Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline ammo-polly  
#1 Оставлено : 13 сентября 2018 г. 14:51:28(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

В инструкциях настройки JTLS с томкат везде используется ключ GOST3410 и cipher = TLS_CIPHER_2001

Что следует изменить при работы с сертификатом гост_2012 (public key = GOST3410_2012_256, signiture algorithm = GOST R 34.10-2001)

Пробовал с теми же настройками, пробовал чуть изменить:

Цитата:
<Connector port="16343" maxHttpHeaderSize="8192"
protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false"
algorithm="GostX509"
keystoreProvider="JCP"
sslProtocol="GostTLS"
keystoreType="HDImageStore"
keyalg="GOST3410_2012_256"
sigalg="GOST3411withGOST3410EL"

keystoreFile="C:\ammopay\certs\hello.store"
keystorePass="2018"

ciphers="TLS_CIPHER_2012"
sslEnabledProtocols="GostTLS"
/>


В обоих случаях в логах крипто про получаю:

Цитата:
Sep 13, 2018 2:41:31 PM ru.CryptoPro.ssl.SSLEngineImpl a
FINE: http-nio-16343-Acceptor-0, SEND TLSv1 ALERT: fatal, description = handshake_failure
Sep 13, 2018 2:41:31 PM ru.CryptoPro.ssl.SSLEngineImpl a
INFO: Using SSLEngineImpl.
Sep 13, 2018 2:41:31 PM ru.CryptoPro.ssl.cl_58 a
FINE: Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
Sep 13, 2018 2:41:31 PM ru.CryptoPro.ssl.SSLEngineImpl a
SEVERE: http-nio-16343-Acceptor-0, fatal error: 40: Couldn't kickstart handshaking
javax.net.ssl.SSLHandshakeException: No appropriate protocol
at ru.CryptoPro.ssl.cl_58.b(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.g(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.beginHandshake(Unknown Source)
at org.apache.tomcat.util.net.SecureNioChannel.reset(SecureNioChannel.java:89)
at org.apache.tomcat.util.net.SecureNioChannel.<init>(SecureNioChannel.java:71)
at org.apache.tomcat.util.net.NioEndpoint.setSocketOptions(NioEndpoint.java:666)
at org.apache.tomcat.util.net.NioEndpoint$Acceptor.run(NioEndpoint.java:824)
at java.lang.Thread.run(Unknown Source)


Offline Евгений Афанасьев  
#2 Оставлено : 13 сентября 2018 г. 14:53:48(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте.
Какая версия tomcat, jcp? jcp тоже обновили после изменения настроек коннектора?
Offline ammo-polly  
#3 Оставлено : 13 сентября 2018 г. 15:15:49(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

tomcat 7.0.57, jcp-2.0.39893
Offline ammo-polly  
#4 Оставлено : 13 сентября 2018 г. 15:43:18(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

Так же в логах заметил следующее

при использовании JCP 1.0 лог при инициализации

Цитата:
13.09.2018 15:57:51 ru.CryptoPro.ssl.SSLContextImpl engineInit
FINER: SSLContext engineInit
13.09.2018 15:57:51 ru.CryptoPro.ssl.SSLContextImpl engineInit
FINER: trigger seeding of SecureRandom
13.09.2018 15:57:51 ru.CryptoPro.ssl.SSLContextImpl engineInit
FINER: done seeding SecureRandom
13.09.2018 15:57:52 ru.CryptoPro.JCP.tools.Starter check
INFO: Loading JCP 1.0.54 36641
13.09.2018 15:57:52 ru.CryptoPro.JCP.tools.Starter check
INFO: JCP loaded.
13.09.2018 15:57:52 ru.CryptoPro.ssl.n <init>
FINE: %% adding as private keys %%
13.09.2018 15:57:53 ru.CryptoPro.ssl.n <init>
FINE:
found key: te-00f16763-71f9-4b66-81ac-185367934ff4
13.09.2018 15:57:53 ru.CryptoPro.ssl.n <init>


Загружается один сертификат, один приватный ключ. Который указан через keystoreFile

в JCP 2.0 лог при инициализации
Цитата:
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: SSLContextImpl init.
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore is : No File Available, using empty keystore.
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore type is : HDImageStore
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore provider is :
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: init truststore
Sep 13, 2018 3:30:36 PM ru.CryptoPro.JCP.tools.Starter check
INFO: Loading JCP 2.0.39893
Sep 13, 2018 3:30:36 PM ru.CryptoPro.JCP.tools.Starter check
INFO: JCP loaded.
Sep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.cl_125 a
FINE:
%% adding as trusted certificates %%


И далее идет попытка загрузки всех приватных ключей и сертификатов из HDImageStore.
Заканчивается все этим
Цитата:
ep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: trigger seeding of SecureRandom
Sep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: done seeding SecureRandom
Sep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: SSLContextImpl initialized.
Sep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.cl_96 <init>
FINE: %% Initialized: [Session-1, SSL_NULL_WITH_NULL_NULL]
Sep 13, 2018 3:30:38 PM ru.CryptoPro.ssl.cl_97 close
FINE: Finalizer called close()


Смущает [Session-1, SSL_NULL_WITH_NULL_NULL].


Offline Евгений Афанасьев  
#5 Оставлено : 13 сентября 2018 г. 16:15:26(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Последнее сообщение - была создана сессия с нулевыми параметрами, подключений пока не было. Приведите полный лог, от подключения до ошибки с уровнем логирования SSLLogger'а - ALL.

Отредактировано пользователем 13 сентября 2018 г. 16:16:23(UTC)  | Причина: Не указана

Offline ammo-polly  
#6 Оставлено : 13 сентября 2018 г. 16:22:30(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

cryptopro2018-09-13.log (32kb) загружен 5 раз(а).
Offline Евгений Афанасьев  
#7 Оставлено : 13 сентября 2018 г. 16:35:13(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Попробуйте задать sslEnabledProtocols="TLSv1"
Offline ammo-polly  
#8 Оставлено : 13 сентября 2018 г. 17:01:18(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

cryptopro2018-09-13-2.log (93kb) загружен 5 раз(а).
Offline Евгений Афанасьев  
#9 Оставлено : 13 сентября 2018 г. 17:40:12(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Вы чем подключаетесь? IE? В ClientHello клиента нет знакомых сайфер-сюит, если IE, то установите CSP.
Offline ammo-polly  
#10 Оставлено : 13 сентября 2018 г. 17:48:41(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

chrome
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.