Статус: Участник
Группы: Участники
Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз
|
Здравствуйте. Поднимаю эту тему, так как столкнулся с проблемами на той же самой задаче (двусторонняя авторизация при обмене с zakupki.gov.ru). Есть дистрибутив debian 6.0.7, установлен КриптоПро 3.6 R3 вместе с stunnel. Есть действующий усиленный сертификат, выданный УЦ "Тензор", установлен в HDIMAGE. Корневые сертификаты в ROOT, crl'ы в CA. Пробую тестовый коннект:
/opt/cprocsp/bin/amd64/csptestf -tlsc -server int223.zakupki.gov.ru -port 443 -user "<CN из сертификата>" -v
Client certificate: Subject: C=RU, 1.2.840.113549.1.9.2="******", INN=******, O=******, CN=******, G=******, SN=******, OU=0, E=******, L=******, STREET="******", SNILS=******, T=******, S=******, OGRN=****** Valid : 01.10.2013 12:33:19 - 01.10.2014 12:33:19 (UTC) Issuer : OGRN=1027600787994, INN=007605016030, STREET=Московский проспект д.12, E=root@nalog.tensor.ru, C=RU, S=76 Ярославская область, L=Ярославль, O=ООО Компания Тензор, OU=Удостоверяющий центр, CN=TENSORCA3 PrivKey: 01.10.2013 16:43:00 - 01.01.2015 16:43:00 (UTC)
5 algorithms supported: [0] 1.2.643.2.2.21 (ГОСТ 28147-89) [1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [2] 0x801f [3] 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [4] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) Cipher strengths: 256..256 Supported protocols: 0x80 Protocol version: 3.1 ClientHello: RecordLayer: TLS, Len: 128 Cipher Suites: (00 81) (00 32) (00 31) 133 bytes of handshake data sent 1590 bytes of handshake data received 210 bytes of handshake data sent 31 bytes of handshake data received Handshake was successful SECPKG_ATTR_CIPHER_INFO: Proto: 80, Suite: 81 (TLS_GOST_R_3410_01_WITH_28147_CNT_IMIT) SECPKG_ATTR_NAMES: C=RU, S=г. Москва, L=Москва, O="ООО ""ОНЛАНТА""", OU=служба информационной безопасности, G=gov ru, SN=int223.zakupki.gov.ru, T=руководитель СИБ, CN=int223.zakupki.gov.ru SECPKG_ATTR_PACKAGE_INFO not supported.
Server certificate: Subject: C=RU, S=г. Москва, L=Москва, O="ООО ""ОНЛАНТА""", OU=служба информационной безопасности, G=gov ru, SN=int223.zakupki.gov.ru, T=руководитель СИБ, CN=int223.zakupki.gov.ru Valid : 06.03.2013 07:05:40 - 06.03.2014 07:05:40 (UTC) Issuer : E=uuc_fk@roskazna.ru, STREET=ул. Ильинка д.7, L=г. Москва, 1.2.840.113549.1.9.2="#0C8191D094D0B0D0BDD0BDD18BD0B920D181D0B5D180D182D0B8D184D0B8D0BAD0B0D18220D0BED182D0BAD180D18BD182D0BED0B3D0BE20D0BAD0BBD18ED187D0B020D0B8D181D0BFD0BED0BBD18CD0B7D183D0B5D182D181D18F20D181D0BE20D181D180D0B5D0B4D181D182D0B2D0BED0BC20D0A1D09AD097D09820D09AD180D0B8D0BFD182D0BE20D09FD180D0BE20435350", C=RU, OU=Управление режима секретности и безопасности информации, O=Федеральное казначейство, CN=Уполномоченный удостоверяющий центр Федерального казначейства Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy! An error occurred in running the program. /dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:610:Error authenticating server credentials! Error number 0x800b010f (2148204815). The certificate's CN name does not match the passed value. Total: [ErrorCode: 0x800b010f]
