Всем доброго дня, не работал раньше в качестве разработчика с криптографией. Работал в качестве сисадмина.

Исходники: Java Spring Boot(2.6.4) приложение, которое должно быть REST API клиентом системы МДЛП "Честныйзнак".
Запросы отправляю при помощи библиотеки openFeign (3.1.5). На всех возможных серверах проверял, работает как часы, отправляет запросы и получает ответы. Тут все в порядке.

При обращении к МДЛП естественно ругается на SSL и падает в ошибку. Поискав понял, что только тут есть информация. Скачал и установил и даже внедрил CryptoPro JCP. Это подтверждается логированием ru.CryptoPro.ssl.SSLLogger.
Естественно все корневые сертификаты и прочее установлены. Так как изначально пытался реализовать это на React.JS, но уперся в CORS, а поддержка не смогла мне помочь. Потому решил перенести это на Java.
Итак, все работает, отправляется и принимается, но не с честным знаком.

Сначала ругался, что trustStore у меня пустой. В общем я две недели читал этот форум и даже нашел подобную тему на том же языке, но увы там небыло информации и проект немного более широкого функционала, нежели мне надо. Тема на этом форуме
Вчера начал уже мучать ботов умных, движение пошло, но все равно не было чего-то, что надо. То он провайдера не видит, то тип хранилища не тот и т.д.
Поиск тут я тоже использовал и читал два дня, документацию JCP тоже читал, но как видите результата не получилось.

На сегодня имею вышеизложенное приложение с подключенной библиотекой JCP от крипто про. Решил спросить у людей, так как вы умнее ботов, я уверен в этом. Подскажите пожалуйста, как настроить JCP, чтобы это все корректно работало? Те кто знают МДЛП, помнят про эндпоинт без авторизации через GET запрос, который возвращает размер документа. Так вот я решил потестировать на нем, но даже этот простейший ответ не могу получить, так как упираюсь именно в шифрование.

Буду очень признателен за помощь, если вдруг что не так, не пинайте сильно.

Отредактировано пользователем 3 марта 2023 г. 13:47:51(UTC)  | Причина: Не указана

Логи. В общем то на этот момент как только делаю запрос, консоль выдает такое. Пробовал создавать keyStore, указывать на него через настройки приложения и пробовал указывать на него внутри main класса.
В этом случае он ругался на неправильный формат keyStore или отсутствие криптопровайдера. Хотя повторюсь, все есть.
На этом форуме я в большей степени ищу ответ на вопрос: Как настроить JCP. Ведь из коробки он не работает с API МДЛП, так как в данный момент например ругается на keyStore и соответственно отсутствующие корневые сертификаты.

2023-03-03 11:32:52.193 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : keyStore is :
2023-03-03 11:32:52.194 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : keyStore type is :
2023-03-03 11:32:52.194 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : keyStore provider is :
2023-03-03 11:32:52.232 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : init keystore
2023-03-03 11:32:52.236 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.JCP.tools.JCPLogger : Loading JCP 2.0.41789
2023-03-03 11:32:52.304 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.JCP.tools.JCPLogger : JCP has been loaded.
2023-03-03 11:32:52.932 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : init keymanager of type GostX509
2023-03-03 11:32:52.938 WARN 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : %% No appropriate keys for handshake
PATH: C:\Users\USERNAME\Local Settings\Application Data\Crypto Pro
2023-03-03 11:32:52.940 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : trustStore is : No File Available, using empty keystore.
2023-03-03 11:32:52.940 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : trustStore type is : CertStore
2023-03-03 11:32:52.940 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : trustStore provider is :
2023-03-03 11:32:52.941 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : init truststore
2023-03-03 11:32:52.943 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : SSLContextImpl init.
2023-03-03 11:32:52.948 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : trigger seeding of SecureRandom
2023-03-03 11:32:52.952 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : done seeding SecureRandom
2023-03-03 11:32:52.952 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : SSLContextImpl initialized.
2023-03-03 11:32:52.953 INFO 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : DefaultSSLContext initialized.
2023-03-03 11:32:53.045 WARN 31992 --- [p-nio-89-exec-1] ru.CryptoPro.ssl.SSLLogger : http-nio-89-exec-1, handling exception: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
2023-03-03 11:32:53.076 ERROR 31992 --- [p-nio-89-exec-1] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Request processing failed; nested exception is feign.RetryableException: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty executing GET https://api.mdlp.crpt.ru/api/v1/documents/get_size] with root cause

