Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline stanbel1  
#11 Оставлено : 17 июля 2018 г. 10:07:10(UTC)
stanbel1

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Я правильно понял, что

в журнале

Код:
июл 17, 2018 10:00:33 AM ru.CryptoPro.ssl.cl_42 f
FINE: *** CertificateRequest
Cert Types: Type-22
Cert Authorities:
<CN=Test Center CRYPTO-PRO, O=CRYPTO-PRO, C=RU, EMAILADDRESS=info@cryptopro.ru>
<CN=УЦ KPИПTO-ПPO, O=ООО КРИПТО-ПРО, L=Москва, C=RU, EMAILADDRESS=cpca@cryptopro.ru>

Это то, чему доверяет удалённый сервер, так?.

А наш сертификат выдан выдан:
Код:
Issuer: CN=УЦ КРИПТО-ПРО (ГОСТ 2012), O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=Москва, C=RU, EMAILADDRESS=cpca@cryptopro.ru


И поэтому, так как удалённый сервер не доверяет CN=УЦ КРИПТО-ПРО (ГОСТ 2012), соединение не устанавливается
Offline Евгений Афанасьев  
#12 Оставлено : 17 июля 2018 г. 10:11:52(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Да, верно.

Отредактировано пользователем 17 июля 2018 г. 10:14:37(UTC)  | Причина: Не указана

Offline stanbel1  
#13 Оставлено : 17 июля 2018 г. 13:34:27(UTC)
stanbel1

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Какая-то непруха
У НБКИ другой сервер для госта 2012
они мне прислали сертификат,я его положил в упомянутый в коде trust.store
На этом trust.store цепочка строится
Bezymjannyjj1.png (10kb) загружен 16 раз(а).

Метод connection.connect(); проходит

Но всё равно выдаёт ошибку на строке int responseCode = connection.getResponseCode();
log5.txt (127kb) загружен 2 раз(а).
Offline Евгений Афанасьев  
#14 Оставлено : 17 июля 2018 г. 14:08:10(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Теперь, видимо, из-за того, что в CertificateRequest приходят типы 21-22, соответствующие ГОСТ 2001, а у вас, вероятно, ключ на алгоритме ГОСТ 2012 (256). При этом используется сайферсюита TLS_CIPHER_2012. В Cert Authorities должны быть в том числе типы 238 (ГОСТ 2012 256) и 239 (ГОСТ 2012 512), например:
Код:

FINE: *** CertificateRequest
Cert Types: Type-21, Type-22 <--- должно быть, например, Type-21, Type-22, Type-238
Cert Authorities:
<CN=УЦ KPИПTO-ПPO, O=ООО КРИПТО-ПРО, L=Москва, C=RU, EMAILADDRESS=cpca@cryptopro.ru>
<CN=УЦ КРИПТО-ПРО (ГОСТ 2012), O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=Москва, C=RU, EMAILADDRESS=cpca@cryptopro.ru>
Offline stanbel1  
#15 Оставлено : 17 июля 2018 г. 14:34:55(UTC)
stanbel1

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Можно поподробнее?
Не понял, в чём проблема
Offline Евгений Афанасьев  
#16 Оставлено : 17 июля 2018 г. 15:06:24(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
В запросе CertificateRequest сервера для сайферсюиты TLS_CIPHER_2012 указаны алгоритмы открытого ключа 21-22, соответствующие ГОСТ 2001, а у вас, судя по всему, сертификат с ключом ГОСТ 2012. Чтобы был выбран ваш сертификат на алгоритме ГОСТ 2012, в CertificateRequest должен быть в том числе тип 238 (и 239), или алгоритм ключа в вашем сертификате должен быть ГОСТ 2001 (тогда он будет соответствовать 21-22).
https://tools.ietf.org/html/rfc5246
Цитата:

struct {
ClientCertificateType certificate_types<1..2^8-1>; <---
SignatureAndHashAlgorithm
supported_signature_algorithms<2^16-1>;
DistinguishedName certificate_authorities<0..2^16-1>;
} CertificateRequest;
certificate_types - A list of the types of certificate types that the client may offer.
...
The end-entity certificate provided by the client MUST contain a key that is compatible with certificate_types.

http://wwwold.tc26.ru/me...on/%D0%A2%D0%9A26TLS.pdf
Цитата:

8.1 Приватные типы алгоритмов
До регистрации в IANA предварительные реализации используют следующие приватные номера преобразований:
CipherSuite TLS_GOSTR341112_256_WITH_28147_CNT_IMIT = {0xFF,0x85} <--- TLS_CIPHER_2012
CipherSuite TLS_GOSTR341112_256_WITH_NULL_GOSTR3411 = {0xFF,0x87}
enum {
gostr34102001(22), gostr34102012_256(238),
gostr34102012_512(239), (255)
} ClientCertificateType;

Offline stanbel1  
#17 Оставлено : 17 июля 2018 г. 15:49:12(UTC)
stanbel1

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
то есть сертификат сервера неверный, он не содержит необходимого алгоритма открытого ключа (238 и 238)
Сертификат сервера:
icrs2012.cer.txt (2kb) загружен 3 раз(а).
Offline Евгений Афанасьев  
#18 Оставлено : 17 июля 2018 г. 17:05:20(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Ваш сертификат, если он имеет ключ ГОСТ 2012, не соответствует заявленным параметрам сервера, которые тот шлет.
thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
stanbel1 оставлено 18.07.2018(UTC)
Offline stanbel1  
#19 Оставлено : 18 июля 2018 г. 15:55:19(UTC)
stanbel1

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Большое спасибо за помощь!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.