Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline const_z  
#1 Оставлено : 31 июля 2012 г. 12:54:31(UTC)
const_z

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.07.2012(UTC)
Сообщений: 7

Здравствуйте

Помогите разобраться, в чем ошибка.

Местный УЦ выпустил тестовый ключ и сертификат. Пробую подписать ими сообщение несколькими библиотеками:

-CAPICOM возвращает ошибку: "Неправильный открытый ключ поставщика" (на методе Sign объекта CAPICOM.SignedData, код: 0x80090015)

-КриптоПро ЭЦП Browser plug-in: "Не найден автор исходной подписи". (проверяли через демо-страницу на сайте крипто-про http://www.cryptopro.ru/cadesplugin/Default.aspx)

-пробовал подписать через xmlsec: в логах ошибка при
вызове CryptAcquireCertificatePrivateKey - NTE_BAD_PUBLIC_KEY (MSDN описывеет ошибку так:

The public key in the certificate does not match the public key returned by the CSP. This error code is returned if the CRYPT_ACQUIRE_COMPARE_KEY_FLAG is set and the public key in the certificate does not match the public key returned by the cryptographic provider.
).

-подпись через CryptSignMessage проходит нормально.
Online Андрей Писарев  
#2 Оставлено : 31 июля 2012 г. 13:01:42(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
корневой и пользовательский сертификат в студию...


Цитата:
Неправильный открытый ключ поставщика

А тот ли корневой установлен?

Если удалить корневой из хранилища - заработает?


Signer.Options = - чему равно? Вкладывается вся цепочка, а если только сертификат пользователя?

Signer.Options = CAPICOM_CERTIFICATE_INCLUDE_END_ENTITY_ONLY - так заработает?

Отредактировано пользователем 31 июля 2012 г. 13:13:51(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#3 Оставлено : 31 июля 2012 г. 13:19:46(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Риторический вопрос:
и самое главное при просмотре сертификата пользователя на вкладке Путь сертификации - что написано?
Техническую поддержку оказываем тут
Наша база знаний
Offline const_z  
#4 Оставлено : 31 июля 2012 г. 19:44:33(UTC)
const_z

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.07.2012(UTC)
Сообщений: 7

>>Если удалить корневой из хранилища - заработает?
удалил - ошибка та же.

>>Signer.Options = - чему равно? Вкладывается вся цепочка, а если только сертификат пользователя?

пробовал CAPICOM_CERTIFICATE_INCLUDE_CHAIN_EXCEPT_ROOT(o),
CAPICOM_CERTIFICATE_INCLUDE_WHOLE_CHAIN(1),
CAPICOM_CERTIFICATE_INCLUDE_END_ENTITY_ONLY(2)

ошибка та же.

>>и самое главное при просмотре сертификата пользователя на вкладке Путь сертификации - что написано?
Сертифкат пользователя и корневой сертификат. Оба действительные.
Вложение(я):
user.cer (2kb) загружен 17 раз(а).
root.cer (2kb) загружен 7 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Online Андрей Писарев  
#5 Оставлено : 31 июля 2012 г. 20:02:15(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
const_z написал:
>>Если удалить корневой из хранилища - заработает?
удалил - ошибка та же.

>>Signer.Options = - чему равно? Вкладывается вся цепочка, а если только сертификат пользователя?

пробовал CAPICOM_CERTIFICATE_INCLUDE_CHAIN_EXCEPT_ROOT(o),
CAPICOM_CERTIFICATE_INCLUDE_WHOLE_CHAIN(1),
CAPICOM_CERTIFICATE_INCLUDE_END_ENTITY_ONLY(2)

ошибка та же.

>>и самое главное при просмотре сертификата пользователя на вкладке Путь сертификации - что написано?
Сертифкат пользователя и корневой сертификат. Оба действительные.


Написал в РМ...
по сертификатам:
пользовательский сертификат (подпись ЦС) успешно проверяется открытым ключом ЦС ... Think

в корневых\промежуточных нет аналогичных сертификатов ЦС (Региональный удостоверяющий центр Самарской области)?

интересная ситуация... при построении цепочки...

Отредактировано пользователем 31 июля 2012 г. 20:03:56(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline const_z  
#6 Оставлено : 1 августа 2012 г. 12:33:22(UTC)
const_z

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.07.2012(UTC)
Сообщений: 7

>>в корневых\промежуточных нет аналогичных сертификатов ЦС (Региональный удостоверяющий центр Самарской области)?
нет

протестировали с помощью утилиты:
Вложение(я):
Отчет [01.08.12 09-27-55].html (5kb) загружен 21 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Online Андрей Писарев  
#7 Оставлено : 1 августа 2012 г. 12:58:49(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Итого: создание подписи в CryptoAPI - работает...
а Capicom отказывается... Think

Infotecs Cryptographic Service Provider 3.2.3.8337
сборке второй год...
сейчас актуальная на сайте: 3.2.10.11525

Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#8 Оставлено : 1 августа 2012 г. 13:31:39(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Посмотри еще раз по цепочке...

Пуск\выполнить\ certmgr.msc

Корневой сертификат (Региональный удостоверяющий центр Самарской области, серийный номер:01CD31A2302E0E0000000510039B0002 - на базе ViPNet похоже)
должен быть только в доверенных корневых, если он есть в промежуточных = удали его оттуда


установи его с явным указанием расположения (а не определить автоматически)

Отредактировано пользователем 1 августа 2012 г. 13:33:46(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline const_z  
#9 Оставлено : 1 августа 2012 г. 14:03:47(UTC)
const_z

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.07.2012(UTC)
Сообщений: 7

установил свежую версию CSP - результат тот же


>>Корневой сертификат (Региональный удостоверяющий центр Самарской области, серийный номер:01CD31A2302E0E0000000510039B0002 - на базе ViPNet похоже)
>>должен быть только в доверенных корневых, если он есть в промежуточных = удали его оттуда
>>установи его с явным указанием расположения (а не определить автоматически)
установлен в доверенные. в промежуточных нет его

Отредактировано пользователем 1 августа 2012 г. 14:08:17(UTC)  | Причина: Не указана

Offline const_z  
#10 Оставлено : 1 августа 2012 г. 14:28:35(UTC)
const_z

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.07.2012(UTC)
Сообщений: 7

Еще заметил такую особенность отображения INN. С чем это может быть связано? Влияет ли как то на работоспособность?

в mmc:
CN = Региональный удостоверяющий центр Самарской области
OU = Управление по ИБ и УЦ
O = ГКУ СО РЦУП
E = a.safonov@rcu.samregion.ru
S = 63 Самарская область
L = Самара
C = RU
ИНН = 6315856325
ОГРН = 1096315003080
STREET = улица Н.Панова, дом 16

в Vipnet csp:
CN = Региональный удостоверяющий центр Самарской области
OU = Управление по ИБ и УЦ
O = ГКУ СО РЦУП
E = a.safonov@rcu.samregion.ru
S = 63 Самарская область
L = Самара
C = RU
INN = 6315856325
OGRN = 1096315003080
STREET = улица Н.Панова, дом 16
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.