Насколько я понимаю, ругается на то, что имя сервера не совпадает с полем CN сертификата, хотя видно, что оно совпадает. Если добавить опцию -nocheck, всё проходит как по маслу:
Client certificate: Subject: C=RU, 1.2.840.113549.1.9.2="******", INN=******, O=******, CN=******, G=******, SN=******, OU=0, E=******, L=******, STREET="******", SNILS=******, T=******, S=******, OGRN=****** Valid : 01.10.2013 12:33:19 - 01.10.2014 12:33:19 (UTC) Issuer : OGRN=1027600787994, INN=007605016030, STREET=Московский проспект д.12, E=root@nalog.tensor.ru, C=RU, S=76 Ярославская область, L=Ярославль, O=ООО Компания Тензор, OU=Удостоверяющий центр, CN=TENSORCA3 PrivKey: 01.10.2013 16:43:00 - 01.01.2015 16:43:00 (UTC)
5 algorithms supported: [0] 1.2.643.2.2.21 (ГОСТ 28147-89) [1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [2] 0x801f [3] 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [4] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) Cipher strengths: 256..256 Supported protocols: 0x80 Protocol version: 3.1 ClientHello: RecordLayer: TLS, Len: 128 Cipher Suites: (00 81) (00 32) (00 31) 133 bytes of handshake data sent 1590 bytes of handshake data received 210 bytes of handshake data sent 31 bytes of handshake data received Handshake was successful SECPKG_ATTR_CIPHER_INFO: Proto: 80, Suite: 81 (TLS_GOST_R_3410_01_WITH_28147_CNT_IMIT) SECPKG_ATTR_NAMES: C=RU, S=г. Москва, L=Москва, O="ООО ""ОНЛАНТА""", OU=служба информационной безопасности, G=gov ru, SN=int223.zakupki.gov.ru, T=руководитель СИБ, CN=int223.zakupki.gov.ru SECPKG_ATTR_PACKAGE_INFO not supported.
Server certificate: Subject: C=RU, S=г. Москва, L=Москва, O="ООО ""ОНЛАНТА""", OU=служба информационной безопасности, G=gov ru, SN=int223.zakupki.gov.ru, T=руководитель СИБ, CN=int223.zakupki.gov.ru Valid : 06.03.2013 07:05:40 - 06.03.2014 07:05:40 (UTC) Issuer : E=uuc_fk@roskazna.ru, STREET=ул. Ильинка д.7, L=г. Москва, 1.2.840.113549.1.9.2="#0C8191D094D0B0D0BDD0BDD18BD0B920D181D0B5D180D182D0B8D184D0B8D0BAD0B0D18220D0BED182D0BAD180D18BD182D0BED0B3D0BE20D0BAD0BBD18ED187D0B020D0B8D181D0BFD0BED0BBD18CD0B7D183D0B5D182D181D18F20D181D0BE20D181D180D0B5D0B4D181D182D0B2D0BED0BC20D0A1D09AD097D09820D09AD180D0B8D0BFD182D0BE20D09FD180D0BE20435350", C=RU, OU=Управление режима секретности и безопасности информации, O=Федеральное казначейство, CN=Уполномоченный удостоверяющий центр Федерального казначейства
Protocol: TLS 1.0 Cipher: 0x661e Cipher strength: 256 Hash: 0x801e Hash strength: 256 Key exchange: 0xaa25 Key exchange strength: 512
Header: 5, Trailer: 4, MaxMessage: 16379
HTTP request: GET / HTTP/1.1 User-Agent: Webclient Accept:*/* Host: int223.zakupki.gov.ru Connection: close
Sending plaintext: 101 bytes 110 bytes of application data sent 515 bytes of (encrypted) application data received Decrypted data: 321 bytes Extra data: 185 bytes Decrypted data: 176 bytes No data in socket: OK if file is completely downloaded Reply status: HTTP/1.1 200 OK Sending Close Notify 11 bytes of handshake data sent 1 connections, 497 bytes in 0.059 seconds; Total: [ErrorCode: 0x00000000]
Соответственно, при коннекте через stunnel проблемы те же, что видно в логе stunnel. Подскажите пожалуйста, куда копать, свои идеи закончились.
|