Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
0x80090008 и nochain с sdk CSP 5.0 R2
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline DVasilii  
#1 Оставлено : 7 октября 2022 г. 18:33:54(UTC)
DVasilii

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2022(UTC)
Сообщений: 9
Российская Федерация
Откуда: Moscow
- Используемая система линукс
- Ставим пакет КриптоПро CSP 5.0 R2 (rpm)
- используем только консольный команды так как используем автоматизацию
- ключи нам поставляет главный поставшик ключей Ценральный

мы их импортируем командой
Код:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file /home/Downloads/test.pfx -pfx -at_signature -pin='pinpin'


1) Вопрос первый
при формировании подписи у нас возникает ошибка 0x80090008

подпись формируем через sdk

Код:
store := C.CertOpenSystemStore(0, C.CString(storeName))
p := C.CertFindCertificateInStore(*store.HCertStore, X509_ASN_ENCODING|PKCS_7_ASN_ENCODING, 0,
		C.uint(findType), pointer, nil)

hMsg := C.CryptMsgOpenToEncode(PKCS_7_ASN_ENCODING|X509_ASN_ENCODING, C.uint(flags), C.uint(msgType),
		encodeInfo, nil, CstreamInfo)
status = C.CryptMsgUpdate(*msg.hCryptMsg, (*C.uchar)(&data[0]), C.uint(size), C.int(final))

и так далее через вызов си функций

но если сертификат экспортировать потом опять импортировать то все начинает работать без проблем!!
Код:
/opt/cprocsp/bin/amd64/certmgr -export -store uMy -dest /home/Downloads/export.der -thumbprint thumbprintthumbprint
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file  /home/Downloads/export.der -keep_exportable
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file /home/Downloads/test.pfx -pfx -at_signature -pin='pinpin'


собсвенно что мы делаем не так? почему неполучается импортировать 1 командой чтобы все работало?

2) Вопрос второй.

Как в сдк отключается проверка цепочки сертификата да и в прицнипе как влиять на проверку сертификата
сроки действия отключить, проверку цепочки, списки отозванных чтобы были свежие обязательно

подскажите где можно найти примеры таких реализаций?

заранее спасибо. по форому пытался искать но очень много таких вопросов связанных с графичевкими интерфейсами что для нас не применимо.
Вверх
WWW

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Андрей *  
#2 Оставлено : 7 октября 2022 г. 19:44:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,719
Мужчина
Российская Федерация

Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
Здравствуйте.

1. -at_signature ... а если не будет такого ключа?
2. 0x80090008 Указан неправильный алгоритм
3. воспроизведите проблему и подпишите через cryptcp. Есть ошибка?
4. в коде - не вижу инициализации структур, какой алгоритм открытого ключа в сертификате?
5. покажите вывод /opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy (удалите персональные данные и прочее, при необходимости)

Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline DVasilii  
#3 Оставлено : 7 октября 2022 г. 19:54:25(UTC)
DVasilii

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2022(UTC)
Сообщений: 9
Российская Федерация
Откуда: Moscow
1) вроде не влияет. изначально без него пробовали. потом решили добавить.

я удалил все серты заново экспортировал вроде все работает,
но у тех кто делает первый раз почемуто ошибка 0x80090008.

нам выдали именно pfx контейнер с 3 сертами один наш с приватной частью, другие 2 только публичные.

3) я так понимаю проблему можно заглушить отключив проверку цепочки.
вроде как

Oct 7 12:31:50 -av crypto-service[3111385]: <capi10>CryptSignHashW!failed: LastError = 0x80090008
Oct 7 12:31:50 -av crypto-service[3111385]: <capi20>CryptMsgGetParam!() Exception :'Error 0x80090008.' at file:'../../../CSPbuild/CSP/capilite/CMSSignedMessage.cpp' line:2234
теперь на 1ну ошибку меньше

/opt/cprocsp/bin/amd64/cryptcp -signf -thumbprint 1b00e5c062d623f388697f27047a4c65dffa1808 /tmp/1 -nochain
из командной строки подписывает, может как то этот флад передавать?

