Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Mx00  
#1 Оставлено : 10 июня 2021 г. 19:14:46(UTC)
Mx00

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Первый вопрос: какая подпись формируется на демо страничке
https://www.cryptopro.ru...ge/cades_bes_sample.html
откреплённая или присоединенная?
почему возник вопрос: подписал текст файла xml TextForSigningTest.xml (2kb) загружен 1 раз(а).
получил подпись Podpis'DljaForuma.txt (12kb) загружен 1 раз(а).
если декодировать base64, то будет видно содержимое исходного файла xml

Теперь описание ситуации:
использую 1С 7.7
подписание делаю так
csptest.exe -sfsign -sign -detached -base64 -add -in "TextForSigning.txt" -out "SigningResult.txt" -my f81d2ad027877ec29318b6ace9280acdb917ce1a
что касается подписания документов, то всё работает
теперь появилось новое развлечение https://апи.национальный-каталог.рф
там тоже заявлено использование открепленной подписи, но не принимает то, что было настроено для честного знака
пишут стандартную отписку типа сгенерируйте подпись на https://www.cryptopro.ru...ge/cades_bes_sample.html и проверьте
соответственно подпись сгенерированная на https://www.cryptopro.ru...ge/cades_bes_sample.html принимается
начинаю сверять подписи сформированные csptest.exe и demopage/cades_bes_sample.html и вижу разницу в размере данных и то, что сгенерировано на demopage/cades_bes_sample.html содержит исходный текст xml
и вот теперь я гадаю какую подпись формирует demopage/cades_bes_sample.html

Второй вопрос: можно ли с помощью csptest.exe подписать xml файл в формате "XML Signature"?
в национальном каталоге предлагают ещё вариант подписания xml файла добавлением в сам файл параметра signature в котором содержится подпись в формате "Signature xmlns=\"http://www.w3.org/
2000/09/xmldsig#"
Offline Андрей *  
#2 Оставлено : 10 июня 2021 г. 20:47:42(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Здравствуйте.

1. Страница формирует присоединенную подпись. Вы это сами увидели, заметив исходный xml внутри структуры.
вызов csptest.exe с -detached - делает отсоединенную.
2. Нет, csptest не умеет делать XMLDSIG.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Mx00 оставлено 10.06.2021(UTC)
Offline Андрей *  
#3 Оставлено : 10 июня 2021 г. 20:53:00(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
По указанной ссылке - есть примеры, там используется XMLDSIG,

пример страницы: cades_xmldsig_sample


Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#4 Оставлено : 10 июня 2021 г. 20:56:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Вы пробовали Метод feed-product-sign-pkcs использовать?

Если корректно сформировать xml и подписать (открепленная, base64)... - какая ошибка?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#5 Оставлено : 10 июня 2021 г. 20:58:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Автор: Mx00 Перейти к цитате

пишут стандартную отписку типа сгенерируйте подпись на https://www.cryptopro.ru...ge/cades_bes_sample.html и проверьте
соответственно подпись сгенерированная на https://www.cryptopro.ru...ge/cades_bes_sample.html принимается


Это полностью противоречит описанию:
Цитата:
Метод feed-product-sign-pkcs
Метод предназначен для подписи карточки товара или (нескольких карточек) с помощью сертификата в формате PKCS#7. Отличается от метода feed-product-sign тем, что из содержимого карточки товара в формате XML исключается подпись, которая при использовании текущего метода передается отдельным параметром в запросе (подписание карточки производится с помощью открепленной подписи). Данные кодируются в base64.

Техническую поддержку оказываем тут
Наша база знаний
Offline Mx00  
#6 Оставлено : 10 июня 2021 г. 21:05:20(UTC)
Mx00

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Андрей * Перейти к цитате
Вы пробовали Метод feed-product-sign-pkcs использовать?

Если корректно сформировать xml и подписать (открепленная, base64)... - какая ошибка?


да, пытаюсь использовать feed-product-sign-pkcs и что-то не получается, техподдержка пока пишет стандартные отписки
сейчас пытаюсь угадать где проблема :-)
но то, что присоединенная подпись "сработала" меня вообще вводит в замешательство

"корректно сформировать xml" - вот в этом направлении сейчас тоже разбираюсь, преобразование из JSON делаю скриптом MSScriptControl.ScriptControl и видимо теряются переносы строк
в общем разбираюсь

пробелы все на месте :-(

Отредактировано пользователем 10 июня 2021 г. 21:10:40(UTC)  | Причина: Не указана

Offline Андрей *  
#7 Оставлено : 10 июня 2021 г. 21:13:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Автор: Mx00 Перейти к цитате
Автор: Андрей * Перейти к цитате
Вы пробовали Метод feed-product-sign-pkcs использовать?

Если корректно сформировать xml и подписать (открепленная, base64)... - какая ошибка?


да, пытаюсь использовать feed-product-sign-pkcs и что-то не получается, техподдержка пока пишет стандартные отписки
сейчас пытаюсь угадать где проблема :-)
но то, что присоединенная подпись "сработала" меня вообще вводит в замешательство

"корректно сформировать xml" - вот в этом направлении сейчас тоже разбираюсь, преобразование из JSON делаю скриптом MSScriptControl.ScriptControl и видимо теряются переносы строк
в общем разбираюсь

пробелы все на месте :-(


из примера "Метод feed-product-sign" - xml должен быть из 2х строк:
1) <?xml version=\"1.0\" encoding=\"UTF-8\"?>
2) <good>......</good>

Техническую поддержку оказываем тут
Наша база знаний
Offline Mx00  
#8 Оставлено : 10 июня 2021 г. 21:58:35(UTC)
Mx00

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Андрей * Перейти к цитате


из примера "Метод feed-product-sign" - xml должен быть из 2х строк:
1) <?xml version=\"1.0\" encoding=\"UTF-8\"?>
2) <good>......</good>



да, так и есть, вот мои данные
ответ feed-product-document TekstOtveta.txt (2kb) загружен 1 раз(а).
xml для подписи TextForSigning.txt (2kb) загружен 1 раз(а).
результат подписи SigningResult.txt (6kb) загружен 1 раз(а).
запрос в КМТ на адрес feed-product-sign-pkcs TeloSoobshchenijaPOST.txt (8kb) загружен 1 раз(а).

получаю ответ "errors":{"message":"Ваш сертификат не прошел проверку, попробуйте другой сертификат"}
Offline Андрей *  
#9 Оставлено : 10 июня 2021 г. 22:13:41(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
в xml - 3 строки получается, попробуйте удалить последний байт и повторить,
возможно из-за этого (маловероятно, но..)

Snimok ehkrana ot 2021-06-10 23-12-39.png (1kb) загружен 0 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#10 Оставлено : 10 июня 2021 г. 22:14:46(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Автор: Mx00 Перейти к цитате


получаю ответ "errors":{"message":"Ваш сертификат не прошел проверку, попробуйте другой сертификат"}


Может дело в сертификате, а не в формировании xml\json?
Сервис доверяет каким сертификатам? Только квалифицированным? Или может доверять от какого либо ещё и тестового УЦ?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#11 Оставлено : 10 июня 2021 г. 22:17:57(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
-- ошибся, не тот файл указал при проверке..

Отредактировано пользователем 10 июня 2021 г. 22:19:08(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Mx00  
#12 Оставлено : 10 июня 2021 г. 22:19:12(UTC)
Mx00

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Андрей * Перейти к цитате
в xml - 3 строки получается, попробуйте удалить последний байт и повторить,
возможно из-за этого (маловероятно, но..)

Snimok ehkrana ot 2021-06-10 23-12-39.png (1kb) загружен 0 раз(а).


я этот последний перенос сейчас специально добавил, но он ни на что не повлиял
в ответе feed-product-document последний блок "<\/good>\n"}]" где \n - это Симв(10)

до этого я и без него отправлял
Offline Mx00  
#13 Оставлено : 10 июня 2021 г. 22:23:11(UTC)
Mx00

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Андрей * Перейти к цитате

Может дело в сертификате, а не в формировании xml\json?
Сервис доверяет каким сертификатам? Только квалифицированным? Или может доверять от какого либо ещё и тестового УЦ?


Сертификат на компьютере один, если подписать на cades_bes_sample.html и отправить запросом feed-product-sign-pkcs, то карточка подписалась
т.е. xml нормально принялся - сейчас ещё раз проверю подписание прикрепленной подписью с cades_bes_sample.html
Offline Андрей *  
#14 Оставлено : 10 июня 2021 г. 22:33:37(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Автор: Mx00 Перейти к цитате
Автор: Андрей * Перейти к цитате
в xml - 3 строки получается, попробуйте удалить последний байт и повторить,
возможно из-за этого (маловероятно, но..)

Snimok ehkrana ot 2021-06-10 23-12-39.png (1kb) загружен 0 раз(а).


я этот последний перенос сейчас специально добавил, но он ни на что не повлиял
в ответе feed-product-document последний блок "<\/good>\n"}]" где \n - это Симв(10)

до этого я и без него отправлял


Вот в присланных файлах...
Если извлечь xml из TeloSoobshchenijaPOST - он не содержит его,
НО подпись (вложенная в signature) сделана именно для варианта с ним (хеш тот же).

Проверьте корректность формирования TeloSoobshchenijaPOST.

proverka.png (52kb) загружен 1 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#15 Оставлено : 10 июня 2021 г. 22:36:40(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Автор: Mx00 Перейти к цитате
Автор: Андрей * Перейти к цитате

Может дело в сертификате, а не в формировании xml\json?
Сервис доверяет каким сертификатам? Только квалифицированным? Или может доверять от какого либо ещё и тестового УЦ?


Сертификат на компьютере один, если подписать на cades_bes_sample.html и отправить запросом feed-product-sign-pkcs, то карточка подписалась
т.е. xml нормально принялся - сейчас ещё раз проверю подписание прикрепленной подписью с cades_bes_sample.html


если так, то:
1) API по документации - работает "неправильно", там должна быть отсоединенная, присоединенная подпись - такой вариант использования - должен возвращать ошибку.
2) сервис извлекает из присоединенной подписи xml и всё успешно проверяется, а исходный xml в base64 - вероятно игнорируется (хотя не исключаю.. что может быть ошибка в реализации: "успешно проверилась присоединенная, но в работу взяли xml из base64Xml" )
Техническую поддержку оказываем тут
Наша база знаний
Offline Mx00  
#16 Оставлено : 10 июня 2021 г. 22:51:18(UTC)
Mx00

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Андрей * Перейти к цитате

Проверьте корректность формирования TeloSoobshchenijaPOST.


вот сейчас проверил такой порядок действий
1. получил xml
2. подписал его на cades_bes_sample.html и получил прикрепленную подпись
3. вставил эту подпись в TeloSoobshchenijaPOST и сервер подписал карточку
вывод: xml формируется корректно, подпись валидная и сервер с ней готов работать

теперь прошу помочь со следующим
беру следующую карточку товара
формирую ПРИКРЕПЛЕННУЮ подпись с помощью csptest.exe SigningResult_csptest.txt (8kb) загружен 1 раз(а).
формирую ПРИКРЕПЛЕННУЮ подпись на cades_bes_sample.html SigningResult_sample.txt (12kb) загружен 1 раз(а).

подпись сформированная csptest.exe отвергается сайтом
а вот если я подставлю подпись cades_bes_sample.html, то карточка подпишется

Вопрос: чем отличаются эти подписи???????
Offline Андрей *  
#17 Оставлено : 10 июня 2021 г. 23:00:49(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Автор: Mx00 Перейти к цитате
Автор: Андрей * Перейти к цитате

Проверьте корректность формирования TeloSoobshchenijaPOST.


вот сейчас проверил такой порядок действий
1. получил xml
2. подписал его на cades_bes_sample.html и получил прикрепленную подпись
3. вставил эту подпись в TeloSoobshchenijaPOST и сервер подписал карточку
вывод: xml формируется корректно, подпись валидная и сервер с ней готов работать

теперь прошу помочь со следующим
беру следующую карточку товара
формирую ПРИКРЕПЛЕННУЮ подпись с помощью csptest.exe SigningResult_csptest.txt (8kb) загружен 1 раз(а).
формирую ПРИКРЕПЛЕННУЮ подпись на cades_bes_sample.html SigningResult_sample.txt (12kb) загружен 1 раз(а).

подпись сформированная csptest.exe отвергается сайтом
а вот если я подставлю подпись cades_bes_sample.html, то карточка подпишется

Вопрос: чем отличаются эти подписи???????


Подписан один и тот же файл.
Разница:
csptest - не добавляет цепочку сертификатов, только сертификат подписанта.
cades_bes_sample - через плагин - добавляет все сертификаты (подписант + АО "ПФ "СКБ КОНТУР" и Минкомсвязь России).


Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Mx00 оставлено 11.06.2021(UTC)
Offline Mx00  
#18 Оставлено : 10 июня 2021 г. 23:03:07(UTC)
Mx00

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Андрей * Перейти к цитате

Подписан один и тот же файл.
Разница:
csptest - не добавляет цепочку сертификатов, только сертификат подписанта.
cades_bes_sample - через плагин - добавляет все сертификаты (подписант + АО "ПФ "СКБ КОНТУР" и Минкомсвязь России).


"csptest - не добавляет цепочку сертификатов, только сертификат подписанта" - и никак не добавить цепочку?
Offline Андрей *  
#19 Оставлено : 10 июня 2021 г. 23:04:11(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,466
Мужчина
Российская Федерация

Сказал «Спасибо»: 385 раз
Поблагодарили: 1566 раз в 1205 постах
Вы можете (рекомендуется) вместо вызова утилиты csptest (она для тестирования) - использовать работу с криптографией через:

а) CAdESCOM - пример
б) менеджер криптографии 1с
Техническую поддержку оказываем тут
Наша база знаний
Offline Mx00  
#20 Оставлено : 10 июня 2021 г. 23:11:40(UTC)
Mx00

Статус: Участник

Группы: Участники
Зарегистрирован: 10.06.2021(UTC)
Сообщений: 11
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Андрей * Перейти к цитате
Вы можете (рекомендуется) вместо вызова утилиты csptest (она для тестирования) - использовать работу с криптографией через:

а) CAdESCOM - пример
б) менеджер криптографии 1с


менеджер криптографии 1с - у меня 1С 7.7 (о чём я написал в самом начале) и там нет "менеджера криптографии"
CAdESCOM - это совсем сложно на текущем этапе
во первых это полностью переписать модуль, а
во вторых у меня "условно куча пользователей", но сертификат у них не установлен, командный файл запускается от имени "специального" пользователя, происходит подписание и сохранение файла подписи, а 1С потом обрабатывает его уже под "простым" пользователем
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.