Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Русев  
#11 Оставлено : 30 декабря 2020 г. 12:52:06(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
1. Чтобы понять, что на сервере RSA TLS, надо установить с ним соединение хотя бы до того шага, когда он отдаст свой сертификат, тогда его можно сохранит в файл и посмотреть:
Код:
root@hw-arm64-astra:~# /opt/cprocsp/bin/*/csptestf -tlsc -v -server bki-b2b-test.equifax.ru -file xml.php -nosave -savecert /tmp/ttt.p7b
11 algorithms supported:
     Aglid  Class  OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012 256 бит)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012 512 бит)
Cipher strengths: 256..256
Supported protocols: 0xa80:
    Transport Layer Security 1.0 client side
    Transport Layer Security 1.1 client side
    Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 168
SessionId: (empty)
Cipher Suites: (c1 00) (c1 01) (c1 02) (ff 85) (00 81) (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
173 bytes of handshake data sent
1460 bytes of handshake data received
Handshake extra buffer: 1386 bytes
2051 bytes of handshake data received
Server requested new credentials!

Trying to create new credential
Issuer  0: C=RU, S=Russia, O=Equifax Credit Services LLC, CN=Equifax TLS
Issuer  1: C=RU, S=Russia, L=Moscow, O=Equifax Credit Services LLC, CN=Equifax Credit Services CA
Issuers: 2, Length: 224 bytes

Can not find client certificate with received issuers, trying server certificate Issuer Name
Issuer  0: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Issuers: 1, Length: 98 bytes
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2982:Error finding cert chain
Error 0x80092004: Объект или свойство не найдено.
138 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:765:Error performing handshake.
Error 0x80090326: Получено непредвиденное сообщение или оно имеет неправильный формат.
Total: SYS: 0,000 sec USR: 0,020 sec UTC: 0,040 sec
[ErrorCode: 0x80090326]
root@hw-arm64-astra:~# /opt/cprocsp/bin/*/certmgr -list -file /tmp/ttt.p7b
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2020.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель            : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Субъект             : C=RU, L=Moscow, O=Equifax Credit Services LLC, CN=*.equifax.ru
Серийный номер      : 0x0A042A2B3CF5E18602737572564206E7
Хэш SHA1            : 7e6fc90c8d1ee1caba24ebe3fddd35f10ee136d5
Идентификатор ключа : c836c86ca0bfba596a82d0af953fac06df37c5f2
Алгоритм подписи    : sha256RSA
Алгоритм откр. кл.  : RSA (2048 бит)
Выдан               : 05/03/2020  00:00:00 UTC
Истекает            : 23/05/2022  12:00:00 UTC
Ссылка на ключ      : Нет
OCSP URL            : http://status.thawte.com
URL сертификата УЦ  : http://cacerts.thawte.com/ThawteRSACA2018.crt
URL списка отзыва   : http://cdp.thawte.com/ThawteRSACA2018.crl
Назначение/EKU      : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
2-------
Издатель            : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
Субъект             : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Серийный номер      : 0x025A8AEF196F7E0D6C2104B21AE6702B
Хэш SHA1            : 4deea7060d80babf1643b4e0f0104c82995075b7
Идентификатор ключа : a3c85e6554e53078c105ea070a6a59ccb9fede5a
Алгоритм подписи    : sha256RSA
Алгоритм откр. кл.  : RSA (2048 бит)
Выдан               : 06/11/2017  12:23:52 UTC
Истекает            : 06/11/2027  12:23:52 UTC
Ссылка на ключ      : Нет
OCSP URL            : http://ocsp.digicert.com
URL списка отзыва   : http://crl3.digicert.com/DigiCertGlobalRootCA.crl
Назначение/EKU      : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
=============================================================================

[ErrorCode: 0x00000000]

Для зарубежных алгоритмов информацию можно узнать с помощью онлайн тестеров TLS:
* https://www.wormly.com/test_ssl
* https://www.ssllabs.com/...=bki-b2b-test.equifax.ru

2. Лицензии от КриптоПро CSP 4.0 официально подходят для сертифицированной КриптоПро CSP 5.0.11455 Fury (как раз как у вас). Начиная с КриптоПро CSP 5.0 R2 (сборка 5.0.11635 Golem) изменилась схема лицензирования: требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания.

3. Поддержка RSA TLS на Linux в КриптоПро CSP 5.0.11455 Fury уже была, но на ограниченном наборе криптографических наборов. Ваш сервер использует TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, поддержка которого появилась в КриптоПро CSP 5.0.11823 Iris (см. RSA_ECDHE в списке изменений), так что для работы с ним будет нужна новая лицензия. Кроме покупки новой, есть вариант лицензии на обновление СКЗИ "КриптоПро CSP" до версии 5.0 на одном рабочем месте.
Официальная техподдержка. Официальная база знаний.
Offline promcalc  
#12 Оставлено : 30 декабря 2020 г. 12:56:25(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Сейчас попробовал отправить запрос стандартным curl

Все прошло:

Цитата:
$ curl -X POST --cert /tmp/tls_cert_2020/cert.pem --key /tmp/key_nopass.pem -o /tmp/test_response_01.xml -v --header "Content-Type:application/octet-stream; charset=windows-1251" --trace-ascii /tmp/debugdump.txt --data-binary @/tmp/testdata/test_request_01.xml.sign https://bki-b2b-test.equifax.ru/xml.php

Warning: --trace-ascii overrides an earlier trace/verbose option
Note: Unnecessary use of -X or --request, POST is already inferred.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 64074 0 61731 100 2343 32575 1236 0:00:01 0:00:01 --:--:-- 33794


Но, если Вы ответите на мои вопросы и расскажите, что я делал не так с вашим ПО, буду очень благодарен.
Offline promcalc  
#13 Оставлено : 30 декабря 2020 г. 12:59:05(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Написал сообщение выше, когда еще не было ответа на мои вопросы. Сейчас прочитал и вроде ответов не осталось.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.