Проверьте права на GOST-ключ. Еще правильно ли прописан путь до ключа GOST
Если при запуске теста в командной строке ошибка повторится, то все дело в самом ключе.
Передал весь список вопросов сотруднику. Он или Я позже ответит
Ключи GOST и AUTH
Добрый день,
Т.е. для реализации подписи на сервере нужно использовать ключ ЮР лица?
Ключи юридического лица - это, по сути, ключи сотрудника юридического лица, так как в сертификате указаны не только реквизиты юридического лица (БИН), но и реквизиты физического лица (ИИН).
Подпись юридического лица под электронным документом подобна подписи от руки + печати организации на бумажном документе.
Я это все к тому, что передавать закрытые ключи юридического лица ни чем не лучше, чем передавать закрытые ключи физического лица. Это так же противоречит и Закону и здравому смыслу.
Добрый день, Данил.
Вы все верно говорите. Поставщик услуг подписывает справку.
Я имел ввиду, что справка не содержит подписи клиента.
Сервер же на своей стороне формирует документ и подписывает его своим ключом
Вот это уже интересно - каким своим ключом может подписывать документы сервер? Разве НУЦ выпускает ключи для ИС, которые бы обеспечивали юридическую значимость подписываемых документов в соответствии с Законом и Приказом?
Если брать в качестве примера egov, то справки там подписаны с использованием сертификатов сотрудников юридических лиц, выданных НУЦ. Вы хотите сказать что справки на egov подписываются автоматически?
Альтернативным вариантом в указанном Вами случае будет использование шаблона регистрационных свидетельств НУЦ РК - «ЭЦП для информационных систем» , полученное на юридическое лицо . Регистрационное свидетельство по указанному шаблону содержит только ключ для подписи GOST, закреплено за ЮЛ и не привязано к определенному лицу (владельцу), в связи с чем может быть использовано в качестве автоматического подписания в рамках Закона.
С процедурой получения “ЭЦП для информационной системы” ЮЛ можете ознакомиться по ссылке https://pki.gov.kz/docs/guides_ru/lk_ul/#_14
Добрый день,
Альтернативным вариантом в указанном Вами случае будет использование шаблона регистрационных свидетельств НУЦ РК - «ЭЦП для информационных систем» , полученное на юридическое лицо . Регистрационное свидетельство по указанному шаблону содержит только ключ для подписи GOST, закреплено за ЮЛ и не привязано к определенному лицу (владельцу), в связи с чем может быть использовано в качестве автоматического подписания в рамках Закона.
Не могу найти упоминания о “Информационная система (ЮЛ)” или «ЭЦП для информационных систем» в документах Правила применения регистрационных свидетельств подписчиков Национального удостоверяющего центра Республики Казахстан и Политика применения регистрационных свидетельств подписчиков Национального удостоверяющего центра Республики Казахстан. Может быть что-то не понимаю, не могли бы Вы подсказать где смотреть?
Было бы очень интересно узнать, присутствуют ли в сертификатах, выпущенных по вышеупомянутому шаблону, в поле "использование ключа" (KeyUsage) значения "Цифровая подпись" и "Неотрекаемость".
На всякий случай установил права 777, после предоставления прав в браузере отображается ошибка - “Error: 149946377 ERROR 0x8f0002a: OpenSSL error: 140311430927576:error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm:p_lib.c:239: ERROR 0x8f00009: Load key store - invalid password. Error: 149946395”
Для теста использую свое личное ЭЦП для ЮР лица, проверен ГОСТовский в других системах, работает, для теста повторил с другим ключом - \SDK 2.0\Keys and Certs\CERT\2021.01.18\Юридическое лицо\первый руководитель\ДЕЙСТВУЮЩИЕ\GOSTKNCA_69c23f6ee06a17a537efb90b647d47ff2a396030.p12,
Странное дело обнаружил, в командной строке ошибок не выдает. Но в браузере отображает вышеупомянутые ошибки, ИС все равно будет запускаться через браузер и ошибки лететь однозначно будут, даже если в командной строке нет ошибок и скрипт работает в целом правильно
Обнаружил еще один прикольный момент по поводу вывода содержимого ГОСТовского сертификата, при рестарте APACHE, в браузере скрипт отрабатывает и выводит содержимое, после обновления страницы вылетают снова ошибки…
в командной строке скрипт отрабатывает хорошо постоянно…
Дело в том, что Apache + mod_php в первый раз подгрузки библиотеки kalkancrypt.so, подгружает наши библиотеки из /opt/kalkanrypt/. Если же это делать повторно, то Apache + mod_php уже подгружает системную OpenSSL (Причина не известна). Данный момент не тестировался на nginx+php-fpm.
На данный момент нет возможности исправить эту ошибку.
Или вариант решения такой:
При запуске сервиса один раз делаете инициализацию: KalkanCrypt_Init();
Затем работаете с методами (подгрузка ключа, подпись файлов, проверка сертификата и т.д.) неделю, месяц или дольше…
И при перезагрузке сервиса выполняете метод финализации: KalkanCrypt_Finalize();
В данном случае подгрузка kalkancrypt.so, происходит один раз и висит все время работы сервиса. Значит и стандартная OpenSSL не должна подгружаться.
Добрый день, до тех пор пока система не разработана, возможно ли получить тестовые ключи? или можно подавать заявку заранее на еще не разработанную ИС?
Просто не понятно как разрабатывать и тестить без ключа для ИС…
ДД! В СДК включение тестовых регистрационных свидетельств для ИС планируется на следующей неделе. Можем предложить вариант в индивидуальном порядке порядке выслать для вас.
Добрый день,
Не могли бы Вы выслать тестовые сертификаты ИС и мне.
Доброе утро, отлично, подскажите пожалуйста, как можно будет получить обновленный СДК? по какой ссылке можно будет перейти для его скачивания?
Направлено на эл. почту
Направлено на эл. почту.
Добрый день. Пройдите по ссылке https://pki.gov.kz/get-sdk/ и введите электронный адрес, указанный в акте получения SDK. На почту придет ссылка для скачивания.
Благодарю, получил!
Хорошего дня!
Немного смущает то, что в сертификате указан OID политики (расширение Ceritifcate Policy) 1.2.398.5.19.1.2.2.1.2, а это:
ДобрыйПодача заявки по данному шаблону недоступна через личный кабинет пользователя