Ошибка TSA-certificate not found при валидации метки времени

Zhandos · 16.05.2024 06:05:09

Добрый день! Может ли сервис получения метки времени не прикладывать сертификат в CMS?

Заметил, что пару раз такое происходило. Хотелось бы уточнить, на чьей стороне ошибка.

DERObject tspResponseObject = AttributeUtil.getAttributeObject(signer.getUnsignedAttributes(), new DERObjectIdentifier(PKCSObjectIdentifiers.id_aa_signatureTimeStampToken.getId()));
TimeStampResponse timeStampResponse = new TimeStampResponse(tspResponseObject.getEncoded());
TimeStampToken timeStampToken = timeStampResponse.getTimeStampToken();

X509Certificate certificate = TSPUtil.getTSPCertificate(timeStampToken, kalkanProvider);
System.out.println("TSP certificate serial number: " + certificate.getSerialNumber());

То выйдет ошибка:

Exception in thread “main” kz.gov.pki.kalkan.tsp.TSPException: TSA-certificate not found
at kz.gov.pki.provider.utils.TSPUtil.getTSPCertificate(TSPUtil.java:213)
at com.example.dsign.debug.kalkancrypt.cms.CheckTspTest.main(CheckTspTest.java:50)

ololo · 20.05.2024 09:41:15

Здравствуйте!
У вас есть пример такого CMS-файла?

Zhandos · 20.05.2024 12:51:18

Добрый день! CMS файл отправил на адрес knca@pki.gov.kz.

Тема письма - Форум: Ошибка TSA-certificate not found при валидации метки времени.

Заранее спасибо!

ololo · 20.05.2024 13:50:35

А откуда вы этот файл получаете? Сервис не может не прикладывать сертификат

Zhandos · 20.05.2024 14:05:31

Файл получен из NCALayer. У нас там свой модуль. В метке времени есть вся информация, но нету сертификата.
Мы же не можем сами формировать TSP Response.

Отвечая на ваш вопрос, да, тоже удивлен. Почему иногда такое происходит.

UPD: были ли такие случаи у вас?

ololo · 20.05.2024 14:36:53

Такого не бывало. А как давно начало такое происходить? До сих пор так?

Zhandos · 20.05.2024 14:50:13

Да, это относительно свежий CMS. Не постоянно, а иногда. Наверно один раз в пару месяцев.

А вы могли убедиться, что TSP Response был от сервиса метки времени? То есть, я не мог его модифицировать, т.к., этот ответ также в формате CMS.

ololo · 22.05.2024 08:03:49

Сертификат находится в той части cms, откуда он может быть удален не нарушая подписи. Поэтому непонятно.

Zhandos · 27.05.2024 10:14:24

Добрый день! Мы не проводим никаких манипуляции с меткой времени.

21.05.2024 еще один такой случай произошел. CMS файл отправил также на почту knca@pki.gov.kz.

Со своей стороны как-нибудь можете проверить? Может быть логи есть.