logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ammo-polly  
#1 Оставлено : 13 сентября 2018 г. 11:51:28(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

В инструкциях настройки JTLS с томкат везде используется ключ GOST3410 и cipher = TLS_CIPHER_2001

Что следует изменить при работы с сертификатом гост_2012 (public key = GOST3410_2012_256, signiture algorithm = GOST R 34.10-2001)

Пробовал с теми же настройками, пробовал чуть изменить:

Цитата:
<Connector port="16343" maxHttpHeaderSize="8192"
protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false"
algorithm="GostX509"
keystoreProvider="JCP"
sslProtocol="GostTLS"
keystoreType="HDImageStore"
keyalg="GOST3410_2012_256"
sigalg="GOST3411withGOST3410EL"

keystoreFile="C:\ammopay\certs\hello.store"
keystorePass="2018"

ciphers="TLS_CIPHER_2012"
sslEnabledProtocols="GostTLS"
/>


В обоих случаях в логах крипто про получаю:

Цитата:
Sep 13, 2018 2:41:31 PM ru.CryptoPro.ssl.SSLEngineImpl a
FINE: http-nio-16343-Acceptor-0, SEND TLSv1 ALERT: fatal, description = handshake_failure
Sep 13, 2018 2:41:31 PM ru.CryptoPro.ssl.SSLEngineImpl a
INFO: Using SSLEngineImpl.
Sep 13, 2018 2:41:31 PM ru.CryptoPro.ssl.cl_58 a
FINE: Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
Sep 13, 2018 2:41:31 PM ru.CryptoPro.ssl.SSLEngineImpl a
SEVERE: http-nio-16343-Acceptor-0, fatal error: 40: Couldn't kickstart handshaking
javax.net.ssl.SSLHandshakeException: No appropriate protocol
at ru.CryptoPro.ssl.cl_58.b(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.g(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.beginHandshake(Unknown Source)
at org.apache.tomcat.util.net.SecureNioChannel.reset(SecureNioChannel.java:89)
at org.apache.tomcat.util.net.SecureNioChannel.<init>(SecureNioChannel.java:71)
at org.apache.tomcat.util.net.NioEndpoint.setSocketOptions(NioEndpoint.java:666)
at org.apache.tomcat.util.net.NioEndpoint$Acceptor.run(NioEndpoint.java:824)
at java.lang.Thread.run(Unknown Source)


Offline Евгений Афанасьев  
#2 Оставлено : 13 сентября 2018 г. 11:53:48(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,325
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 309 раз в 306 постах
Здравствуйте.
Какая версия tomcat, jcp? jcp тоже обновили после изменения настроек коннектора?
Техническую поддержку оказываем тут
Наша база знаний
Offline ammo-polly  
#3 Оставлено : 13 сентября 2018 г. 12:15:49(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

tomcat 7.0.57, jcp-2.0.39893
Offline ammo-polly  
#4 Оставлено : 13 сентября 2018 г. 12:43:18(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

Так же в логах заметил следующее

при использовании JCP 1.0 лог при инициализации

Цитата:
13.09.2018 15:57:51 ru.CryptoPro.ssl.SSLContextImpl engineInit
FINER: SSLContext engineInit
13.09.2018 15:57:51 ru.CryptoPro.ssl.SSLContextImpl engineInit
FINER: trigger seeding of SecureRandom
13.09.2018 15:57:51 ru.CryptoPro.ssl.SSLContextImpl engineInit
FINER: done seeding SecureRandom
13.09.2018 15:57:52 ru.CryptoPro.JCP.tools.Starter check
INFO: Loading JCP 1.0.54 36641
13.09.2018 15:57:52 ru.CryptoPro.JCP.tools.Starter check
INFO: JCP loaded.
13.09.2018 15:57:52 ru.CryptoPro.ssl.n <init>
FINE: %% adding as private keys %%
13.09.2018 15:57:53 ru.CryptoPro.ssl.n <init>
FINE:
found key: te-00f16763-71f9-4b66-81ac-185367934ff4
13.09.2018 15:57:53 ru.CryptoPro.ssl.n <init>


