Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline cergean  
#11 Оставлено : 5 апреля 2016 г. 15:57:48(UTC)
cergean

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.04.2016(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Автор: afev Перейти к цитате
Попробуйте узнать ip адрес сервера и указать его в команде.


ip адрес имеется в виду сервера icrs.demo.nbki.ru или сервера на котором стоит приложение? Если первое, то ip скорее всего 195.10.198.150 (если пинг не врет) и результат не изменился. если второе - то я не смог сходу найти параметр в команде, в который его можно вставить.
Offline ThinkingAnna  
#12 Оставлено : 6 апреля 2016 г. 11:50:22(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз
Подскажите, а о чем говорит эта ошибка в приведенном выше логе csptest?

Цитата:
Не удается установить связь с локальной системой безопасности



На другом компьютере (из другой сети) получаем результат не "Error performing handshake", а

Цитата:
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Proto: 80, Suite: 81 (TLS_GOST_R_3410_01_WITH_28147_CNT
_IMIT)
SECPKG_ATTR_NAMES: E=support@nbki.ru, C=RU, S=Moscow, L=Moscow, O=OJSC NBCH 2016
, CN=icrs.demo.nbki.ru
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: E=support@nbki.ru, C=RU, S=Moscow, L=Moscow, O=OJSC NBCH 2016, CN=icrs.
demo.nbki.ru
Valid : 11.01.2016 11:40:00 - 11.04.2017 11:50:00 (UTC)
Issuer : ОГРН=1037700085444, ИНН=007717107991, STREET="ул. Сущёвский вал, д. 18"
, S=77 г. Москва, L=Москва, E=info@cryptopro.ru, C=RU, O="ООО ""КРИПТО-ПРО""", C
N="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Offline cergean  
#13 Оставлено : 7 апреля 2016 г. 12:17:56(UTC)
cergean

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.04.2016(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сегодня на машине с которой идет отправка были произведены некие изменения, связанные с проверкой подлинности насколько я понял (подробностей не знаю к сожалению, не мы ответственные за настройку сервера) ошибка csptest стала выглядеть иначе.

C:\Program Files\Crypto Pro\CSP>csptest -tlsc -server icrs.demo.nbki.ru -file pr
oducts -v -v
csptest -tlsc -server icrs.demo.nbki.ru -file products -v -v
15 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 0x800c
[8] 0x800d
[9] 0x800e
[10] 1.2.840.113549.1.1.1 (RSA)
[11] 1.2.840.113549.1.9.16.3.5 (ESDH)
[12] 0xae06
[13] 1.2.840.10040.4.1 (DSA)
[14] 0x2203
Cipher strengths: 256..256
Supported protocols: 0x20aa0
An error occurred in running the program.
.\WebClient.c:2677:Socket shutdown()
Error number 0x2749 (10057).
Запрос на отправку или получение данных (when sending on a datagram socket usin
g a sendto call) no address was supplied.

**** Could not connect
An error occurred in running the program.
.\WebClient.c:518:Error connecting to server.
Error number 0x0 (0).

если вместо адреса icrs.demo.nbki.ru указывать его ip - та же ошибка

В одной из тем на форуме нашел аналогичную ошибку (https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=8155), но там в команде действительно не указан адрес, поэтому тут она странно достаточно выглядит...

UPD.

Видимо настройщики таки настроили политику безопасности и удалось нормально совершить запрос к нбки.

Отредактировано пользователем 7 апреля 2016 г. 13:16:52(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#14 Оставлено : 7 апреля 2016 г. 13:02:18(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
WSAENOTCONN (10057)
Translation: Socket is not connected.
Description: A request to send or receive data is not permitted because the socket is not connected and (when sending on a datagram socket using sendto [Wsapiref_4sqa.asp], no address was supplied). Any other type of operation may also return this error, for example, setsockopt (Wsapiref_94aa.asp) setting SO_KEEPALIVE if the connection has been reset.

Вероятно, нет подключения по указанному порту. Попробуйте проверить telnet'ом подключение.
Offline ThinkingAnna  
#15 Оставлено : 9 июля 2018 г. 12:08:59(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз
Добрый день!

Исходные данные всё те же: мы - клиент, взаимодействует с сервером НБКИ по https с односторонней аутентификацией.
Все отлично работало, но вдруг неожиданно столкнулись в похожей ошибкой Anxious

javax.net.ssl.SSLHandshakeException: Remote host closed connection during handshake
at ru.CryptoPro.ssl.am.a(Unknown Source)
at ru.CryptoPro.ssl.am.i(Unknown Source)
at ru.CryptoPro.ssl.am.startHandshake(Unknown Source)

Подробности в логе

Подскажите, пожалуйста, в чем может быть проблема?

log20180706.txt (26kb) загружен 4 раз(а).
Offline Евгений Афанасьев  
#16 Оставлено : 9 июля 2018 г. 12:24:46(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте. Судя по логу, обрыв сразу после ClientHello. Сервер действительно поддерживает алгоритмы (ГОСТ 2001, 2012) и протокол (TLS v.1), передаваемые клиентом в сообщении?
Offline ThinkingAnna  
#17 Оставлено : 9 июля 2018 г. 14:12:16(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз
А поясните, пожалуйста, как так получается, что в сообщении передаются алгоритмы ГОСТ 2001 и 2012?

(если я правильно понимаю, то это оно)
FINE: %% ClientHello, TLSv1; Cipher Suites: [TLS_CIPHER_2012, TLS_CIPHER_2001, SSL3_CK_GVO_KB2];

Чем это регулируется? Сертификат сервера ГОСТ 2001.

Вижу, что в старых-старых логах фигурирует
FINE: %% ClientHello, TLSv1; Cipher Suites: [TLS_CIPHER_2001, TLS_CIPHER_94, SSL3_CK_GVO_KB2]
Offline Евгений Афанасьев  
#18 Оставлено : 9 июля 2018 г. 14:22:08(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Идентификаторы TLS_CIPHER_2012, TLS_CIPHER_2001, SSL3_CK_GVO_KB2 соответствуют сайферсюитам, использующим алгоритмы ГОСТ. После появления ГОСТ 2012 была добавлена еще одна сайферсюита TLS_CIPHER_2012 (0xff85). Список сайферсюит отправляется клиентом при подключении.

Отредактировано пользователем 9 июля 2018 г. 14:22:45(UTC)  | Причина: Не указана

Offline ThinkingAnna  
#19 Оставлено : 9 июля 2018 г. 15:02:13(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз
по поводу

Цитата:
Сервер действительно поддерживает алгоритмы (ГОСТ 2001, 2012) и протокол (TLS v.1), передаваемые клиентом в сообщении?


Посмотрела на другой машине - такой же код работает (версии JCP и JAVA такие же, сертфикаты загружены те же)

Вот лог с успешным запросом.

ok_log20180709.txt (62kb) загружен 3 раз(а).

Т.е. здесь проблема в каких-то настройках конкретной машины или КриптопПро у клиента? d'oh! В какую сторону копать?..

Отредактировано пользователем 9 июля 2018 г. 15:17:16(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#20 Оставлено : 9 июля 2018 г. 16:10:08(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Да, в этих логах все в порядке.
Связь с сервером есть? telnet'ом, csptest'ом подключаетесь?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.