Статус: Участник
Группы: Участники
Зарегистрирован: 01.07.2008(UTC)
Сообщений: 17
|
Имеется: WinXP SP2, CSP 3.0, cadessdk Примеры с подписью/проверкой приведенные в SDK не работают, однако аналогичный пример, с использованием объектов CAPICOM работают нормально (в документации сказано, что CAdESCOM имеет интерфейс идентичный CAPICOM). Код:function SignData( DataToSign )
{
var CAPICOM_CERTIFICATE_INCLUDE_WHOLE_CHAIN = 1;
var CAPICOM_ENCODING_BASE64 = 0;
var oSigner = new ActiveXObject('CAdESCOM.CPSigner');
oSigner.Certificate = ActiveCertificate;
oSigner.Options = CAPICOM_CERTIFICATE_INCLUDE_WHOLE_CHAIN;
var oSignedData = new ActiveXObject('CAdESCOM.CadesSignedData');
var Utils = new ActiveXObject('CAPICOM.Utilities');
oSignedData.Content = Utils.Base64Decode(DataToSign);
var sSignature = oSignedData.Sign(oSigner, true, CAPICOM_ENCODING_BASE64);
return sSignature;
}
Симптомы: при вызове метода Sign объекта CadESCOM.CPSigner как полагается мигает индикатор носителя/флэшки (происходит обращение к закрытому ключу), но потом через некоторое время выбрасывается exception (error object), причем абсолютно не информативный, т.е. отсутствует код, словесное описание ошибки и источник! В коллективе экстрасенсов нет, поэтому выяснить в чем именно ошибка пока не удается.
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Выполнены ли все требования из списка? И ещё сообщите используемую версию КриптоПро ЭЦП SDK. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.07.2008(UTC)
Сообщений: 17
|
Насчет требований из списка сильно сомневаюсь. У нас есть: 1. Сертификат для подписи по алгоритму ГОСТ Р 34.11/34.10-2001 2. Корневой сертификат для него. 3. Адрес службы OCSP Удостоверяющего центра ООО «КРИПТО-ПРО»: http://ocsp.cryptopro.ru/ocsp/ocsp.srf, Адрес службы TSP Удостоверяющего центра ООО «КРИПТО-ПРО»: http://tsp.cryptopro.ru/tsp/tsp.srf 4. КриптоПро CSP версии КС1 3.0.3300.3 5. E-Token и средства работы с ним. Со всем этим хозяйством удалось реализовать подпись классической ЭЦП. Для реализации расширенной ЭЦП был скачан КриптоПро ЭЦП SDK (не понятно где там смотреть версию: он был скачан в понедельник 25.08.2008 с Вашего сайта. Смущает правда надпись на главной странице в help: © 2004-2006 "Крипто-Про" и структура и содержимо help'а отличается от находящегося на Вашем сайте. Например у нас в интерфейсе ICPSigner отсутствует св-во TSAAddress) и код переписан на использование объектов из CAdESCOM. При первом запуске был выброшен error object с сообщением "The Signer has not been properly initialized", при последующих ошибка с пустым description, а code и source = undefined. Подскажите пожалуйста что нам еще нужно и где это взять. А также что делать с адресами служб OCSP и TSP, т.к. в оснастке Крипто Про PKI никаких настроек для TSP и OCSP клиентов нет.
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Проверяйте, чтобы все условия выполнялись. С ваших слов сходу могу сказать, что адрес службы штампов надо задать в групповой политике. С имеющимся у вас дистрибутивом это единственный способ задания адреса. Адрес службы OCSP должен присутствовать в расширении AIA сертификата, на котором делается подпись.
В ближайшие дни мы выложим новый дистрибутив КриптоПро ЭЦП SDK, в котором будет поддержано свойство TSAAddress. Различия в документации возникают из-за того, что на сайте она обновляется автоматически по текущей собираемой версии SDK. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 01.07.2008(UTC)
Сообщений: 17
|
Цитата:адрес службы штампов надо задать в групповой политике Не подскажете где это? Цитата:Адрес службы OCSP должен присутствовать в расширении AIA сертификата, на котором делается подпись В составе сертификата присутствует пункт: { [1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://ocsp.cryptopro.ru/ocsp/ocsp.srf } Это оно и есть? Нужно ли иметь на машине с которой производится подпись\проверка подписи 1. сертификат службы штампов времени 2. корневой сертификат для сертификата службы штампов времени 3. сертификат службы актуальных статусов
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Цитата:Не подскажете где это? О групповых политиках читайте здесь. Оснастка редактирования локальной политики запускается по команде gpedit.msc. Цитата:В составе сертификата присутствует пункт:
{
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://ocsp.cryptopro.ru/ocsp/ocsp.srf
}
Это оно и есть? Да. Цитата:Нужно ли иметь на машине с которой производится подпись\проверка подписи
1. сертификат службы штампов времени
2. корневой сертификат для сертификата службы штампов времени
3. сертификат службы актуальных статусов Сертификаты служб штампов и актуальных статусов обычно иметь не нужно, поскольку они добавляются службами к выдаваемым ими ответам, а корневой сертификат для сертификата службы штампов времени должен быть установлен в хранилище доверенных корневых. В вашем случае, судя по всему, корневой сертификат службы штампов и сертификата, на котором создаётся подпись - это один и тот же сертификат. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
