Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,499
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 607 раз в 420 постах
|
1. Чтобы понять, что на сервере RSA TLS, надо установить с ним соединение хотя бы до того шага, когда он отдаст свой сертификат, тогда его можно сохранит в файл и посмотреть: Код:root@hw-arm64-astra:~# /opt/cprocsp/bin/*/csptestf -tlsc -v -server bki-b2b-test.equifax.ru -file xml.php -nosave -savecert /tmp/ttt.p7b
11 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012 256 бит)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012 512 бит)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 168
SessionId: (empty)
Cipher Suites: (c1 00) (c1 01) (c1 02) (ff 85) (00 81) (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
173 bytes of handshake data sent
1460 bytes of handshake data received
Handshake extra buffer: 1386 bytes
2051 bytes of handshake data received
Server requested new credentials!
Trying to create new credential
Issuer 0: C=RU, S=Russia, O=Equifax Credit Services LLC, CN=Equifax TLS
Issuer 1: C=RU, S=Russia, L=Moscow, O=Equifax Credit Services LLC, CN=Equifax Credit Services CA
Issuers: 2, Length: 224 bytes
Can not find client certificate with received issuers, trying server certificate Issuer Name
Issuer 0: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Issuers: 1, Length: 98 bytes
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2982:Error finding cert chain
Error 0x80092004: Объект или свойство не найдено.
138 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:765:Error performing handshake.
Error 0x80090326: Получено непредвиденное сообщение или оно имеет неправильный формат.
Total: SYS: 0,000 sec USR: 0,020 sec UTC: 0,040 sec
[ErrorCode: 0x80090326]
root@hw-arm64-astra:~# /opt/cprocsp/bin/*/certmgr -list -file /tmp/ttt.p7b
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2020.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Субъект : C=RU, L=Moscow, O=Equifax Credit Services LLC, CN=*.equifax.ru
Серийный номер : 0x0A042A2B3CF5E18602737572564206E7
Хэш SHA1 : 7e6fc90c8d1ee1caba24ebe3fddd35f10ee136d5
Идентификатор ключа : c836c86ca0bfba596a82d0af953fac06df37c5f2
Алгоритм подписи : sha256RSA
Алгоритм откр. кл. : RSA (2048 бит)
Выдан : 05/03/2020 00:00:00 UTC
Истекает : 23/05/2022 12:00:00 UTC
Ссылка на ключ : Нет
OCSP URL : http://status.thawte.com
URL сертификата УЦ : http://cacerts.thawte.com/ThawteRSACA2018.crt
URL списка отзыва : http://cdp.thawte.com/ThawteRSACA2018.crl
Назначение/EKU : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
2-------
Издатель : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
Субъект : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Серийный номер : 0x025A8AEF196F7E0D6C2104B21AE6702B
Хэш SHA1 : 4deea7060d80babf1643b4e0f0104c82995075b7
Идентификатор ключа : a3c85e6554e53078c105ea070a6a59ccb9fede5a
Алгоритм подписи : sha256RSA
Алгоритм откр. кл. : RSA (2048 бит)
Выдан : 06/11/2017 12:23:52 UTC
Истекает : 06/11/2027 12:23:52 UTC
Ссылка на ключ : Нет
OCSP URL : http://ocsp.digicert.com
URL списка отзыва : http://crl3.digicert.com/DigiCertGlobalRootCA.crl
Назначение/EKU : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
=============================================================================
[ErrorCode: 0x00000000]
Для зарубежных алгоритмов информацию можно узнать с помощью онлайн тестеров TLS: * https://www.wormly.com/test_ssl* https://www.ssllabs.com/...=bki-b2b-test.equifax.ru2. Лицензии от КриптоПро CSP 4.0 официально подходят для сертифицированной КриптоПро CSP 5.0.11455 Fury (как раз как у вас). Начиная с КриптоПро CSP 5.0 R2 (сборка 5.0.11635 Golem) изменилась схема лицензирования: требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания. 3. Поддержка RSA TLS на Linux в КриптоПро CSP 5.0.11455 Fury уже была, но на ограниченном наборе криптографических наборов. Ваш сервер использует TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, поддержка которого появилась в КриптоПро CSP 5.0.11823 Iris (см. RSA_ECDHE в списке изменений), так что для работы с ним будет нужна новая лицензия. Кроме покупки новой, есть вариант лицензии на обновление СКЗИ "КриптоПро CSP" до версии 5.0 на одном рабочем месте. |
|
