Подписание (в автоматическом режиме) запросов в ЕСИА ключом ЭП.

Должно быть выполнено тестирование со следующими вариантами статуса сертификата ключа проверки ЭП:

1. Действительный сертификат компонента ervu-sign-module, изготовленный Удостоверяющим центром – запрос в ЕСИА должен быть успешно отправлен:

    1.1. Установить сертификат в систему, согласно "Инструкции по установке".

    1.2. Открыть приложение - запрос в ЕСИА должен быть успешно отправлен.

2. Проверка статуса сертификата не может быть выполнена, так как в Системе отсутствует CRL, соответствующий Удостоверяющему центру – запрос в ЕСИА не должен быть отправлен:

    2.1. Удалить CRL, соответствующий Удостоверяющему центру, изготовившему сертификат компонента ervu-sign-module, выполнив команду от имени ervu:
    /opt/cprocsp/bin/amd64/certmgr -delete -crl -store ucache -dn uc_fk@roskazna.ru
    /opt/cprocsp/bin/amd64/certmgr -delete -crl -store uca -dn uc_fk@roskazna.ru

    2.2. Отключить доступ к УЦ (например, прописав в /etc/hosts недоступный ip-адрес для хоста УЦ, указанного в свойствах сертификата):
    Пример /etc/hosts:
    127.0.0.1 crl.roskazna.ru

    2.3. Перезапустить сервис подписания ervu-sign-module, чтобы сбросить кэш:
    systemctl restart ervu-sign-module

    2.4. Открыть приложение - запрос в ЕСИА не должен быть отправлен. Пользователю отобразится ошибка.
    
    В логах ЛК РП должно быть следующее:
        Caused by: java.lang.RuntimeException: 500 500 Internal Server Error
        at ru.micord.ervu.security.esia.service.EsiaAuthService.errorHandler(EsiaAuthService.java:351) ~[classes/:1.10.0-SNAPSHOT]
        at ru.micord.ervu.security.esia.service.EsiaAuthService.signMap(EsiaAuthService.java:340) ~[classes/:1.10.0-SNAPSHOT]
        at ru.micord.ervu.security.esia.service.EsiaAuthService.generateAuthCodeUrl(EsiaAuthService.java:101) ~[classes/:1.10.0-SNAPSHOT]
        
    В логах ervu-sign-module должно быть следующее:
        WARN:  The certificate is not trusted. CERT_TRUST_STATUS: '0x00000040'
        ERROR: get_cert_chain exit with error
        ERROR: sign_hash_data exit with error. Last error code: 0x00000000
        ERROR: cryptopro_sign exit with error
        ERROR: sign_content exit with error
        ERROR: response status: '500 Internal Server Error'
        
    CERT_TRUST_STATUS = 0x00000040 (CERT_TRUST_REVOCATION_STATUS_UNKNOWN) означает, что статус отзыва сертификата или одного из сертификатов в цепочке сертификатов неизвестен.

    2.5. Восстановить доступ к УЦ. Все CRL будут автоматически установлены при следующих запросах на подпись.

3. Сертификат действителен, но выдан УЦ, корневой сертификат которого не установлен в системе – запрос в ЕСИА не должен быть отправлен:

    3.1. Получить цепочку сертификатов и SHA1 отпечаток корневого сертификата УЦ, выполнив команду от имени ervu:
    /opt/cprocsp/bin/amd64/certmgr -list -thumbprint 0f948ba2b4866bf92e77f768a01add655daa5748 -chain

    Результатом команды будет цепочка сертификатов с перечнем их свойств, из которого необходимо получить значение поля "SHA1 отпечаток" для одного из корневых сертификатов.

    3.2. Из Системы удалить корневой сертификат Удостоверяющего центра, выполнив команду от имени root. Например, удалить сертификат Минцифры России, выполнив команду от имени root:
    /opt/cprocsp/bin/amd64/certmgr -delete -store mRoot -thumbprint 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a

    3.3. Открыть приложение - запрос в ЕСИА не должен быть отправлен. Пользователю отобразится ошибка.

    В логах ЛК РП должно быть следующее:
        Caused by: java.lang.RuntimeException: 500 500 Internal Server Error
        at ru.micord.ervu.security.esia.service.EsiaAuthService.errorHandler(EsiaAuthService.java:351) ~[classes/:1.10.0-SNAPSHOT]
        at ru.micord.ervu.security.esia.service.EsiaAuthService.signMap(EsiaAuthService.java:340) ~[classes/:1.10.0-SNAPSHOT]
        at ru.micord.ervu.security.esia.service.EsiaAuthService.generateAuthCodeUrl(EsiaAuthService.java:101) ~[classes/:1.10.0-SNAPSHOT]
        
    В логах ervu-sign-module должно быть следующее:
    
        WARN:  The certificate is not trusted. CERT_TRUST_STATUS: '0x00000020'
        ERROR: get_cert_chain exit with error
        ERROR: sign_hash_data exit with error. Last error code: 0x80092004
        ERROR: cryptopro_sign exit with error
        ERROR: sign_content exit with error
        ERROR: response status: '500 Internal Server Error'
        
    CERT_TRUST_STATUS = 0x00000020 (CERT_TRUST_IS_UNTRUSTED_ROOT) означает, что сертификат или цепочка сертификатов основана на ненадежном корневом сертификате.

    3.4. Восстановить все корневые сертификаты, которые были удалены, выполнив для каждого команду от имени root. Для восстановления сертификата Минцифры России выполните команду от имени root:
    /opt/cprocsp/bin/amd64/certmgr -install -store mRoot -file guc2022.crt

    Сертификат Минцифры России доступен по ссылке: http://reestr-pki.ru/cdp/guc2022.crt