logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline vnsuzdalev  
#1 Оставлено : 20 июля 2009 г. 16:19:53(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Не знаю точно в какую ветку форума задать вопрос.
Сталкнулся с проблемой подписания xml в InfoPath Form Server. В поиске нашел тему годовой давности без ответа ( http://www.cryptopro.ru/cryptopro/forum2/default.aspx?g=posts&t=235 )

Проблема выглядит так. В InfoPath Form Server есть встроенный механизм подписи части xml-документа с использованием сертификата. Как я понимаю такой мех-м не должен зависеть от CSP (если он реализован по стандарту) Подписать часть документа удается, но проверка подписи самим infopath form server выдает ошибку. Якобы документ изменен. (Елемент, хранящий подпись не в ходит в подписываемую ветку)
Если использовать стандартный провайдер от Microsoft, то все хорошо.

Не пойму в чем может быть проблема!
Не могли бы Вы прояснить ситуацию?
Offline Максим Коллегин  
#2 Оставлено : 20 июля 2009 г. 16:29:48(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,581
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 536 раз в 486 постах
Пока не поддерживаем. Алгоритмы жестко зашиты в ActiveX.
Знания в базе знаний, поддержка в техподдержке
Offline vnsuzdalev  
#3 Оставлено : 20 июля 2009 г. 16:37:33(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Жаль! И я так понимаю, что лишь в отдаленной перспективе это окажется возможным. Т.е. ждать не стоит?
Есть ли альтернативные пути решения проблемы подписи в нашем случае. Что Вы посоветуете?
Offline Максим Коллегин  
#4 Оставлено : 20 июля 2009 г. 16:42:55(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,581
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 536 раз в 486 постах
В ближайшее время оценим сложность реализации.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#5 Оставлено : 30 июля 2009 г. 21:08:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,581
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 536 раз в 486 постах
Скоро ожидается релиз Sharpei для тестирования c Forms Server.
Знания в базе знаний, поддержка в техподдержке
Offline Челпанов А.  
#6 Оставлено : 30 июля 2009 г. 21:57:12(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Настройка Microsoft Office Forms Server 2007, Microsoft SharePoint Server 2010 (32-битная и 64-битная версии) для использования в веб-формах российских алгоритмов ЭЦП.

Данная инструкция описывает настройку Microsoft Office Forms Server 2007 или Microsoft SharePoint Server 2010 для возможности подписи форм секретными ключами ГОСТ. После выполнения данной инструкции подпись на ключах алгоритма RSA будет невозможна.

Действия выполняемые на сервере.
1. Установить КриптоПро CSP версии 3.6 или 3.6.1. Если в процессе установки не был добавлен считыватель "Реестр", необходимо выполнить его установку.
2. Установить КриптоПро Sharpei версии 1.0.3834.0 или выше.
3. Сгенерировать секретный ключ в реестре с именем FormsServerKey для локальной машины, например при помощи командной строки
Цитата:
csptest -keyset -newkeyset -container "\\.\Registry\FormsServerKey" -machine

3. Добавить ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Sharpei\1.0\InfoPath.Server добавить параметр DWORD AlgType в указанный выше ключ со значением 1, добавить строковый параметр параметр Container в указанный выше ключ со значением \\.\Registry\FormsServerKey.
4. Для FormsServer 2007 заменить клиентский ActiveX (файл DSIGCTRL.cab) в папке \Program Files\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\LAYOUTS на прилагаемый прилагаемый DSIGCTRL.cab. Для Microsoft SharePoint Server 2010 заменить AciveX (файл DSIGCTRL.cab) в папаке \Program Files\Common Files\Microsoft Shared\web server extensions\14\TEMPLATE\LAYOUTS на прилагаемый DSIGCTRL-14.cab предварительно переименовав его в DSIGCTRL.cab. DSIGCTRL.cab модифицированный cab из http://support.microsoft.com/kb/972564 - если возникнут проблемы с использованием на клиенте - присылайте свой dsigctrl.cab - поправим.
5. Проверить наличие прав доступа (Full Control) на ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys\FormsServerKey пользователя, из под которого осуществляется запуск Группы приложений SharePoint (Обычно Network Service, Local System...)
6. Проверить наличие корневых сертификатов, на которых выданы сертификаты клиентов в хранилище "Доверенные корневые центры сертификации" (Trusted Root Certification Authorities) локального компьютера (LocalMachine).
7. Проверить наличие актуальных CRL для корневых сертификатов из пункта 6 в хранилище Промежуточные Центры сертификации (Intermidiate Certification Authorities) локального компьютера (LocalMachine) или возможности доступа к ним по CDP.
8. Перезагрузить компьютер.

