1 Тема от emal

  • emal
  • New member
  • Неактивен
  • Откуда: Тула
  • Зарегистрирован: 2017-05-27
  • Сообщений: 5

Тема: Передача сертификатов ключей подписи между копиями "Сигнатура Клиент"

Здравствуйте.

Не могли бы Вы подсказать, возможно ли в принципе передать сертификат проверки ключа подписи из одной копии СКАД Сигнатура Клиент в другую при отсутствии во второй копии в персональном справочнике корневого сертификата центра сертификации, на ключах которого подписан передаваемый сертификат?

Вопрос получился длинным, поэтому уточню ситуацию.

Существуют две копии СКАД Сигнатура Клиент - одна установлена в локальной тестовой конфигурации в организации, выполняющей разработку ПО для банков (в данном конкретном случае - средства подписи сообщений УФЭБС).
Вторая копия установлена в банке, участвующем в тестировании разрабатываемого ПО и используется в частности для подписи и проверки подписей сообщений УФЕБС средствами АРМ КБР.

В тестовой конфигурации сертификаты подписаны на ключах также тестового УЦ, не имеющего никакого отношения к иерархии УЦ Банка России.

На завершающем этапе тестирования ПО было бы желательно выполнить его средствами проверку подписи реальных сообщений УФЭБС, передаваемых через АРМ КБР (чтобы убедиться в правильности алгоритмов нормализации сообщений и документации по настройкам).

Сообщения есть, но для проверки подписей нужно передать сертификат проверки ключа подписи из банка в тестовую конфигурацию (точнее, все сертификаты, входящие в цепочку, до корневого).

Попробовали воспользоваться экспортом в DER кодировке и соответствующим импортом.
Все бы хорошо, но для корневого сертификата при импорте получаем ошибку:

> Отсутствует СОС: издатель CN=...,O=...,L=...,ST=...,C=RU, идентификатор ключа издателя ...

Понятно, в экспортированном файле нет списка отзыва сертификатов. Пробуем загрузить этот список отдельно, опять ошибка по поводу отсутствия корневого сертификата, притом уже ожидаемая (но надо же было попробовать):

> Отсутствует сертификат: CN=...

Список отзыва сертификатов подписан на ключе корневого сертификата ЦС, который не удавалось загрузить из-за отсутствия этого самого списка отзыва. Замкнутый круг.

Может быть есть другой, правильный способ?

2 Ответ от ant

  • ant
  • Administrator
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2007-02-02
  • Сообщений: 342

Re: Передача сертификатов ключей подписи между копиями "Сигнатура Клиент"

Добрый день!
Для совмещения двух цепочек Вам необходимо сначала загрузить Корневой ЦС сертификат в ПСП. Это можно сделать только подписав загружаемый Корневой сертификат ЦС в ЦС вашей работающей системы.
В ЦС пункт меню называется "Подписать сертификат доверенного Центра Сертификации", на выходе формируется  подписанный PSE файл, который при обработке в Справочнике Сертификатов добавит Вам доверенный сертификат Корневого ЦС. После данной операции, можно добавлять СОС и все объекты.

Сайт ant

3 Ответ от emal

  • emal
  • New member
  • Неактивен
  • Откуда: Тула
  • Зарегистрирован: 2017-05-27
  • Сообщений: 5

Re: Передача сертификатов ключей подписи между копиями "Сигнатура Клиент"

Здравствуйте.

Спасибо, подпись сертификата доверенного ЦС действительно позволила загрузить его в ПСП.

Но в конечном счете, к сожалению, нам так и не удалось выполнить передачу Корневого сертификата ЦС.
При загрузке подписи СОС, подписанной на ключе корневого ЦС, соответствующего этому сертификату, все равно ошибка, хоть и другая. Вообще, закладка "Путь сертификации" при загрузке выглядит так:

X Нарушено ограничение иерархии
|  X СОС от xx.xx.2016
|  X CN=...
|  X Нарушено ограничение иерархии

В любом случае, спасибо за ответ.

Если нужно, для полноты картины кусок протокола проверки СОС:

Проверка ЭП № 1
Результат проверки ЭП: ОК
Результат проверки цепочки сертификатов: Отсутствует список отозванных сертификатов.
Дата и время установки ЭП: xx xx 2016 г. xx:xx:xx GMT
Идентификация сертификата в ЭП:
Издатель сертификата: CN=...
Результат проверки: Подпись недостоверна.

Сертификат на котором выполнена ЭП № 1
Дополнения X.509:

  Ограничение иерархии:
   Ограничение иерархии (0x1)
   МИНИМАЛЬНЫЙ УРОВЕНЬ ОГРАНИЧЕНИЙ:
   Разрешается использовать сертификаты и СОС, созданные любым <Центром Сертификации>

  X509v3 Основные Ограничения:
   CA:TRUE
   pathlen:1

  Наименование средства ЭП Владельца:
   АПК "Средство КЗИ СКАД "Сигнатура"" версия 5

4 Ответ от ant

  • ant
  • Administrator
  • Неактивен
  • Откуда: Москва
  • Зарегистрирован: 2007-02-02
  • Сообщений: 342

Re: Передача сертификатов ключей подписи между копиями "Сигнатура Клиент"

Посмотрите на ограничения иерархии в рабочем сертификате Справочника Сертификатов. Для реализации Вашей схемы Вам нужны минимальные ограничения в рабочем сертификате.

Сайт ant

5 Ответ от emal

  • emal
  • New member
  • Неактивен
  • Откуда: Тула
  • Зарегистрирован: 2017-05-27
  • Сообщений: 5

Re: Передача сертификатов ключей подписи между копиями "Сигнатура Клиент"

Большое спасибо!

Вы были правы, в рабочем сертификате Справочника Сертификатов был указан "средний" уровень ограничения иерархии. Сделали "минимальный", все сработало как нужно.