Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
При попытке подписать документ получаю ошибку 0x800B0109 - A certificate chain processed correctly, but terminated in a root certificate which is not trusted b
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Dmitriy32546  
#1 Оставлено : 28 октября 2021 г. 17:00:59(UTC)
Dmitriy32546

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.05.2021(UTC)
Сообщений: 9
Мужчина
Добрый день.

CryptCP 5.0 (c) "Crypto-Pro", 2002-2021.
debian 10

Установил серты тестового УЦ:
/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file /home/signer/dev_cert2/rootca.cer
/opt/cprocsp/bin/amd64/certmgr -inst -store uCa -file /home/signer/dev_cert2/ivanov3_test.cer
/opt/cprocsp/bin/amd64/certmgr -install -pfx -file /home/signer/dev_cert2/ivanov3_test.pfx -pin test

Серты генерировал тут
https://www.cryptopro.ru/certsrv/certrqma.asp

При установке корневого сертификата получил предупреждение (ввел "o"):
CPCSP: Warning: installing a root certificate with an unconfirmed thumbprint is a security risk. Do you want to install this certificate?
Subject: Тестовый головной УЦ ООО "КРИПТО-ПРО" ГОСТ 2012 (УЦ 2.0)
Thumbprint (sha1): 9E504E9099C79AA0883FBBFD619662739AC25420
(o)OK, (c)Cancel

Информация о установленном сертификате:
signer@dev-scryptopro-service:~$ /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : E=ivan@ivan.ivan, CN=Ivanov3, OU=IT, O=OOO, L=Moscow, S=Moscow, C=RU
Serial : 0x1200599C37C8A7ABD4384D8BE3000100599C37
SHA1 Thumbprint : c25ad71c6ce796033a15b747c6ed0ebbc210022d
SubjKeyID : d33bdddc5b79f9e455f4fcb79747c2e161535b30
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 13/10/2021 09:10:37 UTC
Not valid after : 13/01/2022 09:20:37 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\Ivanov3.000\0518
Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro....Test%20Center%202(1).crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....Test%20Center%202(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента

Промежуточные:
/opt/cprocsp/bin/amd64/certmgr -list -store uCa
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Serial : 0x37418882F539A5924AD44E3DE002EA3C
SHA1 Thumbprint : cd321b87fdabb503829f88db68d893b59a7c5dd3
SubjKeyID : 4e833e1469efec5d7a952b5f11fe37321649552b
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 27/05/2019 07:24:26 UTC
Not valid after : 26/05/2024 07:34:05 UTC
PrivateKey Link : No
2-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : E=ivan@ivan.ivan, CN=Ivanov3, OU=IT, O=OOO, L=Moscow, S=Moscow, C=RU
Serial : 0x1200599C37C8A7ABD4384D8BE3000100599C37
SHA1 Thumbprint : c25ad71c6ce796033a15b747c6ed0ebbc210022d
SubjKeyID : d33bdddc5b79f9e455f4fcb79747c2e161535b30
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 13/10/2021 09:10:37 UTC
Not valid after : 13/01/2022 09:20:37 UTC
PrivateKey Link : No
CA cert URL : http://testca.cryptopro....Test%20Center%202(1).crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....Test%20Center%202(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
=============================================================================

Корневые:
/opt/cprocsp/bin/amd64/certmgr -list -store uRoot
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : C=RU, INNLE=7717107991, E=info@cryptopro.ru, OGRN=1037700085444, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Subject : C=RU, INNLE=7717107991, E=info@cryptopro.ru, OGRN=1037700085444, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Serial : 0x03453C7B0071ADD9AB4C5FC8A8451F97A7
SHA1 Thumbprint : 9e504e9099c79aa0883fbbfd619662739ac25420
SubjKeyID : 86967f858c1b31aa92a68d14f28cbb1f212f5c3a
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 26/07/2021 07:18:42 UTC
Not valid after : 26/07/2036 07:18:42 UTC
PrivateKey Link : No

Написан код для pycades:
signer = pycades.Signer()
signer.Certificate = cert.Item(1)

signer.CheckCertificate = True
signer.KeyPin=key_pin

hashedData = pycades.HashedData()
hashedData.Algorithm = pycades.CADESCOM_HASH_ALGORITHM_CP_GOST_3411_2012_256
hashedData.Hash(xml_data)

signedData = pycades.SignedData()
signature = signedData.SignHash(hashedData, signer, pycades.CADESCOM_CADES_BES)

При попытке выполнить подпись(signedData.SignHash) получаю ошибку:
'A certificate chain processed correctly, but terminated in a root certificate which is not trusted by the trust provider (0x800B0109)'
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Online Андрей *  
#2 Оставлено : 28 октября 2021 г. 17:10:28(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,664
Мужчина
Российская Федерация

Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
Здравствуйте.

Настолько сложно уже перевести или по коду найти ответ?)


