Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline ks123  
#1 Оставлено : 6 апреля 2020 г. 21:19:42(UTC)
ks123

Статус: Участник

Группы: Участники
Зарегистрирован: 06.04.2020(UTC)
Сообщений: 15
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Добрый день,

Установил jcp-2.0.40450-A согласно инструкциям на JDK 11. И пробую проверить отделенную подпись по гост2012, код идентичен тому что в примерах, с подключением автозагрузки сертификатов и отозванных:



Проверка (метод verify) падает с ошибкой Error building certification path for the target (sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path (33))

Я так понимаю, что я что-то упустил в процессе настройки/установки, но что?
Нужно ли импортировать сертификаты УЦ в доверенные? И если да, то как это можно сделать программно (так чтобы не добавлять по одному)?

лог: jcp.log (124kb) загружен 7 раз(а).

Отредактировано пользователем 6 апреля 2020 г. 21:21:47(UTC)  | Причина: Не указана

Offline ks123  
#2 Оставлено : 7 апреля 2020 г. 17:06:01(UTC)
ks123

Статус: Участник

Группы: Участники
Зарегистрирован: 06.04.2020(UTC)
Сообщений: 15
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
up?
Offline Санчир Момолдаев  
#3 Оставлено : 8 апреля 2020 г. 7:04:16(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Добрый день!
Автор: ks123 Перейти к цитате

Я так понимаю, что я что-то упустил в процессе настройки/установки, но что?
Нужно ли импортировать сертификаты УЦ в доверенные? И если да, то как это можно сделать программно (так чтобы не добавлять по одному)?

нужно импортировать корневые в доверенные.
Если вы работаете с квалифицированными сертификатами, то достаточно установить корневые Минкомсвязи. Но некоторые УЦ не указывают или указывают криво ссылки на свои сертификаты (AIA) в выданных пользователям сертификатах. их придется добавлять вручную.
вручную можно импортировать в cacerts через keytool.
программно как-то так:
Код:
String pathToKeyStore = System.getProperty("java.home") + File.separatorChar + "lib" + File.separatorChar + "security" + File.separatorChar + "cacerts";
char[] keyStorePassword = "changeit".toCharArray();
KeyStore keyStore = KeyStore.getInstance("JKS");
keyStore.load(new FileInputStream(pathToKeyStore), keyStorePassword);
keyStore.setCertificateEntry(alias,certificate);
Техническую поддержку оказываем тут
Наша база знаний
Offline Евгений Афанасьев  
#4 Оставлено : 8 апреля 2020 г. 10:19:25(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Добрый день.
Корневые сертификаты нужно добавить в cacerts, как описано выше, возможно, нужны промежуточные, их рекомендуется подавать в verify. Иногда цепочка сертификатов может быть в самой подписи. На enableAIAcaIssuers не следует сильно полагаться, т.к. это сработает, если в проверяемом сертификате есть ссылка (http) на сертификат издателя для скачивания, и бывает, что таких ссылок нет.
Offline ks123  
#5 Оставлено : 8 апреля 2020 г. 17:39:21(UTC)
ks123

Статус: Участник

Группы: Участники
Зарегистрирован: 06.04.2020(UTC)
Сообщений: 15
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Спасибо!

Но не помогло, возможно я не доимпортировал какие-то сертификаты. Я импортировал все указанные на странице https://e-trust.gosuslugi.ru/MainCA, если я правильно понимаю это и есть корневые Минкомсвязи?
Неквалицифрованные сертификаты/подписи (не УКЭП) заведомо считаются недействительными (нам такие не подходят), и если я вас правильно понял то в таком случае никаких промежуточных подгружать не нужно?

Так же может подскажете, пробовал найти ресурс аналогичный госуслугам с перечнем сертификатов CA и УЦ, но в машиночитаемом виде?
(кажется нашел http://e-trust.gosuslugi...nloadTSL?schemaVersion=0 но xml на русском d'oh! )

Подпись которую пытаюсь проверить в тестовых целях имет в себе ссылки:
http://reestr-pki.ru/cdp/guc_gost12.crl http://company.rt.ru/cdp/guc_gost12.crl http://rostelecom.ru/cdp/guc_gost12.crl http://reestr-pki.ru/cdp/guc_gost12.crt http://pki.sertum-pro.ru/ocsp2012/ocsp.srf http://ca.sertum-pro.ru/...es/sertum-pro-q-2018.crt http://ca.sertum.ru/cert...es/sertum-pro-q-2018.crt ://ca.sertum-pro.ru/cdp/sertum-pro-q-2018.crl http://ca.sertum.ru/cdp/sertum-pro-q-2018.crl

Отредактировано пользователем 8 апреля 2020 г. 23:13:34(UTC)  | Причина: Не указана

Offline ks123  
#6 Оставлено : 9 апреля 2020 г. 10:24:10(UTC)
ks123

Статус: Участник

Группы: Участники
Зарегистрирован: 06.04.2020(UTC)
Сообщений: 15
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Есть предположения чего ему может не хватать? Из лога не понятно пытается ли он вообще загрузить сертификаты из сети, куда копать тоже не понятно...
Offline Санчир Момолдаев  
#7 Оставлено : 9 апреля 2020 г. 10:29:47(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
направьте в лс или прикепите тут cacerts и сертификат подписанта.
Техническую поддержку оказываем тут
Наша база знаний
Offline ks123  
#8 Оставлено : 9 апреля 2020 г. 10:43:08(UTC)
ks123

Статус: Участник

Группы: Участники
Зарегистрирован: 06.04.2020(UTC)
Сообщений: 15
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Отправил в лс
Offline Санчир Момолдаев  
#9 Оставлено : 9 апреля 2020 г. 11:13:33(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
в cacerts нет сертификатов по гост.
поставьте хоты бы этот корневой по гост-2012 Минкомсвязи

подпись detached cades-bes
сертификат подписанта истек в феврале 2020. такую подпись уже не проверить.
если хотите проверять долгосрочные подписи, то необходимо обратить внимание на x long type 1

как вы устанавливали сертификаты? если программно использовали ли вы метод store()?
Техническую поддержку оказываем тут
Наша база знаний
Offline ks123  
#10 Оставлено : 9 апреля 2020 г. 11:27:08(UTC)
ks123

Статус: Участник

Группы: Участники
Зарегистрирован: 06.04.2020(UTC)
Сообщений: 15
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Сертификаты в хранилище добавляются при каждом запуске. На всякий случай сделал с сохранением: keyStore.store(new FileOutputStream(pathToKeyStore), keyStorePassword);
результат не изменился..

Цитата:
сертификат подписанта истек в феврале 2020. такую подпись уже не проверить.
если хотите проверять долгосрочные подписи, то необходимо обратить внимание на x long type 1


означает ли это что для сертификата с истекшим сроком и подписи без метки времени будет ошибка вида: "Error building certification path for the target" ?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.