Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Роман кислухин  
#1 Оставлено : 12 апреля 2018 г. 21:10:01(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Добрый день

Windows 10, Crypto Pro 4.0.9914 (лицензия клиентская)

Есть tls сервер, требующий клиентский сертификат. При установке tls соединения что в IE, что в CryptoPro Fox браузер не предлагает выбрать сертификат и соединение устанавливается без клиентского сертификата. При этом, если дернуть csptest.exe -tlsc -server tlstest -port 8443 -verbose, видно, что утилита пытается подобрать клиентский сертификат. Если ей указать конкретный сертификат, то соединение корректно устанавливается и клиентский сертификат попадает на сервер.

В связи с этим два вопроса.
1. Как заставить браузер предлагать выбрать сертификат и передавать его на сервер.
2. Что должен вернуть TLS сервер браузеру в случае отсутствия клиентского сертификата, и почему он этого не делает? ( ошибка ведь должна быть?)

Параметры AcquireCredentialsHandle - только SCH_CRED_REVOCATION_CHECK_CHAIN. credential use - SECPKG_CRED_INBOUND. Ну и сертификат сервера.
Параметры AcceptSecurityContext - ASC_REQ_SEQUENCE_DETECT | ASC_REQ_REPLAY_DETECT | ASC_REQ_EXTENDED_ERROR | ASC_REQ_STREAM | ASC_REQ_MUTUAL_AUTH.

Спасибо
Offline Роман кислухин  
#2 Оставлено : 13 апреля 2018 г. 20:21:27(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
Похоже понял.
В списке принимаемых сервером Issuer нету ни одного подходящего. Откуда и их берет провайдер?
Offline Роман кислухин  
#3 Оставлено : 13 апреля 2018 г. 20:39:37(UTC)
Роман кислухин

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.03.2011(UTC)
Сообщений: 163
Мужчина
Откуда: Москва

Сказал «Спасибо»: 8 раз
Поблагодарили: 3 раз в 3 постах
В общем разобрался.
Оказывается, список доверенных УЦ берется не текущего пользователя (хотя сервер запущен локально от имени пользователя), а компьютера. Если установить сертификат УЦ в доверенные локального компьютера, то при рукопожатии он попадет в список сертификатов, которым доверяет сервер. И тогда браузер сможет выбрать этот сертификат из хранилища.
Тему можно закрыть.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.