Не получается построить цепочку сертификатов

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Не получается построить цепочку сертификатов - Ошибка 33

Опции

Предыдущая тема Следующая тема

IlyaS42		#1 Оставлено : 23 января 2021 г. 13:37:44(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 23.01.2021(UTC) Сообщений: 2 Сказал(а) «Спасибо»: 2 раз		Здравствуйте! Вот мой код: Цитата: keyStore = KeyStore.getInstance(JCSP.REG_STORE_NAME, JCSP.PROVIDER_NAME); keyStore.load(null, null); List<X509CertificateHolder> chain = new ArrayList<>(); List<Certificate> certs = Arrays.asList(keyStore.getCertificateChain(aliases.get(f))); certs.forEach(cert -> { try { chain.add(new X509CertificateHolder(cert.getEncoded())); } catch (Throwable e) { State.crit(this, ErrorType.TEST,"certificate","Error while building certificate chain",e); } }); PrivateKey privateKey = (PrivateKey) (keyStore.getKey(aliases.get(f),null)); ByteArrayOutputStream out = new ByteArrayOutputStream(); CAdESSignature signature = new CAdESSignature(detached); signature.setCertificateStore(new CollectionStore(chain)); final Hashtable table = new Hashtable(); Attribute attr = new Attribute(CMSAttributes.signingTime, new DERSet(new Time(new Date()))); // устанавливаем время подписи table.put(attr.getAttrType(), attr); AttributeTable attrTable = new AttributeTable(table); //Добавление подписанта. Алгоритмы могут отличаться в зависимости от требований signature.addSigner(JCP.PROVIDER_NAME, JCP.GOST_DIGEST_2012_256_OID,//GOST_DIGEST_OID, JCP.GOST_PARAMS_EXC_2012_256_KEY_OID, //JCP.GOST_EL_DH_OID, privateKey,certs, CAdESType.CAdES_BES, null,false,attrTable,null); // , privateKey, certs, CAdESType.CAdES_BES, // null, false, attrTable, null); signature.open(out); signature.update(data); signature.close(); byte[] signedCode = out.toByteArray(); return signedCode; Код практически полностью скопирован из примера от Честного Знака. Проблема в том, что при попытке подписать данные возникает такая ошибка: Цитата: Error building certification path for CN= (REDACTED) : ru.CryptoPro.reprov.certpath .JCPCertPathBuilderException: unable to find valid certification path to request ed target; error codes: [33] 'PKIX failure: invalid parameters of certificate', at ru.CryptoPro.CAdES.cl_1.addSigner(Unknown Source) at ru.CryptoPro.CAdES.cl_1.addSigner(Unknown Source) at ru.CryptoPro.CAdES.cl_1.addSigner(Unknown Source) at Server.QR.CryptoService.sign(CryptoService.java:225) at Server.QR.CryptoService.run(CryptoService.java:69) at java.lang.Thread.run(Unknown Source) Caused by: Error building certification path for CN= (REDACTED) : ru.CryptoPro.repr ov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target; error codes: [33] 'PKIX failure: invalid parameters of cer tificate', at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unkno wn Source) at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unkno wn Source) ... 6 more Теоретически, я включил Цитата: static { Security.addProvider(new JCSP()); System.setProperty("com.sun.security.enableCRLDP", "true"); // для проверки по CRL DP System.setProperty("com.ibm.security.enableCRLDP", "true"); // для проверки по CRL DP System.setProperty("com.sun.security.enableAIAcaIssuers", "true"); // для загрузки сертификатов по AIA из сети System.setProperty("ru.CryptoPro.reprov.enableAIAcaIssuers", "true"); // для загрузки сертификатов по AIA из сети } Получается, нельзя надеяться на подгрузку сертификатов из интернета? Я добавил и корневой, и промежуточный сертификат в cacerts и куда - то в jcsp.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Санчир Момолдаев		#2 Оставлено : 25 января 2021 г. 7:31:26(UTC)
Статус: Сотрудник Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,040 Сказал(а) «Спасибо»: 88 раз Поблагодарили: 226 раз в 213 постах		Добрый день! может быть много причин. создайте обращение на портале технической поддержки и приложите туда сертификат. дополнительно укажите ссылку на данную тему соберите дополнительно логи согласно статье уровень логгирования ALL
		Техническую поддержку оказываем тут Наша база знаний

1 пользователь поблагодарил Санчир Момолдаев за этот пост.		IlyaS42 оставлено 28.01.2021(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#3 Оставлено : 25 января 2021 г. 23:16:04(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 690 раз в 651 постах		Здравствуйте. Автор: IlyaS42 Теоретически, я включил Цитата: static { Security.addProvider(new JCSP()); System.setProperty("com.sun.security.enableCRLDP", "true"); // для проверки по CRL DP System.setProperty("com.ibm.security.enableCRLDP", "true"); // для проверки по CRL DP System.setProperty("com.sun.security.enableAIAcaIssuers", "true"); // для загрузки сертификатов по AIA из сети System.setProperty("ru.CryptoPro.reprov.enableAIAcaIssuers", "true"); // для загрузки сертификатов по AIA из сети } Получается, нельзя надеяться на подгрузку сертификатов из интернета? + к логам: причины ошибки при построении цепочки могут быть разные, логи и приложенная цепочка сертификатов могут помочь. В вашем списке провайдеров только один: Код: `Security.addProvider(new JCSP());` Еще нужен RevCheck + можно JCP: Код: `Security.addProvider(new JCSP()); // 1 Security.addProvider(new JCP()); // 2 Security.addProvider(new RevCheck()); // 3` Отредактировано пользователем 25 января 2021 г. 23:17:40(UTC) \| Причина: Не указана
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK

1 пользователь поблагодарил Евгений Афанасьев за этот пост.		IlyaS42 оставлено 28.01.2021(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

what_is_it@inbox.ru		#4 Оставлено : 5 июля 2021 г. 14:00:52(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 27.02.2013(UTC) Сообщений: 38 Откуда: Москва Сказал(а) «Спасибо»: 14 раз Поблагодарили: 11 раз в 9 постах		Добрый день! JCP 2.0.41473 Не удается проверить конкретные подписи: test EhP Imjatest20210701 CRYPTO-PRO Test Center.pdf.sig (35kb) загружен 3 раз(а). и test EhP Imjatest Testovyjj UC OOO.pdf.sig (36kb) загружен 3 раз(а). Сертификаты подписантов: cert Imjatest20210701 CRYPTO-PRO Test Center.p7b (1kb) загружен 3 раз(а). cert Imjatest Testovyjj UC OOO.p7b (2kb) загружен 3 раз(а). Полный лог: log.txt (60kb) загружен 2 раз(а). Корневые/промежуточные сертификаты, загруженные в cacerts: certs.zip (3kb) загружен 6 раз(а). Код: Security.addProvider(JCP()) Security.addProvider(RevCheck()) System.setProperty("com.sun.security.enableCRLDP", "true") System.setProperty("com.ibm.security.enableCRLDP", "true") System.setProperty("com.sun.security.enableAIAcaIssuers", "true") System.setProperty("ru.CryptoPro.reprov.enableAIAcaIssuers", "true") Files.newInputStream(signPath, StandardOpenOption.READ).use { sis -> val fileIs = if (signModel.detached == false) null else Files.newInputStream(filePath, StandardOpenOption.READ) val cAdESSignature = fileIs?.use { fis -> CAdESSignature( if (signModel.signEncoding == "DER") sis else Base64.getMimeDecoder().wrap(sis), fis, null) } ?: CAdESSignature( if (signModel.signEncoding == "DER") sis else Base64.getMimeDecoder().wrap(sis), null, null) val signers = cAdESSignature.cAdESSignerInfos.map { signer -> val subject = CAdESUtils.parseToSubject(signer) loadCertificatesToKeyStore(signer, subject, config.pathToKeyStore!!, config.keyStorePassword!!) SignerInfo(subject = subject, issuer = parseToIssuer(signer), signType = defineSignatureTypeByCode(signer.signatureType), validFrom = signer.signerCertificate.notBefore.toInstant().atZone(ZoneId.systemDefault()).toLocalDate(), validTo = signer.signerCertificate.notAfter.toInstant().atZone(ZoneId.systemDefault()).toLocalDate(), signingTime = getSigningTime(signer, subject), cAdESTTimestamps = getCAdESTTimestamps(signer)?.toList(), cAdESСTimestamps = getCAdESCTimestamps(signer)?.toList()) } try { cAdESSignature.verify(setOf<X509Certificate>(), setOf<X509Certificate>()) SignInfo(signers = signers, valid = true, error = null) } catch (e1: CAdESException) { ...получаем ошибку } } Получаем ошибку Цитата: ru.CryptoPro.CAdES.exception.CAdESException: Error building certification path for the target, sn: 7c00029c20c8edb9bbb7f6052f000100029c20, subject: O=Орг Тест для подписи, CN=Имятест, EMAILADDRESS=mr.antonivanov1989@mail.ru, issuer: CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120C303031323334353637383930, OID.1.2.643.100.1=#120D31323334353637383930313233 : ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target at ru.CryptoPro.CAdES.CAdESSignerPKCS7Impl.verify(Unknown Source) at ru.CryptoPro.CAdES.CAdESSignerBESImpl.verify(Unknown Source) at ru.CryptoPro.CAdES.cl_1.verify(Unknown Source) at ru.ursip.webservice.filestore.service.impl.SignServiceImpl$verifyCAdES$2.invokeSuspend(SignServiceImpl.kt:295) Своими силами разобраться не удалось. Подписи созданы с помощью CryptoPro Tools. Подскажите, пожалуйста, почему в JCP не проверяются эти подписи.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

IlyaS42		#5 Оставлено : 6 июля 2021 г. 4:58:56(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 23.01.2021(UTC) Сообщений: 2 Сказал(а) «Спасибо»: 2 раз		Автор: what_is_it@inbox.ru Добрый день! JCP 2.0.41473 Не удается проверить конкретные подписи: test EhP Imjatest20210701 CRYPTO-PRO Test Center.pdf.sig (35kb) загружен 3 раз(а). и test EhP Imjatest Testovyjj UC OOO.pdf.sig (36kb) загружен 3 раз(а). Сертификаты подписантов: cert Imjatest20210701 CRYPTO-PRO Test Center.p7b (1kb) загружен 3 раз(а). cert Imjatest Testovyjj UC OOO.p7b (2kb) загружен 3 раз(а). Полный лог: log.txt (60kb) загружен 2 раз(а). Корневые/промежуточные сертификаты, загруженные в cacerts: certs.zip (3kb) загружен 6 раз(а). Код: Security.addProvider(JCP()) Security.addProvider(RevCheck()) System.setProperty("com.sun.security.enableCRLDP", "true") System.setProperty("com.ibm.security.enableCRLDP", "true") System.setProperty("com.sun.security.enableAIAcaIssuers", "true") System.setProperty("ru.CryptoPro.reprov.enableAIAcaIssuers", "true") Files.newInputStream(signPath, StandardOpenOption.READ).use { sis -> val fileIs = if (signModel.detached == false) null else Files.newInputStream(filePath, StandardOpenOption.READ) val cAdESSignature = fileIs?.use { fis -> CAdESSignature( if (signModel.signEncoding == "DER") sis else Base64.getMimeDecoder().wrap(sis), fis, null) } ?: CAdESSignature( if (signModel.signEncoding == "DER") sis else Base64.getMimeDecoder().wrap(sis), null, null) val signers = cAdESSignature.cAdESSignerInfos.map { signer -> val subject = CAdESUtils.parseToSubject(signer) loadCertificatesToKeyStore(signer, subject, config.pathToKeyStore!!, config.keyStorePassword!!) SignerInfo(subject = subject, issuer = parseToIssuer(signer), signType = defineSignatureTypeByCode(signer.signatureType), validFrom = signer.signerCertificate.notBefore.toInstant().atZone(ZoneId.systemDefault()).toLocalDate(), validTo = signer.signerCertificate.notAfter.toInstant().atZone(ZoneId.systemDefault()).toLocalDate(), signingTime = getSigningTime(signer, subject), cAdESTTimestamps = getCAdESTTimestamps(signer)?.toList(), cAdESСTimestamps = getCAdESCTimestamps(signer)?.toList()) } try { cAdESSignature.verify(setOf<X509Certificate>(), setOf<X509Certificate>()) SignInfo(signers = signers, valid = true, error = null) } catch (e1: CAdESException) { ...получаем ошибку } } Получаем ошибку Цитата: ru.CryptoPro.CAdES.exception.CAdESException: Error building certification path for the target, sn: 7c00029c20c8edb9bbb7f6052f000100029c20, subject: O=Орг Тест для подписи, CN=Имятест, EMAILADDRESS=mr.antonivanov1989@mail.ru, issuer: CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120C303031323334353637383930, OID.1.2.643.100.1=#120D31323334353637383930313233 : ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target at ru.CryptoPro.CAdES.CAdESSignerPKCS7Impl.verify(Unknown Source) at ru.CryptoPro.CAdES.CAdESSignerBESImpl.verify(Unknown Source) at ru.CryptoPro.CAdES.cl_1.verify(Unknown Source) at ru.ursip.webservice.filestore.service.impl.SignServiceImpl$verifyCAdES$2.invokeSuspend(SignServiceImpl.kt:295) Своими силами разобраться не удалось. Подписи созданы с помощью CryptoPro Tools. Подскажите, пожалуйста, почему в JCP не проверяются эти подписи. Меня выручила консольная утилита. csptest, кажется? Если вам можно обойтись ей - попробуйте! Самый простой способ.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

what_is_it@inbox.ru		#6 Оставлено : 6 июля 2021 г. 9:27:02(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 27.02.2013(UTC) Сообщений: 38 Откуда: Москва Сказал(а) «Спасибо»: 14 раз Поблагодарили: 11 раз в 9 постах		Цитата: Меня выручила консольная утилита. csptest, кажется? Если вам можно обойтись ей - попробуйте! Самый простой способ. Проверка подписей другими средствами не решает проблему. Мы используем JCP и вопрос заключается в том, как при помощи JCP проверить данные подписи, почему они не проверяются


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#7 Оставлено : 6 июля 2021 г. 11:24:23(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 690 раз в 651 постах		Внимательно пока не вчитывался, но в ошибке написано: не построена цепочка для сертификата с issuer: CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120C303031323334353637383930, OID.1.2.643.100.1=#120D31323334353637383930313233. В файле certs.zip, сертификаты из которого, как сказано, установлены в cacerts, нет корневого CN="Тестовый УЦ ООО "КРИПТО-ПРО"". Надо поставить и учитывать, что таких корневых сертификатов вроде больше одного. Попробуйте. Если не поможет, будем уже детально смотреть. Отредактировано пользователем 6 июля 2021 г. 11:25:38(UTC) \| Причина: Не указана
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

miser		#8 Оставлено : 8 июля 2021 г. 15:25:32(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 14.03.2011(UTC) Сообщений: 152 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз Поблагодарили: 7 раз в 5 постах		Есть 3 полезных функции проверки корневого сертификата. 1) AdESUtility.isSelfSigned(certificate) 2) AdESUtility.isSelfSignedForCaCerts(certificate) 3) AdESUtility.isSelfSignedSignature(certificate) Первая, это выполнение второй и третей, объединенные союзом И. Сам столкнулся с подобной ошибкой тестового корневого сертификата другого УЦ. Сертификат отмечен как CA, но подписан не своим ключом. В результате, цепочку средствами КриптоПро JCP не построена. В частности, это не работает в Код: `List<X509Certificate> chain CAdESSignature cadesSignature = new CAdESSignature(detached); cadesSignature.addSigner(..., chain, ...);` Хотя, если самому строить цепочку, то можно указать, какие сертификаты я считаю корневыми (CA сертификатами).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close