Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Максим Коллегин  
#11 Оставлено : 11 февраля 2014 г. 14:02:42(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Попробовал и x64 и обновление с перезагрузкой R2 на R4 - не воспроизводится...
Знания в базе знаний, поддержка в техподдержке
Offline naa  
#12 Оставлено : 11 февраля 2014 г. 14:35:21(UTC)
naa

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.02.2014(UTC)
Сообщений: 7
Российская Федерация

У меня это воспроизводилось на двух машинах. https именно с серверным сертификатом. да - сам сертификат был не валидный. Если будет возможность - попробую сделать образ.
Offline Максим Коллегин  
#13 Оставлено : 11 февраля 2014 г. 14:40:16(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А вот с этого места поподробнее.
Знания в базе знаний, поддержка в техподдержке
Offline naa  
#14 Оставлено : 11 февраля 2014 г. 14:47:06(UTC)
naa

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.02.2014(UTC)
Сообщений: 7
Российская Федерация

С какого именно? И что расписать подробнее?
Offline Максим Коллегин  
#15 Оставлено : 11 февраля 2014 г. 14:56:13(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Например, сертификат выложите.

Отредактировано пользователем 11 февраля 2014 г. 14:59:07(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline rodji  
#16 Оставлено : 21 февраля 2014 г. 17:31:23(UTC)
rodji

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.02.2014(UTC)
Сообщений: 1

Та же самая проблема. Ключ RSA 2048. Путь сертификации "thawte"->"Thawte DV SSL CA"->xxx. Сертификат просрочен. .NET виснет в: сallstack:

> System.dll!System.Net.PolicyWrapper.GetChainErrors(string hostName, System.Security.Cryptography.X509Certificates.X509Chain chain, ref bool fatalError) Line 84 + 0xd bytes C#
System.dll!System.Net.PolicyWrapper.CheckErrors(string hostName, System.Security.Cryptography.X509Certificates.X509Certificate certificate, System.Security.Cryptography.X509Certificates.X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors) Line 43 + 0x10 bytes C#
System.dll!System.Net.CertPolicyValidationCallback.Invoke(string hostName, System.Net.ServicePoint servicePoint, System.Security.Cryptography.X509Certificates.X509Certificate certificate, System.Net.WebRequest request, System.Security.Cryptography.X509Certificates.X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors) Line 38 + 0x21 bytes C#
System.dll!System.Net.ServicePoint.HandshakeDoneProcedure.CertValidationCallback(string hostName, System.Security.Cryptography.X509Certificates.X509Certificate certificate, System.Security.Cryptography.X509Certificates.X509Chain chain, System.Net.Security.SslPolicyErrors sslPolicyErrors) Line 1221 + 0x147 bytes C#
System.dll!System.Net.Security.SecureChannel.VerifyRemoteCertificate(System.Net.Security.RemoteCertValidationCallback remoteCertValidationCallback) Line 812 + 0x19 bytes C#
System.dll!System.Net.Security.SslState.CompleteHandshake() Line 286 + 0x24 bytes C#

Немного исходников самого .NET:
PolicyWrapper.cs (System.dll)

internal static uint VerifyChainPolicy(SafeFreeCertChain chainContext, ref ChainPolicyParameter cpp)
{
ChainPolicyStatus ps = new ChainPolicyStatus {
cbSize = ChainPolicyStatus.StructSize
};
UnsafeNclNativeMethods.NativePKI.CertVerifyCertificateChainPolicy((IntPtr) 4L, chainContext, ref cpp, ref ps);
return ps.dwError;
}


private unsafe uint[] GetChainErrors(string hostName, X509Chain chain, ref bool fatalError)
{
......................
Label_006B:
errorCode = VerifyChainPolicy(chainContext, ref cpp);
uint num2 = (uint) MapErrorCode(errorCode);
list.Add(errorCode);
if (errorCode != 0)
{
if (num2 == 0)
{
fatalError = true;
}
else
{
cpp.dwFlags |= num2;
if ((errorCode == 0x800b010f) && ServicePointManager.CheckCertificateName)
{
ssl_extra_cert_chain_policy_para.fdwChecks = 0x1000;
}
goto Label_006B; //всегда вызывается этот оператор goto
}
}
.....................

VerifyChainPolicy() всегда возращает один и тот же код 0x800b0101 (CertificateProblem.CertEXPIRED).

После удаления КриптоПРО CSP всё работает отлично.
Версия ядра СКЗИ: 3.6.5364 KC1
Версия продукта: 3.6.7491

Возможно, Вы изменили криптопровайдером логику функции CertVerifyCertificateChainPolicy (crypt32.dll)?
Сертификат дать не могу.
Offline Максим Коллегин  
#17 Оставлено : 21 февраля 2014 г. 17:36:31(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Да, при наличии библиотеки pkivalidator, мы дополняем алгоритм проверки сертификата. Видимо в нем есть ошибка(
А почему не можете дать сертификат?
workaround: Удалите регистрацию: CLSID\\{1FDD1FC3-6347-49DF-BDAB-E465BF32AD92}\\InprocServer32
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#18 Оставлено : 3 марта 2014 г. 20:39:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
В ближайшие релизы CSP 3.9 и 4.0 исправление будет включено, а также в Browser Plugin. Вот предварительная сборка:
https://www.cryptopro.ru.../prerelease/CSPSetup.exe

Отредактировано пользователем 28 мая 2014 г. 7:07:27(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.