Просмотр

10.08.2006 15:13:16

КриптоПро ЭЦП SDK: использование CadesSignMessage

Ответов: 31

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Вопрос по использованию CadesSignMessage. Сейчас модернизируем софт, чтобы использовать TSP и OCSP от КриптоПро...

Раньше использовали CryptSignMessage. Теперь вместо этого вызова юзаем CadesSignMessage.

Но вот проблема! Я не понимаю что такое HTTP-прокси URI. Даже в WinHTTP Services нет такого понятия. Есть хост прокси, есть порт, к которому подключаемся. Ведь HTTP-прокси это не веб сервер и не содержит веб-ресурсов, на которые и указывают URI. Вот как я использую CadesSignMessage..

//подготовим данные для входа на HTTP-прокси сервер
CADES_AUTH_PARA objHTTPProxyAuthPara;
ZeroMemory(&objHTTPProxyAuthPara, sizeof(CADES_AUTH_PARA));
objHTTPProxyAuthPara.dwSize = sizeof(CADES_AUTH_PARA);
objHTTPProxyAuthPara.dwAuthType = this->m_dwHTTPAuthScheme;
objHTTPProxyAuthPara.wszPassword = this->m_swHTTPProxyPassword;
objHTTPProxyAuthPara.wszUsername = this->m_swHTTPProxyLogin;

//подготовим данные для входа на TSP сервер
CADES_AUTH_PARA objTSPAuthPara;
ZeroMemory(&objTSPAuthPara, sizeof(CADES_AUTH_PARA));
objTSPAuthPara.dwSize = sizeof(CADES_AUTH_PARA);
objHTTPProxyAuthPara.dwAuthType = this->m_dwHTTPAuthScheme;
objHTTPProxyAuthPara.wszPassword = this->m_swTSPPassword;
objHTTPProxyAuthPara.wszUsername = this->m_swTSPLogin;

//заполняем параметры "подключения к сервису" TSP
CADES_SERVICE_CONNECTION_PARA objTSPConnPara;
ZeroMemory(&objTSPConnPara, sizeof(CADES_SERVICE_CONNECTION_PARA));
objTSPConnPara.dwSize = sizeof(CADES_SERVICE_CONNECTION_PARA);
objTSPConnPara.wszProxyUri = this->m_swHTTPProxyURI.GetBuffer();
objTSPConnPara.wszUri = this->m_swTSPURI.GetBuffer();
objTSPConnPara.pProxyAuthPara = &objHTTPProxyAuthPara;
objTSPConnPara.pAuthPara = &objTSPAuthPara;

//упаковываем все парамерты в структуру, отвечающую за параметры расширенной подписи
CADES_SIGN_PARA objCadesSignPara;
ZeroMemory(&objCadesSignPara, sizeof(CADES_SIGN_PARA));
objCadesSignPara.dwSize = sizeof(CADES_SIGN_PARA);
objCadesSignPara.dwCadesType = CADES_X_LONG_TYPE_1;
objCadesSignPara.pSignerCert = pSignerCert;
objCadesSignPara.szHashAlgorithm = HashAlgOID.GetBuffer();
objCadesSignPara.hAdditionalStore = NULL; //должно ли быть так?
objCadesSignPara.pTspConnectionPara = &objTSPConnPara;

//и, наконец, упаковываем в одну структуру все параметры
CADES_SIGN_MESSAGE_PARA objSignPara;
ZeroMemory(&objSignPara, sizeof(CADES_SIGN_MESSAGE_PARA));
objSignPara.dwSize = sizeof(CADES_SIGN_MESSAGE_PARA);
objSignPara.pSignMessagePara = &SigParams;
objSignPara.pCadesSignPara = &objCadesSignPara;

//подписываем сообщения усовершенствованной подписью

PCRYPT_DATA_BLOB pBLOB = NULL;

BOOL bRes = CadesSignMessage(&objSignPara, FALSE, 1, MessageArray, MessageSizeArray, &pBLOB);
if (!bRes)
{
ErrorLog(_T("CryptedDocs.exe : FirstSign : Невозможно поставить ЭЦП"), GetLastError());
MessageBox(_T("Невозможно поставить ЭЦП"), NULL, MB_ICONWARNING);
delete[] pbSigningTime;
CadesFreeBlob(pBLOB);
return false;
}

где

this->m_swHTTPProxyURI = L"tepmel.center.cg:8080";
this->m_swHTTPProxyLogin = L"";
this->m_swHTTPProxyPassword = L"";
this->m_swTSPURI = L"http://10.10.21.9:8080/tsp/tsp.srf";
this->m_wsTSPLogin = L"";
this->m_wsTSPPassword = L"";
this->m_swOCSPURI = L"http://10.10.21.9:8080/ocsp/ocsp.srf";
this->m_wsOCSPLogin = L"";
this->m_wsOCSPPassword = L"";
this->m_dwHTTPProxyAuthScheme = 0;

Мне GetLastError возвращает, что "неверно задан параметр". Скорее всего это один из указанных мной в неравенствах, т.к. с CryptSignMessage работало.

Ответы:

10.08.2006 15:21:32

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Ну ладно.. Серваки TSP и OCSP локальные.. Пробую без "HTTP прокси URI" (почему URI?).. Ладно.. Вместо полагаю this->m_swHTTPProxyURI = L"";

CadesSignMessage снова пишет ошибку. GetLastError говорит (голосом Error Lookup) "Отсутствует доверие к подписи зашифрованного сообщения или списку доверия сертификатов." Это как отрубить? Я, конечно, положил objCadesSignPara.hAdditionalStore = NULL, и, думается в этим причина... Но все-таки. Нам нужен прототип работающий. Как отключить проверки, чтобы постепенно добавлять секурность?

10.08.2006 17:13:08

Смирнов Павел

По первому сообщению ничего сказать не могу, т.к. пример кода не полный.
По поводу второй ошибки - добейтесь того, чтобы все сертификаты проверялись на той машине и под той учётной записью, под которой происходит создание усовершенствованной ЭЦП. Цепочка пользовательского сертификата должна строиться и проверяться на отзыв по OCSP. Сертификаты OCSP- и TSP-серверов тоже должны проверяться, в сертификате OCSP должно быть расширение no-check. Полный список требований описан на странице "Справочник по ЭЦП SDK" в руководстве.

Если все необходимые сертификаты лежат по соответствующим хранилищам, то AdditionalStore = NULL - это нормально.

11.08.2006 9:37:25

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Два вопроса:
1) Что же такое URI HTTP-прокси-сервера.
2) "Должны строиться цепочи" значит по сути то, что сертификат должен быть валидным, так?
3) В доках пишется требование

Адрес службы OCSP должен либо содержаться в расширении AIA (Authority Information Access) сертификата, на ключе которого создаётся подпись, либо должен быть задан в групповой политике КриптоПро OCSP Client Адрес службы OCSP по умолчанию;

Т.е. в AIA расширении стоит ссылка на default-страничку OCSP сервера, чтобы библиотеки КриптоПро ЭЦП SDK могли сами провести проверку, так?

Т.е. все, что требуется, так это устанавливать расширение на сертификат подписчика (или его копию) расширение AIA и все?

Нельзя ли без расширений?

11.08.2006 10:31:09

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Т.е. насколько я понял, чтобы использовать КриптоПро ЭЦП SDK для создания усовершенствованных подписей, надо либо ставить AIA расширение, либо покупать OCSP SDK и TSP SDK, либо делать свой интерфейс к OCSP и TSP серверам. Я правильно понимаю?

11.08.2006 12:00:08

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Поставил AIA-расширение на сертификат подписывателя сообщения. Установил сертификат CA, который его выдал в хранилище доверенных CA. AIA расширение содержит URI http://test.it.cg:8080/ocsp/ocsp.srf .

Все равно после CadesSignMessage GetLastError() через ErrorLookup сообщает: "Отсутствует доверие к подписи зашифрованного сообщения или списку доверия сертификатов"

11.08.2006 12:16:29

Василий

1. У Вас установлен "КриптоПро Revocation Provider" (http://www.cryptopro.ru/CryptoPro/products/rp/default.htm)?
2. Проверьте значение параметра "Dll"
в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT
- должно быть примерно так: C:\Program Files\Crypto Pro\RP\reprov.dll

3. Если всё так - не истекла ли лицензия на него и на OCSP клиент?
(Пуск - Программы - КриптоПро - КриптоПро PKI - кнопочка сверху про лицензии)

Именно наш RP умеет проверять сертификаты по AIA, посылая запрос и получая ответ от OCSP-службы.

MS Revocation Provider (cryptnet.dll) НЕ умеет этого.

Если не хотите наш RP - можете написать свой.

11.08.2006 13:14:38

Смирнов Павел

Адрес прокси-сервера задаётся в формате <имя или адрес сервера>:<port>. Например, myproxy:8080.

"Должны строиться цепочки" ровно это и означает. Должна проходить полная проверка всех сертификатов, используемых для создания ЭЦП. Т.е. должны строиться цепочки до доверенного рута и проверяться на отзыв.

Без расширения AIA можно, но тогда надо настраивать адрес в групповой политике. Рекомендуемым сценарием является использование AIA. Если вы не хотите использовать AIA, то вам не нужно покупать TSP и OCSP SDK. Достаточно групповой политики.

Revocation Provider, даже если он установлен, скорее всего, ни при чём. Если действительно до сих пор не понятно, какой сертификат не проверяется, попробуйте включить трассировку и собрать вывод в момент создания подписи, например, с помощью DbgView. Включить трассировку можно с помощью следующего .reg-файла:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Trace]
"cades.dll"=""

Пришлите нам полученный вывод для анализа

11.08.2006 14:29:43

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Установили Revocation Provider на хосте сервера OCSP (он же хост TSP, он же хост CA (Keon) ). В реестре прописали что надо. Получаем новую ошибку: 2147947423 ("Группа или ресурс на находятся в нужном состоянии для выполнения требуемой операции"). Вот win32-debug-вывод на клиенте:

{

cades.dll: (pSignPara=0x0012DA60, fDetachedSignature=0, cToBeSigned=1, rgpbToBeSigned=0x0012DAEC, rgcbToBeSigned=0x0012DAE0, ppSignedBlob=0x0012DA54)cades.dll: (dwMsgEncodingType=0x00010001, dwFlags=0x00000000, pvMsgEncodeInfo=0x0012D350, pszInnerContentObjID=0, pStreamInfo=0x00000000)cades.dll: Start.cades.dll: Input parameters checked.cades.dll: Copy of input structures is ready.cades.dll: Signers updating start.cades.dll: Signer #0.cades.dll: (pAttr=0)cades.dll: Signer does not have signinCert or otherSigningCert attribute.cades.dll: Certificates equality checked.cades.dll: Attributes copied.cades.dll: (szHashAlgorithm=1.3.14.3.2.26)cades.dll: Hash algorithm deduced.'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.CPLib_4d3d2ac9cf4ec4e5_1.0.7.0_x-ww_49469417\cplib.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.ASN1_4d3d2ac9cf4ec4e5_1.0.13.0_x-ww_cd6dbcd9\cpasn1.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.ASN1_4d3d2ac9cf4ec4e5_1.0.13.0_x-ww_cd6dbcd9\asn1bercpp.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.ASN1_4d3d2ac9cf4ec4e5_1.0.13.0_x-ww_cd6dbcd9\asn1xercpp.dll', Binary was not built with debug information.
cades.dll: otherSigningCert attribute assembled.cades.dll: Signed is updated successfully.cades.dll: Calling CryptMsgOpenToEncode()cades.dll: (hMsg=0x001D8CB8, GetLastError=0x00000000cades.dll: (hCryptMsg=0x001D8CB8, dwSignatureIndex=0, pCadesSignPara=0x0012DA74)cades.dll: Input parameters checked.cades.dll: Signed attributes extracted via CMSG_SIGNER_AUTH_ATTR_PARAM
cades.dll: Signer certificate ID found.cades.dll: pSignerCert=0x0018E290cades.dll: Signature verified.cades.dll: Hash algorithm deduced.cades.dll: Signature extracted via CMSG_ENCRYPTED_DIGEST
cades.dll: Creating new CRequest for the thread...
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.PKI.OCSP_4d3d2ac9cf4ec4e5_1.0.22.0_x-ww_f1bdec73\ocsp.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\msi.dll', No symbols loaded.
cades.dll: Creating new CRequest for the thread... OK.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.PKI.TSP_4d3d2ac9cf4ec4e5_1.0.22.0_x-ww_8351650f\tsp.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\rasapi32.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\rasman.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\tapi32.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\rtutils.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\winmm.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\Program Files\Crypto Pro\CSP\cpSSPCore.dll', Binary was not built with debug information.
cpSSPCore: Thread: file:line function text xcode(dcode) level: 0
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\msv1_0.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\iphlpapi.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\mswsock.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\hnetcfg.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\wshtcpip.dll', No symbols loaded.
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
First-chance exception at 0x7c81eb33 in CryptedDocs.exe: Microsoft C++ exception: ATL::CAtlException at memory location 0x0012cc24..
cades.dll: CAtlException, m_hr=0x8007139fcades.dll: (res=0, GetLastError=0x8007139fcades.dll: Exception thrown.First-chance exception at 0x7c81eb33 in CryptedDocs.exe: Microsoft C++ exception: ATL::CAtlException at memory location 0x0012d2c0..
cades.dll: CAtlException, m_hr=0x8007139fcades.dll: (res=0, GetLastError=0x8007139f

}

Вот вывод win32-debug на OSCP+TSP+CA сервере..

{

нет вывода

}

11.08.2006 15:17:24

Смирнов Павел

Из трассы видно, что проблема возникает при получении штампа. Пока не понятно из-за чего именно. Проверяйте работоспособность службы штампов, включайте аудит на службе и смотрите, приходит ли запрос и выдаётся ли ответ. Также можно посмотреть журнал IIS, включить трассу winhttp на клиенте:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\Tracing]
"Enabled"=dword:00000001
"LogFilePrefix"=""
"ToFileOrDebugger"=dword:00000001
"ShowBytes"=dword:00000000
"ShowApiTrace"=dword:00000001

Можно попробовать с клиента получить штамп с помощью tsputil.

11.08.2006 16:53:46

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Наши администраторы похоже спят. ;) Я не администратор серверных станций Windows. Как включать аудит служб Windows Server?

11.08.2006 16:56:37

Смирнов Павел

Имелся ввиду аудит в КриптоПро TSP Server. Он включается в параметрах экземпляра.

11.08.2006 17:00:25

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Сорри.. Тогда службы были остановлены..

Вот лог:

