Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC) Сообщений: 30 
|
Добрый день. Делаем проверку прикрепленной подписи при помощи JCP-2.0.40035. Получаем ошибку "Certificate status is unknown or revoked". Корневой и промежуточный сертификаты в доверенные добавлены. Помогите, пожалуйста, понять, в чем проблема.  sign.txt (5kb) загружен 9 раз(а).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC) Сообщений: 30
|
Нужна еще какая-нибудь информация?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
|
Проверьте чтобы адреса crl из сертификата подписанта были доступны с машины, на которой происходит проверка подписи.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC) Сообщений: 30
|
Адреса crl с машины, где идет проверка, доступны. Что еще можно проверить?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC) Сообщений: 30
|
Логи прилагаю logs.txt (1,307kb) загружен 4 раз(а).
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
|
Коллеги, а что означают строки? Код:[DEBUG] 2021-11-10 13:24:19.673 [http-nio-8105-exec-1] JCPLogger - CRL does not satisfy the cert selector (match) or some other options (verifyCRL)
[DEBUG] 2021-11-10 13:24:19.673 [http-nio-8105-exec-1] JCPLogger - CertStore URI: http://company.rt.ru/cdp/guc2021.crl
Я правильно понимаю что сначала из всей цепочки выдергивается весь список со всеми crl и после этого сертификат подписанта проверяется относительно каждого из этих crl по очереди, пока не будет встречен первый подходящий crl? А тк первыми в списке идут 3 crl от минкомсвязи и только потом crl подписанта, то каждый раз будут скачиваться все 3 crl минкомсвязи? P.S. Подозреваю что у ТС проблема вот в этом: Код:[DEBUG] 2021-11-10 13:24:19.852 [http-nio-8105-exec-1] JCPLogger - CertStore URI: http://cdp2.itk23.ru/itcom2012-2020.crl
[DEBUG] 2021-11-10 13:24:19.853 [http-nio-8105-exec-1] JCPLogger - Connecting: http://cdp2.itk23.ru/itcom2012-2020.crl
[DEBUG] 2021-11-10 13:24:19.879 [http-nio-8105-exec-1] JCPLogger - Downloading new CRL...
[DEBUG] 2021-11-10 13:24:19.970 [http-nio-8105-exec-1] JCPLogger - crl issuer does not equal cert issuer
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.10.2021(UTC) Сообщений: 30
|
Коллеги, проверка подписи не проходит именно по этой причине? Цитата:JCPLogger - crl issuer does not equal cert issuer Если да, то по какому критерию идет сравнение crl и сертификата издателя?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.11.2019(UTC)
Сообщений: 54
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 1 раз в 1 постах
|
Цитата:Если да, то по какому критерию идет сравнение crl и сертификата издателя? Вот это издатель сертификата из приложенной подписи: Код:
SEQUENCE (2 elem)
SEQUENCE (9 elem)
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 1.2.643.100.1
NumericString 1167746840843
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 1.2.643.3.131.1.1
NumericString 007714407563
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 2.5.4.6 countryName (X.520 DN component)
PrintableString RU
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 2.5.4.8 stateOrProvinceName (X.520 DN component)
UTF8String 77 г. Москва
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 2.5.4.7 localityName (X.520 DN component)
UTF8String Москва
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 2.5.4.9 streetAddress (X.520 DN component)
UTF8String ВН.ТЕР.Г. МУНИЦИПАЛЬНЫЙ ОКРУГ АЛЕКСЕЕВСКИЙ, УЛ ЯРОСЛАВСКАЯ, Д. 13А, СТР. 1, ПОМЕ…
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 2.5.4.11 organizationalUnitName (X.520 DN component)
UTF8String Удостоверяющий центр
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 2.5.4.10 organizationName (X.520 DN component)
UTF8String ООО "АйтиКом"
SET (1 elem)
SEQUENCE (2 elem)
OBJECT IDENTIFIER 2.5.4.3 commonName (X.520 DN component)
UTF8String ООО "АйтиКом"
INTEGER (79 bit) 363548114137957045299989
SEQUENCE (2 elem)
OBJECT IDENTIFIER 1.2.643.7.1.1.2.2 gost2012Digest256 (GOST R 34.11-2012 256 bit digest)
А вот это издатель crl вашего сертификата: Код:OGRN = 1167746840843, INN = 007714407563, C = RU, ST = 77 г. Москва, L = Москва, street = "УЛИЦА 8 МАРТА, ДОМ 1, СТРОЕНИЕ 12, КОМНАТА 3,ПОМЕЩ XLII,ЭТ 7", OU = Удостоверяющий центр, O = ООО \"АйтиКом\", CN = ООО \"АйтиКом\"
Не уверен что это влияет, но не совпадает улица. Значит что это два разных сертификата. Хотя логичнее было бы сравнивать по отпечатку сертификатов, но возможности получить отпечаток сертификата из crl я не нашел. Коллеги из КриптоПро, подскажите пжлст - возможно ли получить отпечаток сертификата издателя crl? Ну вопрос ТС по прежнему актуален - по какому критерию идет сравнение? Ну и мой вопрос про строки из лога тоже актуален )
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,193 Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 274 раз в 254 постах
|
Добрый день!
сравниваются по SubjectName, они должны совпадать.
по поводу отпечатка: так делать нельзя т.к. изначально подразумевалось что ключ ЦС персонализирован.
т.е. дневной админ ЦС уходит домой, забирает свой ключ. приходит ночной админ вставляет свой ключ.
ключ разные, а проверка должна проходить в любом случае. не скажешь эту подпись проверяйте по дневным crl, а эту по ночным (утрированно) |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
