Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Ошибка, которая наблюдается только в CryptoPro (PKIX failure: invalid parameters of certificate)
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Артём С  
#1 Оставлено : 12 декабря 2019 г. 18:20:38(UTC)
Артём С

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.02.2019(UTC)
Сообщений: 8

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Добрый день.

Есть открепленная подпись которая не проверяется с помощью jcp 2.0.39852 (java_8_144).
Вылетает ошибка в коде приложения:

Error building certification path for CN=Росреестр, O=Росреестр, EMAILADDRESS=00_OZIL1@rosreestr.ru, C=RU, ST=77 Москва, L=Москва, STREET="ул. Воронцово Поле, д. 4А", OID.1.2.643.3.131.1.1=#120C303037373036353630353336, OID.1.2.643.100.1=#120D31303437373936393430343635: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target; error codes: [33] 'PKIX failure: invalid parameters of certificate',
...
Caused by: ru.CryptoPro.AdES.exception.AdESException: Error building certification path for CN=Росреестр, O=Росреестр, EMAILADDRESS=00_OZIL1@rosreestr.ru, C=RU, ST=77 Москва, L=Москва, STREET="ул. Воронцово Поле, д. 4А", OID.1.2.643.3.131.1.1=#120C303037373036353630353336, OID.1.2.643.100.1=#120D31303437373936393430343635: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested targe

Также она не проверяется на сайте криптопро - https://www.justsign.me/verifyqca/Verify/ (см. криншот).

При этом успешно проверяется на других сервисах - контур (https://crypto.kontur.ru/verify) и госуслуги (https://www.gosuslugi.ru/pgu/eds/).

Вопрос что не так при проверке именно с помощью ПО КриптоПро.

Прикладываю документ, подпись, логи и скриншоты проверок.
Лог приложения app_exception.log (10kb) загружен 5 раз(а).
Скриншоты проверок на сторонних сервисах (в т.ч. неуспешная на КриптоПро) Snimok ehkrana ot 2019-12-12 20-19-19.png (64kb) загружен 19 раз(а). Snimok ehkrana ot 2019-12-12 20-19-14.png (83kb) загружен 16 раз(а). Snimok ehkrana ot 2019-12-12 19-39-24.png (99kb) загружен 23 раз(а).

Лог jvm в который залогированы трейсинг логи JCP problem_ggesup-252.log (1,629kb) загружен 6 раз(а).

Документ и подпись - document-and-signature.zip (1,144kb) загружен 6 раз(а).

Отредактировано пользователем 12 декабря 2019 г. 18:24:16(UTC)  | Причина: Не указана
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline two_oceans  
#2 Оставлено : 13 декабря 2019 г. 10:03:04(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
Добрый день.
Если что я не сотрудник. Похоже там где проверяете отсутствует промежуточный сертификат УЦ. В обычных условиях он скачивается автоматически с сайта УЦ. Однако в данном случае в сертификате указан адрес https и когда я его попробовал открыть браузером мне выдало ошибку установления соединения по https.
Цитата:
uc.kadastr.ru использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен. Сервер мог не отправить соответствующие промежуточные сертификаты. Может понадобиться импортировать дополнительный корневой сертификат.
То есть похоже у сайта УЦ аналогичная проблема с отсутствием промежуточного сертификата (но уже с зарубежными алгоритмами). Поэтому нужно вручную скачать промежуточный сертификат УЦ с сайта Минкомсвязи http://e-trust.gosuslugi.../View?ogrn=1027700485757 там вам нужен сертификат с Идентификатор ключа: C0F66DD32716AEB197DEB2B4D35A94E338B67E11. Установить сертификат в хранилище промежуточных центров сертификации. У меня после этого проверка в КриптоАрм прошла успешно.

Для проверки в Джава придется передать промежуточный сертификат на проверку.

С сервисом все сложнее - там похоже промежуточный сертификат только скачивается автоматически по адресу в конечном сертификате и при невозможности скачать идет ошибка. Пока росреестр не исправит сайт УЦ (отправкой промежуточного сертификата из цепочки для сайта) проблема будет повторяться.

С госуслугами отдельная история - ЕСИА скачивают весь список аккредитованных УЦ с сайта Минкомсвязи и к сайту УЦ обращаются только за списками отзыва. Подпись была сделана летом, вероятно списки отзыва новее даты подписи еще есть в наличии, даже если свежие нельзя скачать. Для свежих подписей скорее всего это уже не сработает. У контура видимо похожая схема.

Отредактировано пользователем 13 декабря 2019 г. 10:23:25(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET