Установка сертификатов 2025.06

danilseregin · 27.06.2025 10:38:08

Работаю с сервисом для проверки подписей на python с использованием библиотеки KalkanCryptCOM. Сервис был сделан 2023 году. Тогда поставил корневые и промежуточные сертификаты, все заработало нормально. 25.06.2025 сервис сломался, начал выдавать ошибку:
{‘status’: ‘error’, ‘data’: ‘[149946441] ERROR 0x8f00042: Load certificate from system store - ca certificate is expired.\r\nERROR 0x8f00049: Verify Data - CAdES-T: verify TSA token - FAILED.\r\n’}
Посмотрел сертификаты которые были установлены, 2 из них показывали действиятельную дату до 25.06.2025. Перешел на сайт НУЦ и скачал 4 сертификатаСертификаты НУЦ, но после ошибка не исправилась. Удалил все сертификаты и поставил только эти 4, начала выпадать ошибка: {‘status’: ‘error’, ‘data’: ‘[149946441] ERROR 0x8f00040: Load certificate from system store - not found root or intermediate certificate in system store. \r\nERROR 0x8f00049: Verify Data - CAdES-T: verify TSA token - FAILED.\r\n’}. После установки старых сертификатов, которые были действительны до 25.06 снова начинает показывать первую ошибку. Подскажите какие сертификаты должны стоять на системе и где (пробовал и по отдельности ставить в промежуточные и корневые и дублировал все и там и там)

Daniyar · 30.06.2025 10:10:40

Добрый день! Для проверки подписи от истекших сертификатов можно ставить KC_NOCHECKCERTTIME и проверять. Недавно истекли сроки корневых сертификатов ГОСТ-2004 они больше не выпускаются.

danilseregin · 30.06.2025 12:42:35

Уже была поставлена, не проверяем даты сертификатов, так как ключи от nca немного в будущем живут (если их создать и сразу же подписать будет выдавать ошибку верификации так как дата подписания еще не наступила, не перевели ключи на час для алматинского времени, всегда показывает на 1 час больше). Но даже в этом случае показывает ту же ошибку, без изменений. Возможно ли что подпись сделали до истечения срока и поэтому не работает? Но в этом случае не очень понимаю как это работает, так как подпись делалась через ncaLayer js, и у него свои сертификаты (ставятся при его запуске). Так же использовали подписание в 2х форматах pem и base64 но разные функции ncalayer (pem новую версию, BasicSign, а для base64 createCMSSignatureFromBase64), для pem не переставала работать. P.S. Попробовали подписать заново, выдает всю ту же ошибку.

Danil · 01.07.2025 12:44:23

Добрый день.
Ключи живут стандартно.
Проверьте время на компьютере: часовой пояс и выставленное время.

Yuriy · 16.07.2025 13:45:18

Добрый день! такая же проблема

KalkanCryptCom X64 3.0.0.7
метод VerifyDataBytes с флагами KC_SIGN_DRAFT и KC_NOCHECKCERTTIME
при проверке подписи, установленной в 2023 году сертификатом ГОСТ2004 выдает ошибку

WARNING! - certificate has expired or is not yet valid.
ERROR 0x8f00042: Load certificate from system store - ca certificate is expired.

то есть наличие флага KC_NOCHECKCERTTIME не решает проблему проверки подписей, установленных с помощью сертификатов от просроченного корневого сертификата.
Есть ли информация - может это исправлено в новых версиях, но не указано в явнов виде в списке изменений или планируется ли это исправить?

upd: на версии 3.0.3.0 (от 20.05.2025) - тоже самое