cadesSignature.addSigner(
JCSP.PROVIDER_NAME,
null,
null,
privateKey,
certs,
CAdESType.CAdES_BES,
null,
false,
null,
null
);

19:42:25.199 [Thread-4] ERROR r.b.s.task.SigningWorkerTask - Validation failed for the target:
serial: 7c00144b008985472f2d37a456000700144b00
subject: CN="ООО \"БиАйЭй-Технолоджиз\"", SURNAME=Иванов, GIVENNAME=Иван Иванович, L=Санкт-Петербург, C=RU, O="ООО \"БиАйЭй-Технолоджиз\"", T=Менеджер, OID.1.2.643.100.1=#120d31313437383437333836393036, OID.1.2.643.100.3=#120b3634323736313031383835, OID.1.2.643.3.131.1.1=#120c343235303232363038383339, OID.1.2.643.100.4=#120a37383130333835373134
issuer: CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120c303031323334353637383930, OID.1.2.643.100.1=#120d31323334353637383930313233
not before: Thu Apr 18 15:10:26 MSK 2024
not after: Tue Jun 18 15:20:26 MSK 2024
signature provider: JCSP
validation date: null
revocation algorithm: CPPKIX
revocation validator: RevCheck
online (crl list is empty): true
For online validation (by CRL DP) 'com.sun.security.enableCRLDP' (for Oracle), or 'com.ibm.security.enableCRLDP' (for IBM) must be set to 'true', or 'ocsp.enable' must be set to 'true' (OCSP) with other options (responder etc.), or CRL list must be set for offline validation
ru.CryptoPro.CAdES.exception.CAdESException: Validation failed for the target:
serial: 7c00144b008985472f2d37a456000700144b00
subject: CN="ООО \"БиАйЭй-Технолоджиз\"", SURNAME=Иванов, GIVENNAME=Иван Иванович, L=Санкт-Петербург, C=RU, O="ООО \"БиАйЭй-Технолоджиз\"", T=Менеджер, OID.1.2.643.100.1=#120d31313437383437333836393036, OID.1.2.643.100.3=#120b3634323736313031383835, OID.1.2.643.3.131.1.1=#120c343235303232363038383339, OID.1.2.643.100.4=#120a37383130333835373134
issuer: CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120c303031323334353637383930, OID.1.2.643.100.1=#120d31323334353637383930313233
not before: Thu Apr 18 15:10:26 MSK 2024
not after: Tue Jun 18 15:20:26 MSK 2024
signature provider: JCSP
validation date: null
revocation algorithm: CPPKIX
revocation validator: RevCheck
online (crl list is empty): true
For online validation (by CRL DP) 'com.sun.security.enableCRLDP' (for Oracle), or 'com.ibm.security.enableCRLDP' (for IBM) must be set to 'true', or 'ocsp.enable' must be set to 'true' (OCSP) with other options (responder etc.), or CRL list must be set for offline validation
at ru.CryptoPro.CAdES.cl_1.addSigner(Unknown Source)
at ru.CryptoPro.CAdES.cl_1.addSigner(Unknown Source)
at ru.CryptoPro.CAdES.cl_1.addSigner(Unknown Source)
at ru.bia.signclient.service.SignService.createCadesSignature(SignService.java:286)
at ru.bia.signclient.service.SignService.signDocument(SignService.java:211)
at ru.bia.signclient.task.SigningWorkerTask.launchSignatureProcedure(SigningWorkerTask.java:120)
at ru.bia.signclient.task.SigningWorkerTask.run(SigningWorkerTask.java:59)
at java.base/java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:539)
at java.base/java.util.concurrent.FutureTask.runAndReset(FutureTask.java:305)
at java.base/java.util.concurrent.ScheduledThreadPoolExecutor$ScheduledFutureTask.run(ScheduledThreadPoolExecutor.java:305)
at java.base/java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1136)
at java.base/java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:635)
at java.base/java.lang.Thread.run(Thread.java:842)
Caused by: ru.CryptoPro.AdES.exception.AdESException: Validation failed for the target:
serial: 7c00144b008985472f2d37a456000700144b00
subject: CN="ООО \"БиАйЭй-Технолоджиз\"", SURNAME=Иванов, GIVENNAME=Иван Иванович, L=Санкт-Петербург, C=RU, O="ООО \"БиАйЭй-Технолоджиз\"", T=Менеджер, OID.1.2.643.100.1=#120d31313437383437333836393036, OID.1.2.643.100.3=#120b3634323736313031383835, OID.1.2.643.3.131.1.1=#120c343235303232363038383339, OID.1.2.643.100.4=#120a37383130333835373134
issuer: CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120c303031323334353637383930, OID.1.2.643.100.1=#120d31323334353637383930313233
not before: Thu Apr 18 15:10:26 MSK 2024
not after: Tue Jun 18 15:20:26 MSK 2024
signature provider: JCSP
validation date: null
revocation algorithm: CPPKIX
revocation validator: RevCheck
online (crl list is empty): true
For online validation (by CRL DP) 'com.sun.security.enableCRLDP' (for Oracle), or 'com.ibm.security.enableCRLDP' (for IBM) must be set to 'true', or 'ocsp.enable' must be set to 'true' (OCSP) with other options (responder etc.), or CRL list must be set for offline validation
at ru.CryptoPro.AdES.certificate.BaseCertificateChainValidatorImpl.validate(Unknown Source)
at ru.CryptoPro.AdES.certificate.BaseCertificateChainValidatorImpl.validate(Unknown Source)
at ru.CryptoPro.AdES.certificate.BaseCertificateChainValidatorImpl.validate(Unknown Source)
... 13 common frames omitted
Caused by: java.security.cert.CertPathValidatorException: Could not determine revocation status
at java.base/sun.security.provider.certpath.PKIXMasterCertPathValidator.validate(PKIXMasterCertPathValidator.java:135)
at java.base/sun.security.provider.certpath.PKIXCertPathValidator.validate(PKIXCertPathValidator.java:224)
at java.base/sun.security.provider.certpath.PKIXCertPathValidator.validate(PKIXCertPathValidator.java:144)
at java.base/sun.security.provider.certpath.PKIXCertPathValidator.engineValidate(PKIXCertPathValidator.java:83)
at java.base/java.security.cert.CertPathValidator.validate(CertPathValidator.java:309)
at ru.CryptoPro.reprov.CPCertPathValidator.engineValidate(Unknown Source)
at java.base/java.security.cert.CertPathValidator.validate(CertPathValidator.java:309)
... 16 common frames omitted
Caused by: java.security.cert.CertPathValidatorException: Could not determine revocation status
at ru.CryptoPro.reprov.certpath.CrlRevocationChecker.a(Unknown Source)
at ru.CryptoPro.reprov.certpath.CrlRevocationChecker.a(Unknown Source)
at ru.CryptoPro.reprov.certpath.CrlRevocationChecker.a(Unknown Source)
at ru.CryptoPro.reprov.certpath.CrlRevocationChecker.a(Unknown Source)
at ru.CryptoPro.reprov.certpath.CrlRevocationChecker.a(Unknown Source)
at ru.CryptoPro.reprov.certpath.CrlRevocationChecker.a(Unknown Source)
at ru.CryptoPro.reprov.certpath.CrlRevocationChecker.check(Unknown Source)
at java.base/sun.security.provider.certpath.PKIXMasterCertPathValidator.validate(PKIXMasterCertPathValidator.java:125)
... 22 common frames omitted

с ошибкой, если не включать опцию онлайн-проверки отозванных сертификатов

есть два варианта решения данной проблемы - либо включать онлайн-проверку, либо не включать онлайн-проверку и скачивать crl файл, вручную его добавляя в подпись в одном из перегруженных методов addSigner

отключить проверку отзыва сертификатов при формировании подписи - нельзя

disableCertificateValidation работает только при создании CAdES-BES или CAdES-T или усовершенствовании BES -> T. При проверке disableCertificateValidation не работает - проверка статуса тут обязательна.

Проверка выполняется с помощью verify. Если сертификаты есть в подписи, то они будут взяты оттуда, но корневой должен быть установлен в cacerts.

По умолчанию CAdES-BES и CAdES-T создаются без добавления в подпись сертификата для ее проверки. Добавить можно двумя способами при создании:
* используя CAdESSignature#setCertificateStore(store), где store - CollectionStore из X509CertificateHolder, или
* используя расширенную версию addSigner, которая последним параметром принимает флаг addCertificateChain. Этот параметр приведет к добавлению в подпись всей цепочки.

Да, в случае использования JCP.
В случае JCSP можно устанавливать в системное хранилище Root.
Также есть возможность перечитать cacerts/ROOT, если туда был установлен корневой в процессе работы: CAdESSignature.reloadCACerts()


Корневой не обязательно добавлять в цепочку, он и так будет прочитан из хранилища доверенных корневых сертификатов (см. выше - cacerts или ROOT). Если корневой есть в цепочке, но его нет в хранилище доверенных корневых сертификатов, будет ошибка.