подписывает если не проверять цепочки сертов

видимо через прокси пролезть не может или не видит мой прокси



4) https://github.com/get-n...lob/main/message_test.go

на базе этого кода делаем.

Отредактировано пользователем 7 октября 2022 г. 20:03:40(UTC)  | Причина: Не указана
Вверх
WWW
Offline DVasilii  
#4 Оставлено : 7 октября 2022 г. 19:56:05(UTC)
DVasilii

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2022(UTC)
Сообщений: 9
Российская Федерация
Откуда: Moscow
/opt/cprocsp/bin/amd64/certmgr -list -cert -store uMy
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель : C=RU, S=77 г. Москва, L=г. Москва, STREET="ул. Неглинная, д. 12", O=Банк России, CN=Центральный банк Российской Федерации, OGRN=1037700013020, INN=007702235133
Серийный номер : 0x40601D007E0D5CB368FF08F4630DCF24
SHA1 отпечаток : 762f84827e9199f72043f01d548ad86503b7fa98
Идентификатор ключа : 50fdb5d9f666d4d527f125b45e37868e46b83ca2
Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит
Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит)
Выдан : 30/08/2022 08:49:40 UTC
Истекает : 30/08/2036 12:32:44 UTC
Ссылка на ключ : Есть
Контейнер : HDIMAGE\\pfx-3cb5.000\B98E
Имя провайдера : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Инфо о провайдере : Тип провайдера: 80, тип ключа: 1, флаги: 0x0
Тип идентификации : Без личного присутствия по квалифицированной подписи
URL сертификата УЦ : http://crl1.ca.cbr.ru/au...279355947A99E4B04AA4.cer
URL сертификата УЦ : http://crl2.ca.cbr.ru/au...279355947A99E4B04AA4.cer
URL сертификата УЦ : ldap://crl1.ca.cbr.ru/cn=aucbr-E32A8B7149692178FBDE279355947A99E4B04AA4,c=ru?cACertificate
URL сертификата УЦ : ldap://crl2.ca.cbr.ru/cn=aucbr-E32A8B7149692178FBDE279355947A99E4B04AA4,c=ru?cACertificate
OCSP URL : http://tsp1.ca.cbr.ru/ocsp
OCSP URL : http://tsp2.ca.cbr.ru/ocsp
URL списка отзыва : http://crl1.ca.cbr.ru/au...279355947A99E4B04AA4.crl
URL списка отзыва : http://crl2.ca.cbr.ru/au...279355947A99E4B04AA4.crl
URL списка отзыва : ldap://crl1.ca.cbr.ru/cn=aucbr-E32A8B7149692178FBDE279355947A99E4B04AA4,c=ru?certificateRevocationList
URL списка отзыва : ldap://crl2.ca.cbr.ru/cn=aucbr-E32A8B7149692178FBDE279355947A99E4B04AA4,c=ru?certificateRevocationList
Назначение/EKU : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
2-------
Издатель : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Субъект : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Серийный номер : 0x00EACA32CEF5F979D68D3C4E4F2CC687A4
SHA1 отпечаток : aff05c9e2464941e7ec2ab15c91539360b79aa9d
Идентификатор ключа : 19778fbb82e66fc85f93f0151d9322a1d6ad0c26
Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит
Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит)
Выдан : 02/07/2021 12:41:47 UTC
Истекает : 02/07/2039 12:41:47 UTC
Ссылка на ключ : Нет
3-------
Издатель : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Субъект : C=RU, S=77 г. Москва, L=г. Москва, STREET="ул. Неглинная, д. 12", O=Банк России, CN=Центральный банк Российской Федерации, OGRN=1037700013020, INN=007702235133
Серийный номер : 0x4C94A5BA0000000005CF
SHA1 отпечаток : fbe33f2e13cc3b72fb8e36a4a03719ea4e3c51bf
Идентификатор ключа : e32a8b7149692178fbde279355947a99e4b04aa4
Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит
Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит)
Выдан : 30/08/2021 12:32:44 UTC
Истекает : 30/08/2036 12:32:44 UTC
Ссылка на ключ : Нет
URL сертификата УЦ : http://reestr-pki.ru/cdp/guc2021.crt
URL списка отзыва : http://reestr-pki.ru/cdp/guc2021.crl
URL списка отзыва : http://company.rt.ru/cdp/guc2021.crl
URL списка отзыва : http://rostelecom.ru/cdp/guc2021.crl
=============================================================================

[ErrorCode: 0x00000000]
Вверх
WWW
Offline DVasilii  
#5 Оставлено : 7 октября 2022 г. 19:58:11(UTC)
DVasilii

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2022(UTC)
Сообщений: 9
Российская Федерация
Откуда: Moscow
на машинах скорее всего проблема с доступом к интернету.

но проблема 0x80090008 скорее всего не связанно с этим?

при создании подписанного собшения проходит проверка цепочки сертификатов?
Вверх
WWW
Offline Андрей *  
#6 Оставлено : 9 октября 2022 г. 0:01:54(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,719
Мужчина
Российская Федерация

Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
Удалите сертификаты УЦ.
Сертификаты УЦ должны быть в других хранилищах.
Заодно - решите проблему с цепочкой.
CRL можно вручную поставить в uCA.



Сертификаты УЦ:
Банк России - в uCA - промежуточный (который выдал личный)
Минкомсвязь в uRoot - корневой
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline DVasilii  
#7 Оставлено : 11 октября 2022 г. 11:38:55(UTC)
DVasilii

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2022(UTC)
Сообщений: 9
Российская Федерация
Откуда: Moscow
Да вроде с добавлением корневого прблема решилась.

но ещё пока не точно.

но всеже хотелось бы получить ответ
как на базе этого кода

https://cpdn.cryptopro.r...mplelowlevelapisign.html

отключить проверку цепочки сертификатов.

и у нас скопилось порядка 10-20 вопросов разных тематик.

с кем можно проконсультироваться по ним?

у нас достаточно нагруженная система нам надо формировать до 100 рпс подписей.

до этого у нас был софт от сигнал кома и у нас очень много завязанна на их реализации.
но сейчас цб выдаёт нам ключи в формате крипто про и поэтому возникают вопросы.

Отредактировано пользователем 11 октября 2022 г. 11:42:00(UTC)  | Причина: Не указана
Вверх
WWW
Offline DVasilii  
#8 Оставлено : 11 октября 2022 г. 11:44:35(UTC)
DVasilii

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2022(UTC)
Сообщений: 9
Российская Федерация
Откуда: Moscow
и также непонятно почему при отсутсвии корневого сертификата возникает ошибка

`0x80090008`
Указан неправильный алгоритм. (0x80090008).
Вверх
WWW
Offline Андрей Русев  
#9 Оставлено : 11 октября 2022 г. 11:48:34(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,272

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 446 раз в 325 постах
0x80090008 = NTE_BAD_ALGID. Вероятно, вы неверно заполнили CMSG_SIGNER_ENCODE_INFO. Самые популярные ошибки - это поля HashAlgorithm и dwKeySpec. Пример есть в нашем пакете для разработчика - lsb-cprocsp-devel (см. /opt/cprocsp/src/samples/CSP/CryptMsgSign/CryptMsgSign.cpp).

Отредактировано пользователем 11 октября 2022 г. 11:49:39(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Вверх
Offline DVasilii  
#10 Оставлено : 11 октября 2022 г. 12:03:55(UTC)
DVasilii

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.10.2022(UTC)
Сообщений: 9
Российская Федерация
Откуда: Moscow
при вызове консольной команды на подписание файла возникает такая же ошибка.

тоесть вы хотите сказать что в вашей консольной утилите это тоже неправильно написано?
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET