Ошибка подписи: Private key usage period is expired or not yet...

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Ошибка подписи: Private key usage period is expired or not yet valid/pkix-ocsp-nocheck extension - pls

Опции

Предыдущая тема Следующая тема

pls		#1 Оставлено : 7 мая 2013 г. 11:23:42(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.10.2011(UTC) Сообщений: 74 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах		Здравствуйте, при создании подписи с помощью CAdES.jar(Implementation-Version: 36630, Release-Version: 1.0.54) вылетает ошибка: Цитата: Caused by: Private key usage period of the certificate Sn 1cd29cb8cb22f00000008d900520002, subject CN=УЦ ИИТ (К2), T=Уполномоченное лицо УЦ, OU=Удостоверяющий центр, O="ОАО \"ИнфоТеКС Интернет Траст\"", EMAILADDRESS=SupportIIT@infotecs.ru, ST=77 г. Москва, L=Моск ва, C=RU, STREET="Старый Петровско-Разумовский проезд, д. 1/23, стр. 1" expired or not yet valid., errors: 'Private key usage period is expired or not yet valid' (7) at ru.CryptoPro.CAdES.b.d.c.a(Unknown Source) at ru.CryptoPro.CAdES.b.d.a.a(Unknown Source) at ru.CryptoPro.CAdES.CAdESSigner.a(Unknown Source) at ru.CryptoPro.CAdES.CAdESSignature.a(Unknown Source) at ru.CryptoPro.CAdES.g.a.a(Unknown Source) at ru.CryptoPro.CAdES.c.a.b.a(Unknown Source) at ru.CryptoPro.CAdES.c.b.a.a(Unknown Source) после обновления(Implementation-Version: 36716, Release-Version: 1.0.55) она становится такой: Цитата: Caused by: OCSP certificate Sn 1ce457a0128c9a00000000300520a4a, subject CN=Оператор OCSP ИнфоТеКС Интернет Траст, O="ОАО \"ИнфоТеКС Интернет Траст\"", OU=Служба технической поддержки, L=Москва, C=RU doesn't have a pkix-ocsp-nocheck extension, errors: 'Invalid con straints of certificate' (21) at ru.CryptoPro.CAdES.b.a.a.a(Unknown Source) at ru.CryptoPro.CAdES.c.d.a.a(Unknown Source) at ru.CryptoPro.CAdES.c.d.a.a(Unknown Source) at ru.CryptoPro.CAdES.c.d.a.a(Unknown Source) at ru.CryptoPro.CAdES.c.a.a(Unknown Source) at ru.CryptoPro.CAdES.c.a.e(Unknown Source) В аттаче сертификаты УЦ, ocsp сервера и подписи. Все валидны(по сроку действия), в сертификате ocsp сервера выставлено расширение ключа 1.3.6.1.5.5.7.48.1.5 (OCSPSigning). Подскажите пожалуйста, где может быть проблема? Вложение(я): bug_rep_certs.zip (4kb) загружен 9 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

pls		#2 Оставлено : 7 мая 2013 г. 11:41:47(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.10.2011(UTC) Сообщений: 74 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах		видимо проблема в ограничении срока действия закрытого ключа(для root.cer - сертификата УЦ)... Отредактировано пользователем 7 мая 2013 г. 12:21:34(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#3 Оставлено : 7 мая 2013 г. 12:22:55(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,001 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 712 раз в 673 постах		Здравствуйте. Судя по последней ошибке - в сертификате OCSP отсутствует расширение pkix-ocsp-nocheck. В 1.0.55 поправлена проверка срока действия ключа - выполняется только для сертификата службы штампов (не ocsp). Отредактировано пользователем 7 мая 2013 г. 12:24:30(UTC) \| Причина: Не указана
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pls		#4 Оставлено : 7 мая 2013 г. 14:22:54(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.10.2011(UTC) Сообщений: 74 Откуда: Moscow Сказал(а) «Спасибо»: 1 раз Поблагодарили: 1 раз в 1 постах		просмотрел сертификат с помощью keytool нашел в нем: Цитата: #10: ObjectId: 2.5.29.37 Criticality=false ExtendedKeyUsages [ OCSPSigning 1.3.6.1.5.5.7.48.1.5 ] с помощью openssl: Цитата: X509v3 Extended Key Usage: OCSP Signing, OCSP No Check вроде pkix-ocsp-nocheck как раз 1.3.6.1.5.5.7.48.1.5


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ShKA		#5 Оставлено : 7 мая 2013 г. 14:26:02(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.05.2013(UTC) Сообщений: 3 Откуда: Москва		Коллеги, всем добрый день! 1. Автор темы приложил сертификат OCSP службы. Очевидно, что в нем есть: 1.3.6.1.5.5.7.3.9 1.3.6.1.5.5.7.48.1.5 Насколько я понимаю последний и есть pkix-ocsp-nocheck. 2. Утверждается, что в 1.0.55 поправлена проверка срока действия ключа для OCSP. Есть еще мысли? Пользователь ShKA прикрепил следующие файлы: Dump_certutil.png (65kb) загружен 19 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#6 Оставлено : 7 мая 2013 г. 16:24:21(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,001 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 712 раз в 673 постах		Прошу прощения, не там ожидал увидеть расширение. В http://tools.ietf.org/html/rfc2560 п. 4.2.2.2 говорится о id-kp-OCSPSigning в ExtendedKeyUsage, но не о id-pkix-ocsp-nocheck (п. 4.2.2.2.1).
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ShKA		#7 Оставлено : 7 мая 2013 г. 17:18:11(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.05.2013(UTC) Сообщений: 3 Откуда: Москва		А может быть подскажете где? Я из 2560 не вычитал какого-то специального расширения под этот OID.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#8 Оставлено : 7 мая 2013 г. 17:51:21(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,001 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 712 раз в 673 постах		п. 4.2.2.2 На счет OCSPSigning: OCSP signing delegation SHALL be designated by the inclusion of id-kp-OCSPSigning in an extendedKeyUsage certificate extension included in the OCSP response signer's certificate. п. 4.2.2.2.1 The CA does so by including the extension id-pkix-ocsp-nocheck. This SHOULD be a non-critical extension. The value of the extension should be NULL. Не сказано, что оно "inclusion in an extendedKeyUsage certificate extension".
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ShKA		#9 Оставлено : 7 мая 2013 г. 18:30:19(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 07.05.2013(UTC) Сообщений: 3 Откуда: Москва		:-) Это я прочитал. Ну вроде бы разобрался. Спасибо. Будем тестировать.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close