Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Роман кислухин  
#1 Оставлено : 26 сентября 2017 г. 19:43:11(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Добрый день

Настраиваю TLS на Windows 10 и Крипто Про 4.0.9914.
При установке https соединения из Cryptopro Fox v 31.1.0esr в серверном логе ошибка:
No credentials are available in the security package (E_NO_CREDENTIALS: 0x8009030e)
В результате чего сервер не запрашивает клиентский сертификат и устанавливает защищенное соединение без него (возможно, особенности реализации).

Лицензия на CSP серверная.

Что это за ошибка и как ее побороть? В eventlog чисто.
На Linux софт настроен и работает корректно.
Offline Максим Коллегин  
#2 Оставлено : 26 сентября 2017 г. 20:20:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,375
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Что за сервер? IE работает правильно?
Знания в базе знаний, поддержка в техподдержке
Offline Роман кислухин  
#3 Оставлено : 26 сентября 2017 г. 20:28:14(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Сервер самописанный. IE тоже не работает, но тут дело не в клиенте, так как этим браузером нормально цепляемся к стенду на линуксе. То есть браузер и клиентский сертификат корректные.
Сервер работает с CSP через Windows Crypto API, а на линуксе соответственно через capilite.
Offline Роман кислухин  
#4 Оставлено : 3 октября 2017 г. 20:02:09(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Эта ошибка возникает при вызове функции QueryContextAttributes с SECPKG_ATTR_REMOTE_CERT_CONTEXT
Offline Роман кислухин  
#5 Оставлено : 3 октября 2017 г. 20:47:50(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Сделал сертификат с CN, совпадающим с именем хоста (localhost). Теперь соединение просто рвется, а Fox v31 выдает:
security library: invalid algorithm. (Error code: sec_error_invalid_algorithm)
IE выдает:
Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://localhost:8443 . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.
При этом все эти настройки включены.

Fox 45:
An error occurred during a connection to localhost:8443. security library: no security module can perform the requested operation. Error code: SEC_ERROR_NO_MODULE

Fox v.24 устанавливает https без предоставления клиентского сертификата. При попытке его получить сервер выдает ошибку.

В общем все браузеры работают по-разному. :(

Отредактировано пользователем 3 октября 2017 г. 21:33:40(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#6 Оставлено : 4 октября 2017 г. 13:41:43(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,375
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Кажется, что клиент тут ни при чем. Вы как на сервере требуете клиентскую аутентификацию? Нужно в Accept передать флаг Mutual.
Знания в базе знаний, поддержка в техподдержке
Offline Роман кислухин  
#7 Оставлено : 4 октября 2017 г. 16:16:18(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
В функцию AcceptSecurityContext мы передаем
ASC_REQ_SEQUENCE_DETECT |
ASC_REQ_REPLAY_DETECT |
ASC_REQ_EXTENDED_ERROR |
ASC_REQ_STREAM |
ASC_REQ_MUTUAL_AUTH
Offline Роман кислухин  
#8 Оставлено : 10 октября 2017 г. 18:47:10(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
В общем проблема оказалась в том, что серверный сертификат был выпущен на localhost. Как только выпустили на другое имя и прописали его в hosts чтобы клиент находил сервер, сразу заработало. Но заработало только в IE. Fox после выбора клиентского сертификата выпадает в ошибку security library: invalid algorithm.

Отредактировано пользователем 10 октября 2017 г. 18:49:08(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.