java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
at java.security.cert.PKIXParameters.setTrustAnchors(PKIXParameters.java:200) ~[na:1.8.0_311]
at java.security.cert.PKIXParameters.<init>(PKIXParameters.java:120) ~[na:1.8.0_311]
at java.security.cert.PKIXBuilderParameters.<init>(PKIXBuilderParameters.java:104) ~[na:1.8.0_311]
at ru.CryptoPro.ssl.pc_4.cl_2.<init>(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.pc_4.cl_4.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_121.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_121.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_121.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_121.checkServerTrusted(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_16.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_16.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_59.s(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_59.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.SSLSocketImpl.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.SSLSocketImpl.n(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.SSLSocketImpl.b(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.SSLSocketImpl.startHandshake(Unknown Source) ~[cpSSL.jar:41789]
at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:587) ~[na:1.8.0_311]
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:197) ~[na:1.8.0_311]
at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(HttpURLConnection.java:1584) ~[na:1.8.0_311]
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1512) ~[na:1.8.0_311]
at java.net.HttpURLConnection.getResponseCode(HttpURLConnection.java:480) ~[na:1.8.0_311]
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getResponseCode(HttpsURLConnectionImpl.java:352) ~[na:1.8.0_311]
at feign.Client$Default.convertResponse(Client.java:110) ~[feign-core-11.10.jar:na]
at feign.Client$Default.execute(Client.java:106) ~[feign-core-11.10.jar:na]
at feign.SynchronousMethodHandler.executeAndDecode(SynchronousMethodHandler.java:121) ~[feign-core-11.10.jar:na]
at feign.SynchronousMethodHandler.invoke(SynchronousMethodHandler.java:91) ~[feign-core-11.10.jar:na]
at feign.ReflectiveFeign$FeignInvocationHandler.invoke(ReflectiveFeign.java:100) ~[feign-core-11.10.jar:na]
at com.sun.proxy.$Proxy115.getMe(Unknown Source) ~[na:na]
at ru.brightway.api.Controllers.MainController.getZ(MainController.java:58) ~[classes/:na]
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) ~[na:1.8.0_311]
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) ~[na:1.8.0_311]
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) ~[na:1.8.0_311]
at java.lang.reflect.Method.invoke(Method.java:498) ~[na:1.8.0_311]
at org.springframework.web.method.support.InvocableHandlerMethod.doInvoke(InvocableHandlerMethod.java:205) ~[spring-web-5.3.16.jar:5.3.16]
at org.springframework.web.method.support.InvocableHandlerMethod.invokeForRequest(InvocableHandlerMethod.java:150) ~[spring-web-5.3.16.jar:5.3.16]
at org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod.invokeAndHandle(ServletInvocableHandlerMethod.java:117) ~[spring-webmvc-5.3.16.jar:5.3.16]
at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.invokeHandlerMethod(RequestMappingHandlerAdapter.java:895) ~[spring-webmvc-5.3.16.jar:5.3.16]
at org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter.handleInternal(RequestMappingHandlerAdapter.java:808) ~[spring-webmvc-5.3.16.jar:5.3.16]
at org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter.handle(AbstractHandlerMethodAdapter.java:87) ~[spring-webmvc-5.3.16.jar:5.3.16]
at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:1067) ~[spring-webmvc-5.3.16.jar:5.3.16]
at org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:963) ~[spring-webmvc-5.3.16.jar:5.3.16]
at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:1006) ~[spring-webmvc-5.3.16.jar:5.3.16]
at org.springframework.web.servlet.FrameworkServlet.doGet(FrameworkServlet.java:898) ~[spring-webmvc-5.3.16.jar:5.3.16]
at javax.servlet.http.HttpServlet.service(HttpServlet.java:655) ~[tomcat-embed-core-9.0.58.jar:4.0.FR]
at org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:883) ~[spring-webmvc-5.3.16.jar:5.3.16]
at javax.servlet.http.HttpServlet.service(HttpServlet.java:764) ~[tomcat-embed-core-9.0.58.jar:4.0.FR]
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:227) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:53) ~[tomcat-embed-websocket-9.0.58.jar:9.0.58]
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.springframework.web.filter.RequestContextFilter.doFilterInternal(RequestContextFilter.java:100) ~[spring-web-5.3.16.jar:5.3.16]
at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) ~[spring-web-5.3.16.jar:5.3.16]
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.springframework.web.filter.FormContentFilter.doFilterInternal(FormContentFilter.java:93) ~[spring-web-5.3.16.jar:5.3.16]
at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) ~[spring-web-5.3.16.jar:5.3.16]
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:201) ~[spring-web-5.3.16.jar:5.3.16]
at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:117) ~[spring-web-5.3.16.jar:5.3.16]
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:189) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:162) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:197) ~[tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:97) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:540) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:135) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:92) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:78) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:359) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.coyote.http11.Http11Processor.service(Http11Processor.java:399) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.coyote.AbstractProcessorLight.process(AbstractProcessorLight.java:65) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.coyote.AbstractProtocol$ConnectionHandler.process(AbstractProtocol.java:889) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1735) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.tomcat.util.net.SocketProcessorBase.run(SocketProcessorBase.java:49) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.tomcat.util.threads.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1191) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.tomcat.util.threads.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:659) [tomcat-embed-core-9.0.58.jar:9.0.58]
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) [tomcat-embed-core-9.0.58.jar:9.0.58]
at java.lang.Thread.run(Thread.java:748) [na:1.8.0_311]

