[Korgoth]

А openssl ciphers покажите. Точно ГОСТ есть?

 

Есть.

 

ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:DHE-RSA-CAMELLIA256-SHA:DHE-DSS-CAMELLIA256-SHA:GOST2001-GOST89-GOST89:GOST94-GOST89-GOST89:ECDH-RSA-AES256-SHA:ECDH-ECDSA-AES256-SHA:AES256-SHA:CAMELLIA256-SHA:PSK-AES256-CBC-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:ECDH-RSA-DES-CBC3-SHA:ECDH-ECDSA-DES-CBC3-SHA:DES-CBC3-SHA:PSK-3DES-EDE-CBC-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:DHE-RSA-SEED-SHA:DHE-DSS-SEED-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-DSS-CAMELLIA128-SHA:ECDH-RSA-AES128-SHA:ECDH-ECDSA-AES128-SHA:AES128-SHA:SEED-SHA:CAMELLIA128-SHA:PSK-AES128-CBC-SHA:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:RC4-SHA:RC4-MD5:PSK-RC4-SHA:EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:DES-CBC-SHA:EXP-EDH-RSA-DES-CBC-SHA:EXP-EDH-DSS-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:EXP-RC4-MD5

 

Что в конфиге ssl править нада? у меня что с правками, что без них, ошибка одна.

Изменено 9 ноября, 2012 пользователем Korgoth

[AlKov]

Запарило...

Ошибка! Файл запроса не соответствует требуемому формату

xml-ка такая:

<?xml version="1.0" encoding="windows-1251"?>
<request>
<requestTime>2012-11-09T13:46:30.000+04:00</requestTime>
<operatorName>ООО Пупкин В.В</operatorName>
<inn>111111111111</inn>
<ogrn>22222222222222222</ogrn>
</request>

Что не так??

Проверку подлинности проходит на "ура"..

[adnull]

Korgoth Хз. Если есть возможность попробуйте openssl 1.0.1c мож в версиях чего не того.

AlKov А xml-ка валидная?

[yegorov-p]

Запарило...

Ошибка! Файл запроса не соответствует требуемому формату

xml-ка такая:

<?xml version="1.0" encoding="windows-1251"?>
<request>
<requestTime>2012-11-09T13:46:30.000+04:00</requestTime>
<operatorName>ООО Пупкин В.В</operatorName>
<inn>111111111111</inn>
<ogrn>22222222222222222</ogrn>
</request>

Что не так??

Проверку подлинности проходит на "ура"..

Кодировка?

[apog]

теоретически можно подписать программой csptest из комплектра крипитопро CSP, у меня вроде подписалось, заправилось в надзор, но в ответ говорит что недействительный сертификат ЭП.

Подписывал такой командой (с рутокена):

csptest.exe -sfsign -sign -detached -add -in request.xml -out request.xml.sign -my <мыло с сертификата>

Написал на zapret-info@rsoc.ru предъяву по поводу того что наша ЭЦП не проходит. Посмотрим как быстро сам комнадзор реагирует на заявки. Время пошло :))

Сдается мне ответа я не получу.

 

adnull, я как раз этим способом и получил подпись. У меня все прокатило. Но прежде проверял все на http://www.gosuslugi.ru/pgu/eds/

 

openssl pkcs12 -in p12.pfx -out provider.pem
Enter Import Password:
MAC verified OK
Error outputting keys and certificates
139660860659368:error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm:evp_pbe.c:162:TYPE=1.2.840.113549.1.12.1.80
139660860659368:error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error:p12_decr.c:83:
139660860659368:error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error:p12_decr.c:123:

 

Собрал openssl 1.0.1c по инструкции http://www.cryptocom.ru/opensource/openssl100.html

/gost-ssl/bin/openssl pkcs12 -in ./p12.pfx -out ./provider.pem
Enter Import Password:
Mac verify error: invalid password?
3074054296:error:2306B076:PKCS12 routines:PKCS12_gen_mac:unknown digest algorithm:p12_mutl.c:88:
3074054296:error:2307E06D:PKCS12 routines:PKCS12_verify_mac:mac generation error:p12_mutl.c:122:

Пароль точно правильный ввожу. ( Что не так делаю? Сейчас получается в системе две openssl, одна стандартная из дистра 0.9.8, а другая, которую сам собирал 1.0.1c, лежит в /gost-ssl/bin/openssl

Изменено 9 ноября, 2012 пользователем apog

[adnull]

ппц. Проверил на госуслугах: Статус сертификата подписи: Сертификат был издан не аккредитованным УЦ/не доверенным УЦ

При том что УЦ в списке роскомнадзора. Устроили бардак. Слабо было корневой УЦ сделать?

[AlKov]

AlKov А xml-ка валидная?

Понятия не имею.. Как проверить?

Кодировка?

cp1251

[apog]

Есть онлайн-конвертер https://www.ssl4less.ru/instrumenty/konwertiruj-sertifikat.html

Но чето как то не очень хочется им пользоваться...

[AlKov]

Что в конфиге ssl править нада? у меня что с правками, что без них, ошибка одна.

http://www.cryptocom.ru/products/openssl-1-config-en.html

 

P.S. С ЭП у меня всё прокатило вот по этой инструкции, а вот с xml-кой полная засада.. :(

 

P.P.S

Сейчас получается в системе две openssl, одна стандартная из дистра 0.9.8, а другая, которую сам собирал 1.0.1c, лежит в /gost-ssl/bin/openssl

Тоже наступил на эти грабли. Вы посмотрите, что говорит openssl version.

У меня запускалась "старая". Тупо скопировал бинарник "новой" openssl в /usr/bin и все зажужжало.

[C@T]

Что не так??

попробуйте после <ogrn>22222222222222222</ogrn>

емайл добавить

<email>boss@superisp.ru</email>

[AlKov]

Что не так??

попробуйте после <ogrn>22222222222222222</ogrn>

емайл добавить

<email>boss@superisp.ru</email>

Пробовал. Ничего не меняет.

И заголовок (<?xml version="1.0" encoding="windows-1251"?>) пробовал убирать и время "сдвигать" на -4 часа и дату записывать "наизнанку" (2012-09-11) - НИ_ЧЕ_ГО не меняет - ошибка формата..

[Sergey Gilfanov]

Тут, кажется, еще не проверяли, как формат конца строки (LF vs CR+LF) влияет.

[drdaeman]

Не знаю, поможет или нет, но у меня именно так ругался когда я в ИНН цифру пропустил.

[AlKov]

Тут, кажется, еще не проверяли, как формат конца строки (LF vs CR+LF) влияет.

Проверил. Ничего не меняет - по-прежнему "Ошибка! Файл запроса не соответствует требуемому формату"..

Мистика какая-то!

 

Проверка на gosuslugi.ru

Подлинность документа ПОДТВЕРЖДЕНА

ЭП 1: ВЕРНА
Статус сертификата подписи: ДЕЙСТВИТЕЛЕН, сертификат издан доверенным удостоверяющим центром
.....

А xml-ку жрать не желает!!

[S.Sannikov]

А я довольно долго тупил когда написал </orgn>.

 

И в последней редакции действительно мыло надо указывать. В первой небыло.

[AlKov]

Не знаю, поможет или нет, но у меня именно так ругался когда я в ИНН цифру пропустил.

Блииин!!! Как всё банально! У меня наоборот - один засранец добрый человек прилепил лишнюю цифру к ОГРН.

Ну завтра я ему устрою!! ;)

[drdaeman]

И в последней редакции действительно мыло надо указывать. В первой небыло.

Сегодня днем работало без всякого мыла. Оно там есть, но опциональное.

 

Блииин!!! Как всё банально! У меня наоборот - один засранец добрый человек прилепил лишнюю цифру к ОГРН.

Ну завтра я ему устрою!! ;)

Пожалейте человека - пятница же! :)

(А завтра вообще суббота, отдыхать надо, а не устраивать :))

[korvatsky]

НАДИКС обратился с открытым письмом в Министру связи РФ:

[Иванов Денис]

На PHP+SOAP никто не пробовал делать обмен?

 

Пробовал, получить дату последнего обновления реестра вышло без проблем, а дальше все застряло ибо нет ключа, чтобы проверять дальше

У меня получилось.

Если кому интересно, то могу поделиться скриптом в понедельник.

[YuryD]

Если кому интересно, то могу поделиться скриптом в понедельник.

Ну поделись, или в личку.

[shicoy]

На PHP+SOAP никто не пробовал делать обмен?

 

Пробовал, получить дату последнего обновления реестра вышло без проблем, а дальше все застряло ибо нет ключа, чтобы проверять дальше

У меня получилось.

Если кому интересно, то могу поделиться скриптом в понедельник.

 

Конечно интересно, выкладывайте в паблик, многие вам спасибо скажут!

[Wingman]

Я добился нормального решения.

..skip..

 

А сейчас кто-нибуть, у кого раньше работало, может проверить по-новой с openssl сгенерить и отправить через форму?

У меня подпись создаётся и на госуслугах верифицируется без проблем, но Форма подачи запроса ругается на "некорректное значение ЭП". При этом мы делаем pks#12, а на форме указано "прикрепите файл запроса в формате XML и файл открепленной электронной подписи в формате PKCS#7", может быть, изменили?

 

Вру, верифицируется сам сертификат, но реквест+сертификат - нет, "Неправильное значение хеша"

 

upd: при копировании с *nix на венду изменяется на пару байт размер req.xml - скорее всего из-за размера блока фс; видимо, из-за этого и косяк

Изменено 4 декабря, 2012 пользователем Wingman

[MMM]

upd: при копировании с *nix на венду изменяется на пару байт размер req.xml - скорее всего из-за размера блока фс; видимо, из-за этого и косяк

размер блока причем???

 

по ftp копируете? включите бинарный режим.

а лучше, вообще, по ssh/sftp передавать.

[woddy]

http://habrahabr.ru/post/158133/

[Wingman]

upd: при копировании с *nix на венду изменяется на пару байт размер req.xml - скорее всего из-за размера блока фс; видимо, из-за этого и косяк

размер блока причем???

 

по ftp копируете? включите бинарный режим.

а лучше, вообще, по ssh/sftp передавать.

 

по scp как раз

upd: поставил фтп, всё ок слилось :)

Изменено 10 ноября, 2012 пользователем Wingman