Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ig-gor1995  
#1 Оставлено : 16 октября 2019 г. 11:54:56(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Разрабатывается сервис, в котором происходит проверка подписей.


При проверке подписей сертификатами именно ГлавНИВЦ вылетает ошибка (С другими УЦ все в порядке)
“For online validation by CRLDP parameter 'com.sun.security.enableCRLDP' (Oracle) or 'com.ibm.security.enableCRLDP' (IBM) must be set 'true' to enable or 'ocsp.enable' must be set 'true' (OCSP), or CRL passed for offline validation”

Данные параметры включены:
System.setProperty("com.sun.security.enableCRLDP", "true");
System.setProperty("com.ibm.security.enableCRLDP", "true");
System.setProperty("ru.CryptoPro.reprov.enableCRLDP", "true");
System.setProperty("ocsp.enable", "true");

При дебаге, ошибка вылетает в классе PKIXMasterCertPathValidator.java во время проверки CrlRevocationChecker

...
try {
currChecker.check(currCert, unresCritExts); <-- здесь

if (debug != null) {
debug.println("-checker" + (j + 1) +
" validation succeeded");
}
...

Падает с ошибкой: «Could not determine revocation status: unable to find valid certification path to requested target»

Crl файл через браузер скачивается.
Но не скачивается курлом (выдает 301 ошибку Moved Permanently)

Не подскажете в чем может быть проблема? ГлавНИВЦ заверяют, что с их crl все впорядке.
Сертификат добавлен в cacerts
Offline Евгений Афанасьев  
#2 Оставлено : 16 октября 2019 г. 15:52:02(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Скорее всего, в клиентском сертификате один единственный адрес CRL в списке CRLDP, у него выполняется переход (301) на https. Эти действия не поддерживаются, CRL не грузится, проверка статуса сертификата не выполняется.
thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
ig-gor1995 оставлено 16.10.2019(UTC)
Offline ig-gor1995  
#3 Оставлено : 16 октября 2019 г. 16:36:50(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Спасибо за подсказку!

Проблема решена.

Ссылка crl редиректила на https урл, поэтому я, вытащив crl урлы из подписи, используя HttpsURLConnection и HttpURLConnection, бегая по редиректам скачал crl файл.

[ InputStream is = httpsConn.getInputStream(); X509CRL crl = (X509CRL) certificateFactory.generateCRL(is); ]

и передал его в метод signature.verify(null, crlSet);

Проверка прошла успешно

thanks 1 пользователь поблагодарил ig-gor1995 за этот пост.
dbubb оставлено 28.10.2019(UTC)
Offline dbubb  
#4 Оставлено : 28 октября 2019 г. 9:05:47(UTC)
dbubb

Статус: Активный участник

Группы: Участники
Зарегистрирован: 02.02.2011(UTC)
Сообщений: 43
Мужчина
Откуда: Екатеринбург

Сказал «Спасибо»: 14 раз
Поблагодарили: 1 раз в 1 постах
Автор: ig-gor1995 Перейти к цитате
Спасибо за подсказку!

Проблема решена.

Ссылка crl редиректила на https урл, поэтому я, вытащив crl урлы из подписи, используя HttpsURLConnection и HttpURLConnection, бегая по редиректам скачал crl файл.

[ InputStream is = httpsConn.getInputStream(); X509CRL crl = (X509CRL) certificateFactory.generateCRL(is); ]

и передал его в метод signature.verify(null, crlSet);

Проверка прошла успешно



Добрый день.
Я правильно понимаю, что у вас КриптоПро JCP используется без JTLS?
И если вы все-таки используете JTLS как вы обходите тот факт, что JTLS не дает работать по https с не-ГОСТ'овскими сертификатами?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.