Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163 Откуда: Москва Сказал «Спасибо»: 8 раз Поблагодарили: 3 раз в 3 постах
|
Добрый день
Windows 10, Crypto Pro 4.0.9914 (лицензия клиентская)
Есть tls сервер, требующий клиентский сертификат. При установке tls соединения что в IE, что в CryptoPro Fox браузер не предлагает выбрать сертификат и соединение устанавливается без клиентского сертификата. При этом, если дернуть csptest.exe -tlsc -server tlstest -port 8443 -verbose, видно, что утилита пытается подобрать клиентский сертификат. Если ей указать конкретный сертификат, то соединение корректно устанавливается и клиентский сертификат попадает на сервер.
В связи с этим два вопроса. 1. Как заставить браузер предлагать выбрать сертификат и передавать его на сервер. 2. Что должен вернуть TLS сервер браузеру в случае отсутствия клиентского сертификата, и почему он этого не делает? ( ошибка ведь должна быть?)
Параметры AcquireCredentialsHandle - только SCH_CRED_REVOCATION_CHECK_CHAIN. credential use - SECPKG_CRED_INBOUND. Ну и сертификат сервера. Параметры AcceptSecurityContext - ASC_REQ_SEQUENCE_DETECT | ASC_REQ_REPLAY_DETECT | ASC_REQ_EXTENDED_ERROR | ASC_REQ_STREAM | ASC_REQ_MUTUAL_AUTH.
Спасибо
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163 Откуда: Москва Сказал «Спасибо»: 8 раз Поблагодарили: 3 раз в 3 постах
|
Похоже понял. В списке принимаемых сервером Issuer нету ни одного подходящего. Откуда и их берет провайдер?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.03.2011(UTC) Сообщений: 163 Откуда: Москва Сказал «Спасибо»: 8 раз Поблагодарили: 3 раз в 3 постах
|
В общем разобрался. Оказывается, список доверенных УЦ берется не текущего пользователя (хотя сервер запущен локально от имени пользователя), а компьютера. Если установить сертификат УЦ в доверенные локального компьютера, то при рукопожатии он попадет в список сертификатов, которым доверяет сервер. И тогда браузер сможет выбрать этот сертификат из хранилища. Тему можно закрыть.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close