Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline vdchernikov  
#1 Оставлено : 7 октября 2020 г. 9:31:58(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Используем android-csp-5.0.40424 для защищенного соединения с сервером (Continent TLS).
Используем корневые сертификаты и сертификат пользователя.

В какойто момент пользователь сгенерировал себе новый сертификат и у него новые корневые сертификаты.
Мы все заменили но сервер стал выдавать ошибку

Цитата:
<html>
<head><title>400 The SSL certificate error</title></head>
<body bgcolor="white">
<center><h1>HTTPS-прокси. Ошибка сертификата</h1></center>
<ul><li>Сертификат имеет неправильное назначение</li><li>Сертификат отозван</li><li>Время действия сертификата еще не наступило</li><li>Срок действия сертификата истёк</li></ul>
</body>
</html>


С компьютера с помощью утилиты stunnel и тестового запроса ответ приходит,
а с мобильного устройства вот такая ошибка хотя вроде бы корневые сертифкаты все нужные.

Как искать причину? Куда копать? Сравнить сертфикаты было стало? Почему с декстопа ответ приходит а с мобильного 400 ошибка?
Может ли как то влиять что второй адрес не доступен: (указано в сертфикате)

X509v3 CRL Distribution Points:

Full Name:
URI:http://crl.roskazna.ru/crl/ucfk_2020.crl

Full Name:
URI:http://crl.fsfk.local/crl/ucfk_2020.crl


на ПК ответ правильный и такой же ответ был раньше на мобильном:

d:\stunnel>curl -i -H "Host: lk.budget.gov.ru" -X GET http://127.0.0.1:8080/piao/
HTTP/1.1 302 Found
Server: Continent TLS
Date: Wed, 07 Oct 2020 08:36:44 GMT
Content-Type: text/html; charset=iso-8859-1
Content-Length: 284
Connection: keep-alive
Set-Cookie: DCCCtxCookie_lk.budget.gov.ru:80=encdata%3DfZ5%2Fgok7oi2F05qvMN%2B5WOF%2BSlUl3V4jxhfPozp8jJs%2FVU71Odxpis8TGzA7DcciLoLrUksIkbEaYHkVfEY5Ul1UNoA%2BPqGh3n0stV86PUKDegovQL1Dzi%2Fbs%2FDERt9Y02WjWQitJ5PoxNU14BIxgsG7vWol1xOtZbiktCk%2FQdwUcpT0mj8SyTf%2BFb2rSKGIBAgLFuBxtpugwjZ5ZrO%2FogAgiUOdf7XpTrhmqM%2F6ZPmx72tsfhw39NKvU6KLZjFTG1niVzQHl%2B3ULxuVmkEl5Q%3D%3D; httponly; path=/oam/server/auth_cred_submit
Location: /oamsso-bin/login.pl?resource_url=http%3A%2F%2Flk.budget.gov.ru%2Fpiao%2F
Cache-Control: max-age=3600
Expires: Wed, 07 Oct 2020 09:36:43 GMT
Vary: Accept-Encoding
Set-Cookie: cookie_ohs=1092062474.24862.0000; path=/

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>302 Found</title>
</head><body>
<h1>Found</h1>
<p>The requested resource has been temporarily moved <a href="/oamsso-bin/login.pl?resource_url=http%3A%2F%2Flk.budget.gov.ru%2Fpiao%2F">here</a>.</p>
</body></html>

Отредактировано пользователем 7 октября 2020 г. 11:44:47(UTC)  | Причина: Не указана

Offline vdchernikov  
#2 Оставлено : 7 октября 2020 г. 10:16:20(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Хотя хэндшейк проходит вродебы нормально

Handshake{tlsVersion=TLS_1_0 cipherSuite=TLS_CIPHER_2012 peerCertificates=[CN=Федеральное казначейство, OU=Управление информационной инфраструктурой, O=Федеральное казначейство, L=г. Москва, ST=Москва, C=RU, EMAILADDRESS=isfk@roskazna.ru, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru, CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru] localCertificates=[CN="", GIVENNAME="", O=ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО, L=Москва, ST=г. Москва, C=RU, EMAILADDRESS="", OID.1.2.643.100.3=#120B3035333635303137313339, OID.1.2.643.3.131.1.1=#120C343032353031313533383435]}

Отредактировано пользователем 8 октября 2020 г. 10:12:09(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#3 Оставлено : 7 октября 2020 г. 18:17:51(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Здравствуйте.

Сервер начал выдавать ошибку "400 The SSL certificate error" клиенту (т.е. клиент видит ее) сразу после того, как клиент сменил сертификат?
"С компьютера с помощью утилиты stunnel и тестового запроса ответ приходит" - это проверил клиент, используя новый сертификат?

"с мобильного устройства вот такая ошибка хотя вроде бы корневые сертификаты все нужные." - дело, скорее всего, не в этом - клиенту нужнен корневой серверной цепочки для проверки цепочки сервера, а серверу - корневой клиента. Клиент, видимо, что-то отправляет, раз сервер отвечает ошибкой "Сертификат имеет...", а не что совсем не предоставлен сертификат. Может, с клиента отправляется какой-то подмененный (средством защиты) сертификат?

"Может ли как то влиять что второй адрес не доступен: (указано в сертфикате)" - нет, т.к. клиент проверяет серверную цепочку, а не себя.

Есть ли возможность собрать логи adb logcat на клиенте (мобильное устройство) или на сервере, чтобы узнать, что шлет клиент?

Отредактировано пользователем 7 октября 2020 г. 21:47:24(UTC)  | Причина: Не указана

Offline vdchernikov  
#4 Оставлено : 8 октября 2020 г. 9:49:50(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Цитата:
Сервер начал выдавать ошибку "400 The SSL certificate error" клиенту (т.е. клиент видит ее) сразу после того, как клиент сменил сертификат?
"С компьютера с помощью утилиты stunnel и тестового запроса ответ приходит" - это проверил клиент, используя новый сертификат?


Да, после того как в Казне стали генерировать новые сертификаты то нам сказали что нужно поменять и корневые. Мы поменяли корневые и новый пользовательский и стало выдавать вот такую ошибку с мобильного.
При помощи stunnel и пользовательского сертификата и новых корневых мы наладили связь.
Но точно такие же сертифкаты и корневые и пользовательские с мобильного выдают ошибку.

Цитата:
- дело, скорее всего, не в этом - клиенту нужнен корневой серверной цепочки для проверки цепочки сервера, а серверу - корневой клиента. Клиент, видимо, что-то отправляет, раз сервер отвечает ошибкой "Сертификат имеет...", а не что совсем не предоставлен сертификат. Может, с клиента отправляется какой-то подмененный (средством защиты) сертификат?


Мы несколько раз проверили на мобильном почистли все кэши, загрузили с нуля корневые сертифкаты, проверили серийники, добавили хидер нужный в заголовк запроса. Все равно ответ 400.
Других корневых сертфикатов вроде как не надо, жто видно из сертифката пользователя на кого он ссылается. ниже на фото

Bezymjannyjj2.png (213kb) загружен 9 раз(а).

Snimok.PNG (8kb) загружен 8 раз(а).

Snimok2.PNG (57kb) загружен 7 раз(а).
Offline Евгений Афанасьев  
#5 Оставлено : 8 октября 2020 г. 10:27:04(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Надо собрать лог на устройстве, включить можно так:
adb shell setprop log.tag.JCP DEBUG
Отключить:
adb shell setprop log.tag.JCP INFO
Сделать запрос, получить ошибку и собрать лог.
Так можно будет узнать, шлет ли что-то клиент или сервер даже на не высланный сертификат дает ошибку 400, хотя для случая, когда сертификат не отправлен, есть код 403.

1) В приложении старый контейнер с сертификатом удален? Если нет, то новый контейнер с новым сертификатом имеет другой пароль, чтобы можно было отличить по паролю его от старого в ходе подбора? В контейнер установлена вся цепочка сертификатов (p7b) вплоть до корневого?
2) На сервере есть в списке доверенных сертификатов новый корневой сертификат? Потому что сервер шлет список доверенных имен, и клиент выберет тот сертификат, чей издатель есть в указанном списке.
Offline vdchernikov  
#6 Оставлено : 8 октября 2020 г. 11:23:00(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
log001.txt (396kb) загружен 8 раз(а).

это лог logcat в период запроса на сервер и получения ошибки 400 в тстовом коде

Цитата:
2) На сервере есть в списке доверенных сертификатов новый корневой сертификат? Потому что сервер шлет список доверенных имен, и клиент выберет тот сертификат, чей издатель есть в указанном списке.


по п 2 ну на сервере если бы не было установлено то консольная утилита у нас с тобой не работала

Цитата:
1) В приложении старый контейнер с сертификатом удален? Если нет, то новый контейнер с новым сертификатом имеет другой пароль, чтобы можно было отличить по паролю его от старого в ходе подбора? В контейнер установлена вся цепочка сертификатов (p7b) вплоть до корневого?


а в приложении мы же целиком контейнер с сертом подключаем, не новый-старый, а полностью другой
Offline Евгений Афанасьев  
#7 Оставлено : 8 октября 2020 г. 12:11:30(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
По логу:
1. От сервера пришел certificate request со списком доверенных:
Цитата:

%% CertificateRequest
Cert Authorities:
<CN="ФГБУ \"ФКП Росреестра\"", O="ФГБУ \"ФКП Росреестра\"", OU=Удостоверяющий центр, STREET="переулок Орликов, дом 10, строение 1", L=Москва, ST=77 Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373035343031333430, OID.1.2.643.100.1=#120D31303237373030343835373537>
<CN=Центральное информационно-техническое таможенное управление, O=Центральное информационно-техническое таможенное управление, STREET="ул. Новозаводская, д. 11/5", L=г. Москва, ST=77 Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373330363534343731, OID.1.2.643.100.1=#120D31313137373436383839393431, EMAILADDRESS=vuc@ca.customs.ru>
<CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru>
<CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120C303031323334353637383930, OID.1.2.643.100.1=#120D31323334353637383930313233>
<CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru>
<CN=Корневой тестовый УЦ ФК ГОСТ-2012, O=Корневой тестовый УЦ ФК ГОСТ-2012, STREET="улица Ильинка, дом 7", L=Москва, ST=г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, OID.1.2.643.100.1=#120D31303437373937303139383330, EMAILADDRESS=is_uc@roskazna.ru>
<CN=ООО «ЦУЦ», OU=Удостоверяющий центр, O=ООО «ЦУЦ», EMAILADDRESS=uc@centruc.ru, ST=77 г. Москва, L=Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373331323636343138, STREET="улица Иркутская, дом 11, корпус 1, офис 404", OID.1.2.643.100.1=#120D31303237373331303131353237>
<CN=CA-TEST-RCOD-CA>
<CN=Подчинённый тестовый УЦ ФК ГОСТ-2012, O=Подчинённый тестовый УЦ ФК ГОСТ-2012, C=RU, L=Москва, STREET="улица Ильинка, дом 7", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru>

2. Клиент начал подбирать подходящий сертификат и ключ:
Цитата:

%% ServerHelloDone (empty)
Certificate request is received...
Add certificate algorithm: GOST3410EL [priority: 2]
Search for client containers with GOST algorithms...
%% getting aliases for :: Client
%% checking alias: nvb01
%% check public key algorithm ignored.
%% check extended key usage of Client, size: 3...
%% check credential issuers...
%% matching alias: :: nvb01
Found containers: :: 1
Check private key: :: nvb01
Certificate chain nvb01 found. Check if DH available...
Private key nvb01 is available. Test key...
Signature algorithm: GOST3411_2012_256withGOST3410DH_2012_256 by key algorithm: GOST3410DH_2012_256
Private key 'nvb01' is available, key test passed...
tls_client_fixed_DH state not allowed. Use cached key: :: nvb01
Use cached key and certificate with alias: :: nvb01

3. Найден nvb01. Отправлен его сертификат:
Цитата:

%% Certificate message:
------
Subject: CN=Бабко Надежда Витальевна, SURNAME=Бабко, GIVENNAME=Надежда Витальевна, O=ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО, L=Москва, ST=г. Москва, C=RU, EMAILADDRESS=nbabko@roskazna.ru, OID.1.2.643.100.3=#120B3035333635303137313339, OID.1.2.643.3.131.1.1=#120C343032353031313533383435
Valid from Wed Sep 09 16:44:00 GMT+03:00 2020 until Thu Dec 09 16:44:00 GMT+03:00 2021
------

Это он, новый сертификат?
Обмен выглядит успешным и завершенным.

P.S. Судя по всему, он на алгоритме ГОСТ 2012. Сервер поддерживает ГОСТ 2012?

Отредактировано пользователем 8 октября 2020 г. 12:16:57(UTC)  | Причина: Не указана

Offline vdchernikov  
#8 Оставлено : 8 октября 2020 г. 12:42:14(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Цитата:
Это он, новый сертификат?
Обмен выглядит успешным и завершенным.

P.S. Судя по всему, он на алгоритме ГОСТ 2012. Сервер поддерживает ГОСТ 2012?


Да, это новый сертификат, он на 2012 гост алгоритме. И сревер поддерживает его уже давно.
И с ПК тоже нормально все с ним подключается.

А там не видно кроме двух корневых сертификатов никаких других не трубет клиент?
Offline Евгений Афанасьев  
#9 Оставлено : 8 октября 2020 г. 12:56:55(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Цепочка сервера строится и проверяется гораздо раньше:
Цитата:

[PKIX] The certificate chain is valid.
Following certificate chain was built and verified (length: 3)
Certificate #0
serial number: 124fcd383345ba99d41d636dffe99b85f254dd8f
subject: CN=Федеральное казначейство, OU=Управление информационной инфраструктурой, O=Федеральное казначейство, L=г. Москва, ST=Москва, C=RU, EMAILADDRESS=isfk@roskazna.ru, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630
issuer: CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru
Certificate #1
serial number: 62ab79950000000003b6
subject: CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru
issuer: CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru
Certificate #2
serial number: 4e6d478b26f27d657f768e025ce3d393
subject: CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru
issuer: CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru

Уже после этого приходит certificate request от сервера, клиент ищет у себя сертификат для отправки и отвечает сертификатом из предыдущего поста.
Нет возможности на сервере из логов увидеть более детальное описание ошибки? По логам клиента, хендшейк выполнен, сертификат отправлен. Может, проблема позднее появляется, при обмене данными?

Отредактировано пользователем 8 октября 2020 г. 13:04:01(UTC)  | Причина: Не указана

Offline vdchernikov  
#10 Оставлено : 8 октября 2020 г. 13:11:32(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Странно а откуда берется сертификат

Certificate #0
serial number: 124fcd383345ba99d41d636dffe99b85f254dd8f
subject: CN=Федеральное казначейство, OU=Управление информационной инфраструктурой, O=Федеральное казначейство, L=г. Москва, ST=Москва, C=RU, EMAILADDRESS=isfk@roskazna.ru, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630
issuer: CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru


ведь мы добавляем только два корневых сертфиката которые ниже, а этот не добавляли
Offline Евгений Афанасьев  
#11 Оставлено : 8 октября 2020 г. 13:22:41(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Сервер обычно шлет свою цепочку минус корневой. Корневой берется на клиенте из доверенного хранилища, и затем строится полная цепочка сервера.
Offline vdchernikov  
#12 Оставлено : 8 октября 2020 г. 16:06:21(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Цитата:
Уже после этого приходит certificate request от сервера, клиент ищет у себя сертификат для отправки и отвечает сертификатом из предыдущего поста.
Нет возможности на сервере из логов увидеть более детальное описание ошибки? По логам клиента, хендшейк выполнен, сертификат отправлен. Может, проблема позднее появляется, при обмене данными?