{

cades.dll: (pSignPara=0x0012DA60, fDetachedSignature=0, cToBeSigned=1, rgpbToBeSigned=0x0012DAEC, rgcbToBeSigned=0x0012DAE0, ppSignedBlob=0x0012DA54)cades.dll: (dwMsgEncodingType=0x00010001, dwFlags=0x00000000, pvMsgEncodeInfo=0x0012D350, pszInnerContentObjID=0, pStreamInfo=0x00000000)cades.dll: Start.cades.dll: Input parameters checked.cades.dll: Copy of input structures is ready.cades.dll: Signers updating start.cades.dll: Signer #0.cades.dll: (pAttr=0)cades.dll: Signer does not have signinCert or otherSigningCert attribute.cades.dll: Certificates equality checked.cades.dll: Attributes copied.cades.dll: (szHashAlgorithm=1.3.14.3.2.26)cades.dll: Hash algorithm deduced.'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.CPLib_4d3d2ac9cf4ec4e5_1.0.7.0_x-ww_49469417\cplib.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.ASN1_4d3d2ac9cf4ec4e5_1.0.13.0_x-ww_cd6dbcd9\cpasn1.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.ASN1_4d3d2ac9cf4ec4e5_1.0.13.0_x-ww_cd6dbcd9\asn1bercpp.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.ASN1_4d3d2ac9cf4ec4e5_1.0.13.0_x-ww_cd6dbcd9\asn1xercpp.dll', Binary was not built with debug information.
cades.dll: otherSigningCert attribute assembled.cades.dll: Signed is updated successfully.cades.dll: Calling CryptMsgOpenToEncode()cades.dll: (hMsg=0x0019F200, GetLastError=0x00000000cades.dll: (hCryptMsg=0x0019F200, dwSignatureIndex=0, pCadesSignPara=0x0012DA74)cades.dll: Input parameters checked.cades.dll: Signed attributes extracted via CMSG_SIGNER_AUTH_ATTR_PARAM
cades.dll: Signer certificate ID found.cades.dll: pSignerCert=0x001BD938cades.dll: Signature verified.cades.dll: Hash algorithm deduced.cades.dll: Signature extracted via CMSG_ENCRYPTED_DIGEST
cades.dll: Creating new CRequest for the thread...
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.PKI.OCSP_4d3d2ac9cf4ec4e5_1.0.22.0_x-ww_f1bdec73\ocsp.dll', Binary was not built with debug information.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\msi.dll', No symbols loaded.
cades.dll: Creating new CRequest for the thread... OK.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.PKI.TSP_4d3d2ac9cf4ec4e5_1.0.22.0_x-ww_8351650f\tsp.dll', Binary was not built with debug information.
16:58:26.006 ::*Session* :: WinHttpCrackUrl("http://10.10.21.9:8080/tsp/tsp.srf", 0x0, 0x0, 0x12c950)
16:58:26.006 ::*Session* :: WinHttpCrackUrlA("http://10.10.21.9:8080/tsp/tsp.srf", 0x22, 0x0, 0x12c800)
16:58:26.006 ::*Session* :: WinHttpCrackUrlA() returning TRUE
16:58:26.006 ::*Session* :: WinHttpCrackUrl() returning TRUE
16:58:26.006 ::*Session* :: WinHttpOpen("Crypto-Pro tspcli.dll", (1), "", "", 0x0)
16:58:26.006 ::*Session* :: WinHttpOpen() returning handle 0xde6000
16:58:26.016 ::*Session* :: DoConnectoidsExist()
16:58:26.016 ::*Session* :: IsRasInstalled()
16:58:26.016 ::*Session* :: IsRasInstalled() returning TRUE
16:58:26.016 ::*Session* :: DoConnectoidsExist() returning TRUE
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\rasapi32.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\rasman.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\tapi32.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\rtutils.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\winmm.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\Program Files\Crypto Pro\CSP\cpSSPCore.dll', Binary was not built with debug information.
cpSSPCore: Thread: file:line function text xcode(dcode) level: 0
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\msv1_0.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\iphlpapi.dll', No symbols loaded.
16:58:26.116 ::*Session* :: WinHttpSetOption(0xde6000, (38), 0x12c934 [0x3], 12)
16:58:26.116 ::*Session* :: WinHttpSetOption() returning TRUE
16:58:26.116 ::*Session* :: WinHttpConnect(0xde6000, "10.10.21.9", 8080, 0x0)
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\mswsock.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\hnetcfg.dll', No symbols loaded.
'CryptedDocs.exe': Loaded 'C:\WINDOWS\system32\wshtcpip.dll', No symbols loaded.
16:58:26.156 ::*Session* :: WinHttpConnect() returning handle 0xde6100
16:58:26.156 ::*Session* :: WinHttpOpenRequest(0xde6100, "POST", "tsp/tsp.srf", "", "", 0x0, 0x00000000)
16:58:26.156 ::*Session* :: WinHttpCreateUrlA(0x12c6e0, 0x0, 0x4570000, 0x12c71c)
16:58:26.156 ::*Session* :: WinHttpCreateUrlA() returning TRUE
16:58:26.156 ::*0000001* :: WinHttpOpenRequest() returning handle 0x4522000
16:58:26.156 ::*0000001* :: WinHttpSetOption(0x4522000, (77), 0x12c908 [0x2], 4)
16:58:26.156 ::*0000001* :: WinHttpSetOption() returning TRUE
16:58:26.156 ::*0000001* :: WinHttpSendRequest(0x4522000, "Content-type: application/timestamp-query", -1, 0x4158018, 51, 51, 0)
16:58:26.156 ::*0000001* :: sending data:
16:58:26.156 ::*0000001* :: 226 (0xe2) bytes
16:58:26.156 ::*0000001* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
16:58:26.156 ::*0000001* :: POST /tsp/tsp.srf HTTP/1.1
16:58:26.156 ::*0000001* :: Content-type: application/timestamp-query
16:58:26.156 ::*0000001* :: User-Agent: Crypto-Pro tspcli.dll
16:58:26.156 ::*0000001* :: Host: 10.10.21.9:8080
16:58:26.156 ::*0000001* :: Content-Length: 51
16:58:26.156 ::*0000001* :: Connection: Keep-Alive
16:58:26.156 ::*0000001* :: <<<<-------- End ----------------------------------------------->>>>
16:58:26.156 ::*0000001* :: WinHttpSendRequest() returning TRUE
16:58:26.156 ::*0000001* :: WinHttpReceiveResponse(0x4522000, 0x0)
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
16:58:26.176 ::*0000001* :: received data:
16:58:26.176 ::*0000001* :: 147 (0x93) bytes
16:58:26.176 ::*0000001* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
16:58:26.176 ::*0000001* :: HTTP/1.1 200 OK
16:58:26.176 ::*0000001* :: Date: Fri, 11 Aug 2006 12:57:24 GMT
16:58:26.176 ::*0000001* :: Server: Microsoft-IIS/6.0
16:58:26.176 ::*0000001* :: Content-Type: application/timestamp-reply
16:58:26.176 ::*0000001* :: Content-Length: 962
16:58:26.176 ::*0000001* :: <<<<-------- End ----------------------------------------------->>>>
16:58:26.176 ::*0000001* :: WinHttpReceiveResponse() returning TRUE
16:58:26.176 ::*0000001* :: WinHttpQueryHeaders(0x4522000, (0x20000013), "<null>", 0xdf86bc, 0x12c90c [4], 0x0 [0])
16:58:26.176 ::*0000001* :: WinHttpQueryHeaders() returning TRUE
16:58:26.176 ::*0000001* :: WinHttpQueryAuthSchemes(0x4522000, 0x12c900, 0x12c91c)
16:58:26.176 ::*0000001* :: WinHttpQueryAuthSchemes: error 4317 [0x10dd]
16:58:26.176 ::*0000001* :: WinHttpQueryAuthSchemes() returning FALSE
16:58:26.176 ::*0000001* :: WinHttpReadData(0x4522000, 0x4158338, 65536, 0x12c90c)
16:58:26.176 ::*0000001* :: WinHttpReadData() returning TRUE
16:58:26.176 ::*0000001* :: WinHttpReadData(0x4522000, 0x4158338, 65536, 0x12c90c)
16:58:26.176 ::*0000001* :: WinHttpReadData() returning TRUE
16:58:26.176 ::*0000001* :: WinHttpCloseHandle(0x4522000)
16:58:26.176 ::*0000001* :: WinHttpCloseHandle() returning TRUE
16:58:26.186 ::*Session* :: WinHttpCloseHandle(0xde6100)
16:58:26.186 ::*Session* :: WinHttpCloseHandle() returning TRUE
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
First-chance exception at 0x7c81eb33 in CryptedDocs.exe: Microsoft C++ exception: ATL::CAtlException at memory location 0x0012cae0..
cades.dll: CAtlException, m_hr=0x8009202bcades.dll: (res=0, GetLastError=0x8009202bcades.dll: Exception thrown.First-chance exception at 0x7c81eb33 in CryptedDocs.exe: Microsoft C++ exception: ATL::CAtlException at memory location 0x0012d2c0..
cades.dll: CAtlException, m_hr=0x8009202bcades.dll: (res=0, GetLastError=0x8009202b

}

11.08.2006 17:00:36

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

11.08.2006 17:02:15

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

11.08.2006 17:05:12

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Опять ошибка "Отсутствует доверие к подписи зашифрованного сообщения или списку доверия сертификатов."

11.08.2006 17:13:37

Смирнов Павел

Теперь видно, что штамп не проверяется. Тащите сертификат службы штампов на машину-клиент и добивайтесь того, чтобы цепочка проверялась.

11.08.2006 17:13:51

Смирнов Павел

11.08.2006 17:14:05

Смирнов Павел

11.08.2006 17:14:09

Смирнов Павел

11.08.2006 18:25:47

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Описываю ситуацию:

На клиенте:

1) установлен корневой сертификат в хранилище "доверенные корневые центры сертификации".
2) установлен сертификат подписывателя сообщений, который выдан тем доверенным CA.
3) установлен сертификат TSP-сервера (сертификат оператора), у этого сертификата есть расширение Extended Key Usage, этот сертификат выдан доверенным CA
4) установлен сертификат OCSP-сервера (сертификат оператора), у этого сертификата есть расширение Extended Key Usage, этот сертификат выдан доверенным CA

на TSP + OCSP + CA - сервере:

1) установлен корневой сертификат CA
2) установлен сертификат оператора TSP-сервера, выпущенный этим же CA
3) установлен сертификат оператора OCSP-сервера, выпущенный этим же CA

Итого 2 хоста: клиент и TSP+OCSP+CA-server.

Т.е. насколько я понял, сертификат я "перетащил". Но цепочка снова не проверяется. Что за цепочка тогда?

11.08.2006 18:30:17

Смирнов Павел

Как там с CDP и CRL дела обстоят?

11.08.2006 21:27:51

Смирнов Павел

Как там с CDP и CRL дела обстоят?

11.08.2006 21:42:44

Смирнов Павел

Как там с CDP и CRL дела обстоят?

12.08.2006 11:06:42

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Я не специалист в сертификатах и прочее. У нас Keon для тестов и тот настроен, похоже, не так, как надо. Поэтому могут быть определенный проблемы с CRL и CDP. Могу определить эти проблемы только по внешним признакам, которые мне подсказывает утилита certmgr.

Итак..

На клиенте:

1) Я запускаю утилиту certmgr.
2) Перехожу на вкладку "Доверенные корневые центры сертификации".
3) Просматриваю корневой сертификат нашего тестового CA... На вкладке "Состав" я наблюдаю, что на иконке расширения "Использование ключа" (тот самый требуемый Key Usage) стоит восклицательный знак. Что бы это могло значить?

4) Установленный сертификат оператора TSP-сервера имеет тот же восклицательный знак.

5) Установленный сертификат оператора OCSP-сервера НЕ имеет там восклицательного знака. (OID расширений этих сертификатов различаются: у TSP стоит 1.3.6.1.5.5.7.3.8, а у OCSP стоит 1.3.6.1.5.5.7.3.9).

Абсолютно та же история на сервере.. Попробую побороться с восклицательными знаками. Поменяю OID расширений Key Usage всех сертификатов с восклицательными знаками..

12.08.2006 11:39:29

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

OID поменял... Восклицательный знак исчез. На его место пришла обнадеживающая зеленая стрелочка вниз. Лог тот же код ошибки тот же. В чем дело?

12.08.2006 12:43:38

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Это обязательное требование, чтобы у сертификатов было CDP-расширение того CA, что их выпустило? У всех сертификатов?

12.08.2006 15:01:35

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Теперь у меня чуть более полная картина.. Не были опубликованы CRL. Опубликовал... Из лога видно, что он с ними работает.. Лог прилагаю.. Ошибка та же.. "Отсутствует доверие к подписи зашифрованного сообщения или списку доверия сертификатов."

Лог ниже (между фигурными скобками, собрамленными пробелами)

