Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline ig-gor1995  
#1 Оставлено : 3 июня 2020 г. 15:14:30(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Добрый день! Возникла проблема
Некоторые подписи не проходят проверку. Приложу пример сертификата и подписи в архиве.


Подпись прикрепленная, при проверке вылетает ошибка:
....
Caused by: ru.CryptoPro.CAdES.exception.CAdESException: Error building certification path for OID.1.2.643.100.5=#120F333131333132303237373030303230, OID.1.2.643.100.3=#120B3036363531393634323838, OID.1.2.643.3.131.1.1=#120C333132303030313934353837, EMAILADDRESS=xxxxxxx@mail.ru, C=RU, ST=31 Белгородская область, L=с. XXXXX, CN=XXXXXXXX, STREET="XXXXXXX", GIVENNAME=XXXXXXX, SURNAME=XXXXX: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target
at ru.CryptoPro.CAdES.CAdESSignerPKCS7Impl.verify(Unknown Source) ~[CAdES.jar:40035]
at ru.CryptoPro.CAdES.CAdESSignerBESImpl.verify(Unknown Source) ~[CAdES.jar:40035]
at ru.CryptoPro.CAdES.cl_1.verify(Unknown Source) ~[CAdES.jar:40035]
... 100 more
Caused by: ru.CryptoPro.AdES.exception.AdESException: Error building certification path for OID.1.2.643.100.5=#120F333131333132303237373030303230, OID.1.2.643.100.3=#120B3036363531393634323838, OID.1.2.643.3.131.1.1=#120C333132303030313934353837, EMAILADDRESS=xxxxxx@mail.ru, C=RU, ST=31 Белгородская область, L=с. XXXXXX, CN=XXXXXXX, STREET="XXXXXX", GIVENNAME=XXXXXX, SURNAME=XXXXX: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target
at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unknown Source) ~[AdES-core.jar:40035]
at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unknown Source) ~[AdES-core.jar:40035]
at ru.CryptoPro.AdES.external.signature.AdESSigner.build(Unknown Source) ~[AdES-core.jar:40035]
at ru.CryptoPro.CAdES.CAdESSignerPKCS7Impl.verify(Unknown Source) ~[CAdES.jar:40035]
at ru.CryptoPro.CAdES.CAdESSignerBESImpl.verify(Unknown Source) ~[CAdES.jar:40035]
at ru.CryptoPro.CAdES.cl_1.verify(Unknown Source) ~[CAdES.jar:40035]
... 100 more

Версия Java: 11
Сертификаты Белинфоналог и минкомсвязи добавлены в cacerts.
На госуслугах подпись проверку проходит.
Никак не могу понять в чем может быть дело, подскажите пожалуйста, что я делаю не так?

P.S. сертификаты, что в касертсах кладутся в доверенные таким образом
import ru.CryptoPro.AdES.certificate.AbstractCertificateChainBuilder;
.....
if (AdESUtility.isSelfSignedForCaCerts(certificate)) {
AbstractCertificateChainBuilder.CACERTS_TRUST_CERTIFICATES.add(certificate);
} else if (!Platform.isIbm && !Platform.isAndroid) {
AbstractCertificateChainBuilder.CACERTS_INTERMEDIATE_CERTIFICATES.add(certificate);
} else if (AdESUtility.isGost(certificate)) {
AbstractCertificateChainBuilder.CACERTS_INTERMEDIATE_CERTIFICATES.add(certificate);
} else {
AbstractCertificateChainBuilder.CACERTS_TRUST_CERTIFICATES.add(certificate);
}
.....
Если использовать AbstractCertificateChainBuilder нежелтельно, то как можно сделать по-другому?

Отредактировано пользователем 4 июня 2020 г. 9:58:25(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#2 Оставлено : 3 июня 2020 г. 19:57:13(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
Добрый день!
проблема в сертификате
java.security.cert.CertificateException: Unrecognized critical extension(s)

java обрабатывает все критические расширения. если она его не знает, выбрасывает исключение.
jcp тут ни при чем.
к примеру в приложенном сертификате
Код:
 1.3.6.1.4.1.311.20.2: Флаги = 1(Критический), Длина = c
Имя шаблона сертификата (Тип сертификата)
ЕГАИС


обычно в сертификатах делают только одно критическое расширение.
Код:
2.5.29.15: Флаги = 1(Критический), Длина = 4
Использование ключа

рекомендую обратиться в УЦ издавший данный сертификат за разъяснениями

Отредактировано пользователем 3 июня 2020 г. 19:59:27(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
ig-gor1995 оставлено 04.06.2020(UTC)
Offline dedov  
#3 Оставлено : 8 июня 2020 г. 17:39:57(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 371
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
проблема в сертификате
java.security.cert.CertificateException: Unrecognized critical extension(s)

java обрабатывает все критические расширения. если она его не знает, выбрасывает исключение.


Подскажите, можно ли сделать так, чтобы java "узнала" это критическое расширение?
Offline Санчир Момолдаев  
#4 Оставлено : 8 июня 2020 г. 20:15:33(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
Автор: dedov Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
проблема в сертификате
java.security.cert.CertificateException: Unrecognized critical extension(s)

java обрабатывает все критические расширения. если она его не знает, выбрасывает исключение.


Подскажите, можно ли сделать так, чтобы java "узнала" это критическое расширение?


лучше заставить УЦ работать по rfc.
Техническую поддержку оказываем тут
Наша база знаний
Offline dedov  
#5 Оставлено : 9 июня 2020 г. 9:05:36(UTC)
dedov

Статус: Эксперт

Группы: Участники
Зарегистрирован: 03.04.2008(UTC)
Сообщений: 371
Мужчина
Откуда: Россия, г. Белгород

Сказал «Спасибо»: 11 раз
Поблагодарили: 9 раз в 9 постах
Автор: Санчир Момолдаев Перейти к цитате
Автор: dedov Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
проблема в сертификате
java.security.cert.CertificateException: Unrecognized critical extension(s)

java обрабатывает все критические расширения. если она его не знает, выбрасывает исключение.


Подскажите, можно ли сделать так, чтобы java "узнала" это критическое расширение?


лучше заставить УЦ работать по rfc.


"Заставить" УЦ работать по rfc не проблема. Проблема с уже выпущенными сертификатами клиентов, их довольно много.
Может все таки есть способ заставить java игнорировать хотя бы на время это исключение?
Offline Санчир Момолдаев  
#6 Оставлено : 10 июня 2020 г. 8:25:40(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
Автор: dedov Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: dedov Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Добрый день!
проблема в сертификате
java.security.cert.CertificateException: Unrecognized critical extension(s)

java обрабатывает все критические расширения. если она его не знает, выбрасывает исключение.


Подскажите, можно ли сделать так, чтобы java "узнала" это критическое расширение?


лучше заставить УЦ работать по rfc.


"Заставить" УЦ работать по rfc не проблема. Проблема с уже выпущенными сертификатами клиентов, их довольно много.
Может все таки есть способ заставить java игнорировать хотя бы на время это исключение?


Информацию довели до разработчиков. данный вопрос пока на обсуждении. внутренний ориентир запроса JCP-1520
Техническую поддержку оказываем тут
Наша база знаний
Offline Евгений Афанасьев  
#7 Оставлено : 12 июня 2020 г. 12:59:38(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,190
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Можете приложить файл подписи?
Offline Санчир Момолдаев  
#8 Оставлено : 24 июля 2020 г. 15:38:04(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
в новом релизе
Цитата:
добавлена обработка критического расширения 1.3.6.1.4.1.311.20.2 (OID_ENROLL_CERTTYPE_EXTENSION) в сертификате
Техническую поддержку оказываем тут
Наша база знаний
Offline ig-gor1995  
#9 Оставлено : 27 августа 2020 г. 11:57:07(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
334411.txt (4kb) загружен 5 раз(а).

[Приложенный файл может иметь расширение .cer . Но дает загрузить сюда только в txt.]

Есть несколько сертификатов, у которых в цепочке, у всех УЦ есть критическое расширение

[1]Возможности SMIME
Идентификатор объекта=1.2.643.2.2.21

Возникает та же самая ошибка: unable to find valid certification path to requested target

Здесь та же проблема? Чтобы проверить подпись, нужно чтобы во всей цепочке сертификатов не было такого критического расширения?
Offline Санчир Момолдаев  
#10 Оставлено : 28 августа 2020 г. 1:47:11(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
Добрый день!
можете приложить подпись каких-нибудь тестовых данных?
с цепочкой сертификатов и набором crl
или полный стектрейс включив логирование c уровенем ALL согласно статьи

Отредактировано пользователем 28 августа 2020 г. 5:53:22(UTC)  | Причина: ошибся веткой

Техническую поддержку оказываем тут
Наша база знаний
Offline ig-gor1995  
#11 Оставлено : 28 августа 2020 г. 10:07:49(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
example.txt (20kb) загружен 7 раз(а). вот пример
Offline Санчир Момолдаев  
#12 Оставлено : 28 августа 2020 г. 21:32:17(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
а цепочку сертификатов можете приложить? в сертификате подписанта этого расширения нет
желательно бы еще и список актуальных crl

upd.
пардон, цепочка в подписи.

Отредактировано пользователем 28 августа 2020 г. 21:39:06(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline ig-gor1995  
#13 Оставлено : 31 августа 2020 г. 9:16:44(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
chain2.txt (5kb) загружен 3 раз(а). chain3.txt (3kb) загружен 2 раз(а). chain1.txt (4kb) загружен 3 раз(а).
Вот цепочка.
Именно в этих сертификатах есть такое расширение.

ortsvm.comp.npo crl.txt (2kb) загружен 2 раз(а).
Offline Санчир Момолдаев  
#14 Оставлено : 31 августа 2020 г. 10:13:50(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
Добрый день!
нужны crl от каждого ЦС. т.е. 3 шт.
это необходимо чтобы воспроизвести ошибку у нас.
Техническую поддержку оказываем тут
Наша база знаний
Offline ig-gor1995  
#15 Оставлено : 31 августа 2020 г. 10:25:00(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Добрый день. Не могу скачать crl у промежуточного по ссылке http://ortsvm.comp.npo:88/crl/CA-01-2012-512.crl, которая указана в точках распространения

curl -v http://ortsvm.comp.npo:88/crl/CA-01-2012-512.crl
* Could not resolve host: ortsvm.comp.npo
* Closing connection 0
curl: (6) Could not resolve host: ortsvm.comp.npo

в цепочке два промежуточных УЦ 1 ГУЦ Dev Synerdocs 2012-512 и УЦ 1 ГУЦ Dev Synerdocs 2012-512 http://ortsvm.comp.npo:88/crl/CA-root-2012-512.crl
У обоих не скачивается crl (http://ortsvm.comp.npo:88/crl/CA-01-2012-512.crl, http://ortsvm.comp.npo:88/crl/CA-01-2012-512.crl)

Offline Санчир Момолдаев  
#16 Оставлено : 31 августа 2020 г. 10:29:44(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
У вас есть доступ к их сети?
Техническую поддержку оказываем тут
Наша база знаний
Offline ig-gor1995  
#17 Оставлено : 31 августа 2020 г. 10:32:59(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Нет, только пример подписи, и открытые ключи, больше ничего нет
Offline Санчир Момолдаев  
#18 Оставлено : 31 августа 2020 г. 10:43:17(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
Без crl в CadesSignature не проверить
Можно попробовать проверить низкоуровнево. И отдельно проверять цепочку.
Это есть в samples-source.jar. Примерное название CMS* и CrlValidate.
Техническую поддержку оказываем тут
Наша база знаний
Offline ig-gor1995  
#19 Оставлено : 31 августа 2020 г. 12:23:09(UTC)
ig-gor1995

Статус: Участник

Группы: Участники
Зарегистрирован: 16.10.2019(UTC)
Сообщений: 22
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
CA-01-2012-512.txt (2kb) загружен 3 раз(а). УЦ прислали crl. но только один и он пустой так как УЦ тестовый

Отредактировано пользователем 31 августа 2020 г. 15:27:15(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#20 Оставлено : 31 августа 2020 г. 21:16:35(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 435
Российская Федерация

Сказал(а) «Спасибо»: 51 раз
Поблагодарили: 64 раз в 63 постах
не важно что он пустой. главное там есть подпись УЦ.
теперь нужен crl от Головной удостоверяющий центр Synerdocs 2012-512
http://ortsvm.comp.npo:88/crl/CA-root-2012-512.crl

Отредактировано пользователем 31 августа 2020 г. 21:17:08(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.