Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline gilya  
#1 Оставлено : 6 июля 2021 г. 6:46:23(UTC)
gilya

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2021(UTC)
Сообщений: 2
Российская Федерация
Откуда: Томск

Здравствуйте.

Подскажите, а при использовании JTLS для создания mTLS соединения можно ли сделать так, чтобы на сервер передавался не только конечный сертификат пользователя, но и вся цепочка, если конечно она есть в keyStore?

Нужно чтобы ngate мог сделать проверку, установив sspi_verify_depth 2, например.
Offline Евгений Афанасьев  
#2 Оставлено : 6 июля 2021 г. 11:27:13(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,494
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 583 раз в 554 постах
Здравствуйте.
Цепочка клиента будет передана, если она вся, целиком, установлена в ключевой контейнер клиента.
Offline gilya  
#3 Оставлено : 6 июля 2021 г. 11:35:15(UTC)
gilya

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2021(UTC)
Сообщений: 2
Российская Федерация
Откуда: Томск

Автор: Евгений Афанасьев Перейти к цитате
Здравствуйте.
Цепочка клиента будет передана, если она вся, целиком, установлена в ключевой контейнер клиента.


Вся, включая корневой сертификат?
Offline Евгений Афанасьев  
#4 Оставлено : 6 июля 2021 г. 11:46:04(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,494
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 583 раз в 554 постах
Можно вместе с корневым (увеличится размер собщения). Вообще, корневой клиента (как и сервера) не является необходимым, т.к. когда цепочка клиента попадает на сервер (а сервер предварительно высылает список доверенных имен корневых distinguished names из ROOT, чтобы клиент мог выбрать цепочку), сервер ищет для нее подходящий корневой в ROOT, и построение такой цепочки в итоге является критерием доверия сервера клиенту.
Offline rrrrrr111  
#5 Оставлено : 14 июля 2021 г. 8:43:50(UTC)
rrrrrr111

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
подскажите как установить всю цепочку в контейнер ?
Offline Евгений Афанасьев  
#6 Оставлено : 14 июля 2021 г. 10:06:32(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,494
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 583 раз в 554 постах
Если есть цепочка сертификатов в файле p7b, то можно либо в панели jcp, открыв нужный контейнер, нажать кнопку установки сертификата в него, либо с помощью панели csp, тоже установка сертификата, либо с помощью утилиты csptest csp (команды можно поискать на форуме или набрав csptest -help).
Offline rrrrrr111  
#7 Оставлено : 14 июля 2021 г. 10:42:56(UTC)
rrrrrr111

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Автор: Евгений Афанасьев Перейти к цитате
Если есть цепочка сертификатов в файле p7b, то можно либо в панели jcp, открыв нужный контейнер, нажать кнопку установки сертификата в него, либо с помощью панели csp, тоже установка сертификата, либо с помощью утилиты csptest csp (команды можно поискать на форуме или набрав csptest -help).


есть ли возможность создать файл p7b (PKCS7) средствами CryptoPro или др CLI утилитами, или как-то по другому импортировать цепочку?, похоже что PKCS7 можно сделать только панелькой Windows Eh? .

Кроме того, цепочка импортируется только если она включает корневой, и значит он всегда будет без надобности передаваться серверу, без корневого не удалось импортировать, куда бы я его не импортировал получаем keytool error: java.lang.Exception: Failed to establish chain from reply потом при импорте серта в контейнер если вмести с ним нет корневого в файле p7b

Отредактировано пользователем 14 июля 2021 г. 10:51:33(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#8 Оставлено : 14 июля 2021 г. 11:28:42(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,494
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 583 раз в 554 постах
Да, keytool чувствителен к сертификатам в цепочке.
Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд.
Offline rrrrrr111  
#9 Оставлено : 14 июля 2021 г. 17:31:19(UTC)
rrrrrr111

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Автор: Евгений Афанасьев Перейти к цитате
Да, keytool чувствителен к сертификатам в цепочке.
Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд.


Евгений, а Вы здесь для чего Think ?
Offline Санчир Момолдаев  
#10 Оставлено : 14 июля 2021 г. 17:55:21(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 757
Российская Федерация

Сказал(а) «Спасибо»: 65 раз
Поблагодарили: 158 раз в 154 постах
Автор: rrrrrr111 Перейти к цитате
Автор: Евгений Афанасьев Перейти к цитате
Да, keytool чувствителен к сертификатам в цепочке.
Возможно, в csptest или certmgr есть возможность, нужно смотреть документацию на них или читать -help, на форуме тоже могут быть примеры команд.


Евгений, а Вы здесь для чего Think ?


техническая поддержка осуществляется на портале технической поддержки
форум - место для общения пользователей, а не оказания технической поддержки. если есть время наши сотрудники также оказывают методическую помощь.
полноценная техподдержка оказывается на портале.

удобным способом будет использование CPTools в GUI среде для создания p7b

через cli думаю лучше создать отдельное хранилище. импортировать туда целевые серты, выгрузить все хранилище в файл
certmgr -export -store name -all -dest 1.p7b

Отредактировано пользователем 14 июля 2021 г. 18:18:04(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline rrrrrr111  
#11 Оставлено : 14 июля 2021 г. 23:39:40(UTC)
rrrrrr111

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
а есть возможность импортировать цепочку в контейнер чем-то кроме keytool? , дело в том что keytool не находит контейнер в алиасе которого русские буквы, certmgr находит контейнер на русском, но не импортирует цепочку
Offline rrrrrr111  
#12 Оставлено : 15 июля 2021 г. 1:22:46(UTC)
rrrrrr111

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате

через cli думаю лучше создать отдельное хранилище. импортировать туда целевые серты, выгрузить все хранилище в файл
certmgr -export -store name -all -dest 1.p7b


оно создает файл в каком-то ином формате, не PKCS#7
Offline rrrrrr111  
#13 Оставлено : 15 июля 2021 г. 11:48:29(UTC)
rrrrrr111

Статус: Участник

Группы: Участники
Зарегистрирован: 07.02.2021(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
еще подскажите как можно выпустить промежуточный сертификат на тестом CA https://testgost2012.cry....ru/certsrv/certrqxt.asp ?, нужно чтобы в нем было указано Bacic Constraints (Subject Type=CA, Path Length Constraint=0), если указываю их в CSR запросе, тествый CA выдает "Встречено неверное значение тега ASN1. 0x8009310b (ASN: 267 CRYPT_E_ASN1_BADTAG)""
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.