Статус: Участник
Группы: Участники
Зарегистрирован: 20.07.2020(UTC) Сообщений: 19 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Добрый день, возможно вопрос нерешаемый, но у нас не так много опыта в данном вопросе, может кто-то подскажет возможно ли такое: 1. На клиентских машинах пользователи создают подписи CAdES-BES средствами КриптоПро плагина. Т.к. клиентские машины часто изолированы от интернета, поэтому у них может не быть доступа к серверу точного времени. Цепочку сертификатов при создании этой подписи мы вкладываем: Код:var oSigner = cadesplugin.CreateObject("CAdESCOM.CPSigner");
oSigner.Options=cadesplugin.CAPICOM_CERTIFICATE_INCLUDE_WHOLE_CHAIN;
2. Затем мы хотели уже на серверной стороне средствами КриптоПро JCP усовершенствовать подпись, выполнив следующий код: Код:CAdESSignature cadesSignature2 = new CAdESSignature(signature, null, null);
// Подписант с типом CadES-BES.
CAdESSigner signer = cadesSignature2.getCAdESSignerInfo(0);
// Усовершенствуем подпись данного подписанта до CAdES-X Long Type 1.
// Подписант нового класса будет возвращен функцией.
signer = signer.enhance(JCP.PROVIDER_NAME, JCP.GOST_DIGEST_OID, null,
"http://qs.cryptopro.ru/tsp/tsp.srf", CAdESType.CAdES_T);
При выполнении метода enhance происходит ошибка: Root certificate: sn <….> is untrusted; error codes: [32] 'Root certificate is in the certificate chain but not in cacerts', что, в принципе, логично, так как рутовый сертификат не внесен в доверенные центры сертификации в хранилище сертификатов java. Возможно ли как-то улучшать подпись без проверки валидности цепочки сертификатов или надо будет все доверенные сертификаты добавить в хранилище Джавы?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,910 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 685 раз в 646 постах
|
Здравствуйте. Без построения и проверки для xlt1 нельзя. Но корневых должно быть не так много, можно их все добавить в cacerts. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 20.07.2020(UTC) Сообщений: 19 Откуда: Москва Сказал(а) «Спасибо»: 4 раз
|
Автор: Евгений Афанасьев Здравствуйте. Без построения и проверки для xlt1 нельзя. Но корневых должно быть не так много, можно их все добавить в cacerts. Спасибо. Не очень мы хотели такое решение, т.к. синхронизироваться с корпоративными политиками при добавлении новых рутовых будет сложно, но если единственный вариант, то будем делать. Еще раз спасибо за консультацию!
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close