Статус: Новичок
Группы: Участники
Зарегистрирован: 06.04.2022(UTC) Сообщений: 8  Откуда: Novosibirsk
|
Здравствуйте!
Столкнулись с проблемой использования КриптоПРО 5.0 и сертификатом, содержащим поле INNLE:
После выпуска сертификата пользователя, с атрибутом 1.2.643.100.4 (поле INNLE для указания ИНН для юридических лиц квалифицированных сертификатов) при работе с сертификатом возникает ошибка при проверке базовой политике для цепочки сертификатов.
Изначально столкнулись с проблемой на версии КриптоПРО 4.0, но после обновления на 5.0 проблема не решилась.
Подскажите, что ещё нужно проверить и в чем может быть причина.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719  Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
Автор: Vladimir_arqa  Здравствуйте!
Столкнулись с проблемой использования КриптоПРО 5.0 и сертификатом, содержащим поле INNLE:
После выпуска сертификата пользователя, с атрибутом 1.2.643.100.4 (поле INNLE для указания ИНН для юридических лиц квалифицированных сертификатов) при работе с сертификатом возникает ошибка при проверке базовой политике для цепочки сертификатов.
Изначально столкнулись с проблемой на версии КриптоПРО 4.0, но после обновления на 5.0 проблема не решилась.
Подскажите, что ещё нужно проверить и в чем может быть причина. Здравствуйте. Сообщите какая версия используется (полностью, 5.х.хххх), а также где возникает указанная проблема, если возможно - снимок, в каком ПО. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.04.2022(UTC) Сообщений: 8 Откуда: Novosibirsk
|
Здравствуйте.
Серверная и клиентская версии 5.0.12000 КС1
Проблема воспроизводится при проверке транзакции сервером Quik.
То есть клиент подаёт транзакцию с ЭЦП, сервер её проверяет и сообщает "Ошибка электронной подписи: Неподписанная заявка отвергнута."
При этом, если мы сохраняем транзакцию в файл, то видно, что ЭЦП имеется. При попытке проверить транзакцию вручную, получаем аналогичную ошибку.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
Автор: Vladimir_arqa Здравствуйте.
Серверная и клиентская версии 5.0.12000 КС1
Проблема воспроизводится при проверке транзакции сервером Quik.
То есть клиент подаёт транзакцию с ЭЦП, сервер её проверяет и сообщает "Ошибка электронной подписи: Неподписанная заявка отвергнута."
При этом, если мы сохраняем транзакцию в файл, то видно, что ЭЦП имеется. При попытке проверить транзакцию вручную, получаем аналогичную ошибку.
А где про исходную проблему текст? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.04.2022(UTC) Сообщений: 8 Откуда: Novosibirsk
|
Андрей, Ваш вопрос выше. Всё что Вы спрашивали, я Вам предоставил.
Возможно Вас интересует, по каким признакам определили, что дело в поле INLLE?
Если это так, то отвечаю:
Имеется два идентичных сертификата. Новый и старый. Старый без поля INLLE и с ним проверка транзакции проходит. Подкладываем новый сертификат - проверка не работает.
Специалисты клиента (банка) обращались в вашу поддержку по телефону и им ответили, что поле INLLE влиять не должно, однако никаких подробностей не было предоставлено, как и не был получен ответ по почте.
Затем уже я (специалист поддержки ARQA) обратился так же по телефону, рассказал в чём дело и получил рекомендацию перейти на КриптоПро 5*
Если требуется какая-либо ещё информация, просьба сообщить.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
Меня интересует вот этот текст: Цитата: при работе с сертификатом возникает ошибка при проверке базовой политике для цепочки сертификатов. он где возникает? У Вас зарегистрирован OID INNLE, а на стороне проверяющих? Но эта информация в составе субъекта, а не отдельная "политика для цепочки", влиять не должно. Далее сообщаете, что Цитата:
Неподписанная заявка отвергнута
т.е. сервис не видит подписи или это некорректное сообщение? Цитата:Имеется два идентичных сертификата.
Подкладываем новый сертификат - проверка не работает. Сверяли другие поля\расширения сертификатов? Сертификат от того же УЦ? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
Автор: Vladimir_arqa
При этом, если мы сохраняем транзакцию в файл, то видно, что ЭЦП имеется. При попытке проверить транзакцию вручную, получаем аналогичную ошибку.
Есть возможность предоставить в ЛС 2 примера запросов (ссылку на архив с паролем)? Успешный (старый сертификат) и с отказом (новый). По текущему описанию, не вижу причин думать, что проблема в INNLE. Или сервис анализирует как-то еще наличие\значение ИНН? В этом OID, если он есть, теперь ИНН ФЛ, с 01.09.2021. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.04.2022(UTC) Сообщений: 8 Откуда: Novosibirsk
|
Архив с сертификатами выложил на ФТП и отправил в ЛС ссылку.
Запрос, к сожалению, только завтра сможем предоставить.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719 Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
Не заметил, чтобы содержимое повлияло. Да, нужно сравнивать подписанные запросы. Сравнение на разницу в сертификатах: EMail, СНИЛС В старом: ИНН - ЮЛ В новом: ИНН ФЛ (ок) SubjectSignTool "КриптоПро CSP" (версия 4.0) в новом: "КриптоПро CSP" Средство подписи\заключение УЦ "КриптоПро CSP" (версия 4.0), Сертификат соответствия № СФ/124-3966 от 15.01.2021, "Удостоверяющий центр "КриптоПро УЦ" версии 2.0, Сертификат соответствия № СФ/128-3592 от 17.10.2018 в новом: "КриптоПро CSP" (версия 4.0), Сертификат соответствия № СФ/124-3971 от 15.01.2021, "Удостоверяющий центр "КриптоПро УЦ" версии 2.0, Сертификат соответствия № СФ/128-3868 от 23.07.2020 Отредактировано пользователем 11 апреля 2022 г. 15:09:26(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.04.2022(UTC) Сообщений: 8 Откуда: Novosibirsk
|
Коллеги, добрый день!
Приношу извинения за задержку с предоставлением информации.
Ранее мы прислали вам два сертификата.
Для сертификата с серийным номером <0397 AFF1 002A AE73 A04C 9059 92D3 B201 7D> вызываем CertGetCertificateChain и в полученном указателе на CERT_CHAIN_CONTEXT в структуре CERT_TRUST_STATUS в поле dwErrorStatus получаем значение 01000048 и последующий вызов CertVerifyCertificateChainPolicy возвращает ошибку "Нельзя проверить подпись сертификата.".
Для сертификата с серийным номером <0226 B97B 0087 AD64 A741 EFD3 638A C698 15> в том же самом поле dwErrorStatus получаем значение 01000040 и вызов CertVerifyCertificateChainPolicy проходит успешно.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