{

cades.dll: (pSignPara=0x0012DA60, fDetachedSignature=0, cToBeSigned=1, rgpbToBeSigned=0x0012DAEC, rgcbToBeSigned=0x0012DAE0, ppSignedBlob=0x0012DA54)
cades.dll: (dwMsgEncodingType=0x00010001, dwFlags=0x00000000, pvMsgEncodeInfo=0x0012D350, pszInnerContentObjID=0, pStreamInfo=0x00000000)
cades.dll: Start.cades.dll: Input parameters checked.
cades.dll: Copy of input structures is ready.
cades.dll: Signers updating start.
cades.dll: Signer #0.cades.dll: (pAttr=0)
cades.dll: Signer does not have signinCert or otherSigningCert attribute.
cades.dll: Certificates equality checked.
cades.dll: Attributes copied.
cades.dll: (szHashAlgorithm=1.3.14.3.2.26)
cades.dll: Hash algorithm deduced.
cades.dll: otherSigningCert attribute assembled.
cades.dll: Signed is updated successfully.
cades.dll: Calling CryptMsgOpenToEncode()
cades.dll: (hMsg=0x001BE820, GetLastError=0x00000000
cades.dll: (hCryptMsg=0x001BE820, dwSignatureIndex=0, pCadesSignPara=0x0012DA74)
cades.dll: Input parameters checked.
cades.dll: Signed attributes extracted via CMSG_SIGNER_AUTH_ATTR_PARAM
cades.dll: Signer certificate ID found.
cades.dll: pSignerCert=0x001918C0
cades.dll: Signature verified.cades.dll: Hash algorithm deduced.
cades.dll: Signature extracted via CMSG_ENCRYPTED_DIGEST
cades.dll: Creating new CRequest for the thread...
cades.dll: Creating new CRequest for the thread... OK.
14:51:23.756 ::*Session* :: WinHttpCrackUrl("http://10.10.21.9:8080/tsp/tsp.srf", 0x0, 0x0, 0x12c950)
14:51:23.756 ::*Session* :: WinHttpCrackUrlA("http://10.10.21.9:8080/tsp/tsp.srf", 0x22, 0x0, 0x12c800)
14:51:23.756 ::*Session* :: WinHttpCrackUrlA() returning TRUE
14:51:23.756 ::*Session* :: WinHttpCrackUrl() returning TRUE
14:51:23.756 ::*Session* :: WinHttpOpen("Crypto-Pro tspcli.dll", (1), "", "", 0x0)
14:51:23.756 ::*Session* :: WinHttpOpen() returning handle 0xde6000
14:51:23.756 ::*Session* :: DoConnectoidsExist()
14:51:23.756 ::*Session* :: IsRasInstalled()
14:51:23.756 ::*Session* :: IsRasInstalled() returning TRUE
14:51:23.756 ::*Session* :: DoConnectoidsExist() returning TRUE
cpSSPCore: Thread: file:line function text xcode(dcode) level: 0
14:51:23.857 ::*Session* :: WinHttpSetOption(0xde6000, (38), 0x12c934 [0x3], 12)
14:51:23.867 ::*Session* :: WinHttpSetOption() returning TRUE
14:51:23.867 ::*Session* :: WinHttpConnect(0xde6000, "10.10.21.9", 8080, 0x0)
14:51:23.897 ::*Session* :: WinHttpConnect() returning handle 0xde6100
14:51:23.897 ::*Session* :: WinHttpOpenRequest(0xde6100, "POST", "tsp/tsp.srf", "", "", 0x0, 0x00000000)
14:51:23.897 ::*Session* :: WinHttpCreateUrlA(0x12c6e0, 0x0, 0x4570000, 0x12c71c)
14:51:23.897 ::*Session* :: WinHttpCreateUrlA() returning TRUE
14:51:23.897 ::*0000001* :: WinHttpOpenRequest() returning handle 0x4522000
14:51:23.897 ::*0000001* :: WinHttpSetOption(0x4522000, (77), 0x12c908 [0x2], 4)
14:51:23.897 ::*0000001* :: WinHttpSetOption() returning TRUE
14:51:23.897 ::*0000001* :: WinHttpSendRequest(0x4522000, "Content-type: application/timestamp-query", -1, 0x4146088, 51, 51, 0)
14:51:23.897 ::*0000001* :: sending data:
14:51:23.897 ::*0000001* :: 226 (0xe2) bytes
14:51:23.897 ::*0000001* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
14:51:23.897 ::*0000001* :: POST /tsp/tsp.srf HTTP/1.1
14:51:23.897 ::*0000001* :: Content-type: application/timestamp-query
14:51:23.897 ::*0000001* :: User-Agent: Crypto-Pro tspcli.dll
14:51:23.897 ::*0000001* :: Host: 10.10.21.9:8080
14:51:23.897 ::*0000001* :: Content-Length: 51
14:51:23.897 ::*0000001* :: Connection: Keep-Alive
14:51:23.897 ::*0000001* :: <<<<-------- End ----------------------------------------------->>>>
14:51:23.897 ::*0000001* :: WinHttpSendRequest() returning TRUE
14:51:23.897 ::*0000001* :: WinHttpReceiveResponse(0x4522000, 0x0)
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
14:51:23.937 ::*0000001* :: received data:
14:51:23.937 ::*0000001* :: 148 (0x94) bytes
14:51:23.937 ::*0000001* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
14:51:23.937 ::*0000001* :: HTTP/1.1 200 OK
14:51:23.937 ::*0000001* :: Date: Sat, 12 Aug 2006 10:50:20 GMT
14:51:23.937 ::*0000001* :: Server: Microsoft-IIS/6.0
14:51:23.937 ::*0000001* :: Content-Type: application/timestamp-reply
14:51:23.937 ::*0000001* :: Content-Length: 1169
14:51:23.937 ::*0000001* :: <<<<-------- End ----------------------------------------------->>>>
14:51:23.937 ::*0000001* :: WinHttpReceiveResponse() returning TRUE
14:51:23.937 ::*0000001* :: WinHttpQueryHeaders(0x4522000, (0x20000013), "<null>", 0x4140aac, 0x12c90c [4], 0x0 [0])
14:51:23.937 ::*0000001* :: WinHttpQueryHeaders() returning TRUE
14:51:23.937 ::*0000001* :: WinHttpQueryAuthSchemes(0x4522000, 0x12c900, 0x12c91c)
14:51:23.937 ::*0000001* :: WinHttpQueryAuthSchemes: error 4317 [0x10dd]
14:51:23.947 ::*0000001* :: WinHttpQueryAuthSchemes() returning FALSE
14:51:23.947 ::*0000001* :: WinHttpReadData(0x4522000, 0x4153008, 65536, 0x12c90c)
14:51:23.947 ::*0000001* :: WinHttpReadData() returning TRUE
14:51:23.947 ::*0000001* :: WinHttpReadData(0x4522000, 0x4153008, 65536, 0x12c90c)
14:51:23.947 ::*0000001* :: WinHttpReadData() returning TRUE
14:51:23.947 ::*0000001* :: WinHttpCloseHandle(0x4522000)
14:51:23.947 ::*0000001* :: WinHttpCloseHandle() returning TRUE
14:51:23.947 ::*Session* :: WinHttpCloseHandle(0xde6100)
14:51:23.947 ::*Session* :: WinHttpCloseHandle() returning TRUE
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