Загружается один сертификат, один приватный ключ. Который указан через keystoreFile

в JCP 2.0 лог при инициализации
Цитата:
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: SSLContextImpl init.
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore is : No File Available, using empty keystore.
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore type is : HDImageStore
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore provider is :
Sep 13, 2018 3:30:35 PM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: init truststore
Sep 13, 2018 3:30:36 PM ru.CryptoPro.JCP.tools.Starter check
INFO: Loading JCP 2.0.39893
Sep 13, 2018 3:30:36 PM ru.CryptoPro.JCP.tools.Starter check
INFO: JCP loaded.
Sep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.cl_125 a
FINE:
%% adding as trusted certificates %%


И далее идет попытка загрузки всех приватных ключей и сертификатов из HDImageStore.
Заканчивается все этим
Цитата:
ep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: trigger seeding of SecureRandom
Sep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: done seeding SecureRandom
Sep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: SSLContextImpl initialized.
Sep 13, 2018 3:30:37 PM ru.CryptoPro.ssl.cl_96 <init>
FINE: %% Initialized: [Session-1, SSL_NULL_WITH_NULL_NULL]
Sep 13, 2018 3:30:38 PM ru.CryptoPro.ssl.cl_97 close
FINE: Finalizer called close()


Смущает [Session-1, SSL_NULL_WITH_NULL_NULL].


Offline Евгений Афанасьев  
#5 Оставлено : 13 сентября 2018 г. 13:15:26(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,325
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 309 раз в 306 постах
Последнее сообщение - была создана сессия с нулевыми параметрами, подключений пока не было. Приведите полный лог, от подключения до ошибки с уровнем логирования SSLLogger'а - ALL.

Отредактировано пользователем 13 сентября 2018 г. 13:16:23(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline ammo-polly  
#6 Оставлено : 13 сентября 2018 г. 13:22:30(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

cryptopro2018-09-13.log (32kb) загружен 2 раз(а).
Offline Евгений Афанасьев  
#7 Оставлено : 13 сентября 2018 г. 13:35:13(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,325
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 309 раз в 306 постах
Попробуйте задать sslEnabledProtocols="TLSv1"
Техническую поддержку оказываем тут
Наша база знаний
Offline ammo-polly  
#8 Оставлено : 13 сентября 2018 г. 14:01:18(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

cryptopro2018-09-13-2.log (93kb) загружен 2 раз(а).
Offline Евгений Афанасьев  
#9 Оставлено : 13 сентября 2018 г. 14:40:12(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,325
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 309 раз в 306 постах
Вы чем подключаетесь? IE? В ClientHello клиента нет знакомых сайфер-сюит, если IE, то установите CSP.
Техническую поддержку оказываем тут
Наша база знаний
Offline ammo-polly  
#10 Оставлено : 13 сентября 2018 г. 14:48:41(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

chrome
Offline ammo-polly  
#11 Оставлено : 13 сентября 2018 г. 14:53:42(UTC)
ammo-polly

Статус: Участник

Группы: Участники
Зарегистрирован: 30.06.2017(UTC)
Сообщений: 19
Откуда: rus

тоже самое получаю, делая post запросы postman'ом
Offline Евгений Афанасьев  
#12 Оставлено : 13 сентября 2018 г. 14:56:10(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,325
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 309 раз в 306 постах
Автор: Евгений Афанасьев Перейти к цитате
В ClientHello клиента нет знакомых сайфер-сюит.
Chrome шлет незнакомые JTLS протоколы взаимодействия, среди них нет ГОСТовых. Вероятно, потребуется либо специальная сборка chrome, либо какие-то настройки chrome, вопрос про CSP+chrome лучше задать в разделе CSP. Проверить подключение также можно с помощью IE с установленным CSP либо с помощью утилиты csptest (csptest -tlsc -server <ip> -port <port> -file <page> -v -v) из CSP.

Отредактировано пользователем 13 сентября 2018 г. 14:58:25(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.