Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2021(UTC) Сообщений: 2 Откуда: Томск
|
Здравствуйте.
Подскажите, а при использовании JTLS для создания mTLS соединения можно ли сделать так, чтобы на сервер передавался не только конечный сертификат пользователя, но и вся цепочка, если конечно она есть в keyStore?
Нужно чтобы ngate мог сделать проверку, установив sspi_verify_depth 2, например.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,925 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 691 раз в 652 постах
|
Здравствуйте. Цепочка клиента будет передана, если она вся, целиком, установлена в ключевой контейнер клиента. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2021(UTC) Сообщений: 2 Откуда: Томск
|
Автор: Евгений Афанасьев Здравствуйте. Цепочка клиента будет передана, если она вся, целиком, установлена в ключевой контейнер клиента. Вся, включая корневой сертификат?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,925 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 691 раз в 652 постах
|
Можно вместе с корневым (увеличится размер собщения). Вообще, корневой клиента (как и сервера) не является необходимым, т.к. когда цепочка клиента попадает на сервер (а сервер предварительно высылает список доверенных имен корневых distinguished names из ROOT, чтобы клиент мог выбрать цепочку), сервер ищет для нее подходящий корневой в ROOT, и построение такой цепочки в итоге является критерием доверия сервера клиенту. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2021(UTC) Сообщений: 10 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
подскажите как установить всю цепочку в контейнер ?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,925 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 691 раз в 652 постах
|
Если есть цепочка сертификатов в файле p7b, то можно либо в панели jcp, открыв нужный контейнер, нажать кнопку установки сертификата в него, либо с помощью панели csp, тоже установка сертификата, либо с помощью утилиты csptest csp (команды можно поискать на форуме или набрав csptest -help). |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2021(UTC) Сообщений: 10 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Автор: Евгений Афанасьев Если есть цепочка сертификатов в файле p7b, то можно либо в панели jcp, открыв нужный контейнер, нажать кнопку установки сертификата в него, либо с помощью панели csp, тоже установка сертификата, либо с помощью утилиты csptest csp (команды можно поискать на форуме или набрав csptest -help). есть ли возможность создать файл p7b (PKCS7) средствами CryptoPro или др CLI утилитами, или как-то по другому импортировать цепочку?, похоже что PKCS7 можно сделать только панелькой Windows . Кроме того, цепочка импортируется только если она включает корневой, и значит он всегда будет без надобности передаваться серверу, без корневого не удалось импортировать, куда бы я его не импортировал получаем keytool error: java.lang.Exception: Failed to establish chain from reply потом при импорте серта в контейнер если вмести с ним нет корневого в файле p7b Отредактировано пользователем 14 июля 2021 г. 10:51:33(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,925 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 691 раз в 652 постах
|
Да, keytool чувствителен к сертификатам в цепочке. Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.02.2021(UTC) Сообщений: 10 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Автор: Евгений Афанасьев Да, keytool чувствителен к сертификатам в цепочке. Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. Евгений, а Вы здесь для чего ?
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,040 Сказал(а) «Спасибо»: 88 раз Поблагодарили: 226 раз в 213 постах
|
Автор: rrrrrr111 Автор: Евгений Афанасьев Да, keytool чувствителен к сертификатам в цепочке. Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд. Евгений, а Вы здесь для чего ? техническая поддержка осуществляется на портале технической поддержкифорум - место для общения пользователей, а не оказания технической поддержки. если есть время наши сотрудники также оказывают методическую помощь. полноценная техподдержка оказывается на портале. удобным способом будет использование CPTools в GUI среде для создания p7b через cli думаю лучше создать отдельное хранилище. импортировать туда целевые серты, выгрузить все хранилище в файл certmgr -export -store name -all -dest 1.p7b Отредактировано пользователем 14 июля 2021 г. 18:18:04(UTC)
| Причина: Не указана |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close