Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline vnsuzdalev  
#1 Оставлено : 20 июля 2009 г. 16:19:53(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Не знаю точно в какую ветку форума задать вопрос.
Сталкнулся с проблемой подписания xml в InfoPath Form Server. В поиске нашел тему годовой давности без ответа ( http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=235 )

Проблема выглядит так. В InfoPath Form Server есть встроенный механизм подписи части xml-документа с использованием сертификата. Как я понимаю такой мех-м не должен зависеть от CSP (если он реализован по стандарту) Подписать часть документа удается, но проверка подписи самим infopath form server выдает ошибку. Якобы документ изменен. (Елемент, хранящий подпись не в ходит в подписываемую ветку)
Если использовать стандартный провайдер от Microsoft, то все хорошо.

Не пойму в чем может быть проблема!
Не могли бы Вы прояснить ситуацию?
Offline Максим Коллегин  
#2 Оставлено : 20 июля 2009 г. 16:29:48(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Пока не поддерживаем. Алгоритмы жестко зашиты в ActiveX.
Знания в базе знаний, поддержка в техподдержке
Offline vnsuzdalev  
#3 Оставлено : 20 июля 2009 г. 16:37:33(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Жаль! И я так понимаю, что лишь в отдаленной перспективе это окажется возможным. Т.е. ждать не стоит?
Есть ли альтернативные пути решения проблемы подписи в нашем случае. Что Вы посоветуете?
Offline Максим Коллегин  
#4 Оставлено : 20 июля 2009 г. 16:42:55(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
В ближайшее время оценим сложность реализации.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#5 Оставлено : 30 июля 2009 г. 21:08:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Скоро ожидается релиз Sharpei для тестирования c Forms Server.
Знания в базе знаний, поддержка в техподдержке
Offline Челпанов А.  
#6 Оставлено : 30 июля 2009 г. 21:57:12(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Настройка Microsoft Office Forms Server 2007, Microsoft SharePoint Server 2010 (32-битная и 64-битная версии) для использования в веб-формах российских алгоритмов ЭЦП.

Данная инструкция описывает настройку Microsoft Office Forms Server 2007 или Microsoft SharePoint Server 2010 для возможности подписи форм секретными ключами ГОСТ. После выполнения данной инструкции подпись на ключах алгоритма RSA будет невозможна.

Действия выполняемые на сервере.
1. Установить КриптоПро CSP версии 3.6 или 3.6.1. Если в процессе установки не был добавлен считыватель "Реестр", необходимо выполнить его установку.
2. Установить КриптоПро Sharpei версии 1.0.3834.0 или выше.
3. Сгенерировать секретный ключ в реестре с именем FormsServerKey для локальной машины, например при помощи командной строки
Цитата:
csptest -keyset -newkeyset -container "\\.\Registry\FormsServerKey" -machine

3. Добавить ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Sharpei\1.0\InfoPath.Server добавить параметр DWORD AlgType в указанный выше ключ со значением 1, добавить строковый параметр параметр Container в указанный выше ключ со значением \\.\Registry\FormsServerKey.
4. Для FormsServer 2007 заменить клиентский ActiveX (файл DSIGCTRL.cab) в папке \Program Files\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\LAYOUTS на прилагаемый прилагаемый DSIGCTRL.cab. Для Microsoft SharePoint Server 2010 заменить AciveX (файл DSIGCTRL.cab) в папаке \Program Files\Common Files\Microsoft Shared\web server extensions\14\TEMPLATE\LAYOUTS на прилагаемый DSIGCTRL-14.cab предварительно переименовав его в DSIGCTRL.cab. DSIGCTRL.cab модифицированный cab из http://support.microsoft.com/kb/972564 - если возникнут проблемы с использованием на клиенте - присылайте свой dsigctrl.cab - поправим.
5. Проверить наличие прав доступа (Full Control) на ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\FormsServerKey пользователя, из под которого осуществляется запуск Группы приложений SharePoint (Обычно Network Service, Local System...)
6. Проверить наличие корневых сертификатов, на которых выданы сертификаты клиентов в хранилище "Доверенные корневые центры сертификации" (Trusted Root Certification Authorities) локального компьютера (LocalMachine).
7. Проверить наличие актуальных CRL для корневых сертификатов из пункта 6 в хранилище Промежуточные Центры сертификации (Intermidiate Certification Authorities) локального компьютера (LocalMachine) или возможности доступа к ним по CDP.
8. Перезагрузить компьютер.

