Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Фармация  
#1 Оставлено : 31 мая 2019 г. 12:23:01(UTC)
Фармация

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.05.2019(UTC)
Сообщений: 3
Российская Федерация

Здравствуйте!

Создал ключ электронной подписи, к нему сертификат в тестовом УЦ (http://testca2012.cryptopro.ru/ui/) ГОСТ 2015/512 бит.
Цель: проверка защищенного соединения TLSv1.
Для проверки использовал ссылку из документации к Крипто-Про JTLS (https://testgost2012st.cryptopro.ru/gost2st.txt).
Исходный код тоже на основе примера из документации



Вроде бы и приветствуют друг друга, и сертификатами обмениваются. И есть сообщения типа
FINE: Encrypted...
FINE: Decrypted...
FINE: *** Finished


Но все равно, в результате ошибка:
Код:

мая 31, 2019 11:20:31 AM sun.net.www.protocol.http.HttpURLConnection getInputStream0
FINE: sun.net.www.MessageHeader@424fd3105 pairs: {null: HTTP/1.1 403 Forbidden}{Content-Type: text/html}{Server: Microsoft-IIS/8.5}{Date: Fri, 31 May 2019 08:20:23 GMT}{Content-Length: 1222}
java.io.IOException: Server returned HTTP response code: 403 for URL: https://testgost2012st.cryptopro.ru/gost2st.txt
	at java.base/sun.net.www.protocol.http.HttpURLConnection.getInputStream0(HttpURLConnection.java:1913)
	at java.base/sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1509)
	at java.base/sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:245)
	at ******.TransportServiceMain.main(TransportServiceMain.java:241)


Немногим ранее, соединялся успешно. Пример остался без изменений, разница только в ключах.
Тогда ключ создавал с помощью тестовый УЦ с алгоритмом ключа ГОСТ Р 34.10-2012 на основе веб-интерфейса службы сертификации Microsoft (из состава Windows Server 2012 R2)
Пример, вроде бы, работал. Я видел содержимое того файла. Но с тем ключем я не смог работать с API сервиса МДЛП (Мониторинг движения лекарственных препаратов). Сервис отказывался принимать открытый сертификат.

В этот раз создал ключ с использованием тестовый УЦ с алгоритмом ключа ГОСТ Р 34.10-2012 на основе веб-интерфейса КриптоПро УЦ версии 2.0.. Сервис МДЛП принял сертификат. Но теперь не могу проверить защищенное соединение.

Подробности:
Ключ помещал первоначально на Rutoken. С него в контрольной панели JCP скопировал в HD image store. Скопировал публичный сертификат в CertStore.
Установил сертификаты корневого и промежуточного тестового центра сертификации.

Помогите, лыжи не едут! Либо со мной что не так.
Лог во вложении
Log.txt (57kb) загружен 6 раз(а). Log.txt (57kb) загружен 6 раз(а).
Offline Евгений Афанасьев  
#2 Оставлено : 31 мая 2019 г. 12:30:49(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте.
Установите в используемый ключевой контейнер всю цепочку сертификатов (3 штуки) в виде p7b, а не один сертификат. Получить p7b можно, если в windows кликнуть дважды на сертификате, выбрать "сохранить", далее в мастере указать "включить всю цепочку..". Потом данный p7b в панели jcp добавить в нужный контейнер.
Offline Фармация  
#3 Оставлено : 31 мая 2019 г. 12:58:08(UTC)
Фармация

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.05.2019(UTC)
Сообщений: 3
Российская Федерация

Сохранил цепочку, зашел в ControlPanel JCP. Установил в нужный контейнер. Был вопрос "Заменить на цепочку сертификатов?", я подтвердил. Нажал "Копировать" в хранилище. Показало в окне 3 сертификата. Три раза, соответственно, запросило подтверждения на перезапись. Подтвердил перезапись.
Результат тот же. Без изменений.
p7b.png (62kb) загружен 5 раз(а). ControlPanel.png (89kb) загружен 9 раз(а).
Offline Евгений Афанасьев  
#4 Оставлено : 31 мая 2019 г. 13:39:21(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Сервер шлет список доверенных издателей:
Код:

