Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline Despair  
#11 Оставлено : 9 августа 2018 г. 15:45:34(UTC)
Despair

Статус: Участник

Группы: Участники
Зарегистрирован: 06.06.2018(UTC)
Сообщений: 17
Российская Федерация

Автор: Despair Перейти к цитате
при авторизации через сертификат даже на тестовом стенде, где JCP не используется и соответственно программа туда не ходит, плагин выдает ошибку описанную выше


эта проблема решилась, при чем весьма внезапным способом. Думаю дальше, может сейчас и остальное решится
Offline Despair  
#12 Оставлено : 10 августа 2018 г. 8:44:17(UTC)
Despair

Статус: Участник

Группы: Участники
Зарегистрирован: 06.06.2018(UTC)
Сообщений: 17
Российская Федерация

Подскажите, я же правильно понял, если отключить пункт Check revocation status of the certificate chain в настройках TLS, панели управления JCP, двухсторонняя аутентификация все равно ведь будет работать?
Offline Евгений Афанасьев  
#13 Оставлено : 10 августа 2018 г. 9:05:01(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Да, только цепочка сертификатов другой стороны не будет проверяться.
Offline Despair  
#14 Оставлено : 10 августа 2018 г. 9:10:05(UTC)
Despair

Статус: Участник

Группы: Участники
Зарегистрирован: 06.06.2018(UTC)
Сообщений: 17
Российская Федерация

Включили SSLLogging и JCP логирование на уровне ALL, лог во вложении.
Сейчас проблема в том, что при установленной галке Check revocation status of the certificate chain у нас вываливается ошибка
Цитата:
Caused by: java.security.GeneralSecurityException: [PKIX] Online verification of certificate status is enabled but com.sun.security.enableCRLDP=false, com.ibm.security.enableCRLDP=false

если галка не стоит тогда возвращается
Цитата:
Status code : 403
Status text : Forbidden

Оба лога прикладываю
log_with.txt (139kb) загружен 2 раз(а). log_without.txt (102kb) загружен 2 раз(а).
Offline Despair  
#15 Оставлено : 10 августа 2018 г. 9:11:05(UTC)
Despair

Статус: Участник

Группы: Участники
Зарегистрирован: 06.06.2018(UTC)
Сообщений: 17
Российская Федерация

Автор: Евгений Афанасьев Перейти к цитате
Да, только цепочка сертификатов другой стороны не будет проверяться.



тогда не совсем понимаю, почему при снятии этого пункта у нас возникает отказ в соединении
Offline Евгений Афанасьев  
#16 Оставлено : 10 августа 2018 г. 9:49:09(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
В первом логе уведомление об ограничении сроков использования ГОСТ 2001 по-прежнему включено, из-за этого проваливается тест ключа "19136019@2018-03-23-ООО Наша организация -1":
Код:

2018-08-10 10:38:34.580  INFO 5816 --- [           main] ru.CryptoPro.JCP.tools.JCPLogger         : System Preference Node: /ru/CryptoPro/JCP/tools.Gost2001Warning_class_default=false

Код:

2018-08-10 10:38:34.580  INFO 5816 --- [           main] ru.CryptoPro.JCP.tools.JCPLogger         : System Preference Node: /ru/CryptoPro/JCP/tools.Gost2001Warning_class_default=false
2018-08-10 10:38:34.580 DEBUG 5816 --- [           main] ru.CryptoPro.ssl.SSLLogger               : 19136019@2018-03-23-ООО Наша организация -1 : private key test failed
java.awt.HeadlessException: null
	at java.awt.GraphicsEnvironment.checkHeadless(Unknown Source) ~[na:1.8.0_181]
	at java.awt.Window.<init>(Unknown Source) ~[na:1.8.0_181]
	at java.awt.Frame.<init>(Unknown Source) ~[na:1.8.0_181]
	at java.awt.Frame.<init>(Unknown Source) ~[na:1.8.0_181]
	at javax.swing.JFrame.<init>(Unknown Source) ~[na:1.8.0_181]
	at ru.CryptoPro.JCP.tools.N.<init>(Unknown Source) ~[JCP.jar:39014]
	at ru.CryptoPro.JCP.tools.Gost2001Warning.warn(Unknown Source) ~[JCP.jar:39014] <---
	at ru.CryptoPro.JCP.Sign.c.engineInitSign(Unknown Source) ~[JCP.jar:39014]
	at java.security.Signature.initSign(Unknown Source) ~[na:1.8.0_181]

Перед этим происходит проверка цепочки сертификатов сервера (состоит из трех сертификатов) - она включена и выполняется успешно:
Код:

2018-08-10 10:38:34.580  INFO 5816 --- [           main] ru.CryptoPro.JCP.tools.JCPLogger         : User Preference Node: /ru/CryptoPro/ssl.Enable_revocation_default=true <---
2018-08-10 10:38:34.580  INFO 5816 --- [           main] ru.CryptoPro.JCP.tools.JCPLogger         : User Preference Node: /ru/CryptoPro/ssl.Enable_CRL_revocation_online_default=true
2018-08-10 10:38:34.580  INFO 5816 --- [           main] ru.CryptoPro.JCP.tools.JCPLogger         : User Preference Node: /ru/CryptoPro/ssl.Enable_CRL_revocation_offline_default=false
2018-08-10 10:38:34.580 DEBUG 5816 --- [           main] ru.CryptoPro.ssl.SSLLogger               : [PKIX] Online verification is enabled. <---
2018-08-10 10:38:34.580 DEBUG 5816 --- [           main] ru.CryptoPro.ssl.SSLLogger               : [PKIX] Offline verification is disabled. CRL timer is turned OFF.
2018-08-10 10:38:34.580 DEBUG 5816 --- [           main] ru.CryptoPro.ssl.SSLLogger               : [PKIX] Revocation enabled: true
2018-08-10 10:38:34.580 DEBUG 5816 --- [           main] ru.CryptoPro.ssl.SSLLogger               : [PKIX] The certificate chain is valid. <---

Во втором логе, где отключена проверка, все то же самое (та же ошибка), только проверка цепочки не выполняется:
Код:

0:58:18.378  INFO 5460 --- [           main] ru.CryptoPro.JCP.tools.JCPLogger         : User Preference Node: /ru/CryptoPro/ssl.Enable_revocation_default=false <---
2018-08-10 10:58:18.378 DEBUG 5460 --- [           main] ru.CryptoPro.ssl.SSLLogger               : [PKIX] Offline verification is disabled. CRL timer is turned OFF.

Напишите, как вы отключаете предупреждение о ГОСТ 2001 в командной строке (приведите команду).

Отредактировано пользователем 10 августа 2018 г. 9:50:27(UTC)  | Причина: Не указана

Offline Despair  
#17 Оставлено : 10 августа 2018 г. 14:27:52(UTC)
Despair

Статус: Участник

Группы: Участники
Зарегистрирован: 06.06.2018(UTC)
Сообщений: 17
Российская Федерация

на новой виртуалке вроде все взлетело, но как ни странно не до конца, получилось два или три раза подключиться, и снова 403 Forbidden. Сейчас ждем ответа с другой стороны, что у них в логах будет. У меня вопрос с этим отключением предупреждения, если его отключать через команду - оно на постоянной основе хранится, или у нее есть какой-то период действия? предупреждение CSP отключил через реестр, а у JCP через команду указанную в ссылке выше:

Цитата:
<PathJRE>/bin/java ru.CryptoPro.JCP.Util.SetPrefs -system -node ru/CryptoPro/JCP/tools -key Gost2001Warning_class_default -value true
Offline Евгений Афанасьев  
#18 Оставлено : 10 августа 2018 г. 14:30:02(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Команда правильная, срока действия у нее нет. Соберите, пожалуйста, лог и снова приложите.
Offline Despair  
#19 Оставлено : 10 августа 2018 г. 15:39:52(UTC)
Despair

Статус: Участник

Группы: Участники
Зарегистрирован: 06.06.2018(UTC)
Сообщений: 17
Российская Федерация

Лог во вложении. Самое интересное что тест (небольшая тестовая програмка, которая лезет туда же и по тем же алгоритмам) соединения проходит нормально, даже данные получаются какие-то, но рабочая программа почему-то после двух подключений стала выдавать ошибку...
log_new.txt (151kb) загружен 2 раз(а).
Offline Евгений Афанасьев  
#20 Оставлено : 10 августа 2018 г. 15:44:15(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Той ошибки нет. Пароль на "19136019@2018-03-23-ООО Наша организация -1" задали? он без пароля, видимо.

Отредактировано пользователем 10 августа 2018 г. 15:44:45(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.