Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
10 Страницы123>»
Не срабатывает создание подписи Long Type 1
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline MWB Dmitry  
#1 Оставлено : 14 февраля 2024 г. 19:52:45(UTC)
MWB Dmitry

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.02.2024(UTC)
Сообщений: 73
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
CSP 5 rc3, Win10 x64, 32-битный WScript.exe

cptools_hUtU22b4dM.png (12kb) загружен 1 раз(а).

Пытались сделать на JScript (WSH) изнутри Delphi 2007 - не получается, ошибки в COM-интерфейсе: https://www.cryptopro.ru....aspx?g=posts&t=8634
Писать непосредственно на Дельфи нельзя, запретили.

Приходится вызывать wscript.exe с внешними js и json файлами

Все равно не работает...

  • -2146762486 0x800B010A : Не удается построить цепочку сертификатов для доверенного корневого центра. (CoSignCades, LONG)
  • ОШИБКА: -2146762486 0x800B010A : Не удается построить цепочку сертификатов для доверенного корневого центра. (oSignedData, LONG)
  • ОШИБКА: -2146893799 0x80090019 : Набор ключей не определен (Verify, BES).


По демкам Крипто-Про - создавать усовершенствованную подпись можно или сразу вызовом SignCades, или начиная с BES и потом Enhance + CoSign

Все равно падает

Код:
if(false){
/* по демкам - должно СРАЗУ работать в один вызов */
// ОШИБКА: -2146762486 0x800B010A : Не удается построить цепочку сертификатов для доверенного корневого центра. (oSignedData.SignCades)
	try {
		var sSignedData = oSignedData.SignCades(oSigner
				, ParamFile.SignCades.CertType
				, ParamFile.SignCades.Detached
				, ParamFile.SignCades.Encode);
	} catch(err) {
		UserMessageErrAbort(err.number + " : " + err.description + " (oSignedData.SignCades)");
	}


или так

Код:
}else{  /////////// отладка?
	try {
		var sSignedData = oSignedData.SignCades(oSigner
				, CADESCOM_CADES_BES()
				, ParamFile.SignCades.Detached
				, ParamFile.SignCades.Encode);
	} catch(err) {
		UserMessageErrAbort(err.number + " : " + err.description + " (oSignedData.SignCades(CADESCOM_CADES_BES))");
	}
	
// ОШИБКА: -2146893799 0x80090019 : Набор ключей не определен.
/*
	try {
		oSignedData.VerifyCades(sSignedData 
				, CADESCOM_CADES_BES()		
				, ParamFile.SignCades.Detached); // перестраховка, как в примере
	} catch(err) {
		UserMessageErrAbort(err.number + " : " + err.description + " (oSignedData.VerifyCades(CADESCOM_CADES_BES))");
	}
*/	

if(ParamFile.SignCades.CertType != CADESCOM_CADES_BES()){
	
// ОШИБКА: -2146762486 0x800B010A : Не удается построить цепочку сертификатов для доверенного корневого центра. (oSignedData.CoSignCades)
	try {
		var sSignedData = oSignedData.CoSignCades(oSigner
				, ParamFile.SignCades.CertType
				, ParamFile.SignCades.Encode);
	} catch(err) {
		UserMessageErrAbort(err.number + " : " + err.description + " (oSignedData.CoSignCades)");
	}

	try {  // Проверка полученных параллельных подписей на соответствие CAdES BES
		oSignedData.VerifyCades(sSignedData 
				, CADESCOM_CADES_BES()		
				, ParamFile.SignCades.Detached); // перестраховка, как в примере
	} catch(err) {
		UserMessageErrAbort(err.number + " : " + err.description + " (CoSignCades -> oSignedData.VerifyCades(CADESCOM_CADES_BES))");
	}
	
// Дополнение подписи CAdES BES до подписи CAdES X Long Type 1 (вторая
// подпись остается без изменения, так как она уже CAdES X Long Type 1)
	try {  
		sSignedData = oSignedData.EnhanceCades(ParamFile.SignCades.CertType, 
		ParamFile.Signer.TSAAddress.toString(), ParamFile.SignCades.Encode);
	} catch(err) {
		UserMessageErrAbort(err.number + " : " + err.description + " (oSignedData.EnhanceCades)");
	}
} // end-if ParamFile.SignCades.CertType != CADESCOM_CADES_BES

} // end-if сразу или по шагам

	try {
		oSignedData.VerifyCades(sSignedData


Установил уже, кажется, все сертификаты какие мог...
cptools якобы делает подпись (но какую? BES?), но не может её проверить

cptools_wckeRdpoGt.png (15kb) загружен 3 раз(а).

DbgView при попытках:

sig_EXT_fail.LOG (21kb) загружен 0 раз(а). cptools_check-sig_fail.LOG (4kb) загружен 0 раз(а).

BES-демка на вашем сайте (есть одна ошибка, но я пользуюсь "трёхбуквенными" сертификатами, в них ошибки нет)

firefox_q2YsJM2wsq.png (80kb) загружен 7 раз(а). firefox_Ols7azxAOi.png (89kb) загружен 7 раз(а).

Хранилище:

mmc_F8tNYMZDGO.png (9kb) загружен 7 раз(а). firefox_758jfxYjy9.png (37kb) загружен 6 раз(а). mmc_z8rK9SnCrM.png (80kb) загружен 5 раз(а). mmc_OaHv3iEQ2w.png (51kb) загружен 2 раз(а). mmc_WyvVS2nrBM.png (49kb) загружен 2 раз(а). mmc_13qC8nvL20.png (77kb) загружен 1 раз(а).

Устанавливал большую пачку корневых по статье https://support.cryptopr...rnevogo-centr-0x800b010a

"Добавлял в личное хранилище" по статье https://support.evotor.r...F9X1QB829TV4PM3GSPZCPJAB

Перезагружался...

Не прёт...
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline MWB Dmitry  
#2 Оставлено : 14 февраля 2024 г. 20:02:17(UTC)
MWB Dmitry

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.02.2024(UTC)
Сообщений: 73
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Дополнительные файлы

forum_scripts.zip (8kb) загружен 1 раз(а).

Внешний скрипт запускается из под 32-битного SysWow64\wscript.exe

Принимает один параметр - папку, в которой лежит input.json, в неё же должен положить подпись

Также там сертификаты, у DDD нет пароля, у EEE пароль "test"

Пароль запрашивался один или два раза (в зависимости от короткого или длинного пути, как выше)

Пытался на машину поставить OCSP и TSP сервера в демо-режиме, потому что непонятно было из-за чего не работает.
Они так и не заработали, даже в настройки войти было нельзя.

Сейчас удалил. Из реестра Policy на них ссылки убрал.

mmc_ip18nmm1wP.png (14kb) загружен 1 раз(а).
Вверх
Offline Андрей *  
#3 Оставлено : 14 февраля 2024 г. 20:06:21(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,278
Мужчина
Российская Федерация

Сказал «Спасибо»: 548 раз
Поблагодарили: 2196 раз в 1714 постах
А Вы читали требования к конфигурации для создания/проверки bes и выше? В docs.cryptopro.ru

Обеспечьте правильное расположение сертификатов (корневого, промежуточного). + Не используйте старый УЦ на 2001 ГОСТ.

Tsp/ocsp Client нужны, а не сервера.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Андрей *  
#4 Оставлено : 14 февраля 2024 г. 20:35:51(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,278
Мужчина
Российская Федерация

Сказал «Спасибо»: 548 раз
Поблагодарили: 2196 раз в 1714 постах
https://docs.cryptopro.ru/cades/usage/requirements


http://testgost2012.cryptopro.ru/certsrv/


сертификат УЦ:
Получить сертификат Удостоверяющего Центра ...> Загрузка сертификата ЦС
в доверенные корневые.



в качестве службы использовал http://qs.cryptopro.ru/tsp/tsp.srf - с цепочкой до Минцифры.

Snimok ehkrana ot 2024-02-14 21-26-30.png (72kb) загружен 2 раз(а).
Snimok ehkrana ot 2024-02-14 21-27-32.png (78kb) загружен 2 раз(а).

примеры разных типов подписей (подписывался файл: "Запрос на сертификат 20240214_211648.p10")
+ pfx (12345678), для тестов.
Snimok ehkrana ot 2024-02-14 21-28-33.png (32kb) загружен 2 раз(а).
testy.zip (24kb) загружен 2 раз(а).

далее -

создание подписи через плагин: тут и проверять через cptools или через софт по ссылке у меня.

Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Андрей *  
#5 Оставлено : 14 февраля 2024 г. 20:43:41(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,278
Мужчина
Российская Федерация

Сказал «Спасибо»: 548 раз
Поблагодарили: 2196 раз в 1714 постах
взял архив forum_scripts, указал серийный - отработало без сбоев
Snimok ehkrana ot 2024-02-14 21-37-53.png (11kb) загружен 3 раз(а). Snimok ehkrana ot 2024-02-14 21-36-50.png (106kb) загружен 3 раз(а).

