Статус: Новичок
Группы: Участники
Зарегистрирован: 23.05.2019(UTC) Сообщений: 3  Откуда: Москва Поблагодарили: 1 раз в 1 постах
|
 ee-certs.zip (4kb) загружен 7 раз(а).У нас есть web-сервис, использующий КриптоПро CSP 4.0r4 (серверная лицензия) и десктопное приложение, использующее CryptoAPI под Windows. Для доступа в web-сервис производится регистрация сертификата пользователя через web-панель администратора. Появился пользователь, который жалуется, что он регистрирует сертификат, а веб-сервис его не пускает. Стали разбираться, увидели, что у зарегистрированного сертификата один отпечаток, а у пользователя сертификат с другим отпечатком. В ходе выяснения причин поняли, что дело в самом сертификате: пользователь выгрузил сертификат во внешнем веб-сервисе, а то в него добавил несколько байт в конец файла. В Windows этот сертификат отображается с корректным отпечатком, а в Linux при вычислении отпечатка берутся лишние байты. В CryptoAPI после декодирования сертификата в структуре PCCERTCONTEXT поле cbCertEncoded указано корректный размер сертификата, а в КриптоПро CSP под Linux содержится некорректный размер, на n байт больше корректного. certmgr для корректного сертификата выдаёт следующее: Цитата:$ certmgr -list -f ee-cert.cer
...
Serial : 0x023DD6446B1FAC2894E9111AD6F11423A1
SHA1 Hash : 9a5b90d0ded027f7419221f4e3af2e881550829b
... certmgr для сертификата с лишними байтами в конце выдаёт следующее: Цитата:$ certmgr -list -f ee-bad-cert.cer
...
Serial : 0x023DD6446B1FAC2894E9111AD6F11423A1
SHA1 Hash : 4d95d78ace3ab2462abfbaf0bc545208f1072d67
... Цитата:$ sha1sum ee*.cer
4d95d78ace3ab2462abfbaf0bc545208f1072d67 ee-bad-cert.cer
9a5b90d0ded027f7419221f4e3af2e881550829b ee-cert.cer OpenSSL: Цитата:$ openssl x509 -in ee-cert.cer -inform der -noout -fingerprint
SHA1 Fingerprint=9A:5B:90:D0:DE:D0:27:F7:41:92:21:F4:E3:AF:2E:88:15:50:82:9B
$ openssl x509 -in ee-bad-cert.cer -inform der -noout -fingerprint
SHA1 Fingerprint=9A:5B:90:D0:DE:D0:27:F7:41:92:21:F4:E3:AF:2E:88:15:50:82:9B Windows 10:  Сертификаты находятся во вложении. UPDВ КриптоПро CSP версий 4.0r5 и 5.0, 5.0r2 проблема воспроизводится. ОС Ubuntu 18.04 (amd64), запускаемая как в виртуальной машине (на сервере), так и из-под Docker, так и из-под WSL. Отредактировано пользователем 13 февраля 2020 г. 12:21:09(UTC)
| Причина: Не указана
|
 1 пользователь поблагодарил Denis0515 за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 05.04.2017(UTC) Сообщений: 363  Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
|
Добрый день!
Описанное Вами поведение имеет место быть. Если на Windows при пересчёте хэша отбрасывается лишний "мусор", то на Unix этого не происходит. Решением будет копирование сертификата встроенными средствами Windows (используя визор).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 720 раз в 624 постах
|
Спасибо за сообщение, постараемся исправить в 4R5 и 5R2. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 02.11.2017(UTC) Сообщений: 59 Сказал «Спасибо»: 11 раз
Поблагодарили: 24 раз в 22 постах
|
Починили, в последующих релизах 5.0 и 4.0 будем вести себя в этом вопросе как Windows. Идентификатор запроса для отслеживания в changelog: CPCSP-10783. Большое спасибо за подробный анализ ситуации, он сильно помог одолеть проблему. Отредактировано пользователем 21 февраля 2020 г. 11:38:48(UTC)
| Причина: добавил идентификатор запроса |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
