logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline koviryalkin  
#1 Оставлено : 12 апреля 2019 г. 16:35:14(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
После перехода клиентов на CSP 4.0.9963 стало невозможно установить TLS соединение вебсервисом ВУЦ 2.0.
В логе следующая ошибка:
Цитата:
Apr 12 09:50:25 localhost java: capi20: DownloadFromNetwork () UrlRetriever failed (CURLcode: 12029 URL: http://regserv/aia/26a185ab7deea6fa0e70d11adc750f30b0a40856.crt).
Apr 12 09:50:25 localhost java: capi20: CryptRetrieveObjectByUrlA DownloadFromNetwork failed, error code : 80092004
Apr 12 09:50:25 localhost java: libssp: AddToMessageLog unknown error


"http://regserv/aia/26a185ab7deea6fa0e70d11adc750f30b0a40856.crt" - это "CA cert URL" из сертификата по которому идет подключение к ВУЦ, но сертификат издателя установлен в uRoot и зачем его пытаться скачать не понятно.

Как победить?
Offline Максим Коллегин  
#2 Оставлено : 12 апреля 2019 г. 19:43:43(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,512
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 523 раз в 474 постах
Код выполняется под тем же пользователем, у которого установлен сертификат в Root?
Попробуйте установить в mRoot.
Знания в базе знаний, поддержка в техподдержке
Offline koviryalkin  
#3 Оставлено : 15 апреля 2019 г. 12:40:11(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Приветствую!
Автор: Максим Коллегин Перейти к цитате
Код выполняется под тем же пользователем, у которого установлен сертификат в Root?

Да, конечно.

Автор: Максим Коллегин Перейти к цитате
Попробуйте установить в mRoot.

Не помогло.

Еше вот что заметил - при выполнении CertGetCertificateChain для того серта значение возвращается правильное, но в логах наблюдаю следующее:
Цитата:
Apr 15 09:31:14 localhost java: capi20: CryptRetrieveObjectByUrlA Object not found, error code : 80092004
Apr 15 09:31:14 localhost java: capi20: CryptRetrieveObjectByUrlA Object not found, error code : 80092004


Offline Максим Коллегин  
#4 Оставлено : 15 апреля 2019 г. 13:24:10(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,512
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 523 раз в 474 постах
Вы приложили только листовой сертификат, а где промежуточный? Он должен быть установлен в хранилище CA.
Знания в базе знаний, поддержка в техподдержке
Offline Андрей Емельянов  
#5 Оставлено : 15 апреля 2019 г. 13:59:23(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 768
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 1 раз
Поблагодарили: 139 раз в 136 постах
Добрый день.
Цитата:
После перехода клиентов на CSP 4.0.9963 стало невозможно установить TLS соединение вебсервисом ВУЦ 2.0.

Дополнительно, укажите адрес веб-сервиса, если внешний.
Техническую поддержку оказываем тут
Наша база знаний
Offline koviryalkin  
#6 Оставлено : 15 апреля 2019 г. 15:26:38(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Сервис внутренний =(
Offline Андрей Емельянов  
#7 Оставлено : 15 апреля 2019 г. 17:08:38(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 768
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 1 раз
Поблагодарили: 139 раз в 136 постах
Опишите подробнее:
- какая ОС на стороне клиента
- какая ОС и версия CSP на стороне сервера
- с помощью какого ПО организуете TLS на сервере и на клиенте

Есть ли еще ошибки в логах, при попытке организовать TLS соединение?
Техническую поддержку оказываем тут
Наша база знаний
Offline koviryalkin  
#8 Оставлено : 16 апреля 2019 г. 18:48:21(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
На клиенте:
ГосЛинукс, ядро 2.6.32-642.15.1.el6.x86_64,
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9969 OS:Linux CPU:AMD64 FastCode:READY:AVX.
Собственная реализация javax.net.ssl.SSLEngine.

Что на сервере уточню позже. Но КриптоПро УЦ 2.0 это точно.

Offline koviryalkin  
#9 Оставлено : 17 апреля 2019 г. 16:22:20(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
На сервере: Windows Server 2016, Версия УЦ 2.0.6142.0100, версия КриптоПро CSP 4.0 R4.
Offline Андрей Емельянов  
#10 Оставлено : 17 апреля 2019 г. 18:07:51(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 768
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 1 раз
Поблагодарили: 139 раз в 136 постах
Проверьте с клиента:
/opt/cprocsp/bin/amd64/csptestf -tlsc -server <server_name> -port <port> -nosave -v
результат приложите посмотреть.
Техническую поддержку оказываем тут
Наша база знаний
Offline koviryalkin  
#11 Оставлено : 18 апреля 2019 г. 18:36:25(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый день!
Цитата:

[root@localhost ]# sudo -u fssp /opt/cprocsp/bin/amd64/csptestf -tlsc -server regserv -port 443 -nosave -v -file "ra/RegAuthLegacyService.svc"

8 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[03] 0x801f 0x8000
[04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 94
SessionId: (empty)
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
99 bytes of handshake data sent
1287 bytes of handshake data received
1287 bytes of handshake data received
1741 bytes of handshake data received
215 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_SESSION_INFO: Reuse: 1, SessionId: c8bc92717208a9caacb199ded9c4cf3c00009a6f07346fc507e0ce747e074ea3
SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2012 256), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2012 256), KeyType: 0
SECPKG_ATTR_NAMES: INN=007709576929, OGRN=1047796859791, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, C=RU, S=77 г. Москва, L=Москва, O=Федеральная служба судебных приставов, OU=Управление информационных технологий, CN=Веб-сервер
SECPKG_ATTR_PACKAGE_INFO not supported.

Server certificate:
Subject: INN=007709576929, OGRN=1047796859791, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, C=RU, S=77 г. Москва, L=Москва, O=Федеральная служба судебных приставов, OU=Управление информационных технологий, CN=Веб-сервер
Valid : 21.02.2019 11:03:15 - 21.05.2020 11:13:15 (UTC)
Issuer : OGRN=1047796859791, INN=007709576929, C=RU, S=77 г. Москва, L=Москва, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, OU=Управление информационных технологий, O=Федеральная служба судебных приставов, CN=Федеральная служба судебных приставов
PrivKey: 21.02.2019 11:03:14 - 21.05.2020 11:03:14 (UTC)

Protocol: TLS 1.2
Cipher: 0x661e
Cipher strength: 256
Hash: 0x8021
Hash strength: 256
Key exchange: 0xaa47
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET /ra/RegAuthLegacyService.svc HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: regserv
Connection: close


Sending plaintext: 114 bytes
132 bytes of application data sent
13 bytes of (encrypted) application data received
Decrypted data: 0 bytes
Server requested renegotiate!
95 bytes of handshake data sent
2574 bytes of handshake data received
2574 bytes of handshake data received
1287 bytes of handshake data received
1166 bytes of handshake data received
Server requested new credentials!

Trying to create new credential
Issuer 0: CN=УЦ ФССП России
Issuer 1: DC=com, DC=microsoft, CN=Microsoft Root Certificate Authority
Issuer 2: OU=Copyright (c) 1997 Microsoft Corp., OU=Microsoft Corporation, CN=Microsoft Root Authority
Issuer 3: C=US, S=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2011
Issuer 4: E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Issuer 5: OGRN=1047796859791, INN=007709576929, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, E=it@fssprus.ru, C=RU, S=77 г. Москва, L=Москва, O=Федеральная служба судебных приставов, OU=Управление информационных технологий, CN=УЦ ФССП России
Issuer 6: C=US, O="VeriSign, Inc.", OU=VeriSign Trust Network, OU="(c) 2006 VeriSign, Inc. - For authorized use only", CN=VeriSign Class 3 Public Primary Certification Authority - G5
Issuer 7: E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России
Issuer 8: C=US, S=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
Issuer 9: OGRN=1037700085444, INN=007717107991, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro GOST Root CA
Issuer 10: C=BM, O=QuoVadis Limited, OU=Root Certification Authority, CN=QuoVadis Root Certification Authority
Issuer 11: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
Issuer 12: C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
Issuer 13: C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
Issuer 14: C=GB, S=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
Issuer 15: C=US, O=GTE Corporation, OU="GTE CyberTrust Solutions, Inc.", CN=GTE CyberTrust Global Root
Issuer 16: C=US, O="thawte, Inc.", OU=Certification Services Division, OU="(c) 2006 thawte, Inc. - For authorized use only", CN=thawte Primary Root CA
Issuer 17: C=US, O="VeriSign, Inc.", OU=Class 3 Public Primary Certification Authority
Issuer 18: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA
Issuer 19: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA
Issuer 20: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Issuers: 21, Length: 3282 bytes

Can not find client certificate with received issuers, trying server certificate Issuer Name
Issuer 0: OGRN=1047796859791, INN=007709576929, C=RU, S=77 г. Москва, L=Москва, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, OU=Управление информационных технологий, O=Федеральная служба судебных приставов, CN=Федеральная служба судебных приставов
Issuers: 1, Length: 436 bytes
An error occurred in running the program.
../../../../CSPbuild/CSP/samples/csptest/WebClient.c:2530:Error finding cert chain
Error number 0x80092004 (2148081668).
Объект или свойство не найдено.
**** Error 0xffffffff80092004 returned by HandShaker
HttpsGetFile: 0x80092004
An error occurred in running the program.
../../../../CSPbuild/CSP/samples/csptest/WebClient.c:814:Error fetching file from server.
Error number 0x80092004 (2148081668).
Объект или свойство не найдено.
Total: SYS: 0,060 sec USR: 0,190 sec UTC: 1,090 sec
[ErrorCode: 0x80092004]
Offline Андрей Емельянов  
#12 Оставлено : 19 апреля 2019 г. 10:55:45(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 768
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 1 раз
Поблагодарили: 139 раз в 136 постах
Уточните, с какой версии CSP переходили на CSP 4.0.9963.
По выводу, при выполнении под пользователем fssp не удалось найти сертификат клиента для аутентификации. Сертификат ищет в хранилище umy пользователя fssp.
Ваше приложение работает с нашими хранилищами? Попробуйте переустановить сертификат с привязкой к ключу на клиенте.
Переустановить можно командой:
Код:
# sudo -u fssp /opt/cprocsp/bin/amd64/csptestf -absorb -certs -auto

установит сертификаты в хранилище umy пользователя fssp из всех доступных ключевых контейнеров.
Техническую поддержку оказываем тут
Наша база знаний
Offline koviryalkin  
#13 Оставлено : 19 апреля 2019 г. 13:43:53(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
На тестовой станции переходил с 4.0.9944 на 4.0.9963 затем 4.0.9969. Потом опять откатился на 4.0.9944, но при этом при инициализации криптопровайдера стала падать JVM. Вылечилось полным удалением КриптоПро (в том числе и /var/opt/cprocsp/**). Далее установил 4.0.9944, и вот тут была какая-то странность - после установки в /var/opt/cprocsp/ хранилища root оказались не пустыми =( . Откуда установщик взял сертификаты, не знаю, но я их все удалил руками (certmgr -delete -all ...) далее установил необходимые мне. Потом перешел на 4.0.9969.

Выполнил:
Цитата:
[root@localhost ]# sudo -u fssp /opt/cprocsp/bin/amd64/csptestf -absorb -certs -auto
Match: HDIMAGE\\le-94381.000\4458
OK.
Total: SYS: 0,020 sec USR: 0,020 sec UTC: 4,790 sec
[ErrorCode: 0x00000000]


В My установлен 1 серт (он же и был):
Цитата:
[root@localhost pksp]#[root@localhost ]# sudo -u fssp /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : OGRN=1047796859791, INN=007709576929, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, E=it@fssprus.ru, C=RU, S=77 г. Москва, L=Москва, O=Федеральная служба судебных приставов, OU=Управление информационных технологий, CN=Федеральная служба судебных приставов
Subject : INN=999999999999, SNILS=88888888888, STREET="ул. Xxxxxxx Yyyyyy, д 00, стр. 0", E=uuuuuu.nnnnnnn@red-soft.ru, C=RU, S=Тверская область, L=Nnnnn, O="ООО ""РЕД СОФТ""", OU=Nnnnn подразделение, UnstructuredName=8-800-200-35-37, T=Инженер-программист, I=А.А., G=Aaaaaaa Aaaaaaaaaaa, SN=Vvvvvv, CN=Vvvvvvv Aaaaaaa Aaaaaaaaaaa
Serial : 0x071085DA7AC40C76ABE811CB6E72952E59
SHA1 Hash : 137570faeb7ea32070157ed2c041c3144e801c14
SubjKeyID : 91155e4a33ced7ec1aa490e52d239bc5d876a7af
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 13/06/2018 05:23:50 UTC
Not valid after : 13/09/2019 05:33:50 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\le-94381.000\4458
Provider Name : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
OCSP URL : http://dss.fssprus/ocsp/ocsp.srf
CA cert URL : http://regserv/aia/26a185ab7deea6fa0e70d11adc750f30b0a40856.crt
CDP : http://www.fssprus.ru/fi...d11adc750f30b0a40856.crl
CDP : http://regserv/cdp/26a185ab7deea6fa0e70d11adc750f30b0a40856.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
1.2.643.100.113.1
1.2.643.100.113.2
1.2.643.100.2.1
1.2.643.2.2.34.5
=============================================================================

[ErrorCode: 0x00000000]


Результат тот же самый.

Offline koviryalkin  
#14 Оставлено : 19 апреля 2019 г. 15:38:51(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: Андрей Емельянов Перейти к цитате

По выводу, при выполнении под пользователем fssp не удалось найти сертификат клиента для аутентификации.

Только сейчас увидел, а зачем он его ищет? При подключении конкретно указывается сертификат, используя которой необходимо установить соединение.

Offline Андрей Емельянов  
#15 Оставлено : 19 апреля 2019 г. 16:05:00(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 768
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 1 раз
Поблагодарили: 139 раз в 136 постах
Цитата:
Далее установил 4.0.9944, и вот тут была какая-то странность - после установки в /var/opt/cprocsp/ хранилища root оказались не пустыми

Установку скриптом производили? Скриптом ставится пакет lsb-cprocsp-ca-certs, он и ставит дополнительные сертификаты для аккредитованных УЦ.

Цитата:
Результат тот же самый.

csptestf -тоже самое выдает?

Цитата:
Только сейчас увидел, а зачем он его ищет? При подключении конкретно указывается сертификат, используя которой необходимо установить соединение.

Ошибка из лога:
Цитата:
Can not find client certificate with received issuers, trying server certificate Issuer Name
Issuer 0: OGRN=1047796859791, INN=007709576929, C=RU, S=77 г. Москва, L=Москва, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, OU=Управление информационных технологий, O=Федеральная служба судебных приставов, CN=Федеральная служба

говорит о том, что в хранилище сертификат клиента не подходит для аутентификации на regserv (ra/RegAuthLegacyService.svc)

Возможно не тем сертификатом с ключом пытаетесь зайти на ваш вебсервис УЦ 2.0? Или не на тот адрес сервера или порт тест tlsc отправляете.

Техническую поддержку оказываем тут
Наша база знаний
Offline koviryalkin  
#16 Оставлено : 22 апреля 2019 г. 18:28:05(UTC)
koviryalkin

Статус: Участник

Группы: Участники
Зарегистрирован: 18.12.2017(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: Андрей Емельянов Перейти к цитате

говорит о том, что в хранилище сертификат клиента не подходит для аутентификации на regserv (ra/RegAuthLegacyService.svc)

Возможно не тем сертификатом с ключом пытаетесь зайти на ваш вебсервис УЦ 2.0? Или не на тот адрес сервера или порт тест tlsc отправляете.

А у меня других нет! Кроме того, до обновления клиентской КриптоПро все работает и с тем, что есть.


Цитата:
[root@localhost ]# sudo -u fssp /opt/cprocsp/bin/amd64/csptestf -tlsc -server regserv -port 443 -nosave -v -file "ra/RegAuthLegacyService.svc" -user 'INN=999999999999, SNILS=88888888888, STREET="ул. Xxxxxxx Yyyyyy, д 00, стр. 0", E=uuuuuu.nnnnnnn@red-soft.ru, C=RU, S=Тверская область, L=Nnnnn, O="ООО ""РЕД СОФТ""", OU=Nnnnn подразделение, UnstructuredName=8-800-200-35-37, T=Инженер-программист, I=А.А., G=Aaaaaaa Aaaaaaaaaaa, SN=Vvvvvv, CN=Vvvvvvv Aaaaaaa Aaaaaaaaaaa'

#0:
Subject: INN=999999999999, SNILS=88888888888, STREET="ул. Xxxxxxx Yyyyyy, д 00, стр. 0", E=uuuuuu.nnnnnnn@red-soft.ru, C=RU, S=Тверская область, L=Nnnnn, O="ООО ""РЕД СОФТ""", OU=Nnnnn подразделение, UnstructuredName=8-800-200-35-37, T=Инженер-программист, I=А.А., G=Aaaaaaa Aaaaaaaaaaa, SN=Vvvvvv, CN=Vvvvvvv Aaaaaaa Aaaaaaaaaaa
Valid : 13.06.2018 05:23:50 - 13.09.2019 05:33:50 (UTC)
Issuer : OGRN=1047796859791, INN=007709576929, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, E=it@fssprus.ru, C=RU, S=77 г. Москва, L=Москва, O=Федеральная служба судебных приставов, OU=Управление информационных технологий, CN=Федеральная служба судебных приставов
PrivKey: 13.06.2018 05:23:50 - 13.09.2019 05:23:50 (UTC)


