Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline StaniNeuer  
#1 Оставлено : 25 декабря 2019 г. 10:59:20(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Добрый день!
Пишем на сишарпе клиент для подключения к серверу МДЛП "Честного знака" (REST API). Уперлись в постоянно возникающую ошибку "Запрос был прерван. Не удалось создать защищенный канал SSL/TLS" при попытке подключиться по https. Предположительно проблема в том, что в списке предлагаемых клиентом шифров отсутствуют гостовские, которые требуются серверу. См лог протокола Handshake в прикрепленных файлах. Клиентский и сертификат УЦ установлены.
Собственно вопрос. Как "включить/внедрить" гост-шифры в клиент, чтобы сервер их увидел при установлении соединения? Используем КриптоПро CSP 4.0 и КриптоПро .NET. Может найдется ссылка на пример подобной реализации?
С СКЗИ только недавно начали работать, сильно не пинайте!
Заранее спасибо за помощь!
Support_2019-12-24.JPG (84kb) загружен 25 раз(а). Support_2019-12-25_01.JPG (28kb) загружен 18 раз(а). Support_2019-12-25_03.JPG (43kb) загружен 21 раз(а). Support_2019-12-25_02.JPG (102kb) загружен 20 раз(а).
Online Андрей Писарев  
#2 Оставлено : 25 декабря 2019 г. 11:14:40(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Здравствуйте.

В сертификате какой алгоритм?
DNS имя сервера?
...
p.s.
в IE - отображается, что TLS по ГОСТ-сертификату?
Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#3 Оставлено : 25 декабря 2019 г. 11:34:08(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
В сертификате клиента:
алгоритм открытого ключа ГОСТ Р 34.10-2012 256 бит
алгоритм подписи ГОСТ Р 34.11/34.10-2001
алгоритм хэширования ГОСТ Р 34.11-94

Имя сервера: https://api.stage.mdlp.crpt.ru

В IE открывается только по прямому адресу https://185.196.171.27/, и тогда картинка как в прикрепленном файле. Получается IE тоже не знает про гостовские шифры?

Support_2019-12-25_04.JPG (127kb) загружен 21 раз(а).
Online Андрей Писарев  
#4 Оставлено : 25 декабря 2019 г. 12:06:53(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
А Вы связывались с ними?
Что в тех.требованиях написано про доступы?
Что написано про "тестовые" сертификаты? Разрешено ли использовать указанный тестовый УЦ (см. разные алгоритмы ГОСТ)?

По http тоже не работает?
Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#5 Оставлено : 25 декабря 2019 г. 12:26:38(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
В тех. требованиях дословно:
"Для взаимодействия по HTTPS используется ГОСТ Р 34.10-2012 сертификат...
Перед установкой соединения необходимо выполнить следующие настройки:
1. Общие настройки:
– В операционной системе Windows (7, 10) добавить запись DisableClientExtendedMasterSecret (dword) в реестре HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL со значением 1 (т.к. Windows по-умолчанию блокирует подобные соединения).
2. Настройки для "Тестового стенда API":
– Адреса API:
http://api.stage.mdlp.crpt.ru
https://api.stage.mdlp.crpt.ru
– Добавить в хранилище доверенных сертификатов тестовый корневой сертификат от КриптоПро. Ссылка для загрузки: http://testca.cryptopro.ru/certsrv/certcarc.asp
– В файл hosts добавить запись:
185.196.171.27 api.stage.mdlp.crpt.ru...
Используемые протоколы и шифры для соединения (SSL шифры были выбраны с учетом требований к информационной безопасности по предоставлению публичного API для доступа к государственной информационной системе):
ssl_protocols: TLSv1 ssl_ciphers: GOST2012-GOST8912-GOST8912"

Ничего более. Излишне, наверное, говорить, что все вышеперечисленное выполнено.
Один важный момент. Для работы с их сервером, необходимо сделать заявку, после чего они открывают доступ с вашего ip-адреса. Поэтому, я думаю, Ваши попытки будут блокироваться, если попытаетесь воспроизвести мою ситуацию.

И да, с http проблем нет, все работает.

У меня по-прежнему остается главный вопрос: каким образом заставить клиента (нашу программу) отправлять серверу нужный cipher suite, ведь, по-видимому, именно в этом проблема. И IE, судя по всему, не может соединиться по той же причине. Где-то у нас в системе не прописаны гостовские шрифты. Должны они устанавливаться при инсталляции КриптоПро CSP?
Online Андрей Писарев  
#6 Оставлено : 25 декабря 2019 г. 12:34:38(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
проверьте в IE - https://cpca.cryptopro.ru/
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#7 Оставлено : 25 декабря 2019 г. 12:36:45(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: StaniNeuer Перейти к цитате

Ничего более. Излишне, наверное, говорить, что все вышеперечисленное выполнено.
Один важный момент. Для работы с их сервером, необходимо сделать заявку, после чего они открывают доступ с вашего ip-адреса. Поэтому, я думаю, Ваши попытки будут блокироваться, если попытаетесь воспроизвести мою ситуацию.

И да, с http проблем нет, все работает.


Нет ничего лишнего.
Да, как раз это хотел уточнить.

Сборки ПО какие (КриптоПРО CSP\.NET), ОС?
Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#8 Оставлено : 25 декабря 2019 г. 12:54:52(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Подключение в IE к https://cpca.cryptopro.ru/ выдает сообщение:
"Сертификат безопасности этого веб-сайта не был выпущен доверенным центром сертификации" (см прикрепленный файл)
В контексте нашей проблемы, что это означает? Скорее всего после установки в хранилище доверенных центров, подключение и по этому адресу начнет натыкаться на отсутствие нужного шрифта, Вы так не считаете?

КриптоПро CSP 4.0.9963, КриптоПро .NET 1.0.7132.0, Windows 7

Support_2019-12-25_05.JPG (55kb) загружен 11 раз(а).
Online Андрей Писарев  
#9 Оставлено : 25 декабря 2019 г. 13:03:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,630
Мужчина
Российская Федерация

Сказал «Спасибо»: 494 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: StaniNeuer Перейти к цитате
Подключение в IE к https://cpca.cryptopro.ru/ выдает сообщение:
"Сертификат безопасности этого веб-сайта не был выпущен доверенным центром сертификации" (см прикрепленный файл)
В контексте нашей проблемы, что это означает? Скорее всего после установки в хранилище доверенных центров, подключение и по этому адресу начнет натыкаться на отсутствие нужного шрифта, Вы так не считаете?

КриптоПро CSP 4.0.9963, КриптоПро .NET 1.0.7132.0, Windows 7

Support_2019-12-25_05.JPG (55kb) загружен 11 раз(а).


Не считаю.
Добавив корневой в доверенные - будет открываться без сообщения.
Вы соединились по ГОСТ-у, т.е. он работает в ОС.

Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#10 Оставлено : 25 декабря 2019 г. 13:10:37(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Хорошо, давайте проверим. Ссылку на корневой не подскажите, где найти?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.