Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Алексей 111  
#1 Оставлено : 4 сентября 2020 г. 14:46:28(UTC)
Алексей 111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.09.2012(UTC)
Сообщений: 57
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
При усовершенствовании ЭП через JCP возникает ошибка

Цитата:

Caused by: OCSP status of certificate: sn 19867, subject SURNAME=XXX, issuer OID.1.2.643.3.131.1.1=#120C303037373130393634333438, OID.1.2.643.100.1=#120D31313437373436373134363331, L=г.Москва, STREET="УЛИЦА ИЛЬИНКА, Д.4, АНТР 3 ЭТ; ПОМ.94", ST=77 Москва, C=RU, O=ООО «Екей УЦ», OU=Удостоверяющий центр, CN=ООО «Екей УЦ», EMAILADDRESS=contact@ekey.ru is UNKNOWN; error codes: [19] 'Certificate status is unknown',
at ru.CryptoPro.AdES.service.OCSPServiceConnectorImpl.getEncoded(Unknown Source)
at ru.CryptoPro.AdES.evidence.ocsp.OCSPEvidenceCollectorImpl.getEvidence(Unknown Source)
at ru.CryptoPro.AdES.evidence.ocsp.OCSPEvidenceCollectorImpl.make(Unknown Source)
at ru.CryptoPro.AdES.evidence.EvidenceCollectorImpl.collect(Unknown Source)
at ru.CryptoPro.AdES.evidence.CertificateChainEvidenceBuilderImpl.build(Unknown Source)
... 28 more


Подскажите, с чем она может быть связана? И как её можно побороть?
Готов прислать в личку sig-файл и FINE-лог.

JDK: 1.8.0_191
JCP: 2.0.38830

Код усовершенствования:
Цитата:

srcSigner.enhance(JCP.PROVIDER_NAME, JCP.GOST_DIGEST_OID, chainList, tspUrl, CAdESType.CAdES_X_Long_Type_1, new AttributeTable(new Hashtable()));
Online Андрей *  
#2 Оставлено : 4 сентября 2020 г. 14:51:28(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Здравствуйте.


Пробовали на тестовом от тестового УЦ КРИПТО-ПРО подписывать?

Это ответ от службы УЦ... - т.е. не код менять нужно, а обратиться в УЦ с вопросом или "подождать".
Техническую поддержку оказываем тут
Наша база знаний
Offline Алексей 111  
#3 Оставлено : 4 сентября 2020 г. 15:14:29(UTC)
Алексей 111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.09.2012(UTC)
Сообщений: 57
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Поясню...

У нас код уже давно написан и нормально всё работает.

Но периодически возникают разного рода ошибки.

Вот теперь, эта "OCSP status of certificate is UNKNOWN"

Как я понимаю, заказчик берет от куда-то sig-файл и загружает в нашу систему.
Система, автоматически пытается усовершенствовать ЭП и получаем ошибку, описанную выше.

Конец FINE-лога выглядит так:
Цитата:

FINE: Collecting OCSP evidences...
сен 04, 2020 2:37:23 PM ru.CryptoPro.AdES.evidence.ocsp.OCSPEvidenceCollectorImpl getEvidence
FINE: Try to use following url: http://sp2.ekey.ru:2560
сен 04, 2020 2:37:23 PM ru.CryptoPro.AdES.service.ServiceConnectorImpl callService
FINE: Calling to service...
сен 04, 2020 2:37:23 PM ru.CryptoPro.AdES.service.ServiceConnectorImpl callService
FINE: Call to service: http://sp2.ekey.ru:2560

а потом ошибка "OCSP status of certificate is UNKNOWN"

Подскажите, кто на кого ругается и есть ли способ это побороть?

Я так понимаю, что что-то не так с серисом http://sp2.ekey.ru:2560. Я прав?
На сколько я знаю, при усовершенствовании ЭП невозможно указать "свои сервисы", берутся те, которые указаны в сертификате.
Т.е. если проблемы с сервисом http://sp2.ekey.ru:2560, то единственный способ искать кому он принадлежит и писать туда о проблеме.

Но только не понятен текст ошибки "OCSP status of certificate is UNKNOWN". Можете пояснить, что же она всё-таки значит?
Online Андрей *  
#4 Оставлено : 4 сентября 2020 г. 15:19:13(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
"OCSP status of certificate is UNKNOWN".
"OCSP статус сертификата неизвестен".
- это ответ службы...

можете прислать в ЛС сам sig (документ мне не нужен) или сертификат?

или сами (если ОС Windows) проверить через утилиты ocsputil или cryptexpert (Сервисы\Работа с сертификатами\Проверить статус..)
Техническую поддержку оказываем тут
Наша база знаний
Offline Алексей 111  
#5 Оставлено : 4 сентября 2020 г. 15:51:08(UTC)
Алексей 111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.09.2012(UTC)
Сообщений: 57
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Отправил в личку
Offline Алексей 111  
#6 Оставлено : 4 сентября 2020 г. 16:02:48(UTC)
Алексей 111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.09.2012(UTC)
Сообщений: 57
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Как я понимаю, через cryptoexpert ЭП проходит проверку
2020-09-04 cryptoexpert.jpg (156kb) загружен 7 раз(а).
Online Андрей *  
#7 Оставлено : 4 сентября 2020 г. 16:03:45(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: Алексей 111 Перейти к цитате
Как я понимаю, через cryptoexpert ЭП проходит проверку
2020-09-04 cryptoexpert.jpg (156kb) загружен 7 раз(а).


Он по CRL проверил, игнорирует "url" с http://sp2.ekey.ru:2560

Сейчас проверю по OCSP...
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей *  
#8 Оставлено : 4 сентября 2020 г. 16:12:23(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Успешно проверяется:
Snimok ehkrana ot 2020-09-04 17-11-30.png (28kb) загружен 7 раз(а).

Проверьте в своём сервисе.
Техническую поддержку оказываем тут
Наша база знаний
Offline Алексей 111  
#9 Оставлено : 4 сентября 2020 г. 17:04:36(UTC)
Алексей 111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.09.2012(UTC)
Сообщений: 57
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Вот мой упрощенный код
Цитата:

@Test
public void test() throws IOException, CAdESException {
try (
InputStream dataIs = new FileInputStream("d:\\ocsp_problem.pdf");
InputStream signIs = new FileInputStream("d:\\ocsp_problem.pdf.sig")) {

CAdESSignature signature = new CAdESSignature(signIs, dataIs, null);

System.setProperty("ru.CryptoPro.reprov.enableCRLDP", "true");
System.setProperty("com.sun.security.enableCRLDP", "true");
System.setProperty("com.ibm.security.enableCRLDP", "true");

List<X509Certificate> chainList = new ArrayList<>();
List<SignerInformation> srcSignerInfos = new ArrayList<>();

for (CAdESSigner signer : signature.getCAdESSignerInfos()) {
chainList.add(signer.getSignerCertificate());
srcSignerInfos.add(signer.getSignerInfo());
}

for (int cnt = 0; cnt < srcSignerInfos.size(); cnt++) {
CAdESSigner srcSigner = signature.getCAdESSignerInfo(cnt);
SignerInformation srcSignerInfo = srcSigner.getSignerInfo();
CAdESSigner enhancedSigner = srcSigner.enhance(JCP.PROVIDER_NAME, JCP.GOST_DIGEST_OID, chainList,
"http://tsp.uc-em.ru:2020/tsp-gost2012/tsp.srf", CAdESType.CAdES_X_Long_Type_1, new AttributeTable(new Hashtable()));
}

} catch (Throwable e) {
e.printStackTrace();
throw e;
}
}


он дает ошибку "OCSP status of certificate is UNKNOWN"

Файл с ЭП пришлю в личку.
Offline Алексей 111  
#10 Оставлено : 4 сентября 2020 г. 17:10:33(UTC)
Алексей 111

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.09.2012(UTC)
Сообщений: 57
Откуда: Москва

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 1 раз в 1 постах
Отправил в личку
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.