Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы«<567
Опции
К последнему сообщению К первому непрочитанному
Offline lartok  
#61 Оставлено : 3 апреля 2019 г. 15:11:57(UTC)
lartok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Автор: Евгений Афанасьев Перейти к цитате
System.setProperty("com.sun.security.enableCRLDP", "false"); означает, что CRL будут переданы иначе и их не нужно грузит из сети по CRLDP в сертификатах.


Код:
***
	    	TrustManagerFactory tmf = TrustManagerFactory.getInstance("GostX509");
	        CertPathParameters pkixParams = new PKIXBuilderParameters(trustStore, new X509CertSelector());

	        // Activate certificate revocation checking
	        ((PKIXBuilderParameters) pkixParams).setRevocationEnabled(true);

	        List<CertStore> certStores = new ArrayList<>(1);

	        Collection<CRL> crls = new HashSet<>(1);
	        crls.add(CertificateFactory.getInstance("X.509").generateCRL( new java.io.FileInputStream("your_local_file.crl")));

	        certStores.add(CertStore.getInstance("Collection", new CollectionCertStoreParameters(crls)));
	        ((PKIXBuilderParameters) pkixParams).setCertStores(certStores);

	        System.setProperty("com.sun.security.enableCRLDP", "true");
	        tmf.init(new CertPathTrustManagerParameters(pkixParams));
***


Как то так?
Offline Евгений Афанасьев  
#62 Оставлено : 3 апреля 2019 г. 15:31:28(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Да, без com.sun.security.enableCRLDP, потому что он лишь означает, как получать CRL, а не включение/отключение проверки (например, отключение - setRevocationEnabled(false)). Последнее делает в том числе тот параметр из java prefs. Но потом все равно все упрется в то, что в сертификате сервера нет server authentication.

Отредактировано пользователем 3 апреля 2019 г. 15:32:30(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
lartok оставлено 03.04.2019(UTC)
Offline Dmitry67  
#63 Оставлено : 3 апреля 2019 г. 18:23:42(UTC)
Dmitry67

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.04.2019(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 1 раз
Добрый день!
А что означает trust.store в примере
kst.load(new FileInputStream("trust.store"), "123".toCharArray()); // хранилище доверенных сертификатов //
Offline lartok  
#64 Оставлено : 4 апреля 2019 г. 8:23:57(UTC)
lartok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Автор: Dmitry67 Перейти к цитате
Добрый день!
А что означает trust.store в примере
kst.load(new FileInputStream("trust.store"), "123".toCharArray()); // хранилище доверенных сертификатов //


Файл - хранилище доверенных сертификатов, пароль от этого хранилища соответственно.
thanks 1 пользователь поблагодарил lartok за этот пост.
Dmitry67 оставлено 04.04.2019(UTC)
Offline Dmitry67  
#65 Оставлено : 4 апреля 2019 г. 11:04:17(UTC)
Dmitry67

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.04.2019(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 1 раз
разобрался
Offline lartok  
#66 Оставлено : 10 апреля 2019 г. 10:12:33(UTC)
lartok

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
Автор: Евгений Афанасьев Перейти к цитате
Да, без com.sun.security.enableCRLDP, потому что он лишь означает, как получать CRL, а не включение/отключение проверки (например, отключение - setRevocationEnabled(false)). Последнее делает в том числе тот параметр из java prefs. Но потом все равно все упрется в то, что в сертификате сервера нет server authentication.


Вот уже несколько недель не могу победить.
Сборка Jre 1.8.091 + КриптоПро JCP 2.0.40035 (свежая версия) - ошибка: "RECV TLSv1 ALERT: fatal, description = DECODE_ERROR". На другой стороне стоит КриптоПро CSP 4 версии.
Пробовал разные версии КриптоПро JCP 2.0, вроде бы на 38*** ответ от сервера получил "404 Bad request" - ругался на сертификат. В логах сервера "400 Bad Request No required SSL certificate was sent"
Код не менялся:
Код:
***
	    	TrustManagerFactory tmf = TrustManagerFactory.getInstance("GostX509");
	        CertPathParameters pkixParams = new PKIXBuilderParameters(trustStore, new X509CertSelector());

	        // Activate certificate revocation checking
	        ((PKIXBuilderParameters) pkixParams).setRevocationEnabled(true);

	        List<CertStore> certStores = new ArrayList<>(1);

	        Collection<CRL> crls = new HashSet<>(1);
	        crls.add(CertificateFactory.getInstance("X.509").generateCRL( new java.io.FileInputStream("your_local_file.crl")));

	        certStores.add(CertStore.getInstance("Collection", new CollectionCertStoreParameters(crls)));
	        ((PKIXBuilderParameters) pkixParams).setCertStores(certStores);

	        System.setProperty("com.sun.security.enableCRLDP", "true");
	        tmf.init(new CertPathTrustManagerParameters(pkixParams));
***


P.S.: Другие участники (ПО, сборка не известно) успешно подключаются по SSL ГОСТ2012 к этому сервису.

Отредактировано пользователем 10 апреля 2019 г. 10:55:58(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#67 Оставлено : 10 апреля 2019 г. 11:02:07(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Если есть возможность, предоставьте адрес для подключения, попробуем подключиться.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
7 Страницы«<567
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.