CRM-система для УК и ТСЖ

AUT011005: "Ошибка формата подписи запроса" после 14.06.2017

Будете спамить рекламой - будем нещадно банить)))
Сообщение
Автор
x3x3x3x3x3
Новичок
Сообщений: 3
Зарегистрирован: 21 июн 2016, 18:51

AUT011005: "Ошибка формата подписи запроса" после 14.06.2017

#1 Сообщение x3x3x3x3x3 » 15 июн 2017, 13:29

Здравствуйте. После обновления 14.06.2017 на все запросы возвращается данная ошибка. На нашей стороне ничего не поменялось - ни код, подписывающий запросы, ни сертификат. Сталкивался кто-нибудь с данной проблемой после обновления? Удалось решить?

two_oceans
Ветеран
Сообщений: 545
Зарегистрирован: 30 сен 2016, 17:17
Благодарил (а): 437 раза
Поблагодарили: 412 раза

AUT011005: "Ошибка формата подписи запроса" после 14.06.2017

#2 Сообщение two_oceans » 15 июн 2017, 17:43

Доброго. Даже не знаю что сказать, описание новой версии ГИС еще не читал. Сомневаюсь, что формат подписи изменили в 11.1.x, "некруглой" версии. По описанию проблемы - выглядит как глюк ГИС, но тогда наверно было бы больше сообщений об этом.
Наводящие вопросы: что используете для формирования подписи - Java, dotNet или что-то другое? И Java и dotNet представляют собой обновляемые платформы для Вашего кода, даже если не меняли свой код, изменение платформы может сказаться на его работе. Соответственно вопрос не обновлялись ли Java, dotNet ближайшие дни? Не обновлялся ли криптопровайдер? Не менялись ли настройки криптопровайдера/Java, dotNet? Какие-то другие обновления операционной системы (ос) затрагивающие интернет соединения или криптоядро ос не ставились? Бывают случаи когда обновления ос сбивают регистрацию библиотек криптопровайдера (номера алгоритмов частично пересекаются) и хотя криптоядро ос не умеет работать с ГОСТ, но пытается.

Сертификату тоже не обязательно меняться. Не закончился ли сертификат? А сертификат удостоверяющего центра? Не лежит ли сайт удостоверяющего центра в отключке? Устанавливается ли защищенный тоннель с этим сертификатом? Например, по СМЭВ иногда не проходят проверку сообщения, когда федеральный узел смэв не может получить список отзыва или OCSP ответ от УЦ. И хотя у нас проверка проходит и ответ виден глазами в глубине XML, но SOAP-конверт "кричит" об ошибке, структура SOAP нарушена и вытащить оттуда данные проблематично.
Как видите, даже без ГИС, изменения кода и сертификата для успешного запроса нужно пройти длинную цепочку и сбой может оказаться в разных местах. Однако если ничего этого не подтвердилось - не забудьте написать в техподдержку ГИС, может это на их стороне Java обновилась или еще что.

ЧЕРЕМУШКИ
Ветеран
Сообщений: 529
Зарегистрирован: 23 апр 2015, 10:06
Благодарил (а): 453 раза
Поблагодарили: 361 раза

AUT011005: "Ошибка формата подписи запроса" после 14.06.2017

#3 Сообщение ЧЕРЕМУШКИ » 15 июн 2017, 18:37

у меня то же самое на арбитр.ру после обновления 06.06.2017. ошибка подписи.

x3x3x3x3x3
Новичок
Сообщений: 3
Зарегистрирован: 21 июн 2016, 18:51

AUT011005: "Ошибка формата подписи запроса" после 14.06.2017

#4 Сообщение x3x3x3x3x3 » 15 июн 2017, 22:39

two_oceans писал(а):Источник цитаты что используете для формирования подписи - Java, dotNet или что-то другое?

У нас самописное, для подписи используем openssl. А он вроде не обновлялся, посмотрел логи.
two_oceans писал(а):Источник цитаты не забудьте написать в техподдержку ГИС

Это я сделал.
Вот еще stacktrace, который присылается на тестовом стенде

► Показать

Из текста stacktrace'а по первой строчке делаю вывод, что ГИС ЖКХ не может найти сертификат, которым подписан запрос. Но ИС с данным сертификатом создана была давно, не менялась и активна.

two_oceans
Ветеран
Сообщений: 545
Зарегистрирован: 30 сен 2016, 17:17
Благодарил (а): 437 раза
Поблагодарили: 412 раза

AUT011005: "Ошибка формата подписи запроса" после 14.06.2017

#5 Сообщение two_oceans » 15 июн 2017, 23:18

Ага, уже яснее. Как бы да, не может найти, но вопрос "где ищет?" Кажется, до поиска в базе ГИС дело не доходит, дальше в середине ошибка повторяется в "...verifyEnveloped", который, насколько могу предположить по названию, проверяет структуру самой подписи XMLDSIG. Давненько не смотрел структуру: xades:SigningCertificate это я насколько помню, тег в котором пишется хэш и что-то еще из сертификата и он ссылается на данные сертификата внутри ds:KeyInfo?

Если да, то самописная программа каждый раз хэш вычисляет по сертификату и свойства сертификата читает или читает из какого-то другого файла-кэша? Есть вероятность, что испортились данные в таком кэше со свойствами сертификата (либо сам сертификат, но это маловероятно) и теперь сертификат в ds:KeyInfo не соответствует хэшу в xades:SigningCertificate.
Что-то мне кажется ошибка где-то тут, посмотрите не изменялся ли кэш. Если сохранились запросы которые уходили нормально еще можно с ними сверить содержание ds:KeyInfo и xades:SigningCertificate какие были и какие сейчас.

Отправлено спустя 7 минуты 18 секунды:
ЧЕРЕМУШКИ писал(а):Источник цитаты у меня то же самое на арбитр.ру
Давненько там не был, но там подпись была вообще другого типа - cades, а не xades. Так что проблема явно другая. И начать нужно с "обновление чего было 06.06.2017?" :D


Вернуться в «ГИС ЖКХ. Форум разработчиков программного обеспечения и всего, что с ним связано»

Кто сейчас на форуме

Количество пользователей, которые сейчас просматривают этот форум: нет зарегистрированных пользователей и 1 гость