То есть получается, что скачанные мною сертификаты минцифры и добавленные в созданный мною keystore при помощи keytool не видны для JCP.
Выходит я как-то не так создал keystore и у меня получился банально самоподписанный сертификат, который разумеется не подходит.
Но в системе windows есть же хранилище сертификатов, в котором установлены все корневые и промежуточные сертификаты в соответствии с инструкцией.
Есть ли способ в таком случае JCP указать путь именно к этому хранилищу windows, или как то через крипто-про или через мастер экспорта сертификатов экспортировать их в отдельное хранилище и указать путь до него в настройках уже моего приложения.
Я понимаю, что уперся в банальность, которая другим может показаться такой же простой, как сложить самолетик, но мои гуглежные способности были истощены

Нет, java провайдер не имеет доступа к хранилищам системы. Нужно использовать java хранилище - форматов "CertStore" (от JCP), "JKS" (от Sun), "PKCS12" (от Sun), "BKS" (от BC) и т.п.

Нет, может быть любой из упомянутых выше типов хранилищ корневых сертификатов.

Создавать SSLContext нужно так, как описано в "3.2 Использование КриптоПро JavaTLS через внешний интерфейс JSSE" руководства программиста JTLS, цитата:

path_to_trust_store - это ваше хранилище корневых сертификатов (полный путь к нему) формата JCP.CERT_STORE_NAME ("CertStore"). Его можно создать в панели JCP или программно. Также можно использовать "JKS" (создав его в keytool).
Далее проинициализированный sslCtx или sslSocketFactory из него обычно передается в http клиент - это зависит от самого http клиента.
Если в хранилище будет хотя бы один самоподписанный корневой сертификат, то ошибки "InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty" не будет.
Также trust store можно создать программно, добавляя в него сертификаты прямо в коде с помощью setCertificateEntry.
Если ваш http клиент какой-то другой (не apache http client, okhttp client или HttpsUrlConnection и т.п.), то могут быть сложности.

Отредактировано пользователем 10 марта 2023 г. 17:04:37(UTC)  | Причина: Не указана

Ошибка сообщает, что не удаётся проверить сертификат другой стороны (сервера) на отзыв, так как не включено скачивание crl из сети. Такая проверка на отзыв включена по умолчанию. Чтобы было обращение в сеть за crl в ходе проверки, нужно запускать java процесс с параметром

-Dcom.sun.security.enableCRLDP=true

или задать его в коде так:

System.setProperty("com.sun.security.enableCRLDP", "true");