Статус: Участник
Группы: Участники
Зарегистрирован: 03.08.2015(UTC)
Сообщений: 12
|
Добрый день.
Есть ли возможность при подписании Browser plug-in подписью CAdES-X Long Type 1 в подпись добавлять промежуточные сертификаты штампа времени?
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Есть. Оно только так и работает. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.08.2015(UTC)
Сообщений: 12
|
Автор: Смирнов  Есть. Оно только так и работает. На данный момент у нас работает так: В подписи приходит полная цепочка сертификатов подписанта и OCSP ответа. А для штампа времени только один сертификат, хотя цепочка имеет вид: Сертификат -> Промежуточный1 -> Промежуточный2 -> Корневой.
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Цепочка сертификатов штампа вкладывается в сам штамп. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.12.2014(UTC) Сообщений: 5 
|
Добрый день, добавлю информации по сообщению от Bekiz-a. На клиенте установлен КриптоПро ЭЦП Browser plug-in (версия 1.05.1685), OCSP и TSP клиенты с лицензиями. Формируем подпись CADES_X_LONG_TYPE_1. В подписи получили OCSP ответ с цепочкой, сертификат подписи с цепочкой, сертификат сервиса штампов времени без полной цепочки. КриптоАРМ говорит, что подпись валидная, но на вкладке Штамп времени пишет ошибку. Если установить промежуточные сертификаты, то проверку проходит полностью. КриптоПро JCP падает с ошибкой, если в цепочку включить промежуточные сертификаты при проверке - тогда все ок. Можем приложить пример полученной электронной подписи. Нужен комментарий - это ошибочная ситуация или необходима донастройка клиента? Тестировали изначально на криптопрошном тестовом сервисе, все было хорошо, т.к. цепочка "короткая" и сразу упиралась в корневой сертификат. На "боевом" сервисе с длинной цепочкой указанная ошибка. Отредактировано пользователем 4 августа 2015 г. 12:27:50(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Дайте пример подписи, посмотрим. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.08.2015(UTC)
Сообщений: 12
|
 Signature.rar (17kb) загружен 9 раз(а).
|
|
|
|
|
|
Статус: Вам и не снилось
Группы: Администраторы
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах
|
Автор: kuz30 КриптоАРМ говорит, что подпись валидная Т.е. нужные сертификаты для проверки цепочки штампа времени находятся. Скорее всего, именно из подписи. Автор: kuz30 но на вкладке Штамп времени пишет ошибку. Если установить промежуточные сертификаты, то проверку проходит полностью. Полагаю, беда в КриптоАРМ. Надо их разработчиков попинать. Автор: kuz30 КриптоПро JCP падает с ошибкой, если в цепочку включить промежуточные сертификаты при проверке - тогда все ок. КриптоПро JCP не ищет цепочку штампа там, где ищет cades.dll. Поправим в будущих версиях. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 29.12.2014(UTC) Сообщений: 5
|
Т.е. для реализации проверки усиленной квалифицированной подписи при использовании: - КриптоПро Браузер Плагин 1.* на клиенте для формирования;
- КриптоПро JCP 2.* + CAdES.jar на сервере для проверки;
необходимо на сервере отдельно вести: - список корневых доверенных сертификатов для ЭП, OCSP, TSP (например, в cacerts);
- список промежуточных сертификатов для TSP (в отдельном KeyStore), которые в коде включать в проверку.
Все верно?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
Цитата:необходимо на сервере отдельно вести:
список корневых доверенных сертификатов для ЭП, OCSP, TSP (например, в cacerts);
список промежуточных сертификатов для TSP (в отдельном KeyStore), которые в коде включать в проверку. Ответ на первый пункт да. cacerts это хранилище доверенных корневых по сути. Второй пункт в следующем релизе JCP будет исправлен и если в подписи во внутреннем штампе будут необходимые сертификаты то цепочка будет строится. Релиз планируется на конец августа. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