Действия выполняемые на клиенте.
Установить КриптоПро CSP версии 3.6 (3.6.1).
Если на клиенте до этого не осуществлялась подпись форм, никаких дополнительных действий не потребуется; определить это можно по наличию файла \WINDOWS\Downloaded Program Files\DSigCtrl.dll, если этот файл отсутствует, то подпись форм ранее не осуществлялась.
Если на клиенте ранее осуществлялась подпись, то необходимо перейти в каталог \WINDOWS\Downloaded Program Files\ запустить regsvr32 /u DSigCtrl.dll кроме того необходимо удалить файлы DSigCtrl.* из каталога \WINDOWS\Downloaded Program Files\

Возможные изменения в процессе установки.
При работе Forms Server (SharePoint Server) используется временный ключ для подписи. Этот ключ используется на сервере всякий раз при выполнении операции подписи на клиенте, поэтому рекомендуется его хранить на неотчуждаемом носителе - в реестре. Если ключ с именем FormsServerKey уже использовался до установки, то можно использовать любое другое имя. При переустановке продукта можно использовать старый ключ.
При установке можно ограничиться только одной последней перезагрузкой.
При предварительно установленном КриптоПро CSP и КриптоПро Sharpei можно перезагрузку не выполнять, а ограничиться командой iisreset.

Внимание.
Подпись форм в InfoPath работоспособна только для InfoPath 2007. Подпись форм из IE работает и для FormsServer 2007 и для SharePoint Server 2010.

Отредактировано пользователем 5 июля 2010 г. 15:47:42(UTC)  | Причина: Не указана

Вложение(я):
DSIGCTRL.cab (371kb) загружен 79 раз(а).
DSIGCTRL-14.cab (298kb) загружен 38 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
С уважением, Александр.
Offline XoR  
#7 Оставлено : 12 октября 2009 г. 19:51:11(UTC)
XoR

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.10.2009(UTC)
Сообщений: 3

Приветствую, после выполнения указанных действий ситуация следующая:

при помощи FormServices подписание действительно проходит по ГОСТовому алгоритму, но проверка подписи не отрабатывает, выводится ошибка:
"Ошибка при проверке - обнаружена ошибка при проверке подписи".
Вместе с тем при открытии данного документа при помощи InfoPath подпись считается валидной.

В обратную сторону ситуация аналогична - форма подписанная в InfoPath считается в нём валидной, но при открытии её через FormServices так же выводится указанная выше ошибка.

Подписание идёт ГОСТовым сертификатом , формы подписанные в InfoPath с RSA сертификатами FormServices считает не валидными:
"Подпись не заслуживает доверия - не удаётся проверить цепочку отношения доверия". Но это поведение как я понимаю как раз ожидаемое.

Как можно поправить ситуацию ? Есть какое-то решение ?
Вопрос сильно горит.

Заранее спасибо.
Offline Челпанов А.  
#8 Оставлено : 12 октября 2009 г. 23:20:52(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Версия Шарпей последняя (1.0.3548.0)?
параметр AlgType в реестре корректно записан?
После последних изменений в реестре перегружались?
С уважением, Александр.
Offline XoR  
#9 Оставлено : 13 октября 2009 г. 21:35:33(UTC)
XoR

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.10.2009(UTC)
Сообщений: 3

Обновил до последней версии.
Параметр в реестре записан правильно.
Перезагрузку делал.

Ситуация как описывал ранее.

Решил попробовать перегенерить ключ в реестре с именем FormsServerKey2.
Получаю ошибку:

CSP (Type:75) v3.6.5355 KC2 Release Ver:3.6.5371 OS:Windows CPU:IA32 FastCode:READY,ENABLED.
AcquireContext: OK. HCRYPTPROV: 1432904
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Container name: "FormsServerKey2"

Signature key is not available.
Attempting to create a signature key...
An error occurred in running the program.
.\ctkey.c:1513:GenKey()
Error number 0x80090020 (2148073504).
Внутренняя ошибка.


Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.031 sec
[ErrorCode: 0x80090020]
Offline Челпанов А.  
#10 Оставлено : 13 октября 2009 г. 22:27:59(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
1. Ошибка 0x80090020 при генерации ключа скорее всего означает неустановленного или неправильно установленного ДСЧ.
Как я понял KC2? Аппаратный ДСЧ установлен на машине? Если нет, то необходимо добавить Биологический ДСЧ, через контрольную панел CSP.
2. Проверка и установка подписей происходит с одного компьютера? Если с разных, то DSigCtrl заменен на обоих компьютерах? Можете дать подписанные xml файлы?
3.
Цитата:
Подписание идёт ГОСТовым сертификатом , формы подписанные в InfoPath с RSA сертификатами FormServices считает не валидными:
"Подпись не заслуживает доверия - не удаётся проверить цепочку отношения доверия". Но это поведение как я понимаю как раз ожидаемое.

Да так и должно быть.
С уважением, Александр.
Offline XoR  
#11 Оставлено : 14 октября 2009 г. 20:11:50(UTC)
XoR

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.10.2009(UTC)
Сообщений: 3

Челпанов А. написал:
1. Ошибка 0x80090020 при генерации ключа скорее всего означает неустановленного или неправильно установленного ДСЧ.
Как я понял KC2? Аппаратный ДСЧ установлен на машине? Если нет, то необходимо добавить Биологический ДСЧ, через контрольную панел CSP.
2. Проверка и установка подписей происходит с одного компьютера? Если с разных, то DSigCtrl заменен на обоих компьютерах? Можете дать подписанные xml файлы?


1 - По поводу генерации ключа исправил, установил Биологический ДСЧ, сгенерировал ключ, прописал новый ключ в ветке реестра, перезагрузился.
2 - Подписание протестировал и с разных машин, и прямо с сервера. Результат один.

Тестовый подписанный файл послал по почте.

Что можно ещё проверить ?
Offline vnsuzdalev  
#12 Оставлено : 27 октября 2009 г. 13:49:29(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Добрый день!

Странная ситуация. Выполнил все как Вы описали. Результат при подписи в браузере появляется окно для выбора все работает корректно, тольок после нажатия кнопки Подписать ничего не происходит. Подпись не формируется. Я проверяю на тестов сервере (там же крутятся шарепоинт с формсервереом, центр сертификации, ключ в реестре) как узнать что не так?
Offline vnsuzdalev  
#13 Оставлено : 27 октября 2009 г. 18:21:24(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Я еще раз проверил версию Шарпей (последняя). Параметры указаны вроде верно. Но в моем случае подпись не осуществляется. Если подписать в клиентском приложении, то все отлично подпись принимается как в клиенте, так и в браузере. Но подписать не удается. Главное ошибок не возникает.

Может можно как-то включить логирование, чтоб определить в чем причина отказа в подписи?

И еще надо ли как-то настраивать IE для работы с подписями?
Вопрос очень горячий, но без Вашего опытного взгляда похоже не сдвинется.
Offline Челпанов А.  
#14 Оставлено : 27 октября 2009 г. 20:09:40(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
1. Прежде всего нужна конфигурация сервера.
Цитата:
"C:\Program Files\Crypto Pro\Sharpei\alarm" info

в текущем каталоге появится osinfo.txt
2. Подписать не удается ни в Brouser ни в InfoPath? Подпись осуществляется с другой машины или с сервера (клиент и сервер на одной машине)? Выдавались ли окна об установке DSigCtrl.dll из brouser? Какие окна кроме выбора сертификата возникают?
3. ДСЧ на клиентской машине сконфигурен? Ключ в реестре или на отчуждаемом носителе?
С уважением, Александр.
Offline vnsuzdalev  
#15 Оставлено : 27 октября 2009 г. 20:54:56(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Не знаю как файл прикрепить.
Вот в нем
OS:Microsoft Windows Server 2003, Enterprise Edition Service Pack 1 (Build 3790)

CSP v3.6
Build:0 Private:306
timestamp:Jul 29 2009 09:47:01.
SECURITY_LEVEL:KC1
CSP core version:3.6.5355
CSP product version:3.6.5402
Service cproctrl status:The service is running.

Cache path root:"C:\WINDOWS\assembly"
mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089, processorArchitecture=x86
path:"C:\WINDOWS\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll"
File version:2.0.50727.1433
CryptoPro.Sharpei.Base, Version=1.0.0.9, Culture=neutral, PublicKeyToken=473b8c5086e795f5, processorArchitecture=MSIL
path:"C:\WINDOWS\assembly\GAC_MSIL\CryptoPro.Sharpei.Base\1.0.0.9__473b8c5086e795f5\CryptoPro.Sharpei.Base.dll"
File version:1.0.3548.0
...

2. Подписать не удается только в браузере. (Подписываю на сервере. Клиент и сервер одна машина) Установка DSigCtrl.dll проходила, все надстройки включены. Открывается только одно окно где можно указать сертификат и проверит подписываемые данные и нажать кнопку Подписать.

3. Ключ в реестре согласно инструкции. ДСЧ стандартный. Генерация ключей и сертификатов, подпись и проверка подписи для отдельных файлов проходят нормально. (У нас есть другая система в которой используется подписание текстовых файлов - она функционирует нормально)
Offline Челпанов А.  
#16 Оставлено : 27 октября 2009 г. 22:22:20(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Цитата:
Не знаю как файл прикрепить.
После создания сообщения появится кнопка attach в верхнем правом углу сообщения
Или письмом на support@cryptopro.ru в теме сообщения укажите тему форума.

Цитата:
2. Подписать не удается только в браузере
. А InfoPath подписывать пробовали? Потом проверять в InfoPath и браузере?

Отредактировано пользователем 27 октября 2009 г. 22:25:26(UTC)  | Причина: Не указана

С уважением, Александр.
Offline vnsuzdalev  
#17 Оставлено : 27 октября 2009 г. 23:04:08(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Цитата:
А InfoPath подписывать пробовали? Потом проверять в InfoPath и браузере?


Да пробовал. Все корректно отображается, но удалив подпись в браузере, все равно нельзя подписать.
Вложение(я):
osinfo.txt (15kb) загружен 31 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Челпанов А.  
#18 Оставлено : 28 октября 2009 г. 16:01:11(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Есть предположение, что клиентский ActiveX (файл DSIGCTRL.cab) в папке \Program Files\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\LAYOUTS не соответствует по версии. Вышлите свой (не измененный) activex на support@cryptopro.ru.
С уважением, Александр.
Offline vnsuzdalev  
#19 Оставлено : 30 октября 2009 г. 1:20:01(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Я отправил неизмененный cab по почте. Еще раз все проверил. Обязательна ли установка хот-фикса на который Вы ссылаетесь? На всякий случай, скачаю и установлю.
Offline vnsuzdalev  
#20 Оставлено : 2 ноября 2009 г. 2:31:37(UTC)
vnsuzdalev

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.05.2009(UTC)
Сообщений: 42
Мужчина

Обнаружил, что сервер возвращает сообщение об ошибке. (Она оказалась не видна из-за особенностей страницы подписи Форм сервиса)
Ошибка с сообщением: «Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий"
Я до конца не понимаю смысл этой ошибки, но интуитивно догадываюсь, что это касается настроек провайдера или адреса ключа в реестре. Прилогаю ветку реестра, которую я сформировал на основе рук-ва описанного выше. Может я что не так понял. Ключ действительно существует и находится в реестре в хранилище компьютера и имеет именно такое имя.
Вложение(я):
MyRegister_Sharpei.reg (1kb) загружен 35 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.