FINE: *** CertificateRequest
Cert Types: Type-22, Type-238, Type-239
Cert Authorities:
<CN=Microsoft Root Certificate Authority, DC=microsoft, DC=com>
<CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp.>
<CN=t-ca ROOT 2012l, OID.1.2.643.3.131.1.1=#120C303037373137313037393931, OID.1.2.643.100.1=#120D31303337373030303835343434>
<CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120C303031323334353637383930, OID.1.2.643.100.1=#120D31323334353637383930313233>
<CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US>
<CN=Головной удостоверяющий центр, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="125375 г. Москва, ул. Тверская, д. 7", L=Москва, ST=77 г. Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru>
<CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", C=RU, EMAILADDRESS=info@cryptopro.ru, L=Москва, ST=77 г. Москва, STREET="ул. Сущёвский вал, д. 18", OID.1.2.643.3.131.1.1=#120C303037373137313037393931, OID.1.2.643.100.1=#120D31303337373030303835343434>
<CN=Test Center CRYPTO-PRO, O=CRYPTO-PRO, C=RU, EMAILADDRESS=info@cryptopro.ru>
<CN=ГОСТ 2001, O="ООО \"КРИПТО-ПРО\"", OU=Подразделение Тест, STREET=ул. Сущевсткий вал 18, L=Москва, ST=77 г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303031333234353637383930, OID.1.2.643.100.1=#120D31323334353637383930313233>
<CN=VeriSign Class 3 Public Primary Certification Authority - G5, OU="(c) 2006 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network, O="VeriSign, Inc.", C=US>
<CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru>
<CN=test-ca, DC=cp, DC=ru>
<CN=Microsoft Root Certificate Authority 2010, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US>
<CN=Тестовый УЦ 2.0(R9), O="ООО \"Тестовый УЦ\"", OU=УЦ, STREET=лобненская д. 3, L=Москва, ST=77. г Москва, C=RU, OID.1.2.643.3.131.1.1=#120C313233343536373839303132, OID.1.2.643.100.1=#120D31323334353738383930313233>
<CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, EMAILADDRESS=support@cryptopro.ru>
<CN=thawte Primary Root CA - G3, OU="(c) 2008 thawte, Inc. - For authorized use only", OU=Certification Services Division, O="thawte, Inc.", C=US>
<CN=DigiCert Global Root G2, OU=www.digicert.com, O=DigiCert Inc, C=US>
<CN=GeoTrust Global CA, O=GeoTrust Inc., C=US>
<CN=DST Root CA X3, O=Digital Signature Trust Co.>
<CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA - R3>
<CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE>
<CN=GlobalSign Root CA, OU=Root CA, O=GlobalSign nv-sa, C=BE>
<CN=DigiCert Global Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US>
<CN=GTE CyberTrust Global Root, OU="GTE CyberTrust Solutions, Inc.", O=GTE Corporation, C=US>
<CN=thawte Primary Root CA, OU="(c) 2006 thawte, Inc. - For authorized use only", OU=Certification Services Division, O="thawte, Inc.", C=US>
<CN=GlobalSign, O=GlobalSign, OU=GlobalSign Root CA - R2>
<OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc.", C=US>
<CN=DigiCert High Assurance EV Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US>
<CN=USERTrust RSA Certification Authority, O=The USERTRUST Network, L=Jersey City, ST=New Jersey, C=US>
<OU=Go Daddy Class 2 Certification Authority, O="The Go Daddy Group, Inc.", C=US>
<CN=Certum Trusted Network CA, OU=Certum Certification Authority, O=Unizeto Technologies S.A., C=PL>
<CN=DigiCert Assured ID Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US>
<CN=GeoTrust Primary Certification Authority - G3, OU=(c) 2008 GeoTrust Inc. - For authorized use only, O=GeoTrust Inc., C=US>
<CN=AddTrust External CA Root, OU=AddTrust External TTP Network, O=AddTrust AB, C=SE>

Среди них нет "Тестового головного УЦ ООО "КРИПТО-ПРО" ГОСТ 2012 (УЦ 2.0)", который является корневым вашей цепочки, потому ваш сертификат не выбирается.

Попробуйте другой УЦ:

CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=г. Москва, C=RU, STREET=ул. Сущёвский вал д. 18, OID.1.2.643.3.131.1.1=#120C303031323334353637383930, OID.1.2.643.100.1=#120D31323334353637383930313233
CN="Тестовый УЦ ООО \"КРИПТО-ПРО\"", O="ООО \"КРИПТО-ПРО\"", C=RU, EMAILADDRESS=info@cryptopro.ru, L=Москва, ST=77 г. Москва, STREET="ул. Сущёвский вал, д. 18", OID.1.2.643.3.131.1.1=#120C303037373137313037393931, OID.1.2.643.100.1=#120D31303337373030303835343434
CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, EMAILADDRESS=support@cryptopro.ru <-- пожалуй, самый простой и доступный - cryptopro.ru/certsrv

Отредактировано пользователем 31 мая 2019 г. 13:42:55(UTC)  | Причина: Не указана

Offline Фармация  
#5 Оставлено : 31 мая 2019 г. 14:10:11(UTC)
Фармация

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.05.2019(UTC)
Сообщений: 3
Российская Федерация

Спасибо!
Действительно, все работает.
Насколько я понял, не дает установить в хранилище доверенных 2 сертификата с одним CN.
Видимо, я перетер новыми сертификатами те, с которыми работало раньше.
Offline Евгений Афанасьев  
#6 Оставлено : 31 мая 2019 г. 14:27:16(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Может, алиас один и тот же задали, когда второй добавляли?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.