Issuer сверьте, почему в корневых нет сертификата УЦ в котором получали?

p.s. Кто и как заставляет использовать ГОСТ-2001 в 2021 году?
Почему не используете сертификаты с ГОСТ-2012?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Dmitriy32546  
#3 Оставлено : 10 ноября 2021 г. 17:50:41(UTC)
Dmitriy32546

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.05.2021(UTC)
Сообщений: 9
Мужчина
Удалось победить проблему заново выкачав все серты тестового УЦ криптопро, что было так и не понял.
Теперь такая же проблема с сертами от росбанка.

Цитата:
Issuer сверьте, почему в корневых нет сертификата УЦ в котором получали?

В корневых есть сертификат УЦ росбанка.

ROOT
1-------
Issuer : CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru
Subject : CN=Криптосервер CRP H2H 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru
Serial : 0x19
SHA1 Thumbprint : 61245c7ea4ee1a19f2104f3a6d4045fd736d4e78
SubjKeyID : 3236
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 29/01/2019 07:21:47 UTC
Not valid after : 13/11/2292 07:21:47 UTC
PrivateKey Link : No
CDP : https://www3.bankline.ru/crl2012256.crl


CA
1-------
Issuer : CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru
Subject : CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru
Serial : 0x7FFFFFEE
SHA1 Thumbprint : 1b34ef141b922c27f92350351e6eda557425ad8f
SubjKeyID : 3234
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 29/01/2019 07:03:04 UTC
Not valid after : 13/11/2292 07:03:04 UTC
PrivateKey Link : No

ключ
1-------
Issuer : CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru
Subject : CN=Иванов Иван Иванович, O=Общество с ограниченной ответственностью Ромашка, 0.9.2342.19200300.100.1.1=8736S75846SRB
Serial : 0x0B3281
SHA1 Thumbprint : c6d8ed8f651e4847b455a5f32307c2b81301e965
SubjKeyID : 696263383733365337353834365352423230323131313039313833363332
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 10/11/2021 09:35:43 UTC
Not valid after : 09/11/2022 15:38:22 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\pfx-89c2.000\4D18
Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
CDP : https://www6.bankline.ru/crl2012256.crl


Цитата:
Почему не используете сертификаты с ГОСТ-2012?

Вроде 2012 везде.

Что еще можно проверить, в чем может быть проблема ?

При попытке подписи ошибка:
Exception('A certificate chain processed correctly, but terminated in a root certificate which is not trusted by the trust provider (0x800B0109)')

Отредактировано пользователем 10 ноября 2021 г. 17:54:44(UTC)  | Причина: Не указана
Вверх
Offline Руст2007  
#4 Оставлено : 24 ноября 2021 г. 23:26:04(UTC)
Руст2007

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.05.2021(UTC)
Сообщений: 7

Сказал(а) «Спасибо»: 4 раз
Коллеги, добрый день.
При проверке цепочки сертификата вижу следующую проблему, подскажите, пожалуйста, что не так с сертификатом УЦ?

Код:
...
1.Find path for:
2.Find path for:
Verifing chain....
 initial oid = 2.5.29.32.0
1. Verifing chain item:
 No extension. Create new leaf depth1
level = 1 Node size = 1
level = 1 num_child = 0
level = 1 parent_i = 0
level = 1 parent_j = 0
  Intermediate certificate has no basicConstraints extension.
Build chain is not valid.
There is no valid issuer.
----------- Error chain -----------
  Subject:'CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru'
  Issuer:'CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru'
Chain status:INVALID_BASIC_CONSTRAINTS
Revocation reason:unspecified
1.
 Subject:'CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru'
 Issuer:'CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru'
 Cert status:INVALID_BASIC_CONSTRAINTS
2.
...
Вверх
Offline Санчир Момолдаев  
#5 Оставлено : 26 ноября 2021 г. 13:02:36(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,223
Российская Федерация

Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 290 раз в 270 постах
Автор: Руст2007 Перейти к цитате
Коллеги, добрый день.
При проверке цепочки сертификата вижу следующую проблему, подскажите, пожалуйста, что не так с сертификатом УЦ?

Код:
...
1.Find path for:
2.Find path for:
Verifing chain....
 initial oid = 2.5.29.32.0
1. Verifing chain item:
 No extension. Create new leaf depth1
level = 1 Node size = 1
level = 1 num_child = 0
level = 1 parent_i = 0
level = 1 parent_j = 0
  Intermediate certificate has no basicConstraints extension.
Build chain is not valid.
There is no valid issuer.
----------- Error chain -----------
  Subject:'CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru'
  Issuer:'CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru'
Chain status:INVALID_BASIC_CONSTRAINTS
Revocation reason:unspecified
1.
 Subject:'CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru'
 Issuer:'CN=УЦ Aдмин H2H ТЕСТ 2012 256, O=РОСБАНК, E=icb2line@rosbank.ru'
 Cert status:INVALID_BASIC_CONSTRAINTS
2.
...


отвечено тут
Техническую поддержку оказываем тут
Наша база знаний
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET