Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline promcalc  
#1 Оставлено : 14 января 2022 г. 15:05:59(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Добрый день

Вот пример запроса в НБКИ:



Получаю ошибку: curl: (58) Problem with the local SSL certificate

Смотрю данные сертификата (вроде установлен корректно):



Проверяю цепочку сертификата:




Вроде все правильно, но запрос выдает ошибку :(

Что еще может не нравиться curl ?

Отредактировано пользователем 14 января 2022 г. 18:07:36(UTC)  | Причина: Не указана

Offline Андрей *  
#2 Оставлено : 14 января 2022 г. 15:41:09(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
Здравствуйте.

А сертификат УЦ, который выдал сертификат web-серверу - добавлен в корневые?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#3 Оставлено : 14 января 2022 г. 15:44:06(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
Корневой сертификат: http://cpca20.cryptopro....8dafae5382bb778ed464.crt
Техническую поддержку оказываем тут
Наша база знаний
Offline promcalc  
#4 Оставлено : 14 января 2022 г. 16:26:28(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Такой сертификат есть в списках:




Мало того, у нас есть сертификат работающий, который выдан этим же удостоверяющим центром, но другой организации:



Может быть причина связана с отсутствием в поле Extended Key Usage значений (которые есть в работающем сертификате):
1.2.643.3.93.15
1.2.643.5.3.48.1

Offline Андрей *  
#5 Оставлено : 14 января 2022 г. 17:07:02(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
Автор: promcalc Перейти к цитате
Такой сертификат есть в списках:

/opt/cprocsp/bin/amd64/certmgr -list -thumbprint 425fe75d8f3b23b13c508ba834428d365c07436b



а почему в личных?
Техническую поддержку оказываем тут
Наша база знаний
Offline promcalc  
#6 Оставлено : 14 января 2022 г. 17:18:08(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

/opt/cprocsp/bin/amd64/certmgr -list -store uroot -thumbprint 425fe75d8f3b23b13c508ba834428d365c07436b
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Serial : 0x0317BE3301C1AC17A948CF46A8C4F46F4D
SHA1 Hash : 425fe75d8f3b23b13c508ba834428d365c07436b
SubjKeyID : 1d5c58c03feb4407cf888dafae5382bb778ed464
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 31/01/2021 18:30:28 UTC
Not valid after : 31/01/2036 18:30:28 UTC
PrivateKey Link : No
=============================================================================

[ErrorCode: 0x00000000]


На всякий случай еще обращу внимание.

Разница между работающим сертификатом и тем сертификатом, который выдает ошибку, выданным одним и тем же УЦ (оба сертификата есть в постах выше) только в дополнительных строчках, которые есть в работающем сертификате в поле Extended Key Usage (кроме срока действия и персональных данных):

1.2.643.3.93.15
1.2.643.5.3.48.1


Может отсутствие данных значений приводить к ошибке при запросе curl: (58) Problem with the local SSL certificate ?

Отредактировано пользователем 14 января 2022 г. 23:53:27(UTC)  | Причина: Добавил diff меджу работающим и неработающим сертификатом

Offline promcalc  
#7 Оставлено : 17 января 2022 г. 11:51:05(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Что мне нужно еще посмотреть, чтобы понять в чем причина ошибки?
Offline Андрей *  
#8 Оставлено : 17 января 2022 г. 11:56:05(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
Автор: promcalc Перейти к цитате
Что мне нужно еще посмотреть, чтобы понять в чем причина ошибки?


сейчас используется 5.0.11455?

Предлагаю обновиться и проверить в актуальной:
Сертифицированная версия КриптоПро CSP 5.0.12000 (Kraken) от 24.11.2020.
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#9 Оставлено : 17 января 2022 г. 12:02:27(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
а curl запускается от того же пользователя, что тестировали сертификат?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#10 Оставлено : 17 января 2022 г. 12:08:43(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
Цитата:
/opt/cprocsp/bin/amd64/cryptcp -sign -thumbprint отпечаток -detach -der "/home/user/test.txt" "/home/user/user.txt.p7s"

замените на свои данные,
подписывает без ошибок?
Техническую поддержку оказываем тут
Наша база знаний
Offline promcalc  
#11 Оставлено : 17 января 2022 г. 13:15:15(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Вот результат от этого сертификата (ошибка при создании подписи):



Вот результат от другого сертификата этого УЦ:

Offline Андрей *  
#12 Оставлено : 17 января 2022 г. 13:21:32(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
В сертификате случайно не указан период действия закрытого ключа до 01.01.2022 ?
Техническую поддержку оказываем тут
Наша база знаний
Offline promcalc  
#13 Оставлено : 17 января 2022 г. 13:29:40(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Автор: Андрей * Перейти к цитате
В сертификате случайно не указан период действия закрытого ключа до 01.01.2022 ?


А как это посмотреть?
Offline Андрей *  
#14 Оставлено : 17 января 2022 г. 13:29:49(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
и какие права на контейнер (где он?)?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#15 Оставлено : 17 января 2022 г. 13:36:49(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
Автор: promcalc Перейти к цитате
Автор: Андрей * Перейти к цитате
В сертификате случайно не указан период действия закрытого ключа до 01.01.2022 ?


А как это посмотреть?

маловероятно, конечно, сертификат свежий...

можно посмотреть dump asn1 \ через gui:
https://lapo.it/asn1js/

мне присылали такой, ограничен был:
2.5.29.16 privateKeyUsagePeriod

значение:
Snimok ehkrana ot 2022-01-17 14-34-59.png (87kb) загружен 7 раз(а).


Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#16 Оставлено : 17 января 2022 г. 14:36:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
период ЗК
-или через тестирование контейнера
Цитата:

Открыть(проверить) контейнер пользователя:
csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера'

Открыть(проверить) контейнер компьютера:
csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера' -machinekeyset



в выводе:
PrivKey

Техническую поддержку оказываем тут
Наша база знаний
Offline promcalc  
#17 Оставлено : 17 января 2022 г. 16:35:28(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Большое спасибо за помощь.

Оказалось, что контейнер поставлен от рута.



Offline promcalc  
#18 Оставлено : 17 января 2022 г. 16:37:14(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Автор: Андрей * Перейти к цитате
период ЗК
-или через тестирование контейнера
Цитата:

Открыть(проверить) контейнер пользователя:
csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера'

Открыть(проверить) контейнер компьютера:
csptest -keyset -check -cont '\\.\имя считывателя\имя контейнера' -machinekeyset



в выводе:
PrivKey



Спасибо, буду теперь это тоже проверять.

Команда выдает:

PrivKey: Not specified - 03.12.2022 07:45:09 (UTC)
Offline nata2805  
#19 Оставлено : 19 января 2022 г. 10:16:01(UTC)
nata2805

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.01.2022(UTC)
Сообщений: 7
Российская Федерация
Откуда: Нижний Новгород

Добрый день. Отчеты по 2 организациям делаю и сдаю через "Калуга-Астрал". ЭЦП получена в налоговой. Отчеты отправляются, но программа запрашивает ввести пин-код для получения подтверждающих документов от фондов после отправки отчетов. При попытке ввести код выдает ошибку:

Загрузка новых документов

Во время обработки данных произошла ошибка:

Встречено неверное значение тега ASN1. (0x8009310B)


До тех.поддержки "Калуги-Астрал" не дозвониться уже месяц. Отчеты висят в отправленном состоянии, подтверждения не приходят.
Подскажите, пожалуйста, что это может быть. Причем, у меня по 2 организациям, и у коллеги тоже самое, но по ее организациям.
Offline Андрей *  
#20 Оставлено : 19 января 2022 г. 10:21:19(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 11,142
Мужчина
Российская Федерация

Сказал «Спасибо»: 425 раз
Поблагодарили: 1718 раз в 1324 постах
Автор: nata2805 Перейти к цитате
Добрый день. Отчеты по 2 организациям делаю и сдаю через "Калуга-Астрал". ЭЦП получена в налоговой. Отчеты отправляются, но программа запрашивает ввести пин-код для получения подтверждающих документов от фондов после отправки отчетов. При попытке ввести код выдает ошибку:

Загрузка новых документов

Во время обработки данных произошла ошибка:

Встречено неверное значение тега ASN1. (0x8009310B)


До тех.поддержки "Калуги-Астрал" не дозвониться уже месяц. Отчеты висят в отправленном состоянии, подтверждения не приходят.
Подскажите, пожалуйста, что это может быть. Причем, у меня по 2 организациям, и у коллеги тоже самое, но по ее организациям.


некорректно формируется подпись (структура, возможно атрибут).
Наверное не при попытке - а после ввода, выполняется подписание, потом идёт проверка подписи, функция выдает эту ошибку.

А посмотреть сформированную подпись (файл\base64 в браузере (post запрос - из него взять)?) можете?

Тестирование сертификата через панель управления КриптоПРО CSP - без ошибок?

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.