Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Chemannnnn  
#1 Оставлено : 25 января 2022 г. 12:26:35(UTC)
Chemannnnn

Статус: Участник

Группы: Участники
Зарегистрирован: 29.11.2021(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 2 раз в 1 постах
Здравствуйте.
Пытаюсь в Java реализовать проверку прикреплённой CAdES подписи с локальным файлом списка отозванных сертификатов (CRL).
В системе (Win10 x64) установлен OpenJDK 1.8.0_232 и jcp-2.0.40035 (также был установлен CryptoPro CSP 5.0.12000 КС1, но с ним из кода не работаю, только с JCP).
Проблема следующая: есть файл прикреплённой CAdES подписи, верификация подписи с использованием онлайн проверки списка отозванных сертификатов происходит успешно (когда включены следующие параметры):

Но при развёрнутом на сервере приложении возможности онлайн проверки не будет, поэтому экспериментирую со следующим кодом:

Но получаю ошибку:

Сертификат подписи извлёк из файла подписи с помощью программы "КриптоАРМ", затем по URL в сертификате подписи из поля "Доступ к информации о центрах сертификации" скачал сертификат УЦ (КриптоПро) и добавил оба эти сертификата в cacerts. Повторюсь, верификация с онлайн проверкой CRL проходит успешно.
Далее в сертификате подписи из поля "Точки распространения списков отзыва (CRL)" скачал оба CRL файла - URL разные, но по обеим ссылкам скачивается одинаковый CRL-файл, насколько я понял.

CRL-файл, скачанный по первому URL, загружаю в коде.
Прошу помощи - что именно делаю неправильно и почему верификация подписи работает при:

но возвращает ошибку при:

в вышеуказанном коде?
Offline Chemannnnn  
#2 Оставлено : 25 января 2022 г. 14:47:04(UTC)
Chemannnnn

Статус: Участник

Группы: Участники
Зарегистрирован: 29.11.2021(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 2 раз в 1 постах
Лог выполнения (как это описано тут)
Первая часть лога (весь лог не вошёл в сообщение, а приложить файлом нет доступа):

Отредактировано пользователем 25 января 2022 г. 14:49:44(UTC)  | Причина: Не указана

Offline Chemannnnn  
#3 Оставлено : 25 января 2022 г. 14:50:41(UTC)
Chemannnnn

Статус: Участник

Группы: Участники
Зарегистрирован: 29.11.2021(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 2 раз в 1 постах
Вторая часть лога:
Offline Александр Лавник  
#4 Оставлено : 25 января 2022 г. 14:54:17(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,451
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 791 раз в 731 постах
Здравствуйте.

У списка отзыва этого УЦ срок действия менее 2 часов.

Вы точно используете актуальный CRL?
Техническую поддержку оказываем тут
Наша база знаний
Offline Санчир Момолдаев  
#5 Оставлено : 25 января 2022 г. 15:06:19(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,193
Российская Федерация

Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 274 раз в 254 постах
Добрый день!
в случае с длинной цепочкой:
МКС - УЦ - пользователь

при проверке участвует два crl. один издан МКС, второй издан УЦ:
МКС (crl) - УЦ (crl)- пользователь
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
Chemannnnn оставлено 25.01.2022(UTC)
Offline Санчир Момолдаев  
#6 Оставлено : 25 января 2022 г. 15:34:28(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,193
Российская Федерация

Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 274 раз в 254 постах
создайте обращение на портале
приложите подпись которую проверяете. и crl который вы подаете в коде

там попробуем воспроизвести
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
Chemannnnn оставлено 25.01.2022(UTC)
Offline Chemannnnn  
#7 Оставлено : 25 января 2022 г. 15:38:59(UTC)
Chemannnnn

Статус: Участник

Группы: Участники
Зарегистрирован: 29.11.2021(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 2 раз в 1 постах
Автор: Александр Лавник Перейти к цитате
Здравствуйте.

У списка отзыва этого УЦ срок действия менее 2 часов.

Вы точно используете актуальный CRL?


Здравствуйте.
Мне предоставили тестовый файл подписи для "опытов" (в заглавном посте темы описал как извлекал сертификаты и CRL) и хочется разобраться как работать с локальным CRL, т.к. доступа развёрнутому приложению для онлайн проверки не будет.
Срок действия СОС видел, он действительно около полутора часов, но ссылки в сертификате были только на эти CRL.
Срок действия CRL как-то участвует при проверке подписи, если параметром передано множество CRL?

Уже были мысли, что проверка не проходит из-за этих сроков, но вчера долго сидел с этим кодом и в какие-то моменты верификация происходила без ошибок (хотя использовал CRL, скачанные по тем же URL из сертификата), сегодня опять ошибки верификации. Это очень странно.

В первую очередь интересует почему появляется ошибка
ведь в параметрах установлено:

Сейчас добавил к ним ещё и:

но ошибки те же.
Offline Александр Лавник  
#8 Оставлено : 25 января 2022 г. 15:44:26(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,451
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 791 раз в 731 постах
Если используете просроченный CRL, то как по нему проверится сертификат?

Нужно использовать актуальный.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Chemannnnn оставлено 25.01.2022(UTC)
Offline Chemannnnn  
#9 Оставлено : 25 января 2022 г. 16:53:22(UTC)
Chemannnnn

Статус: Участник

Группы: Участники
Зарегистрирован: 29.11.2021(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 2 раз в 1 постах
Автор: Александр Лавник Перейти к цитате
Если используете просроченный CRL, то как по нему проверится сертификат?

Нужно использовать актуальный.


Если по указанным в сертификате ссылкам скачать CRL файлы и открыть их, то даты и время в них стали актуальные в полях "Действителен с" и "Следующее обновление". Подложил эти CRL файлы с актуальными датами и верификация подписи отработала успешно. Похоже, что проблема именно в этом была.
Offline Chemannnnn  
#10 Оставлено : 25 января 2022 г. 17:30:56(UTC)
Chemannnnn

Статус: Участник

Группы: Участники
Зарегистрирован: 29.11.2021(UTC)
Сообщений: 21

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 2 раз в 1 постах
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
в случае с длинной цепочкой:
МКС - УЦ - пользователь

при проверке участвует два crl. один издан МКС, второй издан УЦ:
МКС (crl) - УЦ (crl)- пользователь


Санчир, здравствуйте! Благодарю за объяснение.

Автор: Санчир Момолдаев Перейти к цитате
создайте обращение на портале
приложите подпись которую проверяете. и crl который вы подаете в коде

там попробуем воспроизвести


Попробовал скачать заново файлы CRL по указанным в сертификате подписи URL-ам и увидел, что даты в полях "Действителен с" и "Следующее обновление" обновились на актуальные. С этими CRL файлами верификация отработала корректно.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.