Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
zakupki.gov.ru + stunnel - stunnel не может установить соединение с zakupki.gov.ru
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline naumenwebtest  
#1 Оставлено : 17 августа 2018 г. 15:54:39(UTC)
naumenwebtest

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.06.2017(UTC)
Сообщений: 1
CSP (Type:80) v4.0.9017 KC1 Release Ver:4.0.9944

Stunnel из того же дистрибутива, что и CSP, не может установить соединение с zakupki.gov.ru если параметр verify установлен в значение 2.

В root-хранилище 3 сертификата. Взяты отсюда:
http://zakupki.gov.ru/ep...FZALL&_categories=on
Соединение не устанавливается. Ошибка: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!

Вот в этой (https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=5479) теме сказано, что в root-хранилище нельзя импортировать сертификаты сервера. Но их там нет.

К тому же вот эта команда ./cpconfig -ini '\config\Parameters\Rfc6125_NotStrict_ServerName_Check' -view
Выдает ошибку при выполнении: Section, key or parameter not found.

Команда для проверки:
Код:
curl -v -u user:password -X POST "123" http://127.0.0.1:8080/pgz/services/upload


Ошибка:
Код:

2018.08.17 15:28:29 LOG5[8888:140257018455808]: Handshake was successful
2018.08.17 15:28:29 LOG5[8888:140257018455808]: PerformClientHandshake finish 
2018.08.17 15:28:29 LOG5[8888:140257018455808]: Server subject: INN=007710568760, OGRN=1047797019830, STREET="ул. Проспект Мира, 105", E=777@roskazna.ru, C=RU, S=г. Москва, L=Москва, O=Федеральное казначейство, CN=zakupki.gov.ru
2018.08.17 15:28:29 LOG5[8888:140257018455808]: Server issuer: E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
2018.08.17 15:28:29 LOG5[8888:140257018455808]: No error on CertGetCertificateChain
2018.08.17 15:28:29 LOG3[8888:140257018455808]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2018.08.17 15:28:29 LOG3[8888:140257018455808]: Error 0x800b010f returned by VerifyCertChain
2018.08.17 15:28:29 LOG3[8888:140257018455808]: **** Error 0x800b010f authenticating server credentials!
2018.08.17 15:28:29 LOG5[8888:140257018455808]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket


Конфиг Stunnel:
Код:

[mytest]
verify = 2
client = yes
accept = 127.0.0.1:8080
connect = zakupki.gov.ru:443


Хранилище корневых сертификатов:
Код:

/opt/cprocsp/bin/amd64/certmgr -list -store root
Certmgr 1.1 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

WARNING: Legacy parameter: "-store root"
=============================================================================
1-------
Issuer              : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject             : E=uc_fk@roskazna.ru, S=г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
Serial              : 0x36ACD45500000000012F
SHA1 Hash           : 48b19fb33bb637c88a54d19650730b67e42db121
SubjKeyID           : 165591a65158c4892c6b515bd285190a01444822
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 04/07/2017  14:19:17 UTC
Not valid after     : 04/07/2027  14:19:17 UTC
PrivateKey Link     : No                  
CDP                 : http://rostelecom.ru/cdp/guc.crl
CDP                 : http://reestr-pki.ru/cdp/guc.crl
2-------
Issuer              : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Subject             : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр
Serial              : 0x34681E40CB41EF33A9A0B7C876929A29
SHA1 Hash           : 8cae88bbfd404a7a53630864f9033606e1dc45e2
SubjKeyID           : 8b983b891851e8ef9c0278b8eac8d420b255c95d
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 20/07/2012  12:31:14 UTC
Not valid after     : 17/07/2027  12:31:14 UTC
PrivateKey Link     : No                  
3-------
Issuer              : UnstructuredName=Server CA, E=uc_fk@roskazna.ru, S=77 г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=УЦ Федерального казначейства
Subject             : UnstructuredName=Server CA, E=uc_fk@roskazna.ru, S=77 г. Москва, INN=007710568760, OGRN=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=УЦ Федерального казначейства
Serial              : 0x01
SHA1 Hash           : 30ef8b31cb2b67501e523d741273a378e3aa3a59
SubjKeyID           : 9e710e0fdab401285f3fe2cb8f65159702478cab
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 28/06/2013  13:09:33 UTC
Not valid after     : 28/06/2018  13:09:33 UTC
PrivateKey Link     : No                  
=============================================================================

[ErrorCode: 0x00000000]


Однако, Java-приложение с jcp и подключенным ключевым контейнером (с этими же сертификатами), и параметром System.setProperty("com.sun.security.enableCRLDP", "true");, соединяясь без stunnel с https://zakupki.gov.ru/pgz/services/upload, не сообщает о каких-либо несоответствиях и данные с сервера получает.

Если установить verify = 0 , то данные передаются. Насколько я понимаю, значение verify = 0 небезопасно, так как сопоставление CN - один из способов подтверждения того, что сервер тот за кого себя выдает.
Поясните, что нужно сделать с stunnel, csp или чем-то другим, чтобы сертификат подтверждался и соединение устанавливалось c https://zakupki.gov.ru/pgz/services/upload при установленном в Stunnel параметре verify = 2 ?
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Максим Коллегин  
#2 Оставлено : 17 августа 2018 г. 19:25:20(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,377
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
Прежде чем просматривать параметр, его необходимо добавить:
./cpconfig -ini '\config\Parameters' -add bool Rfc6125_NotStrict_ServerName_Check true
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline Detuner  
#3 Оставлено : 6 сентября 2018 г. 11:14:06(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 22
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 6 раз
Я бился с этой проблемой ещё пять лет назад, не победил.
Беда в том, что при наличии у сертификата расширения Subject Alt Name, stunnel сравнивает URL сервера с тем, что указано там, а не с полем CN в Subject.
А в Subject Alt Name у серверного сертификата какая-то ересь:

Код:
T=13 09 36 32 32 31 31 34 32 31 34
URL=0

Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET