Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы<12345>
Опции
К последнему сообщению К первому непрочитанному
Offline SAndrusReg@mail.ru  
#21 Оставлено : 28 августа 2019 г. 7:21:52(UTC)
SAndrusReg@mail.ru

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.08.2019(UTC)
Сообщений: 43

Сказал(а) «Спасибо»: 2 раз
Здравствуйте,
да, теперь в проект добавил в самом начале следующее:
Код:

            System.setProperty("tls_prohibit_disabled_validation", "false");
            System.setProperty("default_crl_location", "C:\\Work\\Work\\certs");
            System.setProperty("default_crl_revocation_offline", "true");
            System.setProperty("default_crl_revocation_online", "false");
            System.setProperty("default_enable_revocation","false");

опция "tls_prohibit_disabled_validation" срабатывает, подскажите
какие опции в настройке jvm и как нужно изменить что-бы отключить проверку сертификатов.
На данном этапе программы пытается проверить сертификаты по сети.
Комбинирование настроек в программе "TLSSettings." и "System.setProperty(" не помогло.
Лог программы следующий:
Код:

C:\Work\Work\jcp_GKH\dist>"C:\Program Files\Java\jdk1.8.0_221\jre\bin\java.exe" -jar jcp_GKH.jar
рту 28, 2019 8:11:14 AM ru.CryptoPro.JCP.tools.Starter check
INFO: Loading JCP 2.0.40424
рту 28, 2019 8:11:14 AM ru.CryptoPro.JCP.tools.Starter check
INFO: JCP loaded.
рту 28, 2019 8:11:14 AM ru.CryptoPro.ssl.cl_38 <init>
INFO: %% adding as private keys %%
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: SSLContextImpl init.
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: trigger seeding of SecureRandom
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: done seeding SecureRandom
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: SSLContextImpl initialized.
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl$DefaultSSLContext l
INFO: keyStore is :
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl$DefaultSSLContext l
INFO: keyStore type is :
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl$DefaultSSLContext l
INFO: keyStore provider is :
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl$DefaultSSLContext l
INFO: init keystore
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl$DefaultSSLContext l
INFO: init keymanager of type GostX509
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.cl_38 <init>
INFO: %% adding as private keys %%
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.cl_38 <init>
WARNING: %% No appropriate keys for handshake
PATH: c:\Work\Work\HDImageStore\
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore is :  No File Available, using empty keystore.
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore type is :  CertStore
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: trustStore provider is :
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.TrustManagerFactoryImpl a
INFO: init truststore
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: SSLContextImpl init.
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: trigger seeding of SecureRandom
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: done seeding SecureRandom
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl engineInit
INFO: SSLContextImpl initialized.
рту 28, 2019 8:11:15 AM ru.CryptoPro.ssl.SSLContextImpl$DefaultSSLContext <init>
INFO: DefaultSSLContext initialized.
рту 28, 2019 8:11:16 AM ru.CryptoPro.ssl.SSLSocketImpl a
WARNING: main, handling exception: javax.net.ssl.SSLHandshakeException: ru.CryptoPro.ssl.pc_4.cl_5: PKIX path building failed: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find
valid certification path to requested target
рту 28, 2019 8:11:16 AM jcp_gkh.Jcp_GKH start
SEVERE: null
javax.net.ssl.SSLHandshakeException: ru.CryptoPro.ssl.pc_4.cl_5: PKIX path building failed: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to request
ed target
        at ru.CryptoPro.ssl.cl_2.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLSocketImpl.a(Unknown Source)
        at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
        at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
        at ru.CryptoPro.ssl.cl_15.a(Unknown Source)
        at ru.CryptoPro.ssl.cl_15.a(Unknown Source)
        at ru.CryptoPro.ssl.cl_58.w(Unknown Source)
        at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLSocketImpl.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLSocketImpl.n(Unknown Source)
        at ru.CryptoPro.ssl.SSLSocketImpl.b(Unknown Source)
        at ru.CryptoPro.ssl.SSLSocketImpl.startHandshake(Unknown Source)
        at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:559)
        at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
        at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:167)
        at jcp_gkh.Jcp_GKH.start(Jcp_GKH.java:113)
        at jcp_gkh.Jcp_GKH.main(Jcp_GKH.java:54)
Caused by: ru.CryptoPro.ssl.pc_4.cl_5: PKIX path building failed: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target
        at ru.CryptoPro.ssl.pc_4.cl_2.a(Unknown Source)
        at ru.CryptoPro.ssl.pc_4.cl_2.a(Unknown Source)
        at ru.CryptoPro.ssl.pc_4.cl_4.b(Unknown Source)
        at ru.CryptoPro.ssl.cl_121.a(Unknown Source)
        at ru.CryptoPro.ssl.cl_121.a(Unknown Source)
        at ru.CryptoPro.ssl.cl_121.checkServerTrusted(Unknown Source)
        ... 13 more
Caused by: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target
        at ru.CryptoPro.reprov.certpath.SunCertPathBuilder.engineBuild(Unknown Source)
        at ru.CryptoPro.reprov.CPCertPathBuilder.engineBuild(Unknown Source)
        at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280)
        ... 19 more


