Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2009(UTC)
Сообщений: 8
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
|
Добрый день. Имеется задача по формированию долгосрочной (архивной) подписи документа типа CAdES-A. Порывшись в примерах в дистрибутиве КриптоПро JCP, нашел код, выполняющий эту задачу. Написал в соответствии с примером свой короткий код для улучшения ЭП до CAdES-A  CadesATest.java.txt (7kb) загружен 14 раз(а).. В результате улучшения получаю подпись. Прикладываю в архиве подписываемый файл, исходную ЭП типа CAdES-BES и сформированную ЭП типа CAdES-A sig.zip (15kb) загружен 4 раз(а).. Но при проверке на ресурсе https://dss.cryptopro.ru/verify выдается сообщение "В подписи есть признаки формата CAdES-A, но подпись не соответствует всем требованиям формата. Подпись была проверена без учёта формата CAdES-A." Как ни бился, никак не смог привести в соответствие сформированную подпись под требования формата. Snimok ehkrana ot 2024-12-13 16-11-38.png (250kb) загружен 16 раз(а).Прошу помочь разобраться с проблемой.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,987   Сказал «Спасибо»: 605 раз
Поблагодарили: 2350 раз в 1846 постах
|
Здравствуйте. А с реальным сертификатом (не тестовым) - есть возможность проверить? Для информации прикладываю, что вижу: Под Windows через CADESCOM и лог в DebugView:
00001410 4.97757196 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::GetEarliestStamp/ cades.cpp(3051) : hMsg=083FEE88, looking for an earliest valid timestamp
00001411 4.97768927 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::GetEarliestStamp/ cades.cpp(3068) : hMsg=083FEE88, 1.2.840.113549.1.9.16.2.25 attribute found
00001412 4.97775602 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::GetEarliestStamp/ cades.cpp(3073) : hMsg=083FEE88, timestamp attribute value #0:
00001413 4.97784519 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(82) : Importing time-stamp...
00001414 4.97794342 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(92) : Failed to decode as time-stamp response...
00001415 4.97803259 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(117) : Trying to decode as time-stamp token...
00001416 4.97831297 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(126) : Parsing and checking time-stamp token fields...
00001417 4.97877741 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(214) : Importing time-stamp... OK
00001418 4.97893906 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::GetEarliestStamp/ cades.cpp(3090) : Expression FAILED (not fatal): msgStamp.GetUnauthAttr(0, attrsFromStamp, pAttrsFromStamp) 0x8009100f
00001419 4.97903776 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::GetEarliestStamp/ cades.cpp(3093) : hMsg=083FEE88, timestamp is enhanced: 0
00001420 5.02071619 [4628] cadescom.dll: {1968:00190000} /CadesMsgGetCertificateValues/ cades.cpp(5403) : (hCryptMsg=083FEE88, dwSignatureIndex=0, ppCertificates=0018C8EC)
00001421 5.02188778 [4628] cadescom.dll: {1968:00190000} /CadesMsgGetCertificateValues/ cades.cpp(5435) : (hCryptMsg=083FEE88) res=1, GetLastError=0x00000000
00001422 5.02222300 [4628] cadescom.dll: {1968:00190000} /CadesFreeBlobArray/ cades.cpp(5943) : (pBlobArray=0CA4A760)
00001423 5.02231741 [4628] cadescom.dll: {1968:00190000} /CadesFreeBlobArray/ cades.cpp(5973) : (pBlobArray=0CA4A760) res=1, GetLastError=0x80092004
00001424 5.02287769 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::ValidateStamp/ cades.cpp(2643) : hMsg=083FEE88, stamp certificate found
00001425 5.07387781 [4628] cadescom.dll: {1968:00190000} /CChainStatus::chainContext/ ChainValidation.h(538) : Subject = \D4\CD\D1 \D0\EE\F1\F1\E8\E8
00001426 5.07397270 [4628] cadescom.dll: {1968:00190000} /CChainStatus::chainContext/ ChainValidation.h(548) : #failure# HRESULT: (0x800b010a)
00001427 5.07406616 [4628] cadescom.dll: {1968:00190000} /CChainStatus::chainContext/ ChainValidation.h(548) : Unacceptable dwErrorStatus
00001428 5.09271669 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::ValidateStamp/ cades.cpp(2683) : hMsg=083FEE88, stamp certificate chain has not been validated = 800b010al
00001429 5.09292078 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::GetEarliestStamp/ cades.cpp(3116) : hMsg=083FEE88, stamp's 1.2.840.113549.1.9.16.2.25 value #0 has not been verified, error 0x800b010a
00001430 5.09491587 [4628] cadescom.dll: {1968:00190000} /CadesMsgVerifySignatureImplNamespace::GetEarliestStamp/ cades.cpp(3128) : No valid time stamps found in signature for attribute
00001431 5.09733677 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(82) : Importing time-stamp...
00001432 5.09749079 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(92) : Failed to decode as time-stamp response...
00001433 5.09752464 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(117) : Trying to decode as time-stamp token...
00001434 5.09959555 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(126) : Parsing and checking time-stamp token fields...
00001435 5.10072994 [4628] cadescom.dll: {1968:00190000} /CryptoPro::PKI::TSP::Client::CStamp::Import/ TSPStamp.cpp(214) : Importing time-stamp... OK
Snimok ehkrana ot 2024-12-13 18-11-54.png (14kb) загружен 8 раз(а). DEV-fns.tsp.LOG (203kb) загружен 4 раз(а). Snimok ehkrana ot 2024-12-13 18-18-56.png (61kb) загружен 9 раз(а). Snimok ehkrana ot 2024-12-13 18-18-36.png (64kb) загружен 5 раз(а). Snimok ehkrana ot 2024-12-13 18-17-13.png (32kb) загружен 6 раз(а). Snimok ehkrana ot 2024-12-13 18-18-14.png (41kb) загружен 4 раз(а). Snimok ehkrana ot 2024-12-13 18-17-28.png (44kb) загружен 4 раз(а). Snimok ehkrana ot 2024-12-13 18-17-44.png (39kb) загружен 4 раз(а). Snimok ehkrana ot 2024-12-13 18-16-56.png (61kb) загружен 4 раз(а). Snimok ehkrana ot 2024-12-13 18-16-26.png (60kb) загружен 4 раз(а). |
|
 1 пользователь поблагодарил Андрей * за этот пост.
|
borz оставлено 13.12.2024(UTC)
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,987 Сказал «Спасибо»: 605 раз
Поблагодарили: 2350 раз в 1846 постах
|
Статус штампа времени
У сертификата подписи возникли проблемы с проверкой отзыва на момент создания штампа времени: 2024.12.13 15:34:18 (41DCBFF2AE102339BCEDD0D5100FFB8E6018353D) |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,987 Сказал «Спасибо»: 605 раз
Поблагодарили: 2350 раз в 1846 постах
|
заметил, что у ФНС ocsp 2-8с отвечает, на текущий момент не вижу проблемы с ocsp у тестового УЦ.. Snimok ehkrana ot 2024-12-13 19-35-14.png (57kb) загружен 12 раз(а). Snimok ehkrana ot 2024-12-13 19-32-54.png (59kb) загружен 9 раз(а). |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2009(UTC)
Сообщений: 8
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
|
Андрей, я первым делом попытался улучшить подпись с помощью нетестового сертификата.
Но, к сожалению, в организации все сертификаты выданы УЦ Федерального казначейства, в которых нет ссылки на OCSP и в самом УЦ нет службы OCSP.
Улучшение подписи с таким сертификатом закономерно привело к ошибке, потому пришлось выпустить сертификат на тестовом УЦ КриптоПро.
Вы считаете, что на сертификате, выданном аккредитованным УЦ, сформированная ЭЦП пройдет проверку?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 07.05.2019(UTC) Сообщений: 42 Поблагодарили: 7 раз в 6 постах
|
Добрый день,
у вас скорее всего подписант и ocsp выданы на разных УЦ (цепочки разные), так как это тестовые УЦ у них часто меняются ключи, как раз ocsp 4.12.2024 на новом корне от 4.12.2024
ocsp и подписант должны быть выданы на одном УЦ. |
|
1 пользователь поблагодарил Данзан Лиджиев за этот пост.
|
borz оставлено 16.12.2024(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 08.04.2009(UTC)
Сообщений: 8
Откуда: Москва
Сказал(а) «Спасибо»: 2 раз
|
Данзан, добрый день. Сгенерировал ЭП с новым сертификатом, выданном 12.12.2024: теперь цепочки подписанта и ocsp совпадают. Но картина прежняя: В подписи есть признаки формата CAdES-A, но подпись не соответствует всем требованиям формата. Подпись была проверена без учёта формата CAdES-A. sig.zip (14kb) загружен 6 раз(а).Видимо, как советовал ранее Андрей, нужно пробовать на сертификате, выданном доверенным УЦ, но, к сожалению, такой возможности нет.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 07.05.2019(UTC) Сообщений: 42 Поблагодарили: 7 раз в 6 постах
|
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
