Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
Отправка клиентского сертификата вместе с цепочкой (cert chain) через curl криптопро (schannel)
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Максим Коллегин  
#11 Оставлено : 10 августа 2023 г. 19:12:21(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,377
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
Так пусть установят ваш корневой, без доверия к клиентскому сертификату на сервере аутентификация не пройдет.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline publisher  
#12 Оставлено : 10 августа 2023 г. 19:36:34(UTC)
publisher

Статус: Участник

Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
Ко мне приходила такая же мысль, что им надо наш корневой поставить (минкомсвязи).
Завтра буду уточнять этот вопрос, напишу по результату.
Вам спасибо за помощь -- всегда что-то новое узнаю, читая ваш форум.
Вверх
Offline publisher  
#13 Оставлено : 11 августа 2023 г. 13:10:53(UTC)
publisher

Статус: Участник

Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
Итак, история получила продолжение.
Сегодня мне прислали корневой и промежуточный серты, которые установлены на той стороне.
Я сравнил их с теми, что есть у меня и результат один в один.
Корневой Минкомсвязи:
Код:

certmgr -list -store root -thumbprint aff05c9e2464941e7ec2ab15c91539360b79aa9d

Issuer              : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject             : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Serial              : 0x00EACA32CEF5F979D68D3C4E4F2CC687A4
SHA1 Hash           : aff05c9e2464941e7ec2ab15c91539360b79aa9d
SubjKeyID           : 19778fbb82e66fc85f93f0151d9322a1d6ad0c26
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 02/07/2021  12:41:47 UTC
Not valid after     : 02/07/2039  12:41:47 UTC
PrivateKey Link     : No


Промежуточный ЦБ:
Код:

certmgr -list -store ca -thumbprint fbe33f2e13cc3b72fb8e36a4a03719ea4e3c51bf

Issuer              : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Subject             : C=RU, S=77 г. Москва, L=г. Москва, STREET="ул. Неглинная, д. 12", O=Банк России, CN=Центральный банк Российской Федерации, OGRN=1037700013020, INN=007702235133
Serial              : 0x4C94A5BA0000000005CF
SHA1 Hash           : fbe33f2e13cc3b72fb8e36a4a03719ea4e3c51bf
SubjKeyID           : e32a8b7149692178fbde279355947a99e4b04aa4
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before    : 30/08/2021  12:32:44 UTC
Not valid after     : 30/08/2036  12:32:44 UTC
PrivateKey Link     : No
CA cert URL         : http://reestr-pki.ru/cdp/guc2021.crt
CDP                 : http://reestr-pki.ru/cdp/guc2021.crl
CDP                 : http://company.rt.ru/cdp/guc2021.crl
CDP                 : http://rostelecom.ru/cdp/guc2021.crl


Даже на всякий проверил фомирование цепочки у себя:
Код:
certmgr -list -chain -thumbprint <клиентский отпечаток>

Certificate chain   : Verified successfully.


На той стороне ответили туманно: "не определяется пользователь, то есть проблемы с сертификатом 100%"
Вверх
Offline Максим Коллегин  
#14 Оставлено : 11 августа 2023 г. 13:33:00(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,377
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
Что-то с веб-приложением на той стороне.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline publisher  
#15 Оставлено : 11 августа 2023 г. 13:44:43(UTC)
publisher

Статус: Участник

Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
Там вообще схема достаточно типичная: сначала идет аутентификация по серту, а уже потом в самом приложении по HTTP-заголовку.
Они у себя видят, что все валится на этапе проверки серта, то есть до проверки токена из HTTP-заголовка.

И вот я пытаюсь понять, а какие бы еще наводящие вопросы им задать, чтобы решить вопрос.
Пока ничего умнее, чем попробовать другой клиентский серт я не придумал, на той стороне тоже склоняются к этому.

Может цепочка слишком длинная у меня (в ней 2 УЦ + клиентский серт, итого 3 серта)?
Вверх
Offline Максим Коллегин  
#16 Оставлено : 11 августа 2023 г. 14:18:45(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,377
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
В современных квалифицированных сертификатах цепочка всегда с двумя УЦ.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline publisher  
#17 Оставлено : 11 августа 2023 г. 16:15:31(UTC)
publisher

Статус: Участник

Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
По всей видимости я напал на след.

Тыкал разные параметры в csptest -tlsc и нашел -nonewcred

И код ответа сменился на 403, вместо 401.
Теперь нужно узнать как эту штуку пробросить в curl криптопро и возможно мы на коне.

UPD: Отбой, этот флаг скорее всего вообще ничего не отправляет на сервер, поэтому 403.

Отредактировано пользователем 11 августа 2023 г. 16:31:01(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET