Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы<123>
Ошибка 'recv failed' - Ошибка 'recv failed'
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline ThinkingAnna  
#11 Оставлено : 29 мая 2019 г. 14:26:53(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз
Цитата:
FINE: Given authorities list's size: 0 element(s) <-- список доверенных с сервера пуст, можно слать любой сертификат, issuer не важен
FINE: %% CertificateRequest <-- запрос сертификат, раз TLS_CIPHER_2001, то только по ГОСТ 2001, скорее всего, cert-type=21,22


т.е. я правильно понимаю, что действительно вообще любой сертификат по ГОСТ 2001 сойдет, если список доверенных с сервера пуст?
а "cert-type=21,22" - это что такое? Поясните, пожалуйста.
Вверх
Online Евгений Афанасьев  
#12 Оставлено : 29 мая 2019 г. 14:45:07(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,925
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
21 и 22 - допустимые сервером типы алгоритмов ключей, с которыми он может работать в данной сиюте, т.е. ГОСТ 2001.
Раз certificate authorities с сервера пустой, то можно отправить любой сертификат, видимо, на стороне сервера своя логика проверки либо размер блока получается certificate authorities слишком большим (есть ограничение в размере блока, после которого надо слать пустой список).
Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
ThinkingAnna оставлено 29.05.2019(UTC)
Offline ThinkingAnna  
#13 Оставлено : 29 мая 2019 г. 15:58:28(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз
Попробовала подключиться через JCSP - работает без ключевого контейнера Eh?

Т.е JCP и CSP в принципе ведут себя по разному? CSP что-то генерит дополнительно, чего JCP не генерит?

Логи:
Вверх
Online Евгений Афанасьев  
#14 Оставлено : 29 мая 2019 г. 16:02:30(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,925
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
Нет, они только предоставляют базовые функции провайдеров. Дайте, пожалуйста, адрес подключения для проверки.
Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
Offline ThinkingAnna  
#15 Оставлено : 29 мая 2019 г. 16:08:38(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз
коннектимся к https://zoe-api.fincert.....ru/api/v1/account/login

сертифкаты во вложении
FINCERT_CERT.rar (9kb) загружен 12 раз(а).
Вверх
Online Евгений Афанасьев  
#16 Оставлено : 29 мая 2019 г. 17:44:16(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,925
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
Повторить не удалось, что в случае JCP, что JCSP (при этом вместо keyManager в sslContext.init передан null):
FINE: *** CertificateRequest
Cert Types: Type-22
Cert Authorities:
<Empty>
То есть есть запрос сертификата клиента.
Правда, при этом сертификат сервера был получен tls-fc02n.fincert.cbr.ru:
No name matching zoe-api.fincert.cbr.ru found (добавил setHostnameVerifier(new AllowAllHostnameVerifier()), возможно, не указаны какие-то расширения)
Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
Offline ThinkingAnna  
#17 Оставлено : 29 мая 2019 г. 17:58:38(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз
Цитата:
Повторить не удалось


Т.е. я рано обрадовалась, что у меня всё заработало, как надо ФинЦерту, без левых сертификатов, и так быть не должно... d'oh!

Версии такие, если это имеет значение
CSP 5.0.1
JCSP 4.0
Вверх
Online Евгений Афанасьев  
#18 Оставлено : 29 мая 2019 г. 18:26:26(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,925
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
Может быть, у вас есть готовый краткий пример, способный воспроизвести ошибку?
Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
Offline two_oceans  
#19 Оставлено : 30 мая 2019 г. 7:44:09(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
Автор: ThinkingAnna Перейти к цитате
Цитата:
сертификат может быть и "безличным" (без указания ФИО и СНИЛС), такие сертификаты выпускаются для информационных систем или серверов
Но разве в таком случае сервер не будет ждать от клиента этот и только этот сертификат?
А тут получается так, что сервису ЦБ нормально, даже когда я предоставляю ему тестовый сертификат СМЭВа Angel Т.е. там УЦ вообще другой, ну никакой связи нет Eh?
Смотря как спроектирована информационная система куда подключаетесь и для чего используется сертификат. Без знания особенностей финцерт можно строить только догадки.
Например, есть информационные системы, которые работают "внутри" по http без защиты соединения, но для работы "извне" (через интернет) настраивается соединение через криптошлюз или серверную часть криптотоннеля (stunnel-msspi, например). В таком случае, сертификат переданный для соединения со шлюзом может не передаваться в саму информационную систему и не привязываться к аккаунту в информационной системе. На самом шлюзе тоже может аккаунт для сертификата не создаваться, особенно если нет официального требования про клиентский сертификат. А сам шлюз только проверять, что сертификат гост и доверенную цепочку до головного УЦ, потом записывать в протокол, что соединенте было от клиента с таким-то общим именем в квалифицированном сертификате.


С другой стороны, если веб-сервер реализован самим разработчиком прямо в исполняемом модуле с поддержкой tls, тогда он может и не соответствует всем требованиям стандартов, но при этом может получить всю информацию о соединении и обеспечить идентификацию и аутентификацию пользователя системы сразу при установке TLS соединения. Полагаю, этот путь выбрали в ЕИС.

А некоторые ИС еще и логин пароль на входе проверяют и их соответствие сертификату соединения (как гис жкх при интеграции). Другие ИС полагаются на проверку сертификата и полномочий пользователя через ЕСИА (в ЕСИА возможно зайти по паролю или сертификату, но ИС дает отказ если вход по паролю, зато принимается любой сертификат со снилс сотрудника). Заметьте, само соединение с ИС по гост, но не требует сертификата ГОСТ, а соединение ЕСИА защищено зарубежным алгоритмом. Пример: личный кабинет ЕГИССО и ГАС Управление. Личный кабинет гис жкх даже разрешает вход по паролю через ЕСИА.

Еще вариант - в ФИАС реализован вход через ЕСИА, вход по сертификату (с огрн организации), привязанному к аккаунту и вход по паролю (по паролю доступна только смена сертификата).

В общем, сколько разработчиков ИС, столько и вариантов. Никакого четкого требования что сертификат соединения равен сертификату аккаунта в ИС в общем случае нет. Судя по Вашим сообщениям у финцерт отдельный криптошлюз не передающий данные сертификата соединения в саму ИС.
Вверх
Offline ThinkingAnna  
#20 Оставлено : 30 мая 2019 г. 11:55:47(UTC)
ThinkingAnna

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.05.2015(UTC)
Сообщений: 41
Женщина
Российская Федерация

Сказала «Спасибо»: 4 раз

Цитата:
Может быть, у вас есть готовый краткий пример, способный воспроизвести ошибку?


вот на таком примере, используя JCSP, удается приконнектиться без каких-то либо ключей

Эта конференция требует регистрации перед тем как вы сможете увидеть скрытые сообщения.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET