Статус: Участник
Группы: Участники
Зарегистрирован: 29.06.2018(UTC) Сообщений: 27 Сказал(а) «Спасибо»: 1 раз
|
Здравствуйте! Я поставил на сервер сертификаты всех активных уц (примерно 1к) Далее пытаюсь проверить подпись отфильтровав нужные: Код:
->| /opt/cprocsp/bin/amd64/cryptcp -vsignf -mroot -dn "Тестовый подчиненный УЦ ООО" ee358ab2d53410c6206274e23ff2b96b.pdf -f ee358ab2d53410c6206274e23ff2b96b.pdf.sgn
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Будет использован следующий сертификат:
Субъект:"Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)", "ООО ""КРИПТО-ПРО""", ул. Сущёвский вал д. 18, Москва, 77 Москва, RU, 007717107991, 1037700085444, info@cryptopro.ru
Действителен с 01.11.2017 14:05:11 по 01.11.2027 14:15:11
Цепочки сертификатов проверены.
Папка './':
ee358ab2d53410c6206274e23ff2b96b.pdf... Проверка подписи...
Автор подписи: RU, tests, etst, test, test, Максим, mb****n@***.com
Подпись не будет проверена, так как данный сертификат не удовлетворяет КПС.
Ошибка: Подпись не верна.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:862: 0x200001F9
[ErrorCode: 0x200001f9]
Сертификат нашёлся нужный. Если нет больше сертификатов на сервере, то проверка проходит без проблем. Если поставить ещё, то пишет такую ерунду как выше. Я не понимаю чему не соответствует КПС если находится нужный сертификат? Чего не хватает то? PS а опция issuer вообще не работает, судя по всему: Код:/opt/cprocsp/bin/amd64/cryptcp -vsignf -mroot -issuer "Тестовый подчиненный УЦ ООО" ee358ab2d53410c6206274e23ff2b96b.pdf -f ee358ab2d53410c6206274e23ff2b96b.pdf.sgn
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Найдено сертификатов: 1160
так как ничего не отфильтровалось... Отредактировано пользователем 7 августа 2018 г. 11:13:26(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2035 раз в 1579 постах
|
Здравствуйте.
А зачем использовать КПС, если есть -f ? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.06.2018(UTC) Сообщений: 27 Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей Писарев Здравствуйте.
А зачем использовать КПС, если есть -f ? не понял... У меня на сервере больше 1к сертификатов, некоторые из них кривые (где-то цепочка не проверяется, где-то ошибку самого сертификата выдаёт), что бы исключить лишние сертификаты из проверки я задаю дн. По моей логике: я задал дн, утилита нашла по нему сертификаты и с их помощью проверила подпись. По факту какая-то странная ошибка, хотя сертификаты найдены
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2035 раз в 1579 постах
|
Цитирую: Цитата: -f в качестве хранилища используется сообщение или файл сертификата;
Цитата: >что бы исключить лишние сертификаты из проверки я задаю дн.
Считается, что утилита сама не построит необходимый путь сертификации? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.06.2018(UTC) Сообщений: 27 Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей Писарев Цитирую: Цитата: -f в качестве хранилища используется сообщение или файл сертификата;
Цитата: >что бы исключить лишние сертификаты из проверки я задаю дн.
Считается, что утилита сама не построит необходимый путь сертификации? да не знаю, я как считается. Мне надо проверить отделённую cades_bes подпись файла. Если я запускаю утилиту без дн, то она задаёт мне тысячу вопросов о кривых сертификатах в хранилище. Я не знаю, как она там действует внутри. в итоге нифига не проверяется. Если я указываю конкретный дн, то ситуация как выше. У меня стоит задача проверять подпись от любого уц. С сайта минсвязи я поставил все сертификаты активных уц. После этого нифига не проверяются подписи. Код:->| /opt/cprocsp/bin/amd64/cryptcp -vsignf -mroot ee358ab2d53410c6206274e23ff2b96b.pdf -f ee358ab2d53410c6206274e23ff2b96b.pdf.sgn
CryptCP 4.0 (c) "КРИПТО-ПРО", 2002-2017.
Утилита командной строки для подписи и шифрования файлов.
Найдено сертификатов: 1160
Цепочка сертификатов не проверена для следующего сертификата:
Субъект:ОПФР по Волгоградской области, Отделение Пенсионного фонда РФ (ГУ) по Волгоградской области, ул. Рабоче-Крестьянская 16, 34 Волгоградская область, Волгоград, RU, 0441803@044.pfr.ru, 003445926514, 1023403847235
Действителен с 31.12.2015 06:29:00 по 21.04.2019 11:15:00
Один из сертификатов в цепочке имеет неверную подпись.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?c
Ошибка: Операция отменена пользователем.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:415: 0x20000066
[ErrorCode: 0x20000066]
и вот так 100500 раз Каким образом можно решать задачу проверки подписей любого уц? Возможно, надо использовать какие-то другие параметры или ещё какой-то способ есть?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Предположу, что надо решить проблему почему некоторые сертификаты АУЦ считаются "кривыми". У меня (под Windows правда) сертификат, указанный в цитате (ОПФР по Волгодрадской области, с 31.12.2015, серийный номер 41aff2240002000006aa, отпечаток abaeb92dac94ed595b42e58803d5ed62f3f274b9) проходит проверку. При этом установлены сертификат ГУЦ, сертификаты всех версий УЦ 1 ИС ГУЦ, УЦ 2 ИС ГУЦ, актуальные списки отзыва для действующих версий УЦ 1 ИС ГУЦ, УЦ 2 ИС ГУЦ. Для всей тысячи ставить списки отзыва немного напряжно, но хотя бы часто используемые желательно добавить. А вот тестовый УЦ не является АУЦ и не принадлежит дереву ГУЦ, так что в продуктивном режиме проверка сертификата и должна завершаться ошибкой. Кстати, все УЦ все равно не будут охвачены, так как многие из АУЦ до прошлого года имели корневые сертификаты наряду с кросс-сертификатами, выданными ГУЦ. Отредактировано пользователем 7 августа 2018 г. 13:45:47(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,630 Сказал «Спасибо»: 494 раз Поблагодарили: 2035 раз в 1579 постах
|
Автор: Slavenin Каким образом можно решать задачу проверки подписей любого уц? Возможно, надо использовать какие-то другие параметры или ещё какой-то способ есть? Отключить проверку сертификатов - не предлагать? -nochain |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.06.2018(UTC) Сообщений: 27 Сказал(а) «Спасибо»: 1 раз
|
Автор: Андрей Писарев Автор: Slavenin Каким образом можно решать задачу проверки подписей любого уц? Возможно, надо использовать какие-то другие параметры или ещё какой-то способ есть? Отключить проверку сертификатов - не предлагать? -nochain не вариант, надо с проверкой цепочки.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.06.2018(UTC) Сообщений: 27 Сказал(а) «Спасибо»: 1 раз
|
Так для чего же всё-таки нужен этот самый дн? Я так понимаю вариантов решения этой проблемы нет?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 29.06.2018(UTC) Сообщений: 27 Сказал(а) «Спасибо»: 1 раз
|
и ещё очень не логичное поведение утилиты... Код:/opt/cprocsp/bin/amd64/cryptcp -nochain -vsignf -mroot /path/to/file/87caf2fe596456d6f5ad2e0b03fc72ae.pdf -f /path/to/file/87caf2fe596456d6f5ad2e0b03fc72ae.pdf.sgn
в ответ Код:Папка '/path/to/file/':
/path/to/file/87caf2fe596456d6f5ad2e0b03fc72ae.pdf... Проверка подписи... Ошибка: Не удалось открыть файл './/87caf2fe596456d6f5ad2e0b03fc72ae.pdf.sgn'.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/DSign.cpp:1900: 0x20000065
[ErrorCode: 0x20000065]
wtf??? я указываю абсолютный путь. Куда он пропадает и почему ищется по относительному???
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close