Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
В докере при проверке ошибка - The certificate or certificate chain is based on an untrusted root.
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Алексей Вдовин  
#1 Оставлено : 2 апреля 2026 г. 9:34:23(UTC)
Алексей Вдовин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 274
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 84 раз
Поблагодарили: 1 раз в 1 постах
собрал образ на дебиане с криптопро
локально создал отсоединённую подпись
в докере запускаюю проверку

/opt/cprocsp/bin/amd64/cryptcp -verify "/var/www/crypto/detached.txt" -f "/var/www/crypto/detached.txt.sig" -detach
получаю ошибку
The certificate or certificate chain is based on an untrusted root.

скачал корневые сертификаты с госуслуг, а так же посмотрел промежуточные в свойствах сертификата - тоже скачал, ещё какой то корневой rootca_gost2025.cer дипсик подсказал скачать

Цитата:

ls /opt/certs/
rootca_gost2025.cer

russian_trusted_root_ca_pem.crt
russian_trusted_sub_ca_gost_2025_pem.crt
russian_trusted_root_ca_gost_2025_pem.crt
russian_trusted_sub_ca_2024_pem.crt
russian_trusted_sub_ca_pem.crt

ca_fns_russia_2023_01.crt
ca_fns_russia_2024_01.crt


всё это дело устанавливаю
Цитата:

# Установка всех сертификатов с госуслуг
for cert in /opt/certs/*.crt; do
echo "Installing $cert"
echo "o" | /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -user -file "$cert"
done

# корневой от дипсика
/opt/cprocsp/bin/amd64/certmgr -inst -store "mRoot" -file /opt/certs/rootca_gost2025.cer
# промежуточные налоговая
/opt/cprocsp/bin/amd64/certmgr -inst -store "mCA" -file /opt/certs/ca_fns_russia_2023_01.crt
/opt/cprocsp/bin/amd64/certmgr -inst -store "mCA" -file /opt/certs/ca_fns_russia_2024_01.crt



проверяю - установились
/opt/cprocsp/bin/amd64/certmgr -list -store uroot -user

но проверка так и не работает :(
что не так делаю?
хелп ме плиз
Вверх
WWW
Offline Русев Андрей  
#2 Оставлено : 2 апреля 2026 г. 10:13:10(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,614

Сказал(а) «Спасибо»: 48 раз
Поблагодарили: 691 раз в 475 постах
Здравствуйте.
В вашем цикле установки сертификатов нет проверки на успех. Возможно, [ни] один из них не установился.
Для диагностики проблемы проще всего построить цепочку до сертификата в подписи (обычно он там есть) - тут вы увидите отпечаток и сроки действия нужного корневого (которого, видимо, не достаёт в хранилище root):
Код:
/opt/cprocsp/bin/amd64/certmgr -list -verbose -chain -file /var/www/crypto/detached.txt.sig

Certmgr Ver:5:0.13792 OS:Linux CPU:AMD64 (c) "КРИПТО-ПРО", 2007-2026.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель            : DC=ru, DC=cp, CN=test-ca
Субъект             : CN=mail512b, E=mail512b@cryptopro.ru
Серийный номер      : 0x27B64BA20000005F4AB2
SHA1 отпечаток      : 2e4fcf7c536fa2d7aeeb737ae74d2d5b8f4fad3e
Идентификатор ключа : 31cb413288f57500f85a94ed10022b17af84c74d
ID ключа УЦ         : 9e03f0b89cfc60dc8a181ee800dfa85b32cd7376
Алгоритм подписи    : ГОСТ Р 34.11/34.10-2001
Алгоритм откр. кл.  : ГОСТ Р 34.10-2012 256 бит (512 бит)
Открытый ключ       : 04 40 8a 3d 6b d5 81 3d 05 34 b1 6b 1a 75 15 04
                      9e 3c 70 81 e8 78 db 15 78 08 47 a5 5f 98 bb 5b
                      69 0b bd 47 c1 41 45 4c 2c 1a 3d 52 18 8b d8 8a
                      85 fa 47 50 fc d2 fb 65 db 0f 66 a2 d8 27 8f 6f
                      5d 49
FP открытого ключа  : 8a3d6bd5813d0534
Выдан               : 01/04/2026 23:58:46 UTC
Истекает            : 02/04/2036 06:38:46 UTC
Ссылка на ключ      : Нет
URL сертификата УЦ  : http://vm-test-ca.cp.ru/CertEnroll/vm-test-ca.cp.ru_test-ca.crt
URL сертификата УЦ  : file://\\vm-test-ca.cp.ru\CertEnroll\vm-test-ca.cp.ru_test-ca.crt
URL списка отзыва   : http://vm-test-ca.cp.ru/CertEnroll/test-ca.crl
Назначение ключа    : Цифровая подпись
                      Неотрекаемость
                      Шифрование ключей
                      Шифрование данных
Назначение/EKU      : 1.3.6.1.5.5.7.3.4 Защищенная электронная почта
Цепочка сертификатов: Успешно проверена.
#0:
  Издатель          : test-ca
  Субъект           : test-ca
  Выдан             : 19/05/2008 12:05:34 UTC
  Истекает          : 19/05/2038 12:14:58 UTC
  SHA1 отпечаток    : 442739e052630c0b423685b04b7e58ab3658f7b8
#1:
  Субъект           : mail512b
  Выдан             : 01/04/2026 23:58:46 UTC
  Истекает          : 02/04/2036 06:38:46 UTC
  SHA1 отпечаток    : 2e4fcf7c536fa2d7aeeb737ae74d2d5b8f4fad3e
=============================================================================

[ErrorCode: 0x00000000]
Официальная техподдержка. Официальная база знаний.
Вверх
thanks 2 пользователей поблагодарили Русев Андрей за этот пост.
nickm оставлено 02.04.2026(UTC), Алексей Вдовин оставлено 02.04.2026(UTC)
Offline Алексей Вдовин  
#3 Оставлено : 2 апреля 2026 г. 10:52:31(UTC)
Алексей Вдовин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 274
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 84 раз
Поблагодарили: 1 раз в 1 постах
Автор: Русев Андрей Перейти к цитате
тут вы увидите отпечаток и сроки действия нужного корневого


ca_fns_russia_2024_01.crt
этот скачал и поставил, толку нет :(

я так понимаю надо искать корневой с отпечатком 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a?

PS
вообще можно где нить скачать сразу максимальный набор корневых, чтобы вот так каждый не вычислять?


Результат
/opt/certs# /opt/cprocsp/bin/amd64/certmgr -list -verbose -chain -file /var/www/crypto/detached.txt.sig

Цитата:

Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : ИНН ЮЛ=7707329152, E=uc@tax.gov.ru, ОГРН=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=Федеральная налоговая служба
Subject : ОГРНИП=315547600110841, СНИЛС=06981374508, ИНН=540433185270, C=RU, CN=ВДОВИН АЛЕКСЕЙ АЛЕКСАНДРОВИЧ, G=АЛЕКСЕЙ АЛЕКСАНДРОВИЧ, SN=ВДОВИН
Serial : 0x022117440020B41E834D4FEB384706B69A
SHA1 Thumbprint : 7b2e0299208c9a7fdc574b385d0e6bf7dc8c8135
SubjectKeyID : 018d37457bbbdda59bb93d53113edf0579dbc6e3
AuthorityKeyID : 23f0da4a5de30c96e91f976a3e641689a1f8553c
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Public key : 04 40 c6 e7 eb 8a 3d 27 ce c9 89 20 af 4f cd c9
9c 19 db 0b cd 82 40 8d dd ed f3 33 b2 4d e9 82
b7 35 0e 6b 24 19 a5 33 89 fc 20 d4 5f 45 0e c5
bd b9 fa c4 9d 91 cd 2a a0 ec fa f6 0e 9f 8f 67
0e 67
Not valid before : 02/04/2026 03:57:55 UTC
Not valid after : 02/07/2027 04:07:55 UTC
Embedded License : CryptoPro CSP
PrivateKey Link : No
Key not valid before: 02/04/2026 03:57:54 UTC
Key not valid after : 02/07/2027 03:57:54 UTC
Identification Kind : Without personal presence by qualified signature
OCSP URL : http://pki.tax.gov.ru/ocsp02/ocsp.srf
CA cert URL : http://pki.tax.gov.ru/cr...a_fns_russia_2024_01.crt
CA cert URL : http://cdp.tax.gov.ru/cr...a_fns_russia_2024_01.crt
CA cert URL : http://c0000-app005/crt/ca_fns_russia_2024_01.crt
CDP : http://pki.tax.gov.ru/cd...976a3e641689a1f8553c.crl
CDP : http://c0000-app005/cdp/23f0da4a5de30c96e91f976a3e641689a1f8553c.crl
CDP : http://cdp.tax.gov.ru/cd...976a3e641689a1f8553c.crl
Key Usage : Digital Signature
Non-Repudiation
Key Encipherment
Data Encipherment
Key Agreement
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.7.3.4 Защищенная электронная почта
1.2.643.2.4.1.1.1.1.9.1.1
1.2.643.2.2.34.34.1.2.7777
Certificate chain : A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. (0x800b0109)
#0:
Issuer : Минцифры России
Subject : Минцифры России
Not valid before : 08/01/2022 13:32:39 UTC
Not valid after : 08/01/2040 13:32:39 UTC
SHA1 Thumbprint : 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a
Status : Error 0x00000020 = IS_UNTRUSTED_ROOT
#1:
Subject : Федеральная налоговая служба
Not valid before : 23/01/2024 08:16:21 UTC
Not valid after : 23/01/2039 08:16:21 UTC
SHA1 Thumbprint : c0dd0a27e6b15b2eca23b7d7ec7bc2860a3c97b0
Status : Success
#2:
Subject : ВДОВИН АЛЕКСЕЙ АЛЕКСАНДРОВИЧ
Not valid before : 02/04/2026 03:57:55 UTC
Not valid after : 02/07/2027 04:07:55 UTC
SHA1 Thumbprint : 7b2e0299208c9a7fdc574b385d0e6bf7dc8c8135
Status : Success
=============================================================================

