Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline vdchernikov  
#21 Оставлено : 13 ноября 2020 г. 18:44:52(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Евгений спасибо, вроде как картина становится ясной.
Мы строим цепочку сертифкатов сервера на клиенте - проверяем сервер,
далее отсылаем на сервер сертифкат(ы) чтобы сервер проверил нас, и на сервере не хватает промежуточного сертифката.

Вохникли некоторые вопросы для полного понимания:

1) как вы определили или как сервер опредеяет промежуточный сертифкат пользователя откуда его брать -
- он берется из списка присылаемых и ищется на сервере? Как вы например определили что Карловскому нужен сертифкат промежуточный
по адресу https://roskazna.gov.ru/...e-sertifikaty/?year=2018

2) В случае iOS мы никогда не добавляли корневые и промежуточные сертифкаты в доверенное хранилище (как в Android TrustKeyStore),
откуда в этом случае криптопро на устройстве брал их и строил цепочку для проверки сервера?
Offline Евгений Афанасьев  
#22 Оставлено : 13 ноября 2020 г. 18:54:09(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Автор: vdchernikov Перейти к цитате

1) как вы определили или как сервер опредеяет промежуточный сертифкат пользователя откуда его брать -
- он берется из списка присылаемых и ищется на сервере? Как вы например определили что Карловскому нужен сертифкат промежуточный
по адресу https://roskazna.gov.ru/...e-sertifikaty/?year=2018
2) В случае iOS мы никогда не добавляли корневые и промежуточные сертифкаты в доверенное хранилище (как в Android TrustKeyStore),
откуда в этом случае криптопро на устройстве брал их и строил цепочку для проверки сервера?

1. Я все клиентские сертификаты поставил. Нашел промежуточные (за 2018 и 2020 годы) на сайте Казначейства. Корневой у меня был. Построились 2 цепочки из трех - кроме Демидова. Другие промежуточные Казначейства для Демидова не подошли. Сервер присылает в certificate_request доверенное имя - CN=Федеральное казначейство. Это и есть имя промежуточного, по этой причине все 3 присланных вами сертификата подходят, все они изданы CN=Федеральное казначейство. Но раз сервер отвечает успехом только на 2 из трех, то эти 2 промежуточных у него есть (за 2018 и 2020гг), а для Демидова - нет.
2. Затрудняюсь ответить, в случае IOS используется иной код, спросить лучше в разделе форума про IOS. Возможно, в серверном сертификате есть нормальный AIA с адресом УЦ, откуда можно скачать сертификат издателя (как это делается в Windows), а java по умолчанию не проверяет наличие AIA и не использует его.

Отредактировано пользователем 13 ноября 2020 г. 18:54:59(UTC)  | Причина: Не указана

Offline vdchernikov  
#23 Оставлено : 13 ноября 2020 г. 19:07:05(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Цитата:
Но раз сервер отвечает успехом только на 2 из трех, то эти 2 промежуточных у него есть (за 2018 и 2020гг), а для Демидова - нет.


Дело в том что Демдов и Бабко сертифкаты одинаковые практически, только в Бабко я добавли цепочку двух сертифкатов.
Получается что если для Демидова на сервере не было сертифката то и для Бабко такого же промежуточного не было,
но для Бабко он его взял откудато. Получается сервер его взял из присланных нами? то есть этих:

%% Certificate message:
------
Subject: CN=Бабко Надежда Витальевна, SURNAME=Бабко, GIVENNAME=Надежда Витальевна, O=ФЕДЕРАЛЬНОЕ КАЗНАЧЕЙСТВО, L=Москва, ST=г. Москва, C=RU, EMAILADDRESS=nbabko@roskazna.ru, OID.1.2.643.100.3=#120B3035333635303137313339, OID.1.2.643.3.131.1.1=#120C343032353031313533383435
Valid from Wed Sep 09 16:44:00 GMT+03:00 2020 until Thu Dec 09 16:44:00 GMT+03:00 2021
------
Subject: CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru
Valid from Wed Feb 05 17:02:47 GMT+03:00 2020 until Mon Feb 05 17:02:47 GMT+03:00 2035
------
Subject: CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru
Valid from Fri Jul 06 15:18:06 GMT+03:00 2018 until Tue Jul 01 15:18:06 GMT+03:00 2036
------
Offline Евгений Афанасьев  
#24 Оставлено : 13 ноября 2020 г. 19:31:53(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Для всех, кроме Демидова, промежуточные можно взять с сайта казначейства. Потому на сервере они тоже могут быть.

Как действует сервер с цепочками, не знаю (берет ли все присланные клиентом, или только клиентский и сам строит от него и дальше).
Если найдёте промежуточный для Демидова, можете попробовать поставить целую цепочку сертификатов в контейнер Демидова, как в случае с Бабко, и проверить - возможно, сервер тогда примет эту цепочку, т. к. увидит в ней недостающий промежуточный и сумеет построить.
Offline vdchernikov  
#25 Оставлено : 13 ноября 2020 г. 19:45:14(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
Цитата:
Если найдёте промежуточный для Демидова, можете попробовать поставить целую цепочку сертификатов в контейнер Демидова, как в случае с Бабко, и проверить - возможно, сервер тогда примет эту цепочку, т. к. увидит в ней недостающий промежуточный и сумеет построить.


Ну вот как раз промежуточный для Демидова и лежал в контейнере Бабко. Без него Бабко тоже не проходил проверку.
Поэтому и возникла мысль что сервер взял из контейнера этот промежуточный сертикат в случае Бабко
Offline Евгений Афанасьев  
#26 Оставлено : 13 ноября 2020 г. 19:48:58(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Про Демидова я уже писал - промежуточные из Бабко или с сайта Казначейства для него не подходят. Проверьте сами.

UPD. Был неправ, еще раз переустановил все промежуточные (у меня несколько от казначейства в разных хранилищах), сертификат Демидов построился через промежуточный сертификат (CN=Федеральное казначейство за 2020г.) от Бабко до Минкомсвязи.

Отредактировано пользователем 16 ноября 2020 г. 11:14:33(UTC)  | Причина: Не указана

Offline vdchernikov  
#27 Оставлено : 16 ноября 2020 г. 10:00:05(UTC)
vdchernikov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 17.10.2019(UTC)
Сообщений: 49
Российская Федерация
Откуда: Ярославская обл.

Сказал(а) «Спасибо»: 1 раз
попробовал добавить сертифкаты в контейнер Демидова -
3.PNG (29kb) загружен 4 раз(а).

также как и в контейнер Бабко и сервер перестал возвращать ошибку сертификата 400
Offline Евгений Афанасьев  
#28 Оставлено : 16 ноября 2020 г. 10:54:54(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,288
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 529 раз в 507 постах
Вы правы, я еще раз переустановил все промежуточные (у меня несколько от казначейства в разных хранилищах), сертификат Демидов построился через промежуточный сертификат (CN=Федеральное казначейство за 2020г.) от Бабко до Минкомсвязи.

Рекомендация устанавливать в ключевой контейнер всю цепочку сертификатов от сертификата клиента до корневого остается (как вы и сделали).

Отредактировано пользователем 16 ноября 2020 г. 10:57:03(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.