Не проходит проверка цепочки на тестовых сертификатах

mwayfarer · 24.01.2024 14:29:56

Порядок действий:

Сформировать подпись файла с помощью NCALayer последней версии, используя сертификат из SDK 2.0 (Keys and Certs -> Gost2015 -> 2023.11.17_valid -> физлицо), на MacOS
Зарегистрировать в контейнере Docker с библиотекой все сертификаты с названием gost из папок CA_Test -> ROOT и CA_Test -> NCA (игнорируя папку old) с помощью update-ca-certificates
Зарегистрировать эти же сертификаты в библиотеке с помощью метода X509LoadCertificateFromFile - получаем везде код 0
Попытаться использовать метод VerifyData, установив флаги 2 (CMS), 16 (входные данные в B64) и 2048 (выходные данные в B64) - получаем ошибку 0x08F00042 (Срок действия сертификата истек либо еще не наступил) - хотя считаем, что все тестовые сертификаты заведомо валидны
Добавляем к вышеуказанным флагам флаг 65536 (не проверять время действия сертификата в цепочке) - получаем ответ 0

Необходимо выяснить, почему сертификаты считаются истекшими при проверке цепочки.

mwayfarer · 25.01.2024 13:00:39

Перепроверили регистрацию сертификатов - пришлось сконвертировать их в PEM и попробовать проверку подписи снова - получаем "[8f00049] Ошибка проверки подписи токена TSA"

Daniyar · 31.01.2024 06:02:31

Добрый день! Можете отправить тестовую подпись на почту knca@pki.gov.kz. Проверим.

mwayfarer · 16.02.2024 09:01:45

Доброго времени суток! Отправили подпись, но ответа не получили с тех пор

sabtalya · 06.03.2024 08:35:59

Добрый день! Отправляли письмо с подписью к вам на почту, есть какой-нибудь результат? Для нас по-прежнему этот вопрос остается актуальным

Daniyar · 06.03.2024 12:17:17

Добрый день! Отвечал с тем, что в подписи отсутвует подписанные данные. Их тоже сможете отправить?

sabtalya · 06.03.2024 13:21:30

Да, отправили заново файл и открепленную подпись

sabtalya · 06.03.2024 13:23:31

Письмо отправили на этот адрес knca@pki.gov.kz

sabtalya · 11.03.2024 05:54:33

Добрый день! Есть какой-нибудь результат?