Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Александр Смолин  
#1 Оставлено : 12 августа 2019 г. 18:10:49(UTC)
Александр Смолин

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.08.2019(UTC)
Сообщений: 1
Российская Федерация
Откуда: Москва

Добрый день!

Разрабатываем функционал подтверждения наличия у пользователя действующего сертификата с закрытым ключом. Для этого предлагаем пользователю подписать документ.

Алгоритм следующий:
1. Подписываем документ на стороне пользователя.
2. Сформированную подпись отправляем на бэк и с помощью phpcades верифицировать ее.

Первая часть проходит корректно. Но проверка на сервере не работает вообще.

Код PHP следующий:
Код:

$signature = "MIIIjwYJKoZIhvcNAQcCoIIIgDCCCHwCAQExDDAKBgYqhQMCAgkFADAgBgkqhkiG9w0BBwGgEwQR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";

try {
	$SignedData = new CPSignedData();
	$check = $SignedData->VerifyCades($signature, 0x01, 0);
	printf("%d",$check);
	printf("%s",base64_decode($SignedData->get_Content));
} catch (Exception $e) {
    printf($e->getMessage());
} 


При выполнении кода на методе VerifyCades возникает ошибка "Internal error. (0x800B010A)". Насколько ознакомился с документацей, данная ошибка связана с отсутствие сертификата УЦ (невозможностью построить цепочку), но сертификат установлен на машину.

При этом сертификат установлен. Команда - /opt/cprocsp/bin/amd64/certmgr -list -store mca показывает, что в авторизованных сертификата (в корневых в том числе) стоят следующие сертификаты (часть информации скрыта для безопасности):
Цитата:
Certmgr 1.1 © "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : C=RU, L=Москва, O=***************, OU=УЦ СИБ, CN=***************
Subject : C=RU, L=Москва, O=***************, OU=УЦ СИБ, CN=***************
Serial : 0x4CC5DE5AAB07F*******************
SHA1 Hash : 6c09141a34710eac14*******************
SubjKeyID : e821b2c6d0d49fe381f*******************
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 04/03/2015 08:10:23 UTC
Not valid after : 04/03/2022 08:10:23 UTC
PrivateKey Link : No
2-------
Issuer : SNILS=11111111111, OGRN=1111111111111, INN=111111111111, C=RU, S=77 г. Москва, L=Москва, STREET=***************, OU=СИБ, O=****************, CN=Test_GOST2012
Subject : SNILS=11111111111, OGRN=1111111111111, INN=111111111111, C=RU, S=77 г. Москва, L=Москва, STREET=***************, OU=СИБ, O=****************, CN=Test_GOST2012
Serial : 0x00D75D92565000E*******************
SHA1 Hash : 17361528f61541402dc*******************
SubjKeyID : fe435d7375a975e7100*******************
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 30/07/2018 13:21:22 UTC
Not valid after : 30/07/2028 13:21:22 UTC
PrivateKey Link : No
3-------
Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Subject : OGRN=1047707030513, INN=007707329152, STREET=ул. Неглинная д. 23, S=г. Москва, E=mns12705@nalog.ru, C=RU, L=Moscow, O=Federal Tax Service, CN=FNS Russia
Serial : 0x292B3E0D00020000062B
SHA1 Hash : f94ca87fc187732aeec75c57a825444764189f44
SubjKeyID : 0da4be6542fec3fa3988caabbab7b38ce19cf0b0
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 05/10/2015 09:02:00 UTC
Not valid after : 21/04/2019 11:15:00 UTC
PrivateKey Link : No
CA cert URL : http://rostelecom.ru/cdp/vguc1_3.crt
CA cert URL : http://reestr-pki.ru/cdp/vguc1_3.crt
CDP : http://rostelecom.ru/cdp/vguc1_3.crl
CDP : http://reestr-pki.ru/cdp/vguc1_3.crl
4-------
Issuer : OGRN=1037700085444, INN=007717107991, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro GOST Root CA
Subject : OGRN=1037700085444, INN=007717107991, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro TLS CA
Serial : 0x3F6DB3009AA968954BF35DD4D287897B
SHA1 Hash : f6b88598ff04d18c8132cfb074d9fb051cec8a82
SubjKeyID : 5ed7a78b451f46fae96b8959023f640f146ef1d7
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 16/11/2018 10:43:17 UTC
Not valid after : 16/11/2028 10:43:17 UTC
PrivateKey Link : No
CA cert URL : http://cdp.cryptopro.ru/ra/aia/roottlsca.p7b
CDP : http://cdp.cryptopro.ru/...305b67579b2ac9439cd5.crl
CDP : http://tlsca.cryptopro.r...305b67579b2ac9439cd5.crl
Extended Key Usage : 1.3.6.1.5.5.8.2.2
1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.1
5-------
Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Subject : OGRN=1037700085444, INN=007717107991, STREET=ул. Сущёвский вал д. 18, E=qca@cryptopro.ru, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="ООО ""КРИПТО-ПРО"""
Serial : 0x65B328B5000300000707
SHA1 Hash : d24b37fcfbb979d2d4a5d1549ec4e2029d15d8a2
SubjKeyID : 80b0a3c6e6bfbdb436475c37d62de7d26ddd921a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 10/05/2016 12:56:00 UTC
Not valid after : 10/05/2026 13:06:00 UTC
PrivateKey Link : No
CA cert URL : http://rostelecom.ru/cdp/vguc1_4.crt
CA cert URL : http://reestr-pki.ru/cdp/vguc1_4.crt
CDP : http://rostelecom.ru/cdp/vguc1_4.crl
CDP : http://reestr-pki.ru/cdp/vguc1_4.crl
6-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г.Москва, C=RU, CN=УЦ 2 ИС ГУЦ
Serial : 0x4589B63A000000000035
SHA1 Hash : b11108ffdcad99d7a845023ab552cb1abe845a1b
SubjKeyID : 0d09fa468ecf0bc95f924ea845ca990b59ade753
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 19/12/2014 00:07:45 UTC
Not valid after : 18/12/2018 00:07:45 UTC
PrivateKey Link : No
CDP : http://rostelecom.ru/cdp/guc.crl
CDP : http://reestr-pki.ru/cdp/guc.crl
7-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Serial : 0x00D5C9E8E300000000000C
SHA1 Hash : 9e78a331020e528c046ffd57704a21b7d2241cb3
SubjKeyID : f4662f3c5dd85c645d2b2ddea31e91fd8818fe3a
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 20/07/2012 13:25:06 UTC
Not valid after : 17/07/2027 13:25:06 UTC
PrivateKey Link : No
CDP : http://rostelecom.ru/cdp/guc.crl
CDP : http://reestr-pki.ru/cdp/guc.crl
8-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Serial : 0x1C18CEC800000000003D
SHA1 Hash : 9d05a704c8c1e565acde5878fe0bb96ec53c2a40
SubjKeyID : cc8258239db5ccee6959a80776f012da0c49431f
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 22/04/2015 11:15:40 UTC
Not valid after : 21/04/2019 11:15:40 UTC
PrivateKey Link : No
CDP : http://rostelecom.ru/cdp/guc.crl
CDP : http://reestr-pki.ru/cdp/guc.crl
9-------
Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Subject : OGRN=1037700085444, INN=007717107991, STREET=ул. Сущёвский вал д. 18, E=qca@cryptopro.ru, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="ООО ""КРИПТО-ПРО"""
Serial : 0x1932DE320003000007D0
SHA1 Hash : 1b4158b9a7399fd8b90ae8a06fc676fb0624f97e
SubjKeyID : 2921f219d74584c6a974e64ec5145890683108ca
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 24/10/2016 12:36:00 UTC
Not valid after : 24/10/2026 12:46:00 UTC
PrivateKey Link : No
CA cert URL : http://rostelecom.ru/cdp/vguc1_4.crt
CA cert URL : http://reestr-pki.ru/cdp/vguc1_4.crt
CDP : http://rostelecom.ru/cdp/vguc1_4.crl
CDP : http://reestr-pki.ru/cdp/vguc1_4.crl
10-------
Issuer : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Subject : E=mns10625@nalog.ru, OGRN=1047707030513, INN=007707329152, C=RU, S=г. Москва, L=Москва, STREET="ул. Неглинная, д. 23", O=Федеральная налоговая служба, CN=ФНС России
Serial : 0x04A81E4005A9185C82E611C7ED4D236531
SHA1 Hash : 13877a8bd34589567f9b9aff6498026c0c29c617
SubjKeyID : 163d4290bf0a9c881766b9264f928470a3d705db
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 08/02/2017 06:14:08 UTC
Not valid after : 07/12/2026 10:51:11 UTC
PrivateKey Link : No
CA cert URL : http://rostelecom.ru/cdp/vguc1_5.crt
CA cert URL : http://reestr-pki.ru/cdp/vguc1_5.crt
CDP : http://rostelecom.ru/cdp/vguc1_5.crl
CDP : http://reestr-pki.ru/cdp/vguc1_5.crl
11-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Serial : 0x00CCE04564000000000092
SHA1 Hash : 0932e483c4420e668f64d360006d0beb0bfacca7
SubjKeyID : 9fc27358a874816a606d33f447a468a67639679b
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 07/12/2016 10:51:11 UTC
Not valid after : 07/12/2026 10:51:11 UTC
PrivateKey Link : No
CDP : http://rostelecom.ru/cdp/guc.crl
CDP : http://reestr-pki.ru/cdp/guc.crl
12-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject : INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
Serial : 0x00EBC10554000000000059
SHA1 Hash : 0408435eb90e5c8796a160e69e4bfac453435d1d
SubjKeyID : 1188695eefc8e973db7a5735bcd201f305fea7d1
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 16/03/2016 12:02:51 UTC
Not valid after : 12/07/2027 12:02:51 UTC
PrivateKey Link : No
CDP : http://rostelecom.ru/cdp/guc.crl
CDP : http://reestr-pki.ru/cdp/guc.crl
=============================================================================


Прошу вас подсказать, какое решение может быть у данной проблемы. Уже не знаем, в каком направлении смотреть.

Основу для решения смотрели в данном топике - https://www.cryptopro.ru...aspx?g=posts&t=12002
Offline Санчир Момолдаев  
#2 Оставлено : 20 августа 2019 г. 22:14:37(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Добрый день!
Хранилище CA предназначено для промежуточных сертификатов.
Сертификаты минкомсвязи установите в хранилище root
И лучше устанавливать в хранилища пользователя под которым идет вызов php: uca и uroot
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.