14:51:24.287 ::*Session* :: WinHttpOpen("Microsoft-CryptoAPI/5.131.2600.2180", (0), "", "", 0x0)
14:51:24.287 ::*Session* :: WinHttpOpen() returning handle 0x4f21000
14:51:24.287 ::*Session* :: WinHttpSetTimeouts(0x4f21000, 15000, 15000, 15000, 15000)
14:51:24.287 ::*Session* :: WinHttpSetTimeouts() returning TRUE
14:51:24.287 ::*Session* :: WinHttpSetOption(0x4f21000, (83), 0x4e9fe28 [0x0], 4)
14:51:24.287 ::*Session* :: WinHttpSetOption() returning TRUE
14:51:24.287 ::*Session* :: WinHttpCrackUrl("http://test.it.cg:9447/Test CA System CA.crl", 0x0, 0x0, 0x4e9fe34)
14:51:24.297 ::*Session* :: WinHttpCrackUrlA("http://test.it.cg:9447/Test CA System CA.crl", 0x2c, 0x0, 0x4e9fd44)
14:51:24.297 ::*Session* :: WinHttpCrackUrlA() returning TRUE
14:51:24.297 ::*Session* :: WinHttpCrackUrl() returning TRUE
14:51:24.297 ::*Session* :: WinHttpConnect(0x4f21000, "test.it.cg", 9447, 0x0)
14:51:24.297 ::*Session* :: WinHttpConnect() returning handle 0x4f21100
14:51:24.297 ::*Session* :: WinHttpOpenRequest(0x4f21100, "", "/Test CA System CA.crl", "", "", 0x4e9fe80, 0x00000100)
14:51:24.297 ::*Session* :: WinHttpCreateUrlA(0x4e9fc28, 0x0, 0x4f60000, 0x4e9fc64)
14:51:24.297 ::*Session* :: WinHttpCreateUrlA() returning TRUE
14:51:24.297 ::*0000002* :: WinHttpOpenRequest() returning handle 0x4f50000
14:51:24.297 ::*Session* :: WinHttpGetProxyForUrl(0x4f21000, "http://test.it.cg:9447/Test CA System CA.crl", 0x4e9ed5c, 0x4e9ed84)
14:51:26.580 ::*Session* :: WinHttpGetProxyForUrl() returning FALSE
14:51:26.580 ::*Session* :: WinHttpGetProxyForUrl(0x4f21000, "http://test.it.cg:9447/Test CA System CA.crl", 0x4e9ed5c, 0x4e9ed84)
14:51:28.854 ::*Session* :: WinHttpGetProxyForUrl() returning FALSE
14:51:28.854 ::*Session* :: WinHttpSetOption(0x4f21000, (38), 0x1fee40 [0x3], 12)
14:51:28.854 ::*Session* :: WinHttpSetOption() returning TRUE
14:51:28.854 ::*0000002* :: WinHttpSetOption(0x4f50000, (38), 0x1fee40 [0x3], 12)
14:51:28.854 ::*0000002* :: WinHttpSetOption() returning TRUE
14:51:28.854 ::*0000002* :: WinHttpSendRequest(0x4f50000, "", 0, 0x0, 0, 0, 0)
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: hInstance=6E000000, dwReason=3 lpReserved=0
The thread 'Win32 Thread' (0x21b4) has exited with code 0 (0x0).
14:51:28.854 ::*0000002* :: "test.it.cg" resolved
14:51:28.854 ::*0000002* :: sending data:
14:51:28.864 ::*0000002* :: 197 (0xc5) bytes
14:51:28.864 ::*0000002* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
14:51:28.864 ::*0000002* :: GET /Test%20CA%20System%20CA.crl HTTP/1.1
14:51:28.864 ::*0000002* :: Accept: */*
14:51:28.864 ::*0000002* :: User-Agent: Microsoft-CryptoAPI/5.131.2600.2180
14:51:28.864 ::*0000002* :: Host: test.it.cg:9447
14:51:28.864 ::*0000002* :: Connection: Keep-Alive
14:51:28.864 ::*0000002* :: Cache-Control: no-cache
14:51:28.864 ::*0000002* :: Pragma: no-cache
14:51:28.864 ::*0000002* :: <<<<-------- End ----------------------------------------------->>>>
14:51:28.864 ::*0000002* :: WinHttpSendRequest() returning TRUE
14:51:28.864 ::*0000002* :: WinHttpReceiveResponse(0x4f50000, 0x0)
14:51:28.864 ::*0000002* :: received data:
14:51:28.864 ::*0000002* :: 544 (0x220) bytes
14:51:28.864 ::*0000002* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
14:51:28.864 ::*0000002* :: HTTP/1.1 200 OK
14:51:28.864 ::*0000002* :: Date: Sat, 12 Aug 2006 10:50:25 GMT
14:51:28.864 ::*0000002* :: Server: Apache/1.3.26 (Win32) mod_ssl/2.8.10 SSL-C
14:51:28.864 ::*0000002* :: Last-Modified: Sat, 12 Aug 2006 10:41:19 GMT
14:51:28.864 ::*0000002* :: ETag: "0-109-44ddb04f"
14:51:28.864 ::*0000002* :: Accept-Ranges: bytes
14:51:28.864 ::*0000002* :: Content-Length: 265
14:51:28.864 ::*0000002* :: Connection: close
14:51:28.864 ::*0000002* :: Content-Type: application/x-pkcs7-crl
14:51:28.874 ::*0000002* :: <<<<-------- End ----------------------------------------------->>>>
14:51:28.874 ::*0000002* :: WinHttpReceiveResponse() returning TRUE
14:51:28.874 ::*0000002* :: WinHttpQueryHeaders(0x4f50000, (0x20000013), "<null>", 0x4e9ee04, 0x4e9edc0 [4], 0x4e9ede4 [0])
14:51:28.874 ::*0000002* :: WinHttpQueryHeaders() returning TRUE
14:51:28.874 ::*0000002* :: WinHttpQueryDataAvailable(0x4f50000, 0x4e9feb8, 0x0)
14:51:28.874 ::*0000002* :: WinHttpQueryDataAvailable() returning TRUE
14:51:28.874 ::*0000002* :: WinHttpReadData(0x4f50000, 0x203c08, 265, 0x4e9fec4)
14:51:28.874 ::*0000002* :: WinHttpReadData() returning TRUE
14:51:28.874 ::*0000002* :: WinHttpQueryDataAvailable(0x4f50000, 0x4e9feb8, 0x109)
14:51:28.874 ::*0000002* :: WinHttpQueryDataAvailable() returning TRUE
14:51:28.874 ::*0000002* :: WinHttpCloseHandle(0x4f50000)
14:51:28.874 ::*0000002* :: WinHttpCloseHandle() returning TRUE
14:51:28.874 ::*Session* :: WinHttpCloseHandle(0x4f21100)
14:51:28.874 ::*Session* :: WinHttpCloseHandle() returning TRUE
14:51:28.874 ::*Session* :: WinHttpCloseHandle(0x4f21000)
14:51:28.884 ::*Session* :: WinHttpCloseHandle() returning TRUE
cades.dll: hInstance=6E000000, dwReason=3 lpReserved=0
The thread 'Win32 Thread' (0x2f04) has exited with code 0 (0x0).
First-chance exception at 0x7c81eb33 in CryptedDocs.exe: Microsoft C++ exception: ATL::CAtlException at memory location 0x0012cae0..
cades.dll: CAtlException, m_hr=0x8009202bcades.dll: (res=0, GetLastError=0x8009202bcades.dll: Exception thrown.First-chance exception at 0x7c81eb33 in CryptedDocs.exe: Microsoft C++ exception: ATL::CAtlException at memory location 0x0012d2c0..
cades.dll: CAtlException, m_hr=0x8009202bcades.dll: (res=0, GetLastError=0x8009202b

}

В чем может быть проблема сейчас?

12.08.2006 17:32:24

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Похоже, проверка работоспособности служб не проходит. (А я-то думал, что они работали!!!) Я в доках администраторов прочитал.. Сделал запросы..

tsputil.exe makereq --alg=1.3.14.3.2.26 --cert-req "1.txt" "request.tsq"

tsputil.exe sendreq --url="http://test.it.cg
:8080/tsp/tsp.srf" request.req stamp.tsr

при этом все отрабатывает, но когда просматриваешь файл stamp.tsr, то там красная крестик в строчке "Подпись" и комментарий: "Верна, но сертификат не кор..." Дальше не читается. ;) Строчка обрывается.

Потом проверял OCSP...

ocsputil makereq signer1.cer -o request.orq
ocsputil sendreq --url="http://test.it.cg:8080/ocsp/ocsp.srf" request.orq responce.ors

Получаю..

Exception: 0xC2110123 Значение поля "ThisUpdate" OCSP-ответа просрочено

Нужна помошь по корректной установке служб. :(((

14.08.2006 12:46:49

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Все поставили и настроили.. Получаем новую ошибку: "неопознанная ошибка" с десятичным кодом 2147500037. Вот лог.

{

cades.dll: (pSignPara=0x0012DA60, fDetachedSignature=0, cToBeSigned=1, rgpbToBeSigned=0x0012DAEC, rgcbToBeSigned=0x0012DAE0, ppSignedBlob=0x0012DA54)
cades.dll: (dwMsgEncodingType=0x00010001, dwFlags=0x00000000, pvMsgEncodeInfo=0x0012D350, pszInnerContentObjID=0, pStreamInfo=0x00000000)
cades.dll: Start.cades.dll: Input parameters checked.cades.dll: Copy of input structures is ready.cades.dll: Signers updating start.
cades.dll: Signer #0.cades.dll: (pAttr=0)cades.dll: Signer does not have signinCert or otherSigningCert attribute.
cades.dll: Certificates equality checked.cades.dll: Attributes copied.cades.dll: (szHashAlgorithm=1.3.14.3.2.26)
cades.dll: Hash algorithm deduced.'CryptedDocs.exe': Loaded 'C:\WINDOWS\WinSxS\x86_CryptoPro.CPLib_4d3d2ac9cf4ec4e5_1.0.7.0_x-ww_49469417\cplib.dll', Binary was not built with debug information.
cades.dll: otherSigningCert attribute assembled.cades.dll: Signed is updated successfully.
cades.dll: Calling CryptMsgOpenToEncode()
cades.dll: (hMsg=0x00212158, GetLastError=0x00000000cades.dll: (hCryptMsg=0x00212158, dwSignatureIndex=0, pCadesSignPara=0x0012DA74)
cades.dll: Input parameters checked.cades.dll: Signed attributes extracted via CMSG_SIGNER_AUTH_ATTR_PARAM
cades.dll: Signer certificate ID found.cades.dll: pSignerCert=0x001992B0cades.dll: Signature verified.
cades.dll: Hash algorithm deduced.cades.dll: Signature extracted via CMSG_ENCRYPTED_DIGEST
cades.dll: Creating new CRequest for the thread...
cades.dll: Creating new CRequest for the thread... OK.
12:40:21.291 ::*Session* :: WinHttpCrackUrl("http://10.10.21.9:8080/tsp1/tsp.srf", 0x0, 0x0, 0x12c950)
12:40:21.291 ::*Session* :: WinHttpCrackUrlA("http://10.10.21.9:8080/tsp1/tsp.srf", 0x23, 0x0, 0x12c800)
12:40:21.291 ::*Session* :: WinHttpCrackUrlA() returning TRUE
12:40:21.291 ::*Session* :: WinHttpCrackUrl() returning TRUE
12:40:21.291 ::*Session* :: WinHttpOpen("Crypto-Pro tspcli.dll", (1), "", "", 0x0)
12:40:21.291 ::*Session* :: WinHttpOpen() returning handle 0xde6000
12:40:21.291 ::*Session* :: DoConnectoidsExist()
12:40:21.291 ::*Session* :: IsRasInstalled()
12:40:21.291 ::*Session* :: IsRasInstalled() returning TRUE
12:40:21.291 ::*Session* :: DoConnectoidsExist() returning TRUE
cpSSPCore: Thread: file:line function text xcode(dcode) level: 0
12:40:21.391 ::*Session* :: WinHttpSetOption(0xde6000, (38), 0x12c934 [0x3], 12)
12:40:21.391 ::*Session* :: WinHttpSetOption() returning TRUE
12:40:21.391 ::*Session* :: WinHttpConnect(0xde6000, "10.10.21.9", 8080, 0x0)
12:40:21.421 ::*Session* :: WinHttpConnect() returning handle 0xde6100
12:40:21.421 ::*Session* :: WinHttpOpenRequest(0xde6100, "POST", "tsp1/tsp.srf", "", "", 0x0, 0x00000000)
12:40:21.421 ::*Session* :: WinHttpCreateUrlA(0x12c6e0, 0x0, 0x4560000, 0x12c71c)
12:40:21.421 ::*Session* :: WinHttpCreateUrlA() returning TRUE
12:40:21.421 ::*0000001* :: WinHttpOpenRequest() returning handle 0x4512000
12:40:21.421 ::*0000001* :: WinHttpSetOption(0x4512000, (77), 0x12c908 [0x2], 4)
12:40:21.431 ::*0000001* :: WinHttpSetOption() returning TRUE
12:40:21.431 ::*0000001* :: WinHttpSendRequest(0x4512000, "Content-type: application/timestamp-query", -1, 0x4148060, 51, 51, 0)
12:40:21.431 ::*0000001* :: sending data:
12:40:21.431 ::*0000001* :: 227 (0xe3) bytes
12:40:21.431 ::*0000001* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
12:40:21.431 ::*0000001* :: POST /tsp1/tsp.srf HTTP/1.1
12:40:21.431 ::*0000001* :: Content-type: application/timestamp-query
12:40:21.431 ::*0000001* :: User-Agent: Crypto-Pro tspcli.dll
12:40:21.431 ::*0000001* :: Host: 10.10.21.9:8080
12:40:21.431 ::*0000001* :: Content-Length: 51
12:40:21.431 ::*0000001* :: Connection: Keep-Alive
12:40:21.431 ::*0000001* :: <<<<-------- End ----------------------------------------------->>>>
12:40:21.431 ::*0000001* :: WinHttpSendRequest() returning TRUE
12:40:21.431 ::*0000001* :: WinHttpReceiveResponse(0x4512000, 0x0)
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
12:40:21.451 ::*0000001* :: received data:
12:40:21.451 ::*0000001* :: 148 (0x94) bytes
12:40:21.451 ::*0000001* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
12:40:21.451 ::*0000001* :: HTTP/1.1 200 OK
12:40:21.451 ::*0000001* :: Date: Mon, 14 Aug 2006 08:39:13 GMT
12:40:21.451 ::*0000001* :: Server: Microsoft-IIS/6.0
12:40:21.451 ::*0000001* :: Content-Type: application/timestamp-reply
12:40:21.451 ::*0000001* :: Content-Length: 1044
12:40:21.451 ::*0000001* :: <<<<-------- End ----------------------------------------------->>>>
12:40:21.461 ::*0000001* :: WinHttpReceiveResponse() returning TRUE
12:40:21.461 ::*0000001* :: WinHttpQueryHeaders(0x4512000, (0x20000013), "<null>", 0x413073c, 0x12c90c [4], 0x0 [0])
12:40:21.461 ::*0000001* :: WinHttpQueryHeaders() returning TRUE
12:40:21.461 ::*0000001* :: WinHttpQueryAuthSchemes(0x4512000, 0x12c900, 0x12c91c)
12:40:21.461 ::*0000001* :: WinHttpQueryAuthSchemes: error 4317 [0x10dd]
12:40:21.461 ::*0000001* :: WinHttpQueryAuthSchemes() returning FALSE
12:40:21.461 ::*0000001* :: WinHttpReadData(0x4512000, 0x4148430, 65536, 0x12c90c)
12:40:21.461 ::*0000001* :: WinHttpReadData() returning TRUE
12:40:21.461 ::*0000001* :: WinHttpReadData(0x4512000, 0x4148430, 65536, 0x12c90c)
12:40:21.461 ::*0000001* :: WinHttpReadData() returning TRUE
12:40:21.461 ::*0000001* :: WinHttpCloseHandle(0x4512000)
12:40:21.461 ::*0000001* :: WinHttpCloseHandle() returning TRUE
12:40:21.461 ::*Session* :: WinHttpCloseHandle(0xde6100)
12:40:21.461 ::*Session* :: WinHttpCloseHandle() returning TRUE
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
'CryptedDocs.exe': Loaded 'C:\Program Files\Crypto Pro\CSP\cpext.dll', Binary was not built with debug information.
cpext: Thread: file:line function text xcode(dcode) level: 0
cades.dll: hInstance=6E000000, dwReason=2 lpReserved=0
cades.dll: signatureTimeStampToken recieved and added to signature.12:40:21.882 ::*Session* :: WinHttpCrackUrl("http://test.it.cg:8080/ocsp1/ocsp.srf", 0x0, 0x0, 0x12c128)
12:40:21.882 ::*Session* :: WinHttpCrackUrlA("http://test.it.cg:8080/ocsp1/ocsp.srf", 0x25, 0x0, 0x12bfe0)
12:40:21.882 ::*Session* :: WinHttpCrackUrlA() returning TRUE
12:40:21.882 ::*Session* :: WinHttpCrackUrl() returning TRUE
12:40:21.882 ::*Session* :: WinHttpOpen("Crypto-Pro ocspcli.dll", (1), "", "", 0x0)
12:40:21.882 ::*Session* :: WinHttpOpen() returning handle 0xde6100
12:40:21.882 ::*Session* :: WinHttpSetOption(0xde6100, (38), 0x12c110 [0x3], 12)
12:40:21.882 ::*Session* :: WinHttpSetOption() returning TRUE
12:40:21.882 ::*Session* :: WinHttpConnect(0xde6100, "test.it.cg", 8080, 0x0)
12:40:21.882 ::*Session* :: WinHttpConnect() returning handle 0xde6400
12:40:21.882 ::*Session* :: WinHttpOpenRequest(0xde6400, "POST", "ocsp1/ocsp.srf", "", "", 0x0, 0x00000000)
12:40:21.882 ::*Session* :: WinHttpCreateUrlA(0x12bec0, 0x0, 0x4560000, 0x12befc)
12:40:21.882 ::*Session* :: WinHttpCreateUrlA() returning TRUE
12:40:21.882 ::*0000002* :: WinHttpOpenRequest() returning handle 0x4512000
12:40:21.882 ::*0000002* :: WinHttpSetOption(0x4512000, (77), 0x12c0e4 [0x2], 4)
12:40:21.882 ::*0000002* :: WinHttpSetOption() returning TRUE
12:40:21.882 ::*0000002* :: WinHttpSendRequest(0x4512000, "Content-type: application/ocsp-request", -1, 0x4147030, 137, 137, 0)
12:40:21.912 ::*0000002* :: "test.it.cg" resolved
12:40:21.912 ::*0000002* :: sending data:
12:40:21.912 ::*0000002* :: 314 (0x13a) bytes
12:40:21.912 ::*0000002* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
12:40:21.912 ::*0000002* :: POST /ocsp1/ocsp.srf HTTP/1.1
12:40:21.912 ::*0000002* :: Content-type: application/ocsp-request
12:40:21.912 ::*0000002* :: User-Agent: Crypto-Pro ocspcli.dll
12:40:21.912 ::*0000002* :: Host: test.it.cg:8080
12:40:21.912 ::*0000002* :: Content-Length: 137
12:40:21.912 ::*0000002* :: Connection: Keep-Alive
12:40:21.912 ::*0000002* :: <<<<-------- End ----------------------------------------------->>>>
12:40:21.912 ::*0000002* :: WinHttpSendRequest() returning TRUE
12:40:21.912 ::*0000002* :: WinHttpReceiveResponse(0x4512000, 0x0)
12:40:21.932 ::*0000002* :: received data:
12:40:21.932 ::*0000002* :: 145 (0x91) bytes
12:40:21.932 ::*0000002* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
12:40:21.932 ::*0000002* :: HTTP/1.1 200 OK
12:40:21.932 ::*0000002* :: Date: Mon, 14 Aug 2006 08:39:13 GMT
12:40:21.932 ::*0000002* :: Server: Microsoft-IIS/6.0
12:40:21.932 ::*0000002* :: Content-Type: application/ocsp-response
12:40:21.942 ::*0000002* :: Content-Length: 982
12:40:21.942 ::*0000002* :: <<<<-------- End ----------------------------------------------->>>>
12:40:21.942 ::*0000002* :: WinHttpReceiveResponse() returning TRUE
12:40:21.942 ::*0000002* :: WinHttpQueryHeaders(0x4512000, (0x20000013), "<null>", 0xdf8760, 0x12c0e8 [4], 0x0 [0])
12:40:21.942 ::*0000002* :: WinHttpQueryHeaders() returning TRUE
12:40:21.942 ::*0000002* :: WinHttpQueryAuthSchemes(0x4512000, 0x12c0dc, 0x12c104)
12:40:21.942 ::*0000002* :: WinHttpQueryAuthSchemes: error 4317 [0x10dd]
12:40:21.942 ::*0000002* :: WinHttpQueryAuthSchemes() returning FALSE
12:40:21.942 ::*0000002* :: WinHttpReadData(0x4512000, 0x4164038, 65536, 0x12c0e8)
12:40:21.942 ::*0000002* :: WinHttpReadData() returning TRUE
12:40:21.942 ::*0000002* :: WinHttpReadData(0x4512000, 0x4164038, 65536, 0x12c0e8)
12:40:21.942 ::*0000002* :: WinHttpReadData() returning TRUE
12:40:21.942 ::*0000002* :: WinHttpCloseHandle(0x4512000)
12:40:21.942 ::*0000002* :: WinHttpCloseHandle() returning TRUE
12:40:21.942 ::*Session* :: WinHttpCloseHandle(0xde6400)
12:40:21.942 ::*Session* :: WinHttpCloseHandle() returning TRUE
cades.dll: Certificate of OCSP service is "Nocheck".
cades.dll: stampTime > response.get_SRThisUpdate(index)cades.dll: waiting 2 seconds12:40:23.995 ::*Session* :: WinHttpCrackUrl("http://test.it.cg:8080/ocsp1/ocsp.srf", 0x0, 0x0, 0x12c128)
12:40:23.995 ::*Session* :: WinHttpCrackUrlA("http://test.it.cg:8080/ocsp1/ocsp.srf", 0x25, 0x0, 0x12bfe0)
12:40:23.995 ::*Session* :: WinHttpCrackUrlA() returning TRUE
12:40:23.995 ::*Session* :: WinHttpCrackUrl() returning TRUE
12:40:23.995 ::*Session* :: WinHttpSetOption(0xde6100, (38), 0x12c110 [0x3], 12)
12:40:23.995 ::*Session* :: WinHttpSetOption() returning TRUE
12:40:23.995 ::*Session* :: WinHttpConnect(0xde6100, "test.it.cg", 8080, 0x0)
12:40:23.995 ::*Session* :: WinHttpConnect() returning handle 0xde6400
12:40:23.995 ::*Session* :: WinHttpOpenRequest(0xde6400, "POST", "ocsp1/ocsp.srf", "", "", 0x0, 0x00000000)
12:40:23.995 ::*Session* :: WinHttpCreateUrlA(0x12bec0, 0x0, 0x4560000, 0x12befc)
12:40:24.005 ::*Session* :: WinHttpCreateUrlA() returning TRUE
12:40:24.005 ::*0000003* :: WinHttpOpenRequest() returning handle 0x4512000
12:40:24.005 ::*0000003* :: WinHttpSetOption(0x4512000, (77), 0x12c0e4 [0x2], 4)
12:40:24.005 ::*0000003* :: WinHttpSetOption() returning TRUE
12:40:24.005 ::*0000003* :: WinHttpSendRequest(0x4512000, "Content-type: application/ocsp-request", -1, 0x4147030, 137, 137, 0)
12:40:24.005 ::*0000003* :: sending data:
12:40:24.005 ::*0000003* :: 314 (0x13a) bytes
12:40:24.005 ::*0000003* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
12:40:24.005 ::*0000003* :: POST /ocsp1/ocsp.srf HTTP/1.1
12:40:24.005 ::*0000003* :: Content-type: application/ocsp-request
12:40:24.005 ::*0000003* :: User-Agent: Crypto-Pro ocspcli.dll
12:40:24.005 ::*0000003* :: Host: test.it.cg:8080
12:40:24.005 ::*0000003* :: Content-Length: 137
12:40:24.005 ::*0000003* :: Connection: Keep-Alive
12:40:24.005 ::*0000003* :: <<<<-------- End ----------------------------------------------->>>>
12:40:24.005 ::*0000003* :: WinHttpSendRequest() returning TRUE
12:40:24.005 ::*0000003* :: WinHttpReceiveResponse(0x4512000, 0x0)
12:40:24.015 ::*0000003* :: received data:
12:40:24.015 ::*0000003* :: 145 (0x91) bytes
12:40:24.015 ::*0000003* :: <<<<-------- HTTP headers follow below ----------------------------------------------->>>>
12:40:24.015 ::*0000003* :: HTTP/1.1 200 OK
12:40:24.025 ::*0000003* :: Date: Mon, 14 Aug 2006 08:39:15 GMT
12:40:24.025 ::*0000003* :: Server: Microsoft-IIS/6.0
12:40:24.025 ::*0000003* :: Content-Type: application/ocsp-response
12:40:24.025 ::*0000003* :: Content-Length: 982
12:40:24.025 ::*0000003* :: <<<<-------- End ----------------------------------------------->>>>
12:40:24.025 ::*0000003* :: WinHttpReceiveResponse() returning TRUE
12:40:24.025 ::*0000003* :: WinHttpQueryHeaders(0x4512000, (0x20000013), "<null>", 0xdf8760, 0x12c0e8 [4], 0x0 [0])
12:40:24.025 ::*0000003* :: WinHttpQueryHeaders() returning TRUE
12:40:24.025 ::*0000003* :: WinHttpQueryAuthSchemes(0x4512000, 0x12c0dc, 0x12c104)
12:40:24.025 ::*0000003* :: WinHttpQueryAuthSchemes: error 4317 [0x10dd]
12:40:24.025 ::*0000003* :: WinHttpQueryAuthSchemes() returning FALSE
12:40:24.025 ::*0000003* :: WinHttpReadData(0x4512000, 0x416e098, 65536, 0x12c0e8)
12:40:24.025 ::*0000003* :: WinHttpReadData() returning TRUE
12:40:24.025 ::*0000003* :: WinHttpReadData(0x4512000, 0x416e098, 65536, 0x12c0e8)
12:40:24.025 ::*0000003* :: WinHttpReadData() returning TRUE
12:40:24.025 ::*0000003* :: WinHttpCloseHandle(0x4512000)
12:40:24.025 ::*0000003* :: WinHttpCloseHandle() returning TRUE
12:40:24.025 ::*Session* :: WinHttpCloseHandle(0xde6400)
12:40:24.025 ::*Session* :: WinHttpCloseHandle() returning TRUE
cades.dll: Certificate of OCSP service is "Nocheck".
cades.dll: stampTime > response.get_SRThisUpdate(index)cades.dll: Cannot obtain OCSP response for end certificateFirst-chance exception at 0x7c812a5b in CryptedDocs.exe: Microsoft C++ exception: ATL::CAtlException at memory location 0x0012c980..
cades.dll: CAtlException, m_hr=0x800b010acades.dll: (res=0, GetLastError=0x800b010acades.dll: Exception thrown.First-chance exception at 0x7c812a5b in CryptedDocs.exe: Microsoft C++ exception: ATL::CAtlException at memory location 0x0012d2c0..
cades.dll: CAtlException, m_hr=0x800b010acades.dll: (res=0, GetLastError=0x800b010a

}

14.08.2006 13:14:08

Смирнов Павел

Судя по всему, ваша служба OCSP работает получает информацию о статусах сертификатов из CRL, и поэтому время ThisUpdate в выдаваемых OCSP-ответах находится в прошлом. Такие OCSP-ответы не могут использоваться для создания усовершенствованной ЭЦП.

Ещё раз цитирую требования по конфигурации:
OCSP-сервер должен быть сконфигурирован таким образом, чтобы в поле ThisUpdate OCSP-ответа проставлялось текущее время (например, в режиме работы по БД ЦС для КриптоПро OCSP Server).

Если у вас УЦ Keon, и вы используете КриптоПро OCSP Server, то вам придётся включить опцию "Заменять время последнего обновления CRL текущим временем" на вкладке CRL в настройках экземпляра службы.
Замечу, что такая настройка не является рекомендуемым сценарием и должна использоваться осторожно.

14.08.2006 13:33:38

Шмыков Дима (Казань, компания Центр-Сервис, софт-отдел, lead developer)

Спасибо, тест проходит.