Действия выполняемые на клиенте.
Установить КриптоПро CSP версии 3.6 (3.6.1).
Если на клиенте до этого не осуществлялась подпись форм, никаких дополнительных действий не потребуется; определить это можно по наличию файла \WINDOWS\Downloaded Program Files\DSigCtrl.dll, если этот файл отсутствует, то подпись форм ранее не осуществлялась.
Если на клиенте ранее осуществлялась подпись, то необходимо перейти в каталог \WINDOWS\Downloaded Program Files\ запустить regsvr32 /u DSigCtrl.dll кроме того необходимо удалить файлы DSigCtrl.* из каталога \WINDOWS\Downloaded Program Files\

Возможные изменения в процессе установки.
При работе Forms Server (SharePoint Server) используется временный ключ для подписи. Этот ключ используется на сервере всякий раз при выполнении операции подписи на клиенте, поэтому рекомендуется его хранить на неотчуждаемом носителе - в реестре. Если ключ с именем FormsServerKey уже использовался до установки, то можно использовать любое другое имя. При переустановке продукта можно использовать старый ключ.
При установке можно ограничиться только одной последней перезагрузкой.
При предварительно установленном КриптоПро CSP и КриптоПро Sharpei можно перезагрузку не выполнять, а ограничиться командой iisreset.

Внимание.
Подпись форм в InfoPath работоспособна только для InfoPath 2007. Подпись форм из IE работает и для FormsServer 2007 и для SharePoint Server 2010.

Отредактировано пользователем 5 июля 2010 г. 15:47:42(UTC)  | Причина: Не указана

Вложение(я):
DSIGCTRL.cab (371kb) загружен 80 раз(а).
DSIGCTRL-14.cab (298kb) загружен 39 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
С уважением, Александр.
Offline XoR  
#7 Оставлено : 12 октября 2009 г. 19:51:11(UTC)
XoR

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.10.2009(UTC)
Сообщений: 3

Приветствую, после выполнения указанных действий ситуация следующая:

при помощи FormServices подписание действительно проходит по ГОСТовому алгоритму, но проверка подписи не отрабатывает, выводится ошибка:
"Ошибка при проверке - обнаружена ошибка при проверке подписи".
Вместе с тем при открытии данного документа при помощи InfoPath подпись считается валидной.

В обратную сторону ситуация аналогична - форма подписанная в InfoPath считается в нём валидной, но при открытии её через FormServices так же выводится указанная выше ошибка.

Подписание идёт ГОСТовым сертификатом , формы подписанные в InfoPath с RSA сертификатами FormServices считает не валидными:
"Подпись не заслуживает доверия - не удаётся проверить цепочку отношения доверия". Но это поведение как я понимаю как раз ожидаемое.

Как можно поправить ситуацию ? Есть какое-то решение ?
Вопрос сильно горит.

Заранее спасибо.
Offline Челпанов А.  
#8 Оставлено : 12 октября 2009 г. 23:20:52(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Версия Шарпей последняя (1.0.3548.0)?
параметр AlgType в реестре корректно записан?
После последних изменений в реестре перегружались?
С уважением, Александр.
Offline XoR  
#9 Оставлено : 13 октября 2009 г. 21:35:33(UTC)
XoR

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.10.2009(UTC)
Сообщений: 3

Обновил до последней версии.
Параметр в реестре записан правильно.
Перезагрузку делал.

Ситуация как описывал ранее.

Решил попробовать перегенерить ключ в реестре с именем FormsServerKey2.
Получаю ошибку:

CSP (Type:75) v3.6.5355 KC2 Release Ver:3.6.5371 OS:Windows CPU:IA32 FastCode:READY,ENABLED.
AcquireContext: OK. HCRYPTPROV: 1432904
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Container name: "FormsServerKey2"

Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
.\ctkey.c:1513:GenKey()
Error number 0x80090020 (2148073504).
Внутренняя ошибка.


Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.031 sec
[ErrorCode: 0x80090020]
Offline Челпанов А.  
#10 Оставлено : 13 октября 2009 г. 22:27:59(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
1. Ошибка 0x80090020 при генерации ключа скорее всего означает неустановленного или неправильно установленного ДСЧ.
Как я понял KC2? Аппаратный ДСЧ установлен на машине? Если нет, то необходимо добавить Биологический ДСЧ, через контрольную панел CSP.
2. Проверка и установка подписей происходит с одного компьютера? Если с разных, то DSigCtrl заменен на обоих компьютерах? Можете дать подписанные xml файлы?
3.
Цитата:
Подписание идёт ГОСТовым сертификатом , формы подписанные в InfoPath с RSA сертификатами FormServices считает не валидными:
"Подпись не заслуживает доверия - не удаётся проверить цепочку отношения доверия". Но это поведение как я понимаю как раз ожидаемое.

Да так и должно быть.
С уважением, Александр.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.