Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline Евгений Афанасьев  
#11 Оставлено : 30 ноября 2019 г. 14:24:46(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Запросите лучше информацию в egrz.ru, наверняка у них есть инструкции.
На счет панели: JCP не поддерживает работу с не-ГОСТ алгоритмами, и не распознает их.

Отредактировано пользователем 30 ноября 2019 г. 14:57:30(UTC)  | Причина: Не указана

Offline rmussalimov  
#12 Оставлено : 4 декабря 2019 г. 13:33:36(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Автор: Евгений Афанасьев Перейти к цитате
Запросите лучше информацию в egrz.ru, наверняка у них есть инструкции.
На счет панели: JCP не поддерживает работу с не-ГОСТ алгоритмами, и не распознает их.


Кажется, мы начинаем понимать

Сообщение с форума:

Цитата:
Ранее было опробовано решение с JCP от Крипто-про. Однако в этом случае при отправке запроса на открытие защищенного соединения TLS, сервер отвечает не тем сертификатом, который мы ожидаем получить для проверки(lk.egrz.ru), в итоге handshake не происходит, а происходит обрыв соединения. Возможно, нам отвечает сервер, обрабатывающий начальный запрос и распределяющий запросы до конечных точек и высылает свой собственный сертификат.


Можно пропустить сервер с неправильным сертификатом как-то и сразу получить серт конечной точки?
Offline Евгений Афанасьев  
#13 Оставлено : 4 декабря 2019 г. 15:41:53(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Автор: Евгений Афанасьев Перейти к цитате
Предполагаю, что надо при подключении передавать имя хоста в расширении SNI (server name indication) , но этот функционал пока не поддерживается.

Отредактировано пользователем 4 декабря 2019 г. 18:36:48(UTC)  | Причина: Не указана

Offline two_oceans  
#14 Оставлено : 5 декабря 2019 г. 5:36:11(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
Он вообще какой-то странный, просроченный, а CN (подозреваю, что это IP) вообще из США.
IP 10.x.x.x не принадлежит какой-то стране, а зарезервирован для частных сетей очень большого размера. Это в частности означает, что: 1) сертификаты TLS интернета не выдаются доверенными зарубежными УЦ на адреса частных сетей, бывают только самодельные сертификаты - самоподписанные или ведомственного УЦ; 2) многие отечественные федеральные госучреждения используют этот диапазон IP для связи с сетями подразделений: очень удобно назначить второй октет на код региона (100+код региона на областное подразделение, 200+ на центральный аппарат), третий октет на код города/района/отдела. Очень часто диапазон используется в сетях випнета для виртуальной адресации.
Автор: rmussalimov Перейти к цитате
Автор: Евгений Афанасьев Перейти к цитате
Запросите лучше информацию в egrz.ru, наверняка у них есть инструкции.
На счет панели: JCP не поддерживает работу с не-ГОСТ алгоритмами, и не распознает их.
Кажется, мы начинаем понимать
Тем не менее выше вернулся просроченный сертификат с алгоритмом гост-2001, так что дело не в алгоритме. Проблематично что он V1, то есть без поддержки (всех или почти всех) расширений. Subject Alternative Name - это как раз расширение и его невозможно передать в таком сертификате, как и кучу других данных.
Автор: rmussalimov Перейти к цитате
Можно пропустить сервер с неправильным сертификатом как-то и сразу получить серт конечной точки?
Вот это правильное направление. Более точно это зависит от схемы сети ведомства и обычно внутренняя сеть защищена, обойти шлюз не получится. Придется через SNI пробовать.

Отредактировано пользователем 5 декабря 2019 г. 6:04:21(UTC)  | Причина: Не указана

thanks 2 пользователей поблагодарили two_oceans за этот пост.
rmussalimov оставлено 07.12.2019(UTC), Евгений Афанасьев оставлено 07.12.2019(UTC)
Offline rmussalimov  
#15 Оставлено : 7 декабря 2019 г. 18:35:12(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Спасибо большое за разъяснение.

Удалось импортнуть сертификат, возвращаемый сервером (надо было добавить BEGIN/END CERTIFICATE).

Теперь вроде как доходим до ServerHelloDone

Лог прилагаю, надеюсь, кто-то сможет сказать в чем сейчас ошибка, ошибка теперь очень общая:

logImportedCert.txt (87kb) загружен 12 раз(а).

