Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Проверка подписи в crypcp - Certificate chain is not checked for this certificate (error code 10000)
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline dmishin  
#1 Оставлено : 28 мая 2013 г. 11:50:24(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Добрый день.
Подскажите как можно выявить причину ошибки (Certificate chain is not checked for this certificate (error code 10000)) при попытке проверить подпись.

Проверку запускаю таким образом:
/opt/cprocsp/bin/amd64/cryptcp -verify -errchain signed_message -f cert.cer
Корневой сертификат в доверенные добавлен.

Если выполнить с ключом -nochain, то подпись валидацию проходит.
Валидацию на сервисе госуслуг проходит успешно.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Новожилова Елена  
#2 Оставлено : 28 мая 2013 г. 12:49:05(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Список отзыва сертификатов установлен? Он актуальный?
Вверх
Offline dmishin  
#3 Оставлено : 28 мая 2013 г. 13:18:57(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: Новожилова Елена Перейти к цитате
Список отзыва сертификатов установлен? Он актуальный?

По указанному адресу в сертификате список доступен: http://uc1.iitrust.ru/uc/CA-IIT-(K3)-2012.crl
Вверх
Offline dmishin  
#4 Оставлено : 29 мая 2013 г. 9:51:23(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Вопрос снимается так как ошибка не повторяется после установки новой версии криптопро CSP.
Вверх
Offline dmishin  
#5 Оставлено : 5 июля 2013 г. 13:54:02(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Получил новый репорт от пользователя с ошибкой при проверке подписи.

После разбора выяснилось, что проверка валится на проверке сертификата на отозванность.
По указанному адресу списка CRL в сертификате стоит 301-ый редирект.


Проверку на сайте госуслуг данная подпись проходит, cryptcp считает это недопустимым.
Вверх
Offline dmishin  
#6 Оставлено : 9 июля 2013 г. 6:25:17(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Получаем новые заявки по проблемам с сертификатами у которых по адресу с CRL идет редирект.

И новый кейс - если в сертификате несколько точек распространения отозванных сертификатов, то при недоступности первой из них проверка так же заканчивается с ошибкой "The certificate or certificate chain is based on an untrusted root."
Вверх
Offline Новожилова Елена  
#7 Оставлено : 9 июля 2013 г. 13:05:13(UTC)
Новожилова Елена

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 10.12.2008(UTC)
Сообщений: 924
Женщина
Откуда: Крипто-Про

Поблагодарили: 99 раз в 95 постах
Цитата:
И новый кейс - если в сертификате несколько точек распространения отозванных сертификатов, то при недоступности первой из них проверка так же заканчивается с ошибкой "The certificate or certificate chain is based on an untrusted root."


Судя по коду ошибки - первое, что стоит проверить - установлен ли корневой сертификат в хранилище как доверенный.

Если да, то не могли бы вы прислать следующую информацию для воспроизведения ошибки:
1. Используемая операционная система
2. Сертификат пользователя и корневой сертификат
3. Подписанный файл
4. Команда и вывод cryptcp

Отредактировано пользователем 9 июля 2013 г. 13:09:22(UTC)  | Причина: Не указана
Вверх
Offline dmishin  
#8 Оставлено : 10 июля 2013 г. 10:15:19(UTC)
dmishin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.08.2012(UTC)
Сообщений: 123

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 6 раз в 6 постах
Автор: Новожилова Елена Перейти к цитате
Цитата:
И новый кейс - если в сертификате несколько точек распространения отозванных сертификатов, то при недоступности первой из них проверка так же заканчивается с ошибкой "The certificate or certificate chain is based on an untrusted root."


Судя по коду ошибки - первое, что стоит проверить - установлен ли корневой сертификат в хранилище как доверенный.

Если да, то не могли бы вы прислать следующую информацию для воспроизведения ошибки:
1. Используемая операционная система
2. Сертификат пользователя и корневой сертификат
3. Подписанный файл
4. Команда и вывод cryptcp


Доверенные сертификаты присутствуют. Информацию отправил.
Вверх
Offline stufford  
#9 Оставлено : 20 июня 2019 г. 1:04:20(UTC)
stufford

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 30
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Подскажите, а решена ли эта проблема с 301 редиректом? Потому как сейчас наблюдаю аналогичную ситуацию.
Есть подписанный файл, в сертификате которого в CRL указан этот адрес: http://izhtender.ru/help...941e5bef05a6b061886a.crl

Там происходит 301 редирект, а проверка командой `cryptcp -verify -errchain` валится в ошибку "Один из сертификатов в цепочке возможно отозван."

При включенном дебаге наблюдается следующее:
Цитата:

Searching certificate in crl.
Found at attached list:
Subject:'E=ca@izhtender.ru, OGRN=1111840008411, INN=001840001668, C=ru, S=18 #4<C@BA:0O 5A?C1;8:0, L=3. 652A:, STREET=C;. 40 ;5B >154K 4. 122, OU=B45; ?> 70I8B5 8=D>@<0F88, O= �" �, CN= �" �'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 >A:20, L=3. >A:20, STREET="C;8F0 "25@A:0O, 4>< 7", O=8=:><A2O7L >AA88, OGRN=1047702026701, INN=007710474375, CN=8=:><A2O7L >AA88'

Found at store 0x1b1cf10:
Subject:'E=ca@izhtender.ru, OGRN=1111840008411, INN=001840001668, C=ru, S=18 #4<C@BA:0O 5A?C1;8:0, L=3. 652A:, STREET=C;. 40 ;5B >154K 4. 122, OU=B45; ?> 70I8B5 8=D>@<0F88, O= �" �, CN= �" �'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 >A:20, L=3. >A:20, STREET="C;8F0 "25@A:0O, 4>< 7", O=8=:><A2O7L >AA88, OGRN=1047702026701, INN=007710474375, CN=8=:><A2O7L >AA88'

Downloaded:
Subject:'E=ca@izhtender.ru, OGRN=1111840008411, INN=001840001668, C=ru, S=18 #4<C@BA:0O 5A?C1;8:0, L=3. 652A:, STREET=C;. 40 ;5B >154K 4. 122, OU=B45; ?> 70I8B5 8=D>@<0F88, O= �" �, CN= �" �'
Issuer:'E=dit@minsvyaz.ru, C=ru, S=77 >A:20, L=3. >A:20, STREET="C;8F0 "25@A:0O, 4>< 7", O=8=:><A2O7L >AA88, OGRN=1047702026701, INN=007710474375, CN=8=:><A2O7L >AA88'

(1). Verifing certificate in crl
(1). Crl is not time valid
(1). Crl is not time valid
Certificate crl status undetermined.
(1). Verifing certificate in crl
(1). Crl is not time valid
(1). Crl is not time valid
Certificate crl status undetermined.
Build chain is not valid.
There is no valid issuer.
There is no valid issuer.
----------- Error chain -----------
Chain status:REVOCATION_STATUS_UNKNOWN
Revocation reason:unspecified


если проверять с ключем -norev, то проверка успешно выполняется
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET