Пустая цепочка корневых сертификатов

[danikarik]

Добрый день!

Я пишу Go клиента для API NCANode. Все методы практически покрыты, кроме RAW.verify. С последним есть сложности, так как получаю Api error: Cannot find certificate issuer от API. Проверяя PKCS12.info заметил что для всех сертификатов от комплекта разработчика от НУЦ (получил 02.09.2020) цепочка в ответе (chain) всегда пустая, что и проводит к ошибке выше.

Вопрос: связано ли это как-то с версией библиотеки kalkancrypt? На руках последняя kalkancrypt-0.6.1.jar.
Или вопрос к НУЦ и комплекту?

Подскажите пжл-та с чего начать проверку.

[malikzh]

Добрый день, Данияр! Я также при разработке, версии 2.0 использовал версию kalkancrypt 0.6. По проблеме, возможно, что папка корневых сертификатов (ca/root и ca/trusted) пуста, либо в ней лежат устаревшие сертификаты. В комплекте, ещё предоставляется postman collection, с готовыми методами, Вы можете протестировать сборку через Postman. По поводу клиента, выражаю Вам огромную благодарность. Я могу добавить ссылку на Ваш клиент в документацию, если Вы не против? пн, 7 сент. 2020 г., 22:01 Daniyar Baitursynov <notifications@github.com>:

…

Добрый день! Я пишу Go клиента <https://github.com/danikarik/ncanode-go> для API NCANode. Все методы практически покрыты, кроме RAW.verify. С последним есть сложности, так как получаю Api error: Cannot find certificate issuer от API. Проверяя PKCS12.info заметил что для всех сертификатов от комплекта разработчика от НУЦ (получил 02.09.2020) цепочка в ответе (chain) всегда пустая, что и проводит к ошибке выше. Вопрос: связано ли это как-то с версией библиотеки kalkancrypt? На руках последняя kalkancrypt-0.6.1.jar. Или вопрос к НУЦ и комплекту? Подскажите пжл-та с чего начать проверку. — You are receiving this because you are subscribed to this thread. Reply to this email directly, view it on GitHub <#41>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AIKJ3TLC3HEYHS4IHGMK7C3SET7WVANCNFSM4Q6PU55A> .

[danikarik]

Я не против.

Думаю причина в тестовых корневых сертификатах. В комплекте есть root_gost_test.crt, root_rsa_test.crt, nca_gost_test.crt, nca_rsa_test.crt. Можно как-то занести их в папку ca при сборке Docker образа?

Есть собирать из исходников, версия kalkancrypt не сойдется.

[malikzh]

@danikarik да, без проблем. Вы можете в файле:

NCANode/Dockerfile.build

Line 35 in 40bfee0

RUN cd /opt/ncanode && mkdir -p ca/trusted && cd ca/trusted && wget \

Вот эту строку:

RUN cd /opt/ncanode && mkdir -p ca/trusted && cd ca/trusted && wget \
    http://www.pki.gov.kz/cert/pki_rsa.crt \
    http://www.pki.gov.kz/cert/pki_gost.crt \
    http://www.pki.gov.kz/cert/nca_rsa.crt \
    http://www.pki.gov.kz/cert/nca_gost.crt

Заменить (на что-то вроде):

ADD pki_rsa.crt /opt/ncanode/ca/trusted
ADD pki_gost.crt /opt/ncanode/ca/root

Перед этим, переименуйте свои файлы из pki_rsa_test.crt в pki_rsa.crt.

И по идее всё должно заработать.

[danikarik]

Как насчет переделать Docker.build, чтобы тот брал сертификаты из папки исходников - ca?

Docker.run уже качает с pki.gov.kz и достаточно. Так будет легче с новым пакетом разработчиков.

Могу сделать PR.

[danikarik]

@malikzh заметил ошибку при скачивании сертификатов. Создал #48