Надеюсь на помощь и заранее спасибо
Offline Евгений Афанасьев  
#16 Оставлено : 9 декабря 2019 г. 12:33:35(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
В логе есть список сертификатов, которым доверяет сервер:
Код:

Cert Types: Type-22
Cert Authorities:
<CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, EMAILADDRESS=support@cryptopro.ru>
<CN=УЦ ИИТ (НК1), O=ОАО «ИнфоТеКС Интернет Траст», L=Москва, ST=77 г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373433303230353630, OID.1.2.643.100.1=#120D31303237373339313133303439, STREET="Старый Петровско-Разумовский проезд, д. 1/23, стр. 1", EMAILADDRESS=SupportIIT@infotecs.ru>
<CN="ООО \"ТРАСТ СЕРВИСЫ\"", O="ООО \"ТРАСТ СЕРВИСЫ\"", EMAILADDRESS=uc@trust-s.ru, ST=77 г. Москва, L=Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373134393431353432, STREET="Старый Петровско – Разумовский проезд, д. 1/23, стр. 1", OID.1.2.643.100.1=#120D31313437373436383733313431>
<CN=Головной удостоверяющий центр, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="125375 г. Москва, ул. Тверская, д. 7", L=Москва, ST=77 г. Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru>
<CN="ОАО \"ИИТ\"", O="Открытое Акционерное Общество \"ИнфоТеКС Интернет Траст\"", EMAILADDRESS=SupportIIT@infotecs.ru, ST=77 г. Москва, L=Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373433303230353630, STREET="Старый Петровско-Разумовский проезд, д. 1/23, стр. 1", OID.1.2.643.100.1=#120D31303237373339313133303439>
<CN=CA INFOSEC 2001, O=АО НИП ИНФОРМЗАЩИТА, STREET="Театральная аллея, д.3, стр. 1", L=Москва, ST=г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373032313438343130, OID.1.2.643.100.1=#120D31303237373339323530333138>

Корневой сертификат цепочки сертификатов клиента должен быть входить в этот список.
Если в вашем ключевом контейнере только 1 сертификат, то нужно установить всю цепочку до корневого, который может попасть в этот список, потому что клиентский наврняка издан каким-нибудь промежуточным, которого в этом списке нет.
И другие причины: нет использования ключа "клиентская аутентификация", просрочен сертификат и т.п.
Offline rmussalimov  
#17 Оставлено : 10 декабря 2019 г. 20:23:52(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Спасибо, добавили сертификаты, теперь лог и ошибка следующая. Надеюсь, что поможет

logfinalfull.txt (79kb) загружен 7 раз(а).

Update:

А, нет, ничего не изменилось, можно не смотреть

Отредактировано пользователем 10 декабря 2019 г. 20:52:18(UTC)  | Причина: Не указана

Offline rmussalimov  
#18 Оставлено : 10 декабря 2019 г. 20:57:18(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 65

Сказал(а) «Спасибо»: 4 раз
Евгений, можете, пожалуйста, приложить эталонный лог? То есть когда соединение успешно устанавливается

Конечно, проблема не в JCP, а в настройке их сервера, но просто интересно
Offline Евгений Афанасьев  
#19 Оставлено : 10 декабря 2019 г. 21:00:20(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
По-прежнему
Код:

FINE: Search for client containers with GOST algorithms.
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_15 a
FINE: Search for client containers with type:  GOST3410EL
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% getting aliases for Client
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_38 a
WARNING: %% No alias is match
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_15 a
FINE: Containers not found.
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_15 a
FINE: No appropriate cert was found.
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_42 f
FINE: *** Certificate message
***


Не найден подходящий сертификат.
Причины:
нет вообще ни одного контейнера, чтобы выбрать - например, был задан неправильный пароль, или у данного пользователя нет в папке ни одного контейнера
просрочен сертификат в контейнере
сертификат найден, но у сертификата алгоритм не ГОСТ 2001, как присылает сервер, а ГОСТ 2012 (при этом jcp достаточно старый)
сертификат найден, но в сертификате нет политики "клиентская аутентификация"
сертификат найден, но его издатель (или издатель каждого сертификата в цепочке) не входит в список, присланный сервером - нужно установить всю цепочку сертификатов в ключевой контейнер клиента
Offline Евгений Афанасьев  
#20 Оставлено : 10 декабря 2019 г. 21:01:15(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Автор: rmussalimov Перейти к цитате
Евгений, можете, пожалуйста, приложить эталонный лог? То есть когда соединение успешно устанавливается
Конечно, проблема не в JCP, а в настройке их сервера, но просто интересно

Постараюсь приложить.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.