не могу проверить подпись /opt/cprocsp/bin/amd64/cryptcp -verify
пользуюсь этим руководствомя установил все корневые сертификаты и CRL списки:# /opt/cprocsp/bin/amd64/certmgr -list -crl
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : OGRN=1097746185195, INN=007841016636, STREET="Новоженова ул., д.88", E=ca@r02.center-inform.ru, C=RU, S=02 Республика Башкортостан, L=Г. Уфа, O=ФГУП ЦентрИнформ, OU=УфмФ ФГУП ЦентрИнформ, CN=Center-Inform Ufmf
ThisUpdate: 09/06/2014 11:16:14 UTC
NextUpdate: 04/08/2014 23:36:14 UTC
2-------
Issuer : OGRN=1097746185195, INN=007841016636, STREET="Алеутская ул., д.45А", E=ca@r25.center-inform.ru, C=RU, S=25 Приморский край, L=Г. Владивосток, O=ФГУП ЦентрИнформ, OU=ВлдФ ФГУП ЦентрИнформ, CN=Center-Inform Vldf
ThisUpdate: 29/06/2014 22:17:06 UTC
NextUpdate: 30/09/2014 10:37:06 UTC
3-------
<...>
17-------
Issuer : OGRN=1097746185195, INN=007841016636, STREET="Шпалерная ул., д.28", E=ca@center-inform.ru, C=RU, S=78 Г. Санкт-Петербург, L=Г. Санкт-Петербург, O=ФГУП ЦентрИнформ, OU=Удостоверяющий центр, CN=Center-Inform SPb
ThisUpdate: 14/07/2014 11:14:16 UTC
NextUpdate: 14/08/2014 23:34:16 UTC
18-------
Issuer : OGRN=1097746185195, INN=007841016636, STREET="Вишняковой ул., д.2", E=ca@r23.center-inform.ru, C=RU, S=23 Краснодарский край, L=Г. Краснодар, O=ФГУП ЦентрИнформ, OU=КрдФ ФГУП ЦентрИнформ, CN=Center-Inform Krdf
ThisUpdate: 27/07/2014 05:41:02 UTC
NextUpdate: 26/08/2014 18:01:02 UTC
19-------
Issuer : OGRN=1097746185195, INN=007841016636, STREET="Радищева ул.,д.143,корп. 3", E=ca@r73.center-inform.ru, C=RU, S=73 Ульяновская область, L=г.Ульяновск, O=ФГУП ЦентрИнформ, OU=УлнФ ФГУП ЦентрИнформ, CN=Center-Inform Ulnf
ThisUpdate: 17/07/2014 05:25:30 UTC
NextUpdate: 18/10/2014 05:45:30 UTC
=============================================================================
ErrorCode: 0x00000000
# /opt/cprocsp/bin/amd64/certmgr -list -store uRoot
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : STREET="107139, Орликов переулок, дом 3А", C=RU, L=Москва, 2.5.4.5="#13083139303232303133", E=info-uc@fss.ru, O=Центральный аппарат Фонда социального страхования РФ, OU=Удостоверяющий центр ФСС РФ, T=Уполномоченное лицо УЦ ФСС РФ, CN=УЦ ФСС РФ
Subject : STREET="107139, Орликов переулок, дом 3А", C=RU, L=Москва, 2.5.4.5="#13083139303232303133", E=info-uc@fss.ru, O=Центральный аппарат Фонда социального страхования РФ, OU=Удостоверяющий центр ФСС РФ, T=Уполномоченное лицо УЦ ФСС РФ, CN=УЦ ФСС РФ
