Статус: Участник
Группы: Участники
Зарегистрирован: 19.09.2012(UTC)
Сообщений: 21
|
Являемся клиентами УЦ, используем плагин CADESCOM, осуществляем функции простановки и проверки ЭЦП.
Получаем ошибки следующего вида:
Caused by: CRL issued by <...> has wrong thisUpdate Tue Jul 01 07:03:10 MSK 2014 if compare to Tue Jul 01 11:26:54 MSK 2014, errors: 'Certificate status is unknown' (19)
Подскажите, на чьей стороне и какие должны быть исправления? И чем в данном случае не устраивает значение thisUpdate?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 928  Откуда: Крипто-Про Поблагодарили: 103 раз в 98 постах
|
Здравствуйте!
Что именно вы делаете и в какой момент возникает ошибка?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.09.2012(UTC)
Сообщений: 21
|
Мы пытаемся проверить с помощью CRL, только что полученного от УЦ, что наш сертификат не отозван.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,027  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 727 раз в 685 постах
|
Здравствуйте.
Подпись формируете в с помощью CADESCOM, а проверяете в CAdES.jar?
Какой формат подписи? Выполняете проверку подписи?
Включите логирование для JCP (https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/45/6/vkljuchenie-zhurnlirovnija-kriptopro-jcp), соберите лог и приложите файл. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.09.2012(UTC)
Сообщений: 21
|
Я, наверное, ошибся сначала насчет момента возникновения ошибки.
Вот кусок лога:
2014-07-01 11:28:56 MSK [io-8080-exec-114] DEBUG JCPLogger - Verify that CRL is valid for this certificate.
2014-07-01 11:28:56 MSK [io-8080-exec-114] DEBUG JCPLogger - Verification of the CRL finished (true).
2014-07-01 11:28:56 MSK [io-8080-exec-114] DEBUG JCPLogger - Compare CRL thisUpdate and signature-timestamp.
2014-07-01 11:28:56 MSK [io-8080-exec-114] ERROR JCPLogger - CRL issued by <...> has wrong thisUpdate Tue Jul 01 07:03:10 MSK 2014 if compare to Tue Jul 01 11:26:54 MSK 2014
stacktrace:
java.security.SignatureException: org.bouncycastle.cms.CMSAttributeTableGenerationException: CRL issued by <...> has wrong thisUpdate Tue Jul 01 07:03:10 MSK 2014 if compare to Tue Jul 01 11:26:54 MSK 2014
at...
...
Caused by: org.bouncycastle.cms.CMSAttributeTableGenerationException: CRL issued by <...> has wrong thisUpdate Tue Jul 01 07:03:10 MSK 2014 if compare to Tue Jul 01 11:26:54 MSK 2014
at ru.CryptoPro.CAdES.c.b.d.getAttributes(Unknown Source)
at ru.CryptoPro.CAdES.c.b.b.getAttributes(Unknown Source)
at org.bouncycastle.cms.CMSSignedDataStreamGenerator$SignerIntInfoGeneratorImpl.generate(Unknown Source)
at org.bouncycastle.cms.CMSSignedDataStreamGenerator$CmsSignedDataOutputStream.close(Unknown Source)
at ru.CryptoPro.CAdES.CAdESSignature.sign(Unknown Source)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,027 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 727 раз в 685 постах
|
Полагаю, что вы формируете подпись. Проверьте, есть ли в сертификате подписи ссылка на OCSP службу - для формирования подписи она должна присутствовать. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.09.2012(UTC)
Сообщений: 21
|
В поле "Доступ к информации о центрах сертификации" есть это:
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=<ссылка на OCSP-службу УЦ>
Эта служба доступна и работает.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.07.2014(UTC) Сообщений: 18 Сказал(а) «Спасибо»: 1 раз
|
А как проверить доступность данной службы?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,027 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 727 раз в 685 постах
|
Автор: afev 
Какой формат подписи?
Включите логирование для JCP (https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/45/6/vkljuchenie-zhurnlirovnija-kriptopro-jcp), соберите лог и приложите файл.
Можете прислать цепочку сертификатов на afevma at cryptopro.ru с логом? Отредактировано пользователем 2 июля 2014 г. 12:04:50(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.07.2014(UTC) Сообщений: 18 Сказал(а) «Спасибо»: 1 раз
|
где взять цепочку сертификатов?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
