Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline koviryalkin  
#1 Оставлено : 25 марта 2019 г. 18:38:00(UTC)
koviryalkin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Здравствуйте!
При установлении соединения с ВУЦ V2.0 иногда вызов ф-ии InitializeSecurityContextA возвращает "E_INTERNAL_ERROR: 0x80090304". Ошибка возникает не всегда, закономерностей на первый взгляд нет. При этом в системном логе наблюдаются следующие сообщения:
Цитата:
...
Mar 24 07:24:39 xxxxxx libssp[21760]: cpcsp: SignHash parameters mismatch
Mar 24 07:24:39 xxxxxx libssp[21760]: libssp: ssl3_send_client_key_exchange CryptSignHash() failed!
Mar 24 07:24:39 xxxxxx libssp[21760]: libssp: AddToMessageLog CryptoPro TLS. Error 0x80090008 calling CSP: Указан неправильный алгоритм.
Mar 24 07:24:39 xxxxxx libssp[21760]: libssp: AddToMessageLog unknown error
...

Возможно, что ошибка стала возникать после перевыпуска серверных ключей и сертификатов по гост 2012.

Версия КриптоПро: CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 OS:Linux CPU:AMD64

Что может быть причиной ошибки? Как побороть?

Отредактировано пользователем 25 марта 2019 г. 18:39:03(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#2 Оставлено : 25 марта 2019 г. 20:29:57(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Попробуйте для начала обновить CSP на клиенте до 4.0.9963.
Знания в базе знаний, поддержка в техподдержке
Offline koviryalkin  
#3 Оставлено : 31 марта 2020 г. 0:39:47(UTC)
koviryalkin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Всем здравствуйте!
Апним тему!

Версии обновлены и на клиенте и на сервере ВУЦ до КриптоПро CSP 4.0.9963.

Ошибка "E_INTERNAL_ERROR: 0x80090304" по прежнему возникает.

Куда смотреть?
Offline Максим Коллегин  
#4 Оставлено : 1 апреля 2020 г. 17:40:16(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Нужно побольше логов. Вы используете сертификаты 2001 года?
Знания в базе знаний, поддержка в техподдержке
Offline koviryalkin  
#5 Оставлено : 7 апреля 2020 г. 11:31:20(UTC)
koviryalkin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Какие логи нужны?
Есть дамп пакетов (отправил в личку). Что еще можно посмотреть и где?
Сертификаты уже выпущены по ГОСТ ...2012.
Offline Максим Коллегин  
#6 Оставлено : 7 апреля 2020 г. 12:11:24(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Дамп посмотрю.
Автор: koviryalkin Перейти к цитате
Какие логи нужны?

Логи CSP(ssp) из syslog.

Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#7 Оставлено : 7 апреля 2020 г. 12:15:44(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А с помощью какого ПО подключаетесь к ВУЦ?
У меня есть ощущение, что при запросе клиентского сертификата, вы иногда выбираете сертификат с ключом 2001 года.
Сможете удалить все контейнеры 2001 года с машины?
Знания в базе знаний, поддержка в техподдержке
Offline koviryalkin  
#8 Оставлено : 7 апреля 2020 г. 15:47:24(UTC)
koviryalkin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Вот что в логе:

Цитата:

Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('0B00') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('0C00') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('0D00') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('0E00') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('0F00') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1000') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1100') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1200') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1300') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1400') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1500') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1600') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1700') fail
Apr 7 15:23:03 localhost java: cpcsp: verify_folder rdr_folder_open('1800') fail
Apr 7 15:23:03 localhost java: cpcsp: read_keyset code==RDR_ERR_FILE_NOT_FOUND fail


А вот это непосредственно в момент ошибки (отладчиком смотрю)
Цитата:

Apr 7 15:23:20 localhost java: cpcsp: SignHash parameters mismatch
Apr 7 15:24:48 localhost java: cpcsp: SignHash parameters mismatch
Offline Максим Коллегин  
#9 Оставлено : 7 апреля 2020 г. 15:58:01(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Включите подробнее лог:
cpconfig –loglevel cpcsp -mask 0xf
Знания в базе знаний, поддержка в техподдержке
Offline koviryalkin  
#10 Оставлено : 7 апреля 2020 г. 16:08:39(UTC)
koviryalkin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: Максим Коллегин Перейти к цитате
А с помощью какого ПО подключаетесь к ВУЦ?
У меня есть ощущение, что при запросе клиентского сертификата, вы иногда выбираете сертификат с ключом 2001 года.
Сможете удалить все контейнеры 2001 года с машины?


У нас своя реализация tls.

На машине у пользователя нет контейнеров. Все Ключи на рутокене.
А что значит "контейнеры 2001 года"?
У пользователя, из под которого запускается клиент, есть три серта с ключами, в обоих написано:
Цитата:
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.