Client certificate:
Subject: INN=999999999999, SNILS=88888888888, STREET="ул. Xxxxxxx Yyyyyy, д 00, стр. 0", E=uuuuuu.nnnnnnn@red-soft.ru, C=RU, S=Тверская область, L=Nnnnn, O="ООО ""РЕД СОФТ""", OU=Nnnnn подразделение, UnstructuredName=8-800-200-35-37, T=Инженер-программист, I=А.А., G=Aaaaaaa Aaaaaaaaaaa, SN=Vvvvvv, CN=Vvvvvvv Aaaaaaa Aaaaaaaaaaa
Valid : 13.06.2018 05:23:50 - 13.09.2019 05:33:50 (UTC)
Issuer : OGRN=1047796859791, INN=007709576929, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, E=it@fssprus.ru, C=RU, S=77 г. Москва, L=Москва, O=Федеральная служба судебных приставов, OU=Управление информационных технологий, CN=Федеральная служба судебных приставов
PrivKey: 13.06.2018 05:23:50 - 13.09.2019 05:23:50 (UTC)

8 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit)
[03] 0x801f 0x8000
[04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 90
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
95 bytes of handshake data sent
1287 bytes of handshake data received
3028 bytes of handshake data received
215 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2012 256), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2012 256), KeyType: 0
SECPKG_ATTR_NAMES: INN=007709576929, OGRN=1047796859791, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, C=RU, S=77 г. Москва, L=Москва, O=Федеральная служба судебных приставов, OU=Управление информационных технологий, CN=Веб-сервер
SECPKG_ATTR_PACKAGE_INFO not supported.

Server certificate:
Subject: INN=007709576929, OGRN=1047796859791, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, C=RU, S=77 г. Москва, L=Москва, O=Федеральная служба судебных приставов, OU=Управление информационных технологий, CN=Веб-сервер
Valid : 21.02.2019 11:03:15 - 21.05.2020 11:13:15 (UTC)
Issuer : OGRN=1047796859791, INN=007709576929, C=RU, S=77 г. Москва, L=Москва, STREET=ул. Кузнецкий мост д. 16/5 стр. 1, OU=Управление информационных технологий, O=Федеральная служба судебных приставов, CN=Федеральная служба судебных приставов
PrivKey: 21.02.2019 11:03:14 - 21.05.2020 11:03:14 (UTC)

Protocol: TLS 1.2
Cipher: 0x661e
Cipher strength: 256
Hash: 0x8021
Hash strength: 256
Key exchange: 0xaa47
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET /ra/RegAuthLegacyService.svc HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: regserv
Connection: close


Sending plaintext: 114 bytes
132 bytes of application data sent
13 bytes of (encrypted) application data received
Decrypted data: 0 bytes
Server requested renegotiate!
91 bytes of handshake data sent
3861 bytes of handshake data received
3740 bytes of handshake data received
CryptoPro CSP: Type password for container "le-94381169-4faa-4abc-890e-6180cefb2b45"
Password:
4939 bytes of handshake data sent
35 bytes of handshake data received
Handshake was successful
1287 bytes of (encrypted) application data received
1287 bytes of (encrypted) application data received
1229 bytes of (encrypted) application data received
Decrypted data: 3794 bytes
No data in socket: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
Sending Close Notify
11 bytes of handshake data sent
1 connections, 3794 bytes in 14.645 seconds;
Total: SYS: 0,690 sec USR: 0,470 sec UTC: 56,110 sec
[ErrorCode: 0x00000000]


ЗЫ: Кстати, после указания CN для пользователя 'csptestf -tlsc' работает и на новой версии.
Offline Андрей Емельянов  
#17 Оставлено : 24 апреля 2019 г. 11:46:08(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 768
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 1 раз
Поблагодарили: 139 раз в 136 постах
По тесту - tls работает.
Ваше приложение на клиенте пишет лог? Сейчас не понятно, на каком этапе ломается.

Для CSP можно повысить логирование на клиенте, отредактировать секцию [debug] в /etc/opt/cprocsp/config64.ini

[debug]

cpcsp=15
capi10=15
cprdr=15
capi20=15
capilite=15
libssp=15
pkivalidator=15



Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.