL корневого сертификата УЦ по http, во время проверки цепочки сертификата средствами JCP по этой ссылке происходит редирект (301 статус ответа) сначала на другой ресурс http, потом еще 1 редирект на https. JCP выдает такое сообщение: Цитата: FINER: CertStore URI: http://url-cert.cer Dec 07, 2020 2:46:27 PM ru.CryptoPro.reprov.certpath.URICertStore engineGetCertificates FINER: Downloading new certificates... Dec 07, 2020 2:46:33 PM ru.CryptoPro.reprov.certpath.URICertStore engineGetCertificates WARNING: Exception fetching certificates: java.security.cert.CertificateException: No certificate data found at sun.security.provider.X509Factory.parseX509orPKCS7Cert(X509Factory.java:456) at sun.security.provider.X509Factory.engineGenerateCertificates(X509Factory.java:356) at java.security.cert.CertificateFactory.generateCertificates(CertificateFactory.java:462) at ru.CryptoPro.reprov.certpath.URICertStore.engineGetCertificates(Unknown Source) at java.security.cert.CertStore.getCertificates(CertStore.java:151) at ru.CryptoPro.reprov.certpath.ForwardBuilder.a(Unknown Source) at ru.CryptoPro.reprov.certpath.ForwardBuilder.b(Unknown Source) at ru.CryptoPro.reprov.certpath.ForwardBuilder.a(Unknown Source) at ru.CryptoPro.reprov.certpath.SunCertPathBuilder.a(Unknown Source) at ru.CryptoPro.reprov.certpath.SunCertPathBuilder.a(Unknown Source) at ru.CryptoPro.reprov.certpath.SunCertPathBuilder.a(Unknown Source) at ru.CryptoPro.reprov.certpath.SunCertPathBuilder.a(Unknown Source) at ru.CryptoPro.reprov.certpath.SunCertPathBuilder.engineBuild(Unknown Source) at ru.CryptoPro.reprov.CPCertPathBuilder.engineBuild(Unknown Source) В найстроках задан парметр: System.setProperty("com.sun.security.enableAIAcaIssuers", "true"); Если скачивать отдельно сертификат УЦ и подкладывать для проверки, то цепочка строится нормально, но нам не подходит такой кейс, т.к. сертификатов много и они от разных УЦ. Ранее была похожая проблема но со списком отзыва, ее решили добавив параметр в JVM -Dallow_crl_redirect=true И еще 1 вопрос, есть так же сертификат в котором нет URL на сертификат УЦ (другой случай), может быть такое, и является ли такой сертификат валидным, т.к. нужно скачивать сертификат УЦ отдельно и подкладывать его для проверки пути сертификации? Отредактировано пользователем 7 декабря 2020 г. 19:09:06(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Евгений Афанасьев		#2 Оставлено : 11 декабря 2020 г. 17:48:23(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,006 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 715 раз в 675 постах		Здравствуйте. Приложите сертификат, посмотрим. Если нет URL для скачивания сертификата, то для построения цепочки нужно передать его в CertStore в параметрах в builder.build(), а если это корневой - добавить его в TrustAnchors (см. пример OCSPValidateCert в пакете userSamples в samples-sources.jar). Отредактировано пользователем 11 декабря 2020 г. 17:52:10(UTC) \| Причина: Не указана
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Denid		#3 Оставлено : 11 декабря 2020 г. 18:08:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.12.2020(UTC) Сообщений: 2		Автор: Евгений Афанасьев Здравствуйте. Приложите сертификат, посмотрим. Если нет URL для скачивания сертификата, то для построения цепочки нужно передать его в CertStore в параметрах в builder.build(), а если это корневой - добавить его в TrustAnchors (см. пример OCSPValidateCert в пакете userSamples в samples-sources.jar). Да, я понимаю, что корневой сертификат нужно добавить в TrustAnchors, хотел уточнить, является ли данный кейс (то, что в сертификате нет URL на сертификат УЦ) корректным/законным, или такой случай тоже возможен? Сертификат с URL на сертификат УЦ, который делает 2-оной редирект (первый вопрос) sert (1) (2).zip (2kb) загружен 1 раз(а). Отредактировано пользователем 11 декабря 2020 г. 18:17:31(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close