То есть вы думаете что защиенное соединение прошло успешно а ошибка выдается API а не ngnix или continent TLS ом ?
Но почему тогда 400 Bad request и пишет что ошибка сертифката а не просто 400 Bad request.
То есть причем тут сертифкат.

А может быть ошибка в предназанчении сертифката? (хотя опять же с ПК все нормально отрабатывает)
Offline Евгений Афанасьев  
#13 Оставлено : 8 октября 2020 г. 19:34:50(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Автор: vdchernikov Перейти к цитате


То есть вы думаете что защиенное соединение прошло успешно а ошибка выдается API а не ngnix или continent TLS ом ?
Но почему тогда 400 Bad request и пишет что ошибка сертифката а не просто 400 Bad request.
То есть причем тут сертифкат.

А может быть ошибка в предназанчении сертифката? (хотя опять же с ПК все нормально отрабатывает)


По логам могу только сказать, что сертификат клиента отправлен (выше его данные опубликованы), обмен успешно завершен. Тех назначений сертификата, что есть, видимо, достаточно для отправки его в качестве сертификата клиента на сервер. Если сервер выполняет еще какие-то проверки, то об этом неизвестно (и да, с ПК, вы пишете, отрабатывает).
Offline Евгений Афанасьев  
#14 Оставлено : 8 октября 2020 г. 20:59:41(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Может, не только сертификаты сменились, но и, допустим, версия библиотеки, отправляющей запросы, тоже, версия андроид обновилась и т.п., что может повлиять.
Offline vdchernikov  
#15 Оставлено : 9 октября 2020 г. 9:09:18(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Нет, ничего кроме сертификатов не поменялось.
Offline vdchernikov  
#16 Оставлено : 9 октября 2020 г. 10:53:41(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Какие еще варианты вы могли бы посоветовать?

Посмотреть логи сервера?
Offline Евгений Афанасьев  
#17 Оставлено : 9 октября 2020 г. 11:08:22(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Да, т.к. со стороны клиента хендшейк успешный, сертификат отправлен, и вы пишете, что этот нужный новый сертификат.
Offline vdchernikov  
#18 Оставлено : 9 октября 2020 г. 11:43:46(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
А корректно с этими сертифкатами корневым и ползовательским пробовать подключиться к lk.budget.gov.ru/piao/
с помощью приложения Ngate КриптоПРО ?

посмотрите лог Ngate, по идее должен быть ответ как с декстопа - 302 (на редирект с авторизационной кукой), но возможно в Ngate нету редиректа

и почему он пишет в логе send()() preparing a connection to https://lk.budget.gov.ru...ng_login_and_cln_tunnels

ведь нам надо просто к https://lk.budget.gov.ru/piao/ запрос сделать и получить ответ 302 и куку авторизационную

NGate_Log_1602232441965.txt (6kb) загружен 4 раз(а).
Offline Евгений Афанасьев  
#19 Оставлено : 9 октября 2020 г. 11:49:19(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,191
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 515 раз в 494 постах
Автор: vdchernikov Перейти к цитате
А корректно с этими сертифкатами корневым и ползовательским пробовать подключиться к lk.budget.gov.ru/piao/
с помощью приложения Ngate КриптоПРО ?

Это вопрос надо задать в разделе Ngate.
URL для аутентификации ng_login_and_cln_tunnels зафиксирован в приложении. По нему будет обращение к серверу NGate с учетом имени хоста и порта.

Отредактировано пользователем 10 октября 2020 г. 9:21:37(UTC)  | Причина: Не указана

Offline vdchernikov  
#20 Оставлено : 12 октября 2020 г. 13:01:42(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 34
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
А вы могли бы посмотреть еще логи снятые при пработе с другим сертифкатом при работе с которым стала появляться ошибка HANDSHAKE_ERROR
хотя код запроса не менялся (ни версии TLS ни спейификации).

log1004.zip (22kb) загружен 8 раз(а).
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.