Не удается настроить доверие к стороннему ЦИ с использованием сертификата...

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Не удается настроить доверие к стороннему ЦИ с использованием сертификата ГОСТ

Опции

Предыдущая тема Следующая тема

kmosolov		#1 Оставлено : 13 ноября 2024 г. 16:14:32(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.05.2020(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз		Добрый день, в нашем ПО реализована возможность подписания с использованием DSS, соответственно мы используем DSS REST API. Для имперсонации вызовов API подписания используется настроенное доверие DSS к ЦИ нашего продукта, мы обмениваем токен нашего ПО на токен DSS используя endpoint /STS/oauth/token и затем уже происходят вызовы API подписания с использованием персонализированного токена DSS. Всё работает если при настройке отношений доверия (Add-DssIdentityProviderSigningCertificate) был указан сертификат RSA. Если же попытаться указать сертификат ГОСТ и соответственно отправлять на /STS/oauth/token токен подписанный этим сертификатом, то STS отвечает кодом 400 с сообщением {"error":"invalid_request","error_description":"The token specified by 'subject_token' parameter is invalid or malformed."} На самом сервере в логе STS при этом возникает ошибка Код: Instance Unique Identifier: 1/STS. Source: TokenExchangeGrantValidator. The 'subject_token' parameter is invalid. Cannot process token type 'urn:ietf:params:oauth:token-type:jwt' and value '<token>'. Error 'IDX10502: Signature validation failed. Key tried: 'CryptoPro.DSS.Identity.Services.Tokens.IdSrvX509SecurityKey'. Exception caught: 'System.InvalidOperationException: AsymmetricSecurityKey.GetHashAlgorithmForSignature('urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-512') threw an exception. AsymmetricSecurityKey: 'CryptoPro.DSS.Identity.Services.Tokens.IdSrvX509SecurityKey' SignatureAlgorithm: 'urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-512', check to make sure the SignatureAlgorithm is supported. Exception: 'System.NotSupportedException: Алгоритм шифрования "urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-512" в этом контексте не поддерживается. в System.IdentityModel.Tokens.X509AsymmetricSecurityKey.GetHashAlgorithmForSignature(String algorithm) в CryptoPro.DSS.Identity.Services.Tokens.GostSignatureProvider..ctor(AsymmetricSecurityKey key, String algorithm, Boolean willCreateSignatures)'. в CryptoPro.DSS.Identity.Services.Tokens.GostSignatureProvider..ctor(AsymmetricSecurityKey key, String algorithm, Boolean willCreateSignatures) в CryptoPro.DSS.Identity.Services.Tokens.GostSignatureProviderFactory.CreateForVerifying(SecurityKey key, String algorithm) в System.IdentityModel.Tokens.JwtSecurityTokenHandler.ValidateSignature(Byte[] encodedBytes, Byte[] signature, SecurityKey key, String algorithm) в System.IdentityModel.Tokens.JwtSecurityTokenHandler.ValidateSignature(String token, TokenValidationParameters validationParameters)'. token: '{"alg":"G12G512","kid":"DE5CB38D9A212300218FA6F7DC42871140AA4144","x5t":"3lyzjZohIwAhj6b33EKHEUCqQUQ","typ":"JWT"}.{"unique_name":"boss","role":"Users","nbf":1731499238,"exp":1731499538,"iat":1731499238,"iss":"Test identity provider"}'. Пробовал другой сертификат, с длинной ключа в 256 бит, всё то-же самое, только в тексте ошибки "alg":"G12G512" меняется на "alg":"G12G256" и urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-512 на urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-256 Версия DSS последняя доступная (2.0.4762). Пробовал зарегистрировать криптопровайдер для STS, не помогло. Код: `Add-DssCryptoProviderProfile -DisplayName $STSAppName -Type GOST -Name "Cryptographic Service Provider Profile" -PrimaryProviderName "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider" -PrimaryProviderType 80 Add-DssCryptoProviderProfile -DisplayName $STSAppName -Type GOST -Name "Strong Cryptographic Service Provider Profile" -PrimaryProviderName "Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider" -PrimaryProviderType 81` Помогите, пожалуйста, разобраться с ситуацией, хочется понять в чем причина: или такое не возможно реализовать или некорректно настроен DSS или некорректно сформирован токен. Отредактировано пользователем 14 ноября 2024 г. 15:51:34(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Георгий Садофьев		#2 Оставлено : 13 ноября 2024 г. 16:24:27(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 14.10.2011(UTC) Сообщений: 143 Поблагодарили: 31 раз в 30 постах		Добрый день! Подскажите, пожалуйста, установлен ли на сервере DSS продукт КриптоПро .NET? Если установлен, то какой версии?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

kmosolov		#3 Оставлено : 13 ноября 2024 г. 16:30:56(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.05.2020(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз		Автор: Георгий Садофьев Подскажите, пожалуйста, установлен ли на сервере DSS продукт КриптоПро .NET? Нет, только CSP версии 5.0.13000 и сам DSS (2.0.4762). Нужно установить КриптоПро .NET? Нужна какая-нибудь определенная версия?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Георгий Садофьев		#4 Оставлено : 13 ноября 2024 г. 22:19:17(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 14.10.2011(UTC) Сообщений: 143 Поблагодарили: 31 раз в 30 постах		Да, нужно установить КриптоПро .NET, актуальный дистрибутив (КриптоПро .NET 2.0.8973.0 от 26.07.2024) можете взять с сайта из раздела загрузок. Обратите внимание, что для использования КриптоПро .NET нужна соответствующая лицензия (поставляется на том же бланке, что и лицензия КриптоПро DSS), при первой установке активируется дкмонстрационная лицензия на три месяца.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

kmosolov		#5 Оставлено : 14 ноября 2024 г. 15:26:46(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.05.2020(UTC) Сообщений: 3 Сказал(а) «Спасибо»: 1 раз		Установка КриптоПро .NET помогла, спасибо! Я правильно понял, что при покупке DSS лицензия на КриптоПро .NET входит в стоимость и идет "в комплекте"? Клиентам нашим ничего докупать не потребуется?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Георгий Садофьев		#6 Оставлено : 14 ноября 2024 г. 15:35:58(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 14.10.2011(UTC) Сообщений: 143 Поблагодарили: 31 раз в 30 постах		Да, всё верно, лицензия на КриптоПро .NET входит в стоимость КриптоПро DSS.
		Техническую поддержку оказываем тут Наша база знаний
		WWW
1 пользователь поблагодарил Георгий Садофьев за этот пост.		kmosolov оставлено 14.11.2024(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close