C:\Work\Work\jcp_GKH\dist>"C:\Program Files\Java\jdk1.8.0_221\jre\bin\java.exe" -jar jcp_GKH.jar

Перечисление опций в строке запуска не помогло.
Спасибо.
Offline Евгений Афанасьев  
#22 Оставлено : 28 августа 2019 г. 10:03:38(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Эти настройки
Код:

System.setProperty("default_crl_location", "C:\\Work\\Work\\certs");
System.setProperty("default_crl_revocation_offline", "true");
System.setProperty("default_crl_revocation_online", "false");
System.setProperty("default_enable_revocation","false");

так не работают в JCP 2.0, сделана передача через System.setProperty или -D только для tls_prohibit_disabled_validation, остальные свойства надо задавать либо в панели, либо можно через SetPrefs под управлением администратора. Проще, наверно, в панели галки снять или путь к папке прописать (там есть кнопка).
И провайдеры через Security.addProvider добавлять не надо, они уже есть в lib/ext и в java.security.

Отредактировано пользователем 28 августа 2019 г. 10:04:34(UTC)  | Причина: Не указана

Offline SAndrusReg@mail.ru  
#23 Оставлено : 28 августа 2019 г. 10:55:57(UTC)
SAndrusReg@mail.ru

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.08.2019(UTC)
Сообщений: 43

Сказал(а) «Спасибо»: 2 раз
Ясно.
Галочки у меня сняты, путь указан Nastrojjki JTLS.jpg (84kb) загружен 12 раз(а).
Как я понял для шифрования TLS канала с сервером, к которому я подключаюсь, JCP использует ключь, связанный с
сертификатом который передал ГИЗ ЖКХ. При попытке установки этого канала JCP находит алгоритм шифрования ключа RCA и
отваливается в ошибку. Кто-нибудь в форуме установил TLS соединение с ГИС ЖКХ при помощи JCP?
Offline Евгений Афанасьев  
#24 Оставлено : 28 августа 2019 г. 10:59:56(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
На скриншоте проверка отключена полностью, все галки сняты. С установленным параметром tls_prohibit_disabled_validation=false должно отработать.
RCA - имеется в виду, RSA? Если так, то JCP не поддерживает работу с зарубежными алгоритмами, необходимо использовать стандартные средства типа sun-провайдера (реализующего все необходимые алгоритмы).

Отредактировано пользователем 28 августа 2019 г. 11:00:29(UTC)  | Причина: Не указана

Offline SAndrusReg@mail.ru  
#25 Оставлено : 28 августа 2019 г. 11:10:10(UTC)
SAndrusReg@mail.ru

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.08.2019(UTC)
Сообщений: 43

Сказал(а) «Спасибо»: 2 раз
Да RSA, этот алгоритм связан с колючем получаемым из сертификата http://fc.russianpost.ru...50099EE28202D310FBA9.crt
Я посмотрел внимательно и действительно теперь проверка отключена, сертификаты не скачиваются, но программа все равно пытается построить цепочку сертификата.
Понятно спасибо.
Offline Евгений Афанасьев  
#26 Оставлено : 28 августа 2019 г. 11:17:43(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Автор: SAndrusReg@mail.ru Перейти к цитате
программа все равно пытается построить цепочку сертификата

Включите логирование для SSLLogger с уровнем ALL, *Handler для него должен быть тоже ALL, приложите полный лог.

Offline SAndrusReg@mail.ru  
#27 Оставлено : 28 августа 2019 г. 18:42:22(UTC)
SAndrusReg@mail.ru

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.08.2019(UTC)
Сообщений: 43

Сказал(а) «Спасибо»: 2 раз
А смысл есть? если:
"RSA? Если так, то JCP не поддерживает работу с зарубежными алгоритмами, необходимо использовать стандартные средства типа sun-провайдера (реализующего все необходимые алгоритмы)."
Уже придумываю как построить TLS туннель к ГИС ЖКХ.
Offline Евгений Афанасьев  
#28 Оставлено : 28 августа 2019 г. 19:33:30(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Да, это параметр для отключения проверки цепочки, не построения, так что да, тут он не поможет.
Offline two_oceans  
#29 Оставлено : 29 августа 2019 г. 14:13:02(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: SAndrusReg@mail.ru Перейти к цитате
Да RSA, этот алгоритм связан с колючем получаемым из сертификата http://fc.russianpost.ru...50099EE28202D310FBA9.crt
Где-то тут провал в логике, так как я вижу в сертификате открытый ключ гост-2012 256.

Offline SAndrusReg@mail.ru  
#30 Оставлено : 29 августа 2019 г. 19:38:34(UTC)
SAndrusReg@mail.ru

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.08.2019(UTC)
Сообщений: 43

Сказал(а) «Спасибо»: 2 раз
two_oceans:
А с JCP на форуме кто-нибудь устанавливал TLS соединение с ГИС ЖКХ? Я видел темы,
но там обсуждалось подпись отправляемых документов.
В общем я окончательно не понял почему все пути сертификатов нормально строятся из
примера проверки сертификатов переданного с пакетом, а при попытке подключения
программа валится именно при построении пути сертификации.
Последний лог со всеми включениями: log4.txt (114kb) загружен 4 раз(а)..
Спасибо.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
5 Страницы<12345>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.