Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.08.2008(UTC) Сообщений: 204   Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
|
Здравствуйте. При проверке подписи столкнулись со следующей проблемой: при проверке подписи скачивается CRL, который закодирован в base64. Далее в логах видим следующие ошибки: Код:
java.security.cert.CRLException: Empty input
at sun.security.provider.X509Factory.engineGenerateCRL(X509Factory.java:393)
at java.security.cert.CertificateFactory.generateCRL(CertificateFactory.java:497)
at ru.CryptoPro.reprov.certpath.n.engineGetCRLs(Unknown Source)
at java.security.cert.CertStore.getCRLs(CertStore.java:181)
далее идет ошибка: Код:
AM ru.CryptoPro.CAdES.e.a.b a
WARNING: ERROR
java.security.cert.CertPathValidatorException: Could not determine revocation status: unable to find valid certification path to requested target
at sun.security.provider.certpath.PKIXMasterCertPathValidator.validate(PKIXMasterCertPathValidator.java:159)
at sun.security.provider.certpath.PKIXCertPathValidator.doValidate(PKIXCertPathValidator.java:347)
at sun.security.provider.certpath.PKIXCertPathValidator.engineValidate(PKIXCertPathValidator.java:191)
Не может проверить статус отзыва. Каким образом возможно решить эту проблему? Писать в УЦ чтобы не кодировали CRL в base64?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,927 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
|
Здравствуйте. CRL в base64 декодируется java, если выглядит так (неполное тело): -----BEGIN X509 CRL----- MIIByDCCAXcCAQEwCAYGKoUDAgIDMH8xIzAhBgkqhkiG9w0BCQEWFHN1cHBvcnRAY3J5cHRvcHJv ... -----END X509 CRL----- Предположу, что в вашем CRL этих строк (begin, end) нет. Еще в RFC 5280 (4.2.1.13. CRL Distribution Points) написано: If the DistributionPointName contains a general name of type URI, the following semantics MUST be assumed: the URI is a pointer to the current CRL for the associated reasons and will be issued by the associated cRLIssuer. When the HTTP or FTP URI scheme is used, the URI MUST point to a single DER encoded CRL as specified in [RFC2585]. Отредактировано пользователем 27 июля 2016 г. 17:50:39(UTC)
| Причина: Не указана |
|
 2 пользователей поблагодарили Евгений Афанасьев за этот пост.
|
est412 оставлено 28.07.2016(UTC), codegen оставлено 28.07.2016(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.08.2008(UTC) Сообщений: 204 Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
|
Т.е. CRL от УЦ ООО РСЦ "Инфо-Бухгалтер" (входит в сеть аккредитованных УЦ) ibca-2012-2013.crlсодержит невалидную кодировку? В Windows такой файл открывается нормально.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,927 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
|
CRL, как я говорил, не содержит -----BEGIN X509 CRL----- и -----END X509 CRL-----. Вы можете проверит: попробуйте декодировать CRL с помощью CertificateFactory. Потом добавьте строки и попробуйте снова. В RFC, думаю, не строгое требование; скорее так: как поступать с такими CRL - остается на усмотрении ПО. X.509 Sun декодирует при наличии упомянутых строк. Windows, вероятно, еще более лояльный. Отредактировано пользователем 28 июля 2016 г. 12:15:27(UTC)
| Причина: Не указана |
|
1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