но 2 ЭП невалидные (не вникал в код js)
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Андрей *  
#6 Оставлено : 14 февраля 2024 г. 20:49:03(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,278
Мужчина
Российская Федерация

Сказал «Спасибо»: 548 раз
Поблагодарили: 2196 раз в 1714 постах
Snimok ehkrana ot 2024-02-14 21-44-16.png (33kb) загружен 5 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline MWB Dmitry  
#7 Оставлено : 14 февраля 2024 г. 22:51:35(UTC)
MWB Dmitry

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.02.2024(UTC)
Сообщений: 73
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
> Tsp/ocsp Client нужны, а не сервера.

Были клиенты. Но когда "по книжке" не заработало, зато на форуме нашлась инфа, что они работают два раза (запроса) в сутки - пришлось пытаться ставить свои.

Вообще, нет исчерпывающего списка, что нужно для создание ЭЦП в демо-режиме.
Поэтому всегда остается сомнение не только в устарелости офиц-доков, но и в том, что возможно демо-режиме принципиально недостаточно и надо покупать. Обратного в доках не сказано.

> Не используйте старый УЦ на 2001 ГОСТ.

Не понимаю, что именно вы имеете в виду.
Вероятно, https://www.cryptopro.ru...ge/cades_bes_sample.html

Но на него много откуда есть ссылки, в том числе из его документации.
Если оттуда нельзя-нельзя-нельзя устанавливать сертификаты - почему они там предлагаются?

> http://testgost2012.cryptopro.ru/certsrv/

От него стоят и на скриншотах выше видны: mmc_F8tNYMZDGO.png (9kb) загружен 7 раз(а). mmc_WyvVS2nrBM.png (49kb) загружен 2 раз(а).


> Получить сертификат Удостоверяющего Центра

Любопытная ссылка. Правда fireFox ее блокировал как опасную, но - скачал. Перезагружусь - попробую.

Мой сертификат, скорее всего, взят отсюда: https://www.cryptopro.ru/certsrv/certcarc.asp
И все тот же вопрос: если тамошний сертификат нельзя-нельзя-нельзя, то почему он предлагается?

https://aleksandr.ru/blo...ptopro_s_lyubimi_dannimi тут неявно говорится, что это один и тот же сервер, просто два домена.

Вы может быть знаете, что https://www.cryptopro.ru/certsrv/ использовать нельзя, а можно только http://testgost2012.cryptopro.ru/certsrv/
Но со стороны они выглядят одним и тем же сервером, просто с двумя domain name.
Если это не так - та страница должна про это писать красными буквами и отправлять на работающую.

К сожалению, Гугл запретил поиск по ссылкам в 2019, поэтому не могу сказать как часть эта ссылка встречается у вас и в интернете в целом, но явно встречается до сих пор.


И второй вопрос, если вышеописанные сертификаты - не просто безвредный мусор, а активно мешают, то почему "Инструменты Крпито Про" не просят их удалять?..
Вверх
Offline MWB Dmitry  
#8 Оставлено : 14 февраля 2024 г. 22:56:30(UTC)
MWB Dmitry

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.02.2024(UTC)
Сообщений: 73
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
в качестве службы использовал http://qs.cryptopro.ru/tsp/tsp.srf - с цепочкой до Минцифры


Попробую. Но в найденных доках и примерах были другие:

http://testca2012.cryptopro.ru/tsp/tsp.srf
https://testca2012.cryptopro.ru/tsp/tsp.srf

А если их использовать нельзя, то опять же вопрос, а откуда человек с улицы может про это узнать?..
Вверх
Offline MWB Dmitry  
#9 Оставлено : 14 февраля 2024 г. 23:05:55(UTC)
MWB Dmitry

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.02.2024(UTC)
Сообщений: 73
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
создание подписи через плагин: тут


охренеть...

вот эту ссылку я искал несколько дней - и не нашел.

вот аналогичная ссылка bes есть везде, на форумах, где-то у вас в документации (FAQ? не помню точно)

а на xlong sample - нигде нет, и даже информации про ее существование нет.

может быть вам ссылки поместить туда с https://www.cryptopro.ru...ge/cades_bes_sample.html и обратно ?
чтобы попавший на одну страницу человек мог легко попасть на вторую ?
Вверх
Offline MWB Dmitry  
#10 Оставлено : 14 февраля 2024 г. 23:17:46(UTC)
MWB Dmitry

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.02.2024(UTC)
Сообщений: 73
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
...и всё-таки нет.

Последний сертифика тот - который получен на вашей новой демо-страничке.

firefox_3PSVXUNwRC.png (17kb) загружен 4 раз(а). firefox_oSU3BpH08n.png (72kb) загружен 4 раз(а). firefox_CbbOtwmnle.png (70kb) загружен 4 раз(а). firefox_v3hlmbCPb5.png (71kb) загружен 7 раз(а).

Видите как интересно, даже вы не понимаете, что происходит. Даже с логами из DbgView. Как же разобраться человеку со стороны?..
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
10 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET