Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline НаталияНаталия  
#1 Оставлено : 29 июля 2021 г. 18:24:15(UTC)
НаталияНаталия

Статус: Участник

Группы: Участники
Зарегистрирован: 20.07.2020(UTC)
Сообщений: 19
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Добрый день,

возможно вопрос нерешаемый, но у нас не так много опыта в данном вопросе, может кто-то подскажет возможно ли такое:
1. На клиентских машинах пользователи создают подписи CAdES-BES средствами КриптоПро плагина. Т.к. клиентские машины часто изолированы от интернета, поэтому у них может не быть доступа к серверу точного времени.
Цепочку сертификатов при создании этой подписи мы вкладываем:
Код:
var oSigner = cadesplugin.CreateObject("CAdESCOM.CPSigner");
oSigner.Options=cadesplugin.CAPICOM_CERTIFICATE_INCLUDE_WHOLE_CHAIN;


2. Затем мы хотели уже на серверной стороне средствами КриптоПро JCP усовершенствовать подпись, выполнив следующий код:
Код:
CAdESSignature cadesSignature2 = new CAdESSignature(signature, null, null);
		// Подписант с типом CadES-BES.
CAdESSigner signer = cadesSignature2.getCAdESSignerInfo(0);

		// Усовершенствуем подпись данного подписанта до CAdES-X Long Type 1.
		// Подписант нового класса будет возвращен функцией.
signer = signer.enhance(JCP.PROVIDER_NAME, JCP.GOST_DIGEST_OID, null,
				"http://qs.cryptopro.ru/tsp/tsp.srf", CAdESType.CAdES_T);


При выполнении метода enhance происходит ошибка:
Root certificate: sn <….> is untrusted; error codes: [32] 'Root certificate is in the certificate chain but not in cacerts',

что, в принципе, логично, так как рутовый сертификат не внесен в доверенные центры сертификации в хранилище сертификатов java.

Возможно ли как-то улучшать подпись без проверки валидности цепочки сертификатов или надо будет все доверенные сертификаты добавить в хранилище Джавы?
Offline Евгений Афанасьев  
#2 Оставлено : 29 июля 2021 г. 18:35:11(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте. Без построения и проверки для xlt1 нельзя. Но корневых должно быть не так много, можно их все добавить в cacerts.
Offline НаталияНаталия  
#3 Оставлено : 30 июля 2021 г. 13:22:03(UTC)
НаталияНаталия

Статус: Участник

Группы: Участники
Зарегистрирован: 20.07.2020(UTC)
Сообщений: 19
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Автор: Евгений Афанасьев Перейти к цитате
Здравствуйте. Без построения и проверки для xlt1 нельзя. Но корневых должно быть не так много, можно их все добавить в cacerts.


Спасибо.
Не очень мы хотели такое решение, т.к. синхронизироваться с корпоративными политиками при добавлении новых рутовых будет сложно, но если единственный вариант, то будем делать.
Еще раз спасибо за консультацию!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.