Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро DSS
»
Не удается настроить доверие к стороннему ЦИ с использованием сертификата ГОСТ
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.05.2020(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
Добрый день, в нашем ПО реализована возможность подписания с использованием DSS, соответственно мы используем DSS REST API. Для имперсонации вызовов API подписания используется настроенное доверие DSS к ЦИ нашего продукта, мы обмениваем токен нашего ПО на токен DSS используя endpoint /STS/oauth/token и затем уже происходят вызовы API подписания с использованием персонализированного токена DSS. Всё работает если при настройке отношений доверия (Add-DssIdentityProviderSigningCertificate) был указан сертификат RSA. Если же попытаться указать сертификат ГОСТ и соответственно отправлять на /STS/oauth/token токен подписанный этим сертификатом, то STS отвечает кодом 400 с сообщением {"error":"invalid_request","error_description":"The token specified by 'subject_token' parameter is invalid or malformed."} На самом сервере в логе STS при этом возникает ошибка Код:Instance Unique Identifier: 1/STS.
Source: TokenExchangeGrantValidator.
The 'subject_token' parameter is invalid. Cannot process token type 'urn:ietf:params:oauth:token-type:jwt' and value '<token>'.
Error 'IDX10502: Signature validation failed. Key tried: 'CryptoPro.DSS.Identity.Services.Tokens.IdSrvX509SecurityKey'.
Exception caught:
'System.InvalidOperationException: AsymmetricSecurityKey.GetHashAlgorithmForSignature('urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-512') threw an exception.
AsymmetricSecurityKey: 'CryptoPro.DSS.Identity.Services.Tokens.IdSrvX509SecurityKey'
SignatureAlgorithm: 'urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-512', check to make sure the SignatureAlgorithm is supported.
Exception: 'System.NotSupportedException: Алгоритм шифрования "urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-512" в этом контексте не поддерживается.
в System.IdentityModel.Tokens.X509AsymmetricSecurityKey.GetHashAlgorithmForSignature(String algorithm)
в CryptoPro.DSS.Identity.Services.Tokens.GostSignatureProvider..ctor(AsymmetricSecurityKey key, String algorithm, Boolean willCreateSignatures)'.
в CryptoPro.DSS.Identity.Services.Tokens.GostSignatureProvider..ctor(AsymmetricSecurityKey key, String algorithm, Boolean willCreateSignatures)
в CryptoPro.DSS.Identity.Services.Tokens.GostSignatureProviderFactory.CreateForVerifying(SecurityKey key, String algorithm)
в System.IdentityModel.Tokens.JwtSecurityTokenHandler.ValidateSignature(Byte[] encodedBytes, Byte[] signature, SecurityKey key, String algorithm)
в System.IdentityModel.Tokens.JwtSecurityTokenHandler.ValidateSignature(String token, TokenValidationParameters validationParameters)'.
token: '{"alg":"G12G512","kid":"DE5CB38D9A212300218FA6F7DC42871140AA4144","x5t":"3lyzjZohIwAhj6b33EKHEUCqQUQ","typ":"JWT"}.{"unique_name":"boss","role":"Users","nbf":1731499238,"exp":1731499538,"iat":1731499238,"iss":"Test identity provider"}'.
Пробовал другой сертификат, с длинной ключа в 256 бит, всё то-же самое, только в тексте ошибки "alg":"G12G512" меняется на "alg":"G12G256" и urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-512 на urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-256 Версия DSS последняя доступная (2.0.4762). Пробовал зарегистрировать криптопровайдер для STS, не помогло. Код:Add-DssCryptoProviderProfile -DisplayName $STSAppName -Type GOST -Name "Cryptographic Service Provider Profile" -PrimaryProviderName "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -PrimaryProviderType 80
Add-DssCryptoProviderProfile -DisplayName $STSAppName -Type GOST -Name "Strong Cryptographic Service Provider Profile" -PrimaryProviderName "Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider" -PrimaryProviderType 81
Помогите, пожалуйста, разобраться с ситуацией, хочется понять в чем причина: или такое не возможно реализовать или некорректно настроен DSS или некорректно сформирован токен. Отредактировано пользователем 14 ноября 2024 г. 15:51:34(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.10.2011(UTC) Сообщений: 144 Поблагодарили: 31 раз в 30 постах
|
Добрый день!
Подскажите, пожалуйста, установлен ли на сервере DSS продукт КриптоПро .NET? Если установлен, то какой версии? |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.05.2020(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
Автор: Георгий Садофьев Подскажите, пожалуйста, установлен ли на сервере DSS продукт КриптоПро .NET? Нет, только CSP версии 5.0.13000 и сам DSS (2.0.4762). Нужно установить КриптоПро .NET? Нужна какая-нибудь определенная версия?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.10.2011(UTC) Сообщений: 144 Поблагодарили: 31 раз в 30 постах
|
Да, нужно установить КриптоПро .NET, актуальный дистрибутив (КриптоПро .NET 2.0.8973.0 от 26.07.2024) можете взять с сайта из раздела загрузок. Обратите внимание, что для использования КриптоПро .NET нужна соответствующая лицензия (поставляется на том же бланке, что и лицензия КриптоПро DSS), при первой установке активируется дкмонстрационная лицензия на три месяца. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.05.2020(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз
|
Установка КриптоПро .NET помогла, спасибо!
Я правильно понял, что при покупке DSS лицензия на КриптоПро .NET входит в стоимость и идет "в комплекте"? Клиентам нашим ничего докупать не потребуется?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.10.2011(UTC) Сообщений: 144 Поблагодарили: 31 раз в 30 постах
|
Да, всё верно, лицензия на КриптоПро .NET входит в стоимость КриптоПро DSS. |
|
1 пользователь поблагодарил Георгий Садофьев за этот пост.
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро DSS
»
Не удается настроить доверие к стороннему ЦИ с использованием сертификата ГОСТ
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close