Статус: Новичок
Группы: Участники
Зарегистрирован: 03.09.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Добрый день
Отлаживаюсь на примере CAdES PKCS7Example
Положил самоподписной сертификат в контейнер криптопро, подписываю им сообщение и потом выполняю проверку подписи.
Всегда получаю SEVERE: Root certificate: sn 7e2d7173, subject CN=Alias, O=Pro, C=RU is untrusted.
Цепочка, что подаю параметром verify содержит мой самоподписной сертификат. Как отметить, что я ему доверяю?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Здравствуйте.
Корневой сертификат добавлен в cacerts (хранилище корневых сертификатов java) той java, на которой запускаете код? |
|
 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.09.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Автор: Евгений Афанасьев  Здравствуйте.
Корневой сертификат добавлен в cacerts (хранилище корневых сертификатов java) той java, на которой запускаете код? Спасибо, Евгений После добавления самоподписного сертификата в cacerts, проблем с проверкой подписи документов,подписанных им, больше нет. Теперь следующая проблема: У контрагента есть сертификат выпущенный УЦ, у меня есть корневой сертификат УЦ, загрузил его в cacerts используемой java. Есть документ, и подпись сформированная на основе ЦП выданной этим УЦ. При проверке подписи получаю ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target, errors: 'PKIX failure: invalid parameters of certificate' (33)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.09.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Добрый день Прикрепляю  fine_log.txt (12kb) загружен 3 раз(а). attach.zip (167kb) загружен 2 раз(а).
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.09.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Для успешной проверки необходимо было поместить в caserts 2 сертификата, сертификат субъекта, подписавшего документ и сертификат УЦ выпустившего сертификат субъекта.
Без первого не строится цепочка,
без второго "Certificate issued by 1.2.643.100.1=1027700071530,1.2.643.3.131.1.1=007704211201,C=RU,ST=77 Москва,L=Москва,STREET=Барыковский пер.\, д. 4\, стр. 2,OU=Удостоверяющий центр,O=Общество с ограниченной ответственностью \"Такском\",CN=ООО \"Такском\" is not found, errors: 'Certificate is not found in the certificate list' (13)"
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.09.2018(UTC)
Сообщений: 5
Сказал(а) «Спасибо»: 2 раз
|
Добрый день Все строится, проверяется в том числе и crl. Но теперь новая затея проверять все кроме СОС, понимаю что звучит не правильно, но в данном случае решение принято и не мной. Вопрос1: Возможно ли отключить попытки скачать недостающий сертификат? Вопрос2: Возможно ли отключить именно проверку СОС, или анализировать код exception? При пустом crl получаю код ошибки 1, в остальных случаях, если недостает сертификатов, то другие значения. Отредактировано пользователем 13 сентября 2018 г. 17:11:30(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Здравствуйте. Автор: pikehunter Все строится, проверяется в том числе и crl. Но теперь новая затея проверять все кроме СОС, понимаю что звучит не правильно, но в данном случае решение принято и не мной.
Вопрос1: Возможно ли отключить попытки скачать недостающий сертификат?
Вопрос2: Возможно ли отключить именно проверку СОС, или анализировать код exception? При пустом crl получаю код ошибки 1, в остальных случаях, если недостает сертификатов, то другие значения. 1. Недостающие сертификаты не скачиваются, они берутся из список сертификатов, которые подаются в addSigner при формировании или verify при проверке, а также из самой подписи и из списка корневых сертификатов cacerts. CRL - скачиваются, если это подпись BES или T. Отключить проверку на отзыв нельзя. 2. Отключить проверку на отзыв нельзя, а коды исключений отличаются для разных случаев - когда не удается проверить сертификат или когда он не найден. |
|
1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
