Почему находится сертификат КриптоПро, но отсутствуют корневые сертификаты и как это исправить?

Question

[Дмитрий Кузнецов]

Добрый день. Краткое расскажу что произошло.
С переходом всех сертификатов на ФНС на сервере перестали работать сертификаты. Они отображаются в сертификатах (cptools), но почему-то, судя по ошибкам, у сертификатов отсутствуют корневые сертификаты.

В итоге:
1. Есть флешка-носитель со всеми сертификатами.
2. В "контейнерах" (cptools) они отображаются (считыватель Aktiv Rutoken Lite)

некоторые данные тестирование контейнера

сертификат в контейнере
соответствует закрытому ключу да

цепочка сертификата проверена
сертификат в хранилище my

3. Есть установленный сертификат из контейнера и он ссылается на контейнер из флешки-носителя.

Некоторые логи сертификата

Встроенная лицензия : КриптоПро CSP
Ссылка на ключ : Есть
Контейнер : SCARD\rutoken_lt_######

Цепочка сертификатов: Успешно проверена.

4. Через код (будет ниже) сертификат находится, но почему то не находит корневые сертификаты.

Вот PHP (7.2) код, который я использовал для тестирования:

$store = new CPStore();
        $store->Open(CURRENT_USER_STORE, "My", STORE_OPEN_READ_ONLY);
        $store = $store->get_Certificates();
        $thumbprint = 'sha1_key';
        $serts = $store->Find(CERTIFICATE_FIND_SHA1_HASH, $thumbprint, 0);

        if ($serts->Count()) {
            $sert = $serts->Item(1);
        } else {
            dd('not sert');
        }

        $signer = new CPSigner();
        $signer->set_Certificate($sert);
        $signedData = new CPSignedData();
        $signedData->set_ContentEncoding(BASE64_TO_BINARY);
        $signedData->set_Content(base64_encode(base64_decode('test')));

        $signedMessage = $signedData->SignCades($signer, CADES_BES, true, 0);   // <--- Вот тут и начинается проблема

        dd(str_replace(["\r\n", "\n", "\r"], '', $signedMessage));

Сертификат сам находится, но когда пытается добавить подпись к файлу, то ругается на отсутствие корневых сертификатов.

A certificate chain could not be built to a trusted root authority. (0x800B010A)

Помогите пожалуйста кто в этом разбирается. Уже пробовал многие варианты установки сертификатов (почти неделю мучаюсь с этим). Заранее огромная благодарность откликнувшимся.

В дополнение хочу добавить:
Сервер на Debian, php - 7.3. ФНС и Мин.цифр сертификаты установлены.

Answer 1

[CityCat4]

Ошибка certificate chain cannot be built - это однозначно отсутствие корневого сертификата для проверки текущего. Начинаем с простого - где в этом случае ищутся корневые сертификаты и какие сертификаты являются для проверяемого корневыми?
Если выпускающий сертификат - не корневой, то есть он сам кем-то еще выпускался, то цепочка будет строиться выше - до первого корневого сертификата и все они должны присутствовать в хранилище.

Comments

[Дмитрий Кузнецов]

При проверки нужного сертификата, в разделе "Цепочка сертификата", выводится, что всё "ок" и все корневые сертификаты (Минцифры и ФНС) успешно проверены. Т.е. всё как бы установлено нормально.
Так же проверил "Личные сертификаты", "Доверенные корневые центры сертификации" и "Промежуточные центры сертификации" - всё там есть.

[CityCat4]

Дмитрий Кузнецов, Это Вы хранилище винды проверили, что ли? Скрипт разве на винде выполняется? Скрипт выполняется на дебиане и именно там нужно добавлять корневые.

[Дмитрий Кузнецов]

CityCat4, нет, это на сервере

[CityCat4]

А, это FF так выдает. Но вопрос был в том - где ищет корневые скрипт? Может ему нужно параметром указать?

[Дмитрий Кузнецов]

CityCat4, FF? Что это?

Но вопрос был в том - где ищет корневые скрипт?

Вопрос интересный. Если быть честным, то я не знаю точно, раньше такой код работал. Всё началось с того, что корневым сертификатом стал от минцифров.
На всякий случай я установил корневые сертификаты во все места в cptools (личные, доверенные, промежуточные).

[CityCat4]

Дмитрий Кузнецов, тут варинатов два - либо скрипту нужно параметр указывать, либо есть некое хранилище, где раньше все лежало, но минцифров там не лежит

[Дмитрий Кузнецов]

тут варинатов два - либо скрипту нужно параметр указывать

Не уверен, но всё возможно. К сожалению информации по этой php либе крайне мало...

либо есть некое хранилище, где раньше все лежало, но минцифров там не лежит

То же об этом думал. Но как мне помнится - ни чего такого не поменялось. Установка сертификатов осталась прежней.


Во всех верхних 4-ёх варианта расположения сертификатов - везде есть нужные корневые сертификаты.

[CityCat4]

К сожалению информации по этой php либе крайне мало...

Лезь в код, ищи где либа вызывает openssl для проверки сертификата и что указывает (если что-то указывает) как каталог корневых. Если там есть параметр указания хранилища, то там может быть все, что угодно.

[Дмитрий Кузнецов]

CityCat4, не думал что придётся лезть в код php библиотеки. Думал обойдусь малой кровью. В любом случае спасибо за наводку.

[CityCat4]

Дмитрий Кузнецов, Обычно, когда либа мало документирована, приходится в сырцах ковыряться, чтобы понять - как это работает...

[Дмитрий Кузнецов]

CityCat4, согласен. Просто на это особо времени нет, задачи горят. Предположил, что на данном форуме есть знатоки, которые сталкивались с этим и смогут помочь.