Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Dmitriy Gorchakov  
#1 Оставлено : 5 ноября 2020 г. 12:03:51(UTC)
Dmitriy Gorchakov

Статус: Участник

Группы: Участники
Зарегистрирован: 11.01.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Добрый день, имеется вот такой ключ сформированный на https://testgost2012.cryptopro.ru/certsrv/
Цитата:

3-------
Issuer : OGRN=1234567890123, INN=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Subject : E=dmitriy@domain.ru, CN=dmitriy, OU=spb, O=spb, L=spb
Serial : 0x7C00015F867824AE1584C9B253000100015F86
SHA1 Hash : 1d4fc07ce4cdfa8448f5ab6b45285eddbd21daef
SubjKeyID : 1e4c76bedb4b4e6b2c16b3f1ec0f461f534b2443
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 03/11/2020 14:04:49 UTC
Not valid after : 03/02/2021 14:14:49 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\804d17d9.000\207F
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL : http://testgost2012.cryp.../CertEnroll/root2018.crt
OCSP URL : http://testgost2012.cryp...ro.ru/ocsp2012g/ocsp.srf
OCSP URL : http://testgost2012.cryp....ru/ocsp2012gst/ocsp.srf
CDP : http://testgost2012.cryptopro.ru/CertEnroll/!0422!0435!0441!0442!043e!0432!044b!0439%20!0423!0426%20!041e!041e!041e%20!0022!041a!0420!0418!041f!0422!041e-!041f!0420!041e!0022(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2

Надо проверить подключение до https://zoe-api.fincert....ru/api/v1/account/login. Соответственно выполняю команду и получаю вот такой ответ:
Цитата:

[root@centos7 amd64]# sudo -u stunnel ./curl -v -E 1d4fc07ce4cdfa8448f5ab6b45285eddbd21daef https://zoe-api.fincert.....ru/api/v1/account/login
* About to connect() to zoe-api.fincert.cbr.ru port 443 (#0)
* Trying 212.40.223.94... connected
* Connected to zoe-api.fincert.cbr.ru (212.40.223.94) port 443 (#0)
* Closing connection #0
* Problem with the local SSL certificate
curl: (58) Problem with the local SSL certificate

Подскажите пожалуйста с чем связано такое поведение?

Отредактировано пользователем 5 ноября 2020 г. 12:09:35(UTC)  | Причина: Не указана

Offline Dmitriy Gorchakov  
#2 Оставлено : 5 ноября 2020 г. 14:18:57(UTC)
Dmitriy Gorchakov

Статус: Участник

Группы: Участники
Зарегистрирован: 11.01.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
на вот такой запрос:
Цитата:
sudo -u stunnel ./csptest -tlsc -server zoe-api.fincert.cbr.ru -port 443 -v -v --cert 1d4fc07ce4cdfa8448f5ab6b45285eddbd21daef

получаю вот такой ответ:
Цитата:

8 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[03] 0x801f 0x8000
[04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 109
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
114 bytes of handshake data sent
0000 16 03 01 00 6d 01 00 00 69 03 03 5f a3 de 7e bb ....m...i.._..~.
0010 2b 37 26 07 c3 2a cb 37 92 31 63 e9 f5 9a 4b 25 +7&..*.7.1c...K%
0020 7a 98 2e 6d 0b c0 c7 e5 6a dc d7 00 00 08 ff 85 z..m....j.......
0030 00 81 00 32 00 31 01 00 00 38 ff 01 00 01 00 00 ...2.1...8......
0040 23 00 00 00 00 00 1b 00 19 00 00 16 7a 6f 65 2d #...........zoe-
0050 61 70 69 2e 66 69 6e 63 65 72 74 2e 63 62 72 2e api.fincert.cbr.
0060 72 75 00 17 00 00 00 0d 00 08 00 06 ee ee ef ef ru..............
0070 ed ed ..
...пропустил...
31 bytes of handshake data received
0000 14 03 03 00 01 01 16 03 03 00 14 d6 11 e0 e2 8f ................
0010 d4 a4 5e 66 25 b1 78 f7 c8 28 28 3a a5 80 88 ..^f%.x..((:...

Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2012 256), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2012 256), KeyType: 0
SECPKG_ATTR_NAMES: 1.2.643.100.111="#0C818AD0A1D0A0D095D094D0A1D0A2D092D09E20D09AD0A0D098D09FD0A2D09ED093D0A0D090D0A4D098D0A7D095D0A1D09AD09ED09920D097D090D0A9D098D0A2D0AB20D098D09DD0A4D09ED0A0D09CD090D0A6D098D0982022D09AD09ED09DD0A2D098D09DD095D09DD0A220544C532DD0A1D095D0A0D092D095D0A02220D092D095D0A0D0A1D098D0AF2032", C=RU, S=77 г. Москва, L=Москва, O=БАНК РОССИИ, STREET="ул. Неглинная, дом 12", CN=zoe-api.fincert.cbr.ru, INN=007702235133, OGRN=1037700013020
SECPKG_ATTR_PACKAGE_INFO not supported.

Server certificate:
Subject: 1.2.643.100.111="#0C818AD0A1D0A0D095D094D0A1D0A2D092D09E20D09AD0A0D098D09FD0A2D09ED093D0A0D090D0A4D098D0A7D095D0A1D09AD09ED09920D097D090D0A9D098D0A2D0AB20D098D09DD0A4D09ED0A0D09CD090D0A6D098D0982022D09AD09ED09DD0A2D098D09DD095D09DD0A220544C532DD0A1D095D0A0D092D095D0A02220D092D095D0A0D0A1D098D0AF2032", C=RU, S=77 г. Москва, L=Москва, O=БАНК РОССИИ, STREET="ул. Неглинная, дом 12", CN=zoe-api.fincert.cbr.ru, INN=007702235133, OGRN=1037700013020
Valid : 25.07.2019 08:18:03 - 25.11.2020 23:59:00 (UTC)
Issuer : DC=ru, DC=cbr, DC=region, OU=PKI, OU=GUBZI, CN=ROOTsvc-CA-test
PrivKey: 25.07.2019 08:18:03 - 25.10.2020 23:59:00 (UTC) expired
Error 0x800b010a (CERT_E_CHAINING) returned by CertVerifyCertificateChainPolicy!
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:769:Error authenticating server credentials!
Error number 0x800b010a (2148204810).
A certificate chain could not be built to a trusted root authority.
Total: SYS: 0.010 sec USR: 0.110 sec UTC: 0.180 sec
[ErrorCode: 0x800b010a]

Интересно, что приватный ключ протух (PrivKey: 25.07.2019 08:18:03 - 25.10.2020 23:59:00 (UTC) expired) но еще более интереснее почему "A certificate chain could not be built to a trusted root authority." и не только с ними.

Отредактировано пользователем 5 ноября 2020 г. 14:19:43(UTC)  | Причина: Не указана

Offline two_oceans  
#3 Оставлено : 6 ноября 2020 г. 6:33:53(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,153
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 264 раз в 248 постах
Автор: Dmitriy Gorchakov Перейти к цитате
Интересно, что приватный ключ протух (PrivKey: 25.07.2019 08:18:03 - 25.10.2020 23:59:00 (UTC) expired) но еще более интереснее почему "A certificate chain could not be built to a trusted root authority." и не только с ними.
Все логично, согласно закона об электронной подписи максимальный срок использования закрытого ключа 1 год 3 месяца (если ключ не находится в аппаратном устройстве с неизвлекаемыми ключами, для которых максимальный срок 3 года; есть разные понятия как отсчитывать 1 год 3 месяца, дающие до 4 дней разницы, кто-то отсчитывает месяцы по календарю (454-458 дней), кто-то фиксированно 456 или 457 дней; время суток также не регламентировано - но от 25 июля 2019 года срок уже прошел по всем вариантам), а они выпустили сам сертификат на 1 год 4 месяца. Гениально. Соответственно закрытый ключ протух на месяц скорее чем сертификат, а они наверно по самому сертификату срок смотрят, а не по сроку закрытого ключа в сертификате.

При расчете цепочки учитывается, что текущая дата попадает в промежуток актуальности каждого сертификата в цепочке. Похоже в данном случае, период закрытого ключа также ограничивает промежуток актуальности (это уже зависит каким СКЗИ проверять).

Отредактировано пользователем 6 ноября 2020 г. 6:42:15(UTC)  | Причина: Не указана

Offline Dmitriy Gorchakov  
#4 Оставлено : 6 ноября 2020 г. 10:00:05(UTC)
Dmitriy Gorchakov

Статус: Участник

Группы: Участники
Зарегистрирован: 11.01.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Автор: two_oceans Перейти к цитате
Автор: Dmitriy Gorchakov Перейти к цитате
Интересно, что приватный ключ протух (PrivKey: 25.07.2019 08:18:03 - 25.10.2020 23:59:00 (UTC) expired) но еще более интереснее почему "A certificate chain could not be built to a trusted root authority." и не только с ними.
Все логично, согласно закона об электронной подписи максимальный срок использования закрытого ключа 1 год 3 месяца (если ключ не находится в аппаратном устройстве с неизвлекаемыми ключами, для которых максимальный срок 3 года; есть разные понятия как отсчитывать 1 год 3 месяца, дающие до 4 дней разницы, кто-то отсчитывает месяцы по календарю (454-458 дней), кто-то фиксированно 456 или 457 дней; время суток также не регламентировано - но от 25 июля 2019 года срок уже прошел по всем вариантам), а они выпустили сам сертификат на 1 год 4 месяца. Гениально. Соответственно закрытый ключ протух на месяц скорее чем сертификат, а они наверно по самому сертификату срок смотрят, а не по сроку закрытого ключа в сертификате.

При расчете цепочки учитывается, что текущая дата попадает в промежуток актуальности каждого сертификата в цепочке. Похоже в данном случае, период закрытого ключа также ограничивает промежуток актуальности (это уже зависит каким СКЗИ проверять).


Странно получается, что у них 2 сертификата(видимо 2 сервера балансируются), так как при нескольких запросах получается такая картина:


Хорошо, пусть будет так, допустим эта штука не работает у них, но я пробую делать запрос к другому ендпоинту и там уже проблема с цепочкой сертов, что тут то не так?:
Offline Dmitriy Gorchakov  
#5 Оставлено : 6 ноября 2020 г. 10:06:52(UTC)
Dmitriy Gorchakov

Статус: Участник

Группы: Участники
Зарегистрирован: 11.01.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Забыл указать, что промежуточный сертификат от ЭТП ГПБ КОНСАЛТИНГ и корневой от Минкомсвязь России есть:
Цитата:

sudo -u stunnel ./certmgr -list -store mca -thumbprint 190dfda6408d8b0e2187a5f52344f1e6f3776e3d

Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : E=ca@etpgpb.ru, OGRN=5167746487651, INN=007728356929, C=RU, S=77 Москва, L=г. Москва, STREET="улица Миклухо-Маклая, дом 40, эт.1 пом.IV ком.20", O="ООО ""ЭТП ГПБ КОНСАЛТИНГ""", CN="ООО ""ЭТП ГПБ КОНСАЛТИНГ"""
Serial : 0x00EF6A102C000000000389
SHA1 Hash : 190dfda6408d8b0e2187a5f52344f1e6f3776e3d
SubjKeyID : 8197b43490f1462b9be1ebddb4948b8cc599f554
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 26/12/2019 11:00:38 UTC
Not valid after : 26/12/2034 11:00:38 UTC
PrivateKey Link : No
CA cert URL : http://reestr-pki.ru/cdp/guc_gost12.crt
CDP : http://reestr-pki.ru/cdp/guc_gost12.crl
CDP : http://company.rt.ru/cdp/guc_gost12.crl
CDP : http://rostelecom.ru/cdp/guc_gost12.crl
=============================================================================

[ErrorCode: 0x00000000]

sudo -u stunnel ./certmgr -list -store mroot -thumbprint 4bc6dc14d97010c41a26e058ad851f81c842415a

Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Serial : 0x4E6D478B26F27D657F768E025CE3D393
SHA1 Hash : 4bc6dc14d97010c41a26e058ad851f81c842415a
SubjKeyID : c254f1b46bd44cb7e06d36b42390f1fec33c9b06
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 06/07/2018 12:18:06 UTC
Not valid after : 01/07/2036 12:18:06 UTC
PrivateKey Link : No
=============================================================================