[ErrorCode: 0x00000000]

Отредактировано пользователем 2 апреля 2026 г. 10:57:21(UTC)  | Причина: Не указана
Вверх
WWW
Offline nickm  
#4 Оставлено : 2 апреля 2026 г. 10:57:06(UTC)
nickm

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 3,160

Сказал(а) «Спасибо»: 707 раз
Поблагодарили: 569 раз в 538 постах
Автор: Алексей Вдовин Перейти к цитате
Код:
Certificate chain   : A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. (0x800b0109)
#0:
  Issuer            : Минцифры России
  Subject           : Минцифры России
  Not valid before  : 08/01/2022 13:32:39 UTC
  Not valid after   : 08/01/2040 13:32:39 UTC
  SHA1 Thumbprint   : 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a
  Status            : Error 0x00000020 = IS_UNTRUSTED_ROOT


http://reestr-pki.ru/cdp/guc2022.crt
Вверх
thanks 1 пользователь поблагодарил nickm за этот пост.
Алексей Вдовин оставлено 02.04.2026(UTC)
Offline Алексей Вдовин  
#5 Оставлено : 2 апреля 2026 г. 11:13:50(UTC)
Алексей Вдовин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 274
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 84 раз
Поблагодарили: 1 раз в 1 постах
Автор: nickm Перейти к цитате

http://reestr-pki.ru/cdp/guc2022.crt


Как Вы нашли? научите плиз

Отредактировано пользователем 2 апреля 2026 г. 11:34:49(UTC)  | Причина: Не указана
Вверх
WWW
Offline Русев Андрей  
#6 Оставлено : 2 апреля 2026 г. 11:19:43(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,614

Сказал(а) «Спасибо»: 48 раз
Поблагодарили: 691 раз в 475 постах
Автор: Алексей Вдовин Перейти к цитате
я так понимаю надо искать корневой с отпечатком 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a?
Верно.
Автор: Алексей Вдовин Перейти к цитате
вообще можно где нить скачать сразу максимальный набор корневых, чтобы вот так каждый не вычислять?
В состав дистрибутива входит пакет lsb-cprocsp-ca-certs, куда входят практически все нужные корневые, известные на момент выхода дистрибутива. Этот входил в установленный у вас КриптоПро CSP 5.0.13000, а пакет lsb-cprocsp-ca-certs ставится по умолчанию при использовании install.sh или install_gui.sh. Так что, вероятно, ваша ошибка в том, что вы устанавливали СКЗИ другим способом. Добавлю, что если вы ставите СКЗИ вместе с браузерным плагином, то есть оперативно обновляющаяся страница с корневыми, которые можно поставить с помощью нашего браузерного плагина.
Официальная техподдержка. Официальная база знаний.
Вверх
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
Алексей Вдовин оставлено 02.04.2026(UTC)
Offline Алексей Вдовин  
#7 Оставлено : 2 апреля 2026 г. 11:34:35(UTC)
Алексей Вдовин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 274
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 84 раз
Поблагодарили: 1 раз в 1 постах
И ещё вопрос - подскажите куда он ставит эти трустед сертификаты?
Т.е. хочу папку из докера в volume вытащить, чтобы не терялось при рестарте
Вверх
WWW
Offline Алексей Вдовин  
#8 Оставлено : 2 апреля 2026 г. 11:42:27(UTC)
Алексей Вдовин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2021(UTC)
Сообщений: 274
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 84 раз
Поблагодарили: 1 раз в 1 постах
Автор: Русев Андрей Перейти к цитате
В состав дистрибутива входит пакет lsb-cprocsp-ca-certs, куда входят практически все нужные корневые, известные на момент выхода дистрибутива.


Цитата:
apt-get install lsb-cprocsp-ca-certs
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
lsb-cprocsp-ca-certs is already the newest version (5.0.13000-7).
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded
Вверх
WWW
Offline Русев Андрей  
#9 Оставлено : 2 апреля 2026 г. 11:56:27(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,614

Сказал(а) «Спасибо»: 48 раз
Поблагодарили: 691 раз в 475 постах
Автор: Алексей Вдовин Перейти к цитате
подскажите куда он ставит эти трустед сертификаты?
/var/opt/cprocsp/users/stores/root.sto, но я настоятельно рекомендую без крайней необходимости не "лезть под капот СКЗИ". Например, доступ к внутренним объектам синхронизирован, а ваши действия в обход штатного API будут обходить и синхронизацию, что может приводить к ошибкам и/или опасным ситуациям.

То, что пакет lsb-cprocsp-ca-certs у вас установлен, а корневых нет, как бы говорит, что конфигурацию СКЗИ вы испортили. Есть очевидные последствия, которые вы наблюдаете. Можно предположить, что неочевидные тоже есть. Так что я бы скорее чинил источник проблемы, а не её последствия.

Официальная техподдержка. Официальная база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET