Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2013(UTC) Сообщений: 5  Откуда: Нижний Новгород
|
Добрый день. Столкнулись с проблемой такого вида - браузерный плагин вдруг перестал доверять сертификатам с такой ошибкой: A certificate chain could not be built to a trusted root authority. (0x800B010A) При этом корневой сертификат установлен, через КриптоАРМ эта же подпись с этими же данными прекрасно проверяется, цепочка доверия строится. Подпись усовершенствованная, ГОСТовая, CSP стоит. Лог отладки: Цитата:00000001 0.00000000 [2460] .\Externs.cpp(33) : /Init/
00000002 0.00021577 [2460] .\CPSettings.cpp(193) : /Init/
00000003 0.00095083 [2460] cades.dll: {1848} /CCadesApp::InitInstance/ CadesApp.cpp(16) : hInstance=6E000000
00000004 0.00134427 [2460] .\Externs.cpp(33) : /Init/
00000005 0.00145513 [2460] .\CPSettings.cpp(193) : /Init/
00000006 1.40478909 [2460] cpcspi: Thread: file:line function text xcode(dcode) level: 0
00000007 1.40612459 [2460] cpcsp: Thread: file:line text level: 0
00000008 1.41403794 [2460] cpui: Thread: file:line function text xcode(dcode) level: 0
00000009 1.41418064 [2460] cades.dll: {1848} /CadesVerifyDetachedMessage/ cades.cpp(2655) : (pVerifyPara=0x0016F12C, dwSignerIndex=0, pbDetachedSignBlob=0x00F227C0, cbDetachedSignBlob=1323, cToBeSigned=1, rgpbToBeSigned=0x0016F144, rgcbToBeSigned=0x0016F148, ppVerificationInfo=0x0016F178)
00000010 1.42138350 [2460] cades.dll: {1848} /CadesMsgVerifySignatureImpl/ cades.cpp(1618) : Input parameters checked
00000011 1.42250824 [2460] cades.dll: {1848} /CadesMsgVerifySignatureImplNamespace::VerifyMessageSignature/ cades.cpp(1515) : Signature verification started
00000012 1.42276871 [2460] cpext: Thread: file:line function text xcode(dcode) level: 0
00000013 1.42481768 [2460] cades.dll: {1848} /CadesMsgVerifySignatureImplNamespace::VerifyMessageSignature/ cades.cpp(1525) : Signature verified
00000014 1.42505407 [2460] .\Externs.cpp(33) : /Init/
00000015 1.42548406 [2460] .\CPSettings.cpp(193) : /Init/
00000016 1.42554557 [2460] cades.dll: {1848} /CChainValidationProcess::validateChain/ ChainValidation.h(1113) : #start#
00000017 1.42793715 [2460] cades.dll: {1848} /CChainValidationProcess::buildChain/ ChainValidation.h(1143) : #start#
00000018 1.44327569 [2460] cades.dll: {1848} /CChainWalker::walk/ ChainValidation.h(968) : #start#
00000019 1.44332778 [2460] cades.dll: {1848} /CChainObserverQueue::verifyTime/ ChainValidation.h(288) : #start#
00000020 1.44337368 [2460] cades.dll: {1848} /CChainPolicyVerification::verifyTime/ ChainValidation.h(633) : #start#
00000021 1.44341087 [2460] cades.dll: {1848} /CChainPolicyVerification::verifyTime/ ChainValidation.h(635) : #success#
00000022 1.44344735 [2460] cades.dll: {1848} /CChainObserverQueue::evidenceVerifyTime/ ChainValidation.h(294) : #start#
00000023 1.44348335 [2460] cades.dll: {1848} /CChainObserverQueue::chainContext/ ChainValidation.h(300) : #start#
00000024 1.44351923 [2460] cades.dll: {1848} /CSingleChain::chainContext/ ChainValidation.h(474) : #start#
00000025 1.44355476 [2460] cades.dll: {1848} /CSingleChain::chainContext/ ChainValidation.h(478) : #success#
00000026 1.44359291 [2460] cades.dll: {1848} /CChainStatus::chainContext/ ChainValidation.h(498) : #start#
00000027 1.44362879 [2460] cades.dll: {1848} /CChainStatus::chainContext/ ChainValidation.h(509) : #failure# HRESULT: (0x800b010a)
00000028 1.44365191 [2460] cades.dll: {1848} /CChainStatus::chainContext/ ChainValidation.h(509) : Unacceptable dwErrorStatus
00000029 1.44773281 [2460] cades.dll: {1848} /CadesMsgVerifySignatureImpl/ cades.cpp(1839) : Exception thrown: _hr
00000030 1.44778371 [2460] cades.dll: {1848} /CadesVerifyDetachedMessage/ cades.cpp(2676) : COleException, m_sc=0x800b010a
00000031 1.44782281 [2460] cades.dll: {1848} /CadesVerifyDetachedMessage/ cades.cpp(2688) : (res=0, GetLastError=0x800b010a
00000032 1.44786561 [2460] cades.dll: {1848} /CadesFreeVerificationInfo/ cades.cpp(2704) : (pVerificationInfo=0x032870B8)
00000033 1.44802105 [2460] cades.dll: {1848} /CadesFreeVerificationInfo/ cades.cpp(2732) : (res=1, GetLastError=0x800b010a
00000034 33.42063522 [1940] .\Externs.cpp(33) : /Init/
Уже не знаю, куда ещё копать. Windows 7 x64, у пользователей в основном тоже W7 разных разрядностей.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924  Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Здравствуйте!
Присутствуют ли в цепочке сертификата ключа подписи кросс-сертификаты?
Что вы понимаете под "усовершенствованной" подписью? Формат CAdES-X Long Type 1 или CAdES-BES?
Судя по логу, в плагине вы передаете при проверке параметр CAdES_BES.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2013(UTC) Сообщений: 5 Откуда: Нижний Новгород
|
Автор: Новожилова Елена  Здравствуйте!
Присутствуют ли в цепочке сертификата ключа подписи кросс-сертификаты? Нет. Там вообще короткая цепочка - УЦ → сертификат подписи. Всё. Цитата:Что вы понимаете под "усовершенствованной" подписью? Формат CAdES-X Long Type 1 или CAdES-BES? CAdES_BES.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177
Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
|
Автор: sbessonov Автор: Новожилова Елена Здравствуйте!
Присутствуют ли в цепочке сертификата ключа подписи кросс-сертификаты? Нет. Там вообще короткая цепочка - УЦ → сертификат подписи. Всё. Цитата:Что вы понимаете под "усовершенствованной" подписью? Формат CAdES-X Long Type 1 или CAdES-BES? CAdES_BES. Подпись никак не "усовершенствованная". По логам четко видно, что цепочка ваших сертификатов не проверяется. crl-ку уц посмотрите на доступность. Если не ошибаюсь, также необходимо удостовериться, что корневой был установлен только в одно хранилище.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2013(UTC) Сообщений: 5 Откуда: Нижний Новгород
|
CRL-ку перепоставили вручную — заработало до истечения времени действия CRL-ки. Новая CRL-ку ставили вручную, не вручную — не работает ни в какую. Корневой сертификат ставили, переустанавливали, в виртуалке заводил чистые машины, чтобы поставить всё с нуля по инструкции. Всё равно не работает.
Единственная мысль — УЦ выдаёт кривые CRL-ки. Как проверить?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
certutil что говорит о статусе сертификата?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2013(UTC) Сообщений: 5 Откуда: Нижний Новгород
|
Код:Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. 0x800b0109 (-2146762487)
------------------------------------
Проверка через НЕ ДОВЕРЕННЫЙ корень
Сертификат является сертификатом ЦС
Не удалось проверить состояние отзыва сертификата
CertUtil: -verify - команда успешно выполнена.
Уже интереснее, потому что корневой сертификат прямо указан как доверенный.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2013(UTC) Сообщений: 5 Откуда: Нижний Новгород
|
В общем, проблема рассосалась сама собой, думаю, что это УЦ всё-таки чудил с CRL-ами.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.06.2013(UTC)
Сообщений: 12
Откуда: Eburg
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Наткнулся на такую же ошибку. certutil /verify проверяет сертификат Цитата:Проверенные политики выдачи:
1.2.643.100.113.1 Класс средства ЭП КС1
Проверенные политики применения:
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.7.3.4 Защищенная электронная почта
1.2.643.2.2.34.6 Пользователь Центра Регистрации, HTTP, TLS клиент
1.2.643.3.7.8.1 Квалифицированный сертификат
1.2.643.3.7.3.23 АИС Росреестра
1.2.643.3.5.10.2.12 Участник, имеющий право на включение сведений в Единый
едеральный реестр сведений о фактах деятельности юридических лиц
1.2.643.5.1.24.2.1.3.1 Формирование кадастровым инженером документов для по
учения услуг со стороны заявителя
1.2.643.5.1.24.2.30 Формирование запроса о предоставлении сведений из Едино
о государственного реестра прав на недвижимое имущество и сделок с ним и о пред
ставлении сведений из государственного кадастра недвижимости
1.2.643.3.185.1 Сертификат Sertum.ru
1.2.643.3.7.0.1.12 Сертификат сроком на 12 месяцев
Проверка отзыва сертификата выполнена
CertUtil: -verify - команда успешно выполнена. В моем случае как раз таки есть кросс-сертификат. Тестировал на КриптоПро 3.5 и 4.0, поведение одинаковое - ошибка: certificate chain could not be build to a trusted root authority куда дальше копать пока не понятно ;( Пользователь klima прикрепил следующие файлы:  2014-09-20_4-24-07.jpg (59kb) загружен 43 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 10.12.2008(UTC) Сообщений: 924 Откуда: Крипто-Про Поблагодарили: 99 раз в 95 постах
|
Цитата:Тестировал на КриптоПро 3.5 и 4.0, поведение одинаковое - ошибка:
certificate chain could not be build to a trusted root authority А что делали-то?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