[ErrorCode: 0x00000000]
Offline two_oceans  
#6 Оставлено : 6 ноября 2020 г. 13:03:26(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,153
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 76 раз
Поблагодарили: 264 раз в 248 постах
У сертификата сервера:
Цитата:
Issuer : DC=ru, DC=cbr, DC=region, OU=PKI, OU=GUBZI, CN=ROOTsvc-CA-test
промежуточный сертификат от ЭТП ГПБ КОНСАЛТИНГ вряд ли с ним поможет.
Offline Dmitriy Gorchakov  
#7 Оставлено : 6 ноября 2020 г. 13:10:31(UTC)
Dmitriy Gorchakov

Статус: Участник

Группы: Участники
Зарегистрирован: 11.01.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Автор: two_oceans Перейти к цитате
У сертификата сервера:
Цитата:
Issuer : DC=ru, DC=cbr, DC=region, OU=PKI, OU=GUBZI, CN=ROOTsvc-CA-test
промежуточный сертификат от ЭТП ГПБ КОНСАЛТИНГ вряд ли с ним поможет.


так вот с сожалению для этих сертов тоже есть все, брал отсюда https://www.cbr.ru/lk_uio/requisites_certificates/ =)

Цитата:

[root@centos7 amd64]# sudo -u stunnel ./certmgr -list -store mRoot -thumbprint 'ee08bee28bacd82fb85e85afeb2b14883aba6cd3'
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : OGRN=1127746036494, INN=007722766598, C=RU, S=77 г. Москва, L=Москва, STREET="ул. Авиамоторная, д. 8А, стр. 5", O=ЗАО «Национальный удостоверяющий центр», CN=ЗАО «Национальный удостоверяющий центр»
Serial : 0x1830B34E000000000142
SHA1 Hash : ee08bee28bacd82fb85e85afeb2b14883aba6cd3
SubjKeyID : ec81c200b4b616e70e1b6a07ed3ac107507e1986
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 24/10/2018 12:47:56 UTC
Not valid after : 24/10/2033 12:47:56 UTC
PrivateKey Link : No
CA cert URL : http://reestr-pki.ru/cdp/guc_gost12.crt
CDP : http://reestr-pki.ru/cdp/guc_gost12.crl
CDP : http://company.rt.ru/cdp/guc_gost12.crl
CDP : http://rostelecom.ru/cdp/guc_gost12.crl
=============================================================================

[ErrorCode: 0x00000000]

[root@centos7 amd64]# sudo -u stunnel ./certmgr -list -store mRoot -thumbprint '4bc6dc14d97010c41a26e058ad851f81c842415a'
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Serial : 0x4E6D478B26F27D657F768E025CE3D393
SHA1 Hash : 4bc6dc14d97010c41a26e058ad851f81c842415a
SubjKeyID : c254f1b46bd44cb7e06d36b42390f1fec33c9b06
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 06/07/2018 12:18:06 UTC
Not valid after : 01/07/2036 12:18:06 UTC
PrivateKey Link : No
=============================================================================

[ErrorCode: 0x00000000]

[root@centos7 amd64]# sudo -u stunnel ./certmgr -list -store mRoot -thumbprint '1472eaf868f7ed0dc413c63a3400b0b96dad415b'
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : OGRN=1127746036494, INN=007722766598, C=RU, S=77 г. Москва, L=Москва, STREET="ул. Авиамоторная, д. 8А, стр. 5", O=ЗАО «Национальный удостоверяющий центр», CN=ЗАО «Национальный удостоверяющий центр»
Subject : I=00000, INN=007702235133, OGRN=1037700013020, O=БАНК РОССИИ, STREET="ул. Неглинная, д.12", L=Москва, S=77 г. Москва, C=RU, CN=БАНК РОССИИ
Serial : 0x00E1036E1B07E0FB80EA117507E949BE34
SHA1 Hash : 1472eaf868f7ed0dc413c63a3400b0b96dad415b
SubjKeyID : c644d02a6168aca326c2687c44dbd7efa1ba7557
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/11/2019 06:47:38 UTC
Not valid after : 15/11/2020 06:57:38 UTC
PrivateKey Link : No
OCSP URL : http://ocsp3.ncarf.ru/ocsp/ocsp.srf
CA cert URL : http://www.ncarf.ru/download/zaonucpak3.cer
CDP : http://www.ncarf.ru/download/zaonucpak3.crl
CDP : http://cdp.ncarf.ru/download/zaonucpak3.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.4
1.2.643.2.2.34.6
1.3.6.1.5.5.7.3.2
1.2.643.2.2.34.25
1.3.6.1.4.1.10244.4.2.1
=============================================================================

[ErrorCode: 0x00000000]

Отредактировано пользователем 6 ноября 2020 г. 13:13:48(UTC)  | Причина: Не указана

Offline Александр Лавник  
#8 Оставлено : 6 ноября 2020 г. 13:58:04(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,250
Мужчина
Российская Федерация

Сказал «Спасибо»: 38 раз
Поблагодарили: 518 раз в 493 постах
Автор: Dmitriy Gorchakov Перейти к цитате
на вот такой запрос:
Цитата:
sudo -u stunnel ./csptest -tlsc -server zoe-api.fincert.cbr.ru -port 443 -v -v --cert 1d4fc07ce4cdfa8448f5ab6b45285eddbd21daef

получаю вот такой ответ:
Цитата:

8 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[03] 0x801f 0x8000
[04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 109
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
114 bytes of handshake data sent
0000 16 03 01 00 6d 01 00 00 69 03 03 5f a3 de 7e bb ....m...i.._..~.
0010 2b 37 26 07 c3 2a cb 37 92 31 63 e9 f5 9a 4b 25 +7&..*.7.1c...K%
0020 7a 98 2e 6d 0b c0 c7 e5 6a dc d7 00 00 08 ff 85 z..m....j.......
0030 00 81 00 32 00 31 01 00 00 38 ff 01 00 01 00 00 ...2.1...8......
0040 23 00 00 00 00 00 1b 00 19 00 00 16 7a 6f 65 2d #...........zoe-
0050 61 70 69 2e 66 69 6e 63 65 72 74 2e 63 62 72 2e api.fincert.cbr.
0060 72 75 00 17 00 00 00 0d 00 08 00 06 ee ee ef ef ru..............
0070 ed ed ..
...пропустил...
31 bytes of handshake data received
0000 14 03 03 00 01 01 16 03 03 00 14 d6 11 e0 e2 8f ................
0010 d4 a4 5e 66 25 b1 78 f7 c8 28 28 3a a5 80 88 ..^f%.x..((:...

Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2012 256), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2012 256), KeyType: 0
SECPKG_ATTR_NAMES: 1.2.643.100.111="#0C818AD0A1D0A0D095D094D0A1D0A2D092D09E20D09AD0A0D098D09FD0A2D09ED093D0A0D090D0A4D098D0A7D095D0A1D09AD09ED09920D097D090D0A9D098D0A2D0AB20D098D09DD0A4D09ED0A0D09CD090D0A6D098D0982022D09AD09ED09DD0A2D098D09DD095D09DD0A220544C532DD0A1D095D0A0D092D095D0A02220D092D095D0A0D0A1D098D0AF2032", C=RU, S=77 г. Москва, L=Москва, O=БАНК РОССИИ, STREET="ул. Неглинная, дом 12", CN=zoe-api.fincert.cbr.ru, INN=007702235133, OGRN=1037700013020
SECPKG_ATTR_PACKAGE_INFO not supported.

Server certificate:
Subject: 1.2.643.100.111="#0C818AD0A1D0A0D095D094D0A1D0A2D092D09E20D09AD0A0D098D09FD0A2D09ED093D0A0D090D0A4D098D0A7D095D0A1D09AD09ED09920D097D090D0A9D098D0A2D0AB20D098D09DD0A4D09ED0A0D09CD090D0A6D098D0982022D09AD09ED09DD0A2D098D09DD095D09DD0A220544C532DD0A1D095D0A0D092D095D0A02220D092D095D0A0D0A1D098D0AF2032", C=RU, S=77 г. Москва, L=Москва, O=БАНК РОССИИ, STREET="ул. Неглинная, дом 12", CN=zoe-api.fincert.cbr.ru, INN=007702235133, OGRN=1037700013020
Valid : 25.07.2019 08:18:03 - 25.11.2020 23:59:00 (UTC)
Issuer : DC=ru, DC=cbr, DC=region, OU=PKI, OU=GUBZI, CN=ROOTsvc-CA-test
PrivKey: 25.07.2019 08:18:03 - 25.10.2020 23:59:00 (UTC) expired
Error 0x800b010a (CERT_E_CHAINING) returned by CertVerifyCertificateChainPolicy!
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:769:Error authenticating server credentials!
Error number 0x800b010a (2148204810).
A certificate chain could not be built to a trusted root authority.
Total: SYS: 0.010 sec USR: 0.110 sec UTC: 0.180 sec
[ErrorCode: 0x800b010a]

Интересно, что приватный ключ протух (PrivKey: 25.07.2019 08:18:03 - 25.10.2020 23:59:00 (UTC) expired) но еще более интереснее почему "A certificate chain could not be built to a trusted root authority." и не только с ними.

В данном случае Вам нужно установить в хранилище сертификатов root (Доверенные корневые центры сертификации) корневой сертификат:

Issuer : DC=ru, DC=cbr, DC=region, OU=PKI, OU=GUBZI, CN=ROOTsvc-CA-test

который выдал сертификат для web-сервера:

C=RU, S=77 г. Москва, L=Москва, O=БАНК РОССИИ, STREET="ул. Неглинная, дом 12", CN=zoe-api.fincert.cbr.ru, INN=007702235133, OGRN=1037700013020

Где взять этот корневой сертификат - отдельный вопрос, на который у меня лично нет ответа.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Dmitriy Gorchakov оставлено 06.11.2020(UTC)
Offline Александр Лавник  
#9 Оставлено : 6 ноября 2020 г. 14:00:45(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,250
Мужчина
Российская Федерация

Сказал «Спасибо»: 38 раз
Поблагодарили: 518 раз в 493 постах
Автор: Dmitriy Gorchakov Перейти к цитате
Автор: two_oceans Перейти к цитате
Автор: Dmitriy Gorchakov Перейти к цитате
Интересно, что приватный ключ протух (PrivKey: 25.07.2019 08:18:03 - 25.10.2020 23:59:00 (UTC) expired) но еще более интереснее почему "A certificate chain could not be built to a trusted root authority." и не только с ними.
Все логично, согласно закона об электронной подписи максимальный срок использования закрытого ключа 1 год 3 месяца (если ключ не находится в аппаратном устройстве с неизвлекаемыми ключами, для которых максимальный срок 3 года; есть разные понятия как отсчитывать 1 год 3 месяца, дающие до 4 дней разницы, кто-то отсчитывает месяцы по календарю (454-458 дней), кто-то фиксированно 456 или 457 дней; время суток также не регламентировано - но от 25 июля 2019 года срок уже прошел по всем вариантам), а они выпустили сам сертификат на 1 год 4 месяца. Гениально. Соответственно закрытый ключ протух на месяц скорее чем сертификат, а они наверно по самому сертификату срок смотрят, а не по сроку закрытого ключа в сертификате.

При расчете цепочки учитывается, что текущая дата попадает в промежуток актуальности каждого сертификата в цепочке. Похоже в данном случае, период закрытого ключа также ограничивает промежуток актуальности (это уже зависит каким СКЗИ проверять).


Странно получается, что у них 2 сертификата(видимо 2 сервера балансируются), так как при нескольких запросах получается такая картина:


Хорошо, пусть будет так, допустим эта штука не работает у них, но я пробую делать запрос к другому ендпоинту и там уже проблема с цепочкой сертов, что тут то не так?:

А с bankgate-gost.etpgpb.ru Вы не можете соединится, так как у Вас нет подходящего личного сертификата, который должен быть выдан одним из перечисленных удостоверяющих центров - в выводе команды Issuer 0-28.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
Dmitriy Gorchakov оставлено 06.11.2020(UTC)
Offline Dmitriy Gorchakov  
#10 Оставлено : 6 ноября 2020 г. 14:04:05(UTC)
Dmitriy Gorchakov

Статус: Участник

Группы: Участники
Зарегистрирован: 11.01.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Я вас понял, спасибо, попробую связаться с поставщиками и запросить у них нужные сертификаты.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.