Статус: Новичок
Группы: Участники
Зарегистрирован: 13.06.2017(UTC) Сообщений: 1
|
CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944 Stunnel из того же дистрибутива, что и CSP, не может установить соединение с zakupki.gov.ru если параметр verify установлен в значение 2. В root-хранилище 3 сертификата. Взяты отсюда: http://zakupki.gov.ru/ep...FZALL&_categories=onСоединение не устанавливается. Ошибка: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy! Вот в этой (https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=5479) теме сказано, что в root-хранилище нельзя импортировать сертификаты сервера. Но их там нет. К тому же вот эта команда ./cpconfig -ini '\config\Parameters\Rfc6125_NotStrict_ServerName_Check' -view Выдает ошибку при выполнении: Section, key or parameter not found. Команда для проверки: Код:curl -v -u user:password -X POST "123" http://127.0.0.1:8080/pgz/services/upload
Ошибка: Код:
2018.08.17 15:28:29 LOG5[8888:140257018455808]: Handshake was successful
2018.08.17 15:28:29 LOG5[8888:140257018455808]: PerformClientHandshake finish
2018.08.17 15:28:29 LOG5[8888:140257018455808]: Server subject: INN=007710568760, OGRN=1047797019830, STREET="ул. Проспект Мира, 105", E=777@roskazna.ru, C=RU, S=г. Москва, L=Москва, O=Федеральное казначейство, CN=zakupki.gov.ru
2018.08.17 15:28:29 LOG5[8888:140257018455808]: Server issuer: E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
2018.08.17 15:28:29 LOG5[8888:140257018455808]: No error on CertGetCertificateChain
2018.08.17 15:28:29 LOG3[8888:140257018455808]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2018.08.17 15:28:29 LOG3[8888:140257018455808]: Error 0x800b010f returned by VerifyCertChain
2018.08.17 15:28:29 LOG3[8888:140257018455808]: **** Error 0x800b010f authenticating server credentials!
2018.08.17 15:28:29 LOG5[8888:140257018455808]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
Конфиг Stunnel: Код:
[mytest]
verify = 2
client = yes
accept = 127.0.0.1:8080
connect = zakupki.gov.ru:443
Хранилище корневых сертификатов: Код:
/opt/cprocsp/bin/amd64/certmgr -list -store root
Certmgr 1.1 (c) "CryptoPro", 2007-2010.
program for managing certificates, CRLs and stores
WARNING: Legacy parameter: "-store root"
=============================================================================
1-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
Serial : 0x36ACD45500000000012F
SHA1 Hash : 48b19fb33bb637c88a54d19650730b67e42db121
SubjKeyID : 165591a65158c4892c6b515bd285190a01444822
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 04/07/2017 14:19:17 UTC
Not valid after : 04/07/2027 14:19:17 UTC
PrivateKey Link : No
CDP : http://rostelecom.ru/cdp/guc.crl
CDP : http://reestr-pki.ru/cdp/guc.crl
2-------
Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Serial : 0x34681E40CB41EF33A9A0B7C876929A29
SHA1 Hash : 8cae88bbfd404a7a53630864f9033606e1dc45e2
SubjKeyID : 8b983b891851e8ef9c0278b8eac8d420b255c95d
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 20/07/2012 12:31:14 UTC
Not valid after : 17/07/2027 12:31:14 UTC
PrivateKey Link : No
3-------
Issuer : UnstructuredName=Server CA, E=uc_fk@roskazna.ru, S=77 г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=УЦ Федерального казначейства
Subject : UnstructuredName=Server CA, E=uc_fk@roskazna.ru, S=77 г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=УЦ Федерального казначейства
Serial : 0x01
SHA1 Hash : 30ef8b31cb2b67501e523d741273a378e3aa3a59
SubjKeyID : 9e710e0fdab401285f3fe2cb8f65159702478cab
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 28/06/2013 13:09:33 UTC
Not valid after : 28/06/2018 13:09:33 UTC
PrivateKey Link : No
=============================================================================
[ErrorCode: 0x00000000]
Однако, Java-приложение с jcp и подключенным ключевым контейнером (с этими же сертификатами), и параметром System.setProperty("com.sun.security.enableCRLDP", "true");, соединяясь без stunnel с https://zakupki.gov.ru/pgz/services/upload, не сообщает о каких-либо несоответствиях и данные с сервера получает. Если установить verify = 0 , то данные передаются. Насколько я понимаю, значение verify = 0 небезопасно, так как сопоставление CN - один из способов подтверждения того, что сервер тот за кого себя выдает. Поясните, что нужно сделать с stunnel, csp или чем-то другим, чтобы сертификат подтверждался и соединение устанавливалось c https://zakupki.gov.ru/pgz/services/upload при установленном в Stunnel параметре verify = 2 ?
|