Serial : 0x01CE0E812D1A6E40000002A8044C0002
SHA1 Hash : 0xed6e912939cdb44bdbecd50c5b797ebc22e1492c
Not valid before : 19/02/2013 09:12:01 UTC
Not valid after : 19/02/2019 09:12:01 UTC
PrivateKey Link : No
2-------
Issuer : OGRN=1027739185968, INN=007719026593, E=uc@gmcgks.ru, C=RU, S=77 г. Москва, L=Москва, OU=Удостоверяющий центр, O=ГМЦ Росстата, CN=УЦ ГМЦ Росстата
Subject : OGRN=1027739185968, INN=007719026593, E=uc@gmcgks.ru, C=RU, S=77 г. Москва, L=Москва, OU=Удостоверяющий центр, O=ГМЦ Росстата, CN=УЦ ГМЦ Росстата
Serial : 0x5D3C7D0E550B97A34ABB104CFE7A638B
SHA1 Hash : 0x57011f9ec7feb27e7287ee178def1b9635cf79fe
Not valid before : 09/04/2013 06:17:31 UTC
Not valid after : 09/04/2018 06:26:50 UTC
PrivateKey Link : No
<...>
10-------
Issuer : E=ca@center-inform.ru, C=RU, L=Санкт-Петербург, O=ФГУП ЦентрИнформ, OU=Удостоверяющий центр, CN=CentrInform
Subject : E=ca@center-inform.ru, C=RU, L=Санкт-Петербург, O=ФГУП ЦентрИнформ, OU=Удостоверяющий центр, CN=CentrInform
Serial : 0x0F8D5D2A74FCD6AC41563597E26EB062
SHA1 Hash : 0xf2e15f0086a5748d7bcaaf7b08bfac59bbd8e2f0
Not valid before : 25/05/2009 12:43:55 UTC
Not valid after : 25/05/2015 12:44:26 UTC
PrivateKey Link : No
11-------
Issuer : OGRN=1097746185195, INN=007841016636, STREET="Шпалерная ул., д.28", E=ca@center-inform.ru, C=RU, S=78 Г. Санкт-Петербург, L=Г. Санкт-Петербург, O=ФГУП ЦентрИнформ, OU=Удостоверяющий центр, CN=Center-Inform
Subject : OGRN=1097746185195, INN=007841016636, STREET="Шпалерная ул., д.28", E=ca@center-inform.ru, C=RU, S=78 Г. Санкт-Петербург, L=Г. Санкт-Петербург, O=ФГУП ЦентрИнформ, OU=Удостоверяющий центр, CN=Center-Inform
Serial : 0x192AB3E152C449B54B96199D669F7E3C
SHA1 Hash : 0x759cd4b440c62bc45758f6d2cacee7d0c4df1260
Not valid before : 22/08/2012 08:17:17 UTC
Not valid after : 22/08/2017 08:27:14 UTC
PrivateKey Link : No
=============================================================================
ErrorCode: 0x00000000
# /opt/cprocsp/bin/amd64/certmgr -list -store uCA
Certmgr 1.0 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : E=ca@skbkontur.ru, C=RU, L=Екатеринбург, O=ЗАО «ПФ «СКБ Контур», CN=UC SKB Kontur (Root)
Subject : E=ca@skbkontur.ru, C=RU, L=Екатеринбург, O=ЗАО «ПФ «СКБ Контур», CN=UC SKB Kontur (Server)
Serial : 0x617A0BD5000600000126
SHA1 Hash : 0x342d383673a262cf497595c63f1193fc4553f1df
Not valid before : 08/05/2011 13:09:00 UTC
Not valid after : 08/05/2016 13:09:00 UTC
PrivateKey Link : No
2-------
Issuer : E=ca@skbkontur.ru, C=RU, L=Екатеринбург, O=ЗАО «ПФ «СКБ Контур», CN=UC SKB Kontur (Root)
Subject : E=ca@skbkontur.ru, C=RU, L=Екатеринбург, O=ЗАО «ПФ «СКБ Контур», CN=UC SKB Kontur (Server)
Serial : 0x143554FF000700000173
SHA1 Hash : 0x846941f2490d40fbd057c132a0c243a6fbc399e7
Not valid before : 25/07/2012 09:47:00 UTC
Not valid after : 25/07/2017 09:47:00 UTC
PrivateKey Link : No
<...>
36-------
Issuer : OGRN=1097746185195, INN=007841016636, STREET="Шпалерная ул., д.28", E=ca@center-inform.ru, C=RU, S=78 Г. Санкт-Петербург, L=Г. Санкт-Петербург, O=ФГУП ЦентрИнформ, OU=Удостоверяющий центр, CN=Center-Inform
Subject : OGRN=1097746185195, INN=007841016636, STREET="Попова ул., д.58", E=ca@r31.center-inform.ru, C=RU, S=31 Белгородская область, L=Г. Белгород, O=ФГУП ЦентрИнформ, OU=БлгФ ФГУП ЦентрИнформ, CN=Center-Inform Blgf
Serial : 0x1FE8480B00000000008D
SHA1 Hash : 0x0e97fb991c4f3c3b228099468e828a6eef56a749
Not valid before : 22/08/2013 08:51:00 UTC
Not valid after : 22/08/2017 08:27:00 UTC
PrivateKey Link : No
37-------
Issuer : OGRN=1097746185195, INN=007841016636, STREET="Шпалерная ул., д.28", E=ca@center-inform.ru, C=RU, S=78 Г. Санкт-Петербург, L=Г. Санкт-Петербург, O=ФГУП ЦентрИнформ, OU=Удостоверяющий центр, CN=Center-Inform
Subject : OGRN=1097746185195, INN=007841016636, STREET="Красная набережная ул.,д.37", E=ca@r30.center-inform.ru, C=RU, S=30 Астраханская область, L=Г. Астрахань, O=ФГУП ЦентрИнформ, OU=АстрФ ФГУП ЦентрИнформ, CN=Center-Inform Astrf
Serial : 0x15CE9D95000000000080
SHA1 Hash : 0xbbc8d00ed0343c5e17929620a947a14ec50454da
Not valid before : 20/08/2013 09:47:00 UTC
Not valid after : 22/08/2017 08:27:00 UTC
PrivateKey Link : No
=============================================================================
ErrorCode: 0x00000000
что имею:res_b64_signed_data.msg - подписанное сообщение
MIIa/QYJKoZIhvcNAQcCoIIa7jCCGuoCAQExDDAKBgYqhQMCAgkFADALBgkqhkiG9w0BBwGgghbP
MIIFrDCCBVugAwIBAgIQGSqz4VLESbVLlhmdZp9+PDAIBgYqhQMCAgMwggFgMRgwFgYFKoUDZAES
DTEwOTc3NDYxODUxOTUxGjAYBggqhQMDgQMBARIMMDA3ODQxMDE2NjM2MSgwJgYDVQQJDB/QqNC/
0LDQu9C10YDQvdCw0Y8g0YPQuy4sINC0LjI4MSIwIAYJKoZIhvcNAQkBFhNjYUBjZW50ZXItaW5m
b3JtLnJ1MQswCQYDVQQGEwJSVTEtMCsGA1UECAwkNzgg0JMuINCh0LDQvdC60YIt0J/QtdGC0LXR
gNCx0YPRgNCzMSowKAYDVQQHDCHQky4g0KHQsNC90LrRgi3Qn9C10YLQtdGA0LHRg9GA0LMxKDAm
<...>
Liwg0LQuMjgxIjAgBgkqhkiG9w0BCQEWE2NhQGNlbnRlci1pbmZvcm0ucnUxCzAJBgNVBAYTAlJV
MS0wKwYDVQQIDCQ3OCDQky4g0KHQsNC90LrRgi3Qn9C10YLQtdGA0LHRg9GA0LMxKjAoBgNVBAcM
IdCTLiDQodCw0L3QutGCLdCf0LXRgtC10YDQsdGD0YDQszEoMCYGA1UECgwf0KTQk9Cj0J8g0KbQ
tdC90YLRgNCY0L3RhNC+0YDQvDEwMC4GA1UECwwn0KPQtNC+0YHRgtC+0LLQtdGA0Y/RjtGJ0LjQ
uSDRhtC10L3RgtGAMRowGAYDVQQDExFDZW50ZXItSW5mb3JtIFNQYgIKVImRlwABAAhrhTAKBgYq
hQMCAhMFAARA0n2gJC8aPQ6L8SdYuzFH/o4SHpRYVATC10LqQzAJIWbKrcjRpToLbt8e9OlTmn9/
r+mzcOKqBXnjrKrvzPaCBA==
res_xml_signed_data - подписанное сообщение в XML
<?xml version="1.0" encoding="UTF-8"?>
<Envelope xmlns="urn:envelope"><Organization><INN>004705003826</INN><KPP>470501001</KPP></Organization><Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102001-gostr3411"/>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</Transforms>
<DigestMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr3411"/>
<DigestValue>LZIHZeLgpxqsvKqGApJ8Kab3WjfHZcSRojjzi1aEtio=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>dhkbqcnnlMZ7ykh3N66i+0Av0X/+NDoNjslkbRl4u6BdDjwar249usyu4Jj1Ncc7
2n2i6a6+iwJRzX4L86H3hA==</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>MIIIwzCCCHKgAwIBAgIKVImRlwABAAhrhTAIBgYqhQMCAgMwggFkMRgwFgYFKoUD
ZAESDTEwOTc3NDYxODUxOTUxGjAYBggqhQMDgQMBARIMMDA3ODQxMDE2NjM2MSgw
JgYDVQQJDB/QqNC/0LDQu9C10YDQvdCw0Y8g0YPQuy4sINC0LjI4MSIwIAYJKoZI
hvcNAQkBFhNjYUBjZW50ZXItaW5mb3JtLnJ1MQswCQYDVQQGEwJSVTEtMCsGA1UE
CAwkNzgg0JMuINCh0LDQvdC60YIt0J/QtdGC0LXRgNCx0YPRgNCzMSowKAYDVQQH
<...>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</X509Certificate>
</X509Data>
</KeyInfo>
</Signature></Envelope>
res_pem_certificate - сертификат, которым все подписано
MIIIwzCCCHKgAwIBAgIKVImRlwABAAhrhTAIBgYqhQMCAgMwggFkMRgwFgYFKoUD
ZAESDTEwOTc3NDYxODUxOTUxGjAYBggqhQMDgQMBARIMMDA3ODQxMDE2NjM2MSgw
JgYDVQQJDB/QqNC/0LDQu9C10YDQvdCw0Y8g0YPQuy4sINC0LjI4MSIwIAYJKoZI
hvcNAQkBFhNjYUBjZW50ZXItaW5mb3JtLnJ1MQswCQYDVQQGEwJSVTEtMCsGA1UE
<...>
uNC5INGG0LXQvdGC0YAgItCa0YDQuNC/0YLQvtCf0YDQviDQo9CmIiDQstC10YDR
gdC40LggMS41DE/QodC10YDRgtC40YTQuNC60LDRgiDRgdC+0L7RgtCy0LXRgtGB
0YLQstC40Y8g4oSWINCh0KQvMTI0LTIyMzgg0L7RgiAwNC4xMC4yMDEzDE/QodC1
0YDRgtC40YTQuNC60LDRgiDRgdC+0L7RgtCy0LXRgtGB0YLQstC40Y8g4oSWINCh
0KQvMTI4LTIzNTEg0L7RgiAxNS4wNC4yMDE0MB0GA1UdIAQWMBQwCAYGKoUDZHEB
MAgGBiqFA2RxAjAIBgYqhQMCAgMDQQBiZr8JrZMb2wlbIDFYBJHnryDr0APf9JSc
8sS1wyYKWK9DR79xVKencUsX08SQLUCBumcC/m7fzNkGXrE+09x+
Пытаюсь проверить# /opt/cprocsp/bin/amd64/cryptcp -verify -verall res_b64_signed_data.msg
CryptCP 3.41 (c) "Crypto-Pro", 2002-2013.
Command prompt Utility for file signature and encryption.
Folder './':
res_b64_signed_data.msg... Signature verifying...
Error: The parameter is incorrect.
/dailybuildsbranches/CSP_3_6r4/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:2024: 0x57
ErrorCode: 0x00000057
убрал -verall
# /opt/cprocsp/bin/amd64/cryptcp -verify res_b64_signed_data.msg
CryptCP 3.41 (c) "Crypto-Pro", 2002-2013.
Command prompt Utility for file signature and encryption.
Error: No certificate found.
/dailybuildsbranches/CSP_3_6r4/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:312: 0x2000012D
ErrorCode: 0x2000012d
нету сертификата? он же содержится в сообщении! почему такая ошибка?
ну ок думаю пробую проставить сертификат явно:
# /opt/cprocsp/bin/amd64/cryptcp -verify -f res_pem_certificate res_b64_signed_data.msg
CryptCP 3.41 (c) "Crypto-Pro", 2002-2013.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN: <...>
Valid from 16.07.2014 13:17:00 to 16.07.2015 13:27:00
Certificate chain is not checked for this certificate:
RDN: <...>
Valid from 16.07.2014 13:17:00 to 16.07.2015 13:27:00
The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?Y
Certificate chains are checked.
Folder './':
res_b64_signed_data.msg... Signature verifying...
Error: The parameter is incorrect.
/dailybuildsbranches/CSP_3_6r4/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:2024: 0x57
ErrorCode: 0x00000057
# /opt/cprocsp/bin/amd64/cryptcp -verify -f res_pem_certificate res_xml_signed_data
CryptCP 3.41 (c) "Crypto-Pro", 2002-2013.
Command prompt Utility for file signature and encryption.
The following certificate will be used:
RDN: <...>
Valid from 16.07.2014 13:17:00 to 16.07.2015 13:27:00
Certificate chain is not checked for this certificate:
RDN: <...>
Valid from 16.07.2014 13:17:00 to 16.07.2015 13:27:00
The certificate revocation status or one of the certificates in the certificate chain is unknown.
Do you want to use this certificate ([Y]es, [N]o, [C]ancel)?y
Certificate chains are checked.
Folder './':
res_xml_signed_data... Signature verifying...
Error: Invalid cryptographic message type.
/dailybuildsbranches/CSP_3_6r4/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:2024: 0x80091004
ErrorCode: 0x80091004
не хочет xml принимать. добавим -nochain
следующие две команды выдают одну и ту же ошибку
# /opt/cprocsp/bin/amd64/cryptcp -verify -f res_pem_certificate res_b64_signed_data.msg -nochain
# /opt/cprocsp/bin/amd64/cryptcp -verify -nochain -f res_pem_certificate res_b64_signed_data.msg
<...>
The parameter is incorrect.
ErrorCode: 0x00000057
1) видно, что CryptCP отказывается принимать XML, может надо какой флажек поставить?
2) как заставить CryptCP брать сертификат из сообщения, чтобы не передавать через -f
3) почему certificate chain is unknown? я установил корневые сертификаты УЦ которое мне выдало ЭЦП и промежуточные тоже установил
4) как заставить CryptCP проверять подпись, всю цепочку сертификатов, и по CRL сообщение НЕ СОХРАНЯЯ СЕРТИФИКАТ,которым подписали сообщение в хранилище
5) может ли CryptCP обновлять CRL при каждом запуске -verify? или что, каждые сутки надо скачивать сертификаты и заливать заново?
Отредактировано пользователем 31 июля 2014 г. 15:50:57(UTC)
| Причина: Не указана