Статус: Новичок
Группы: Участники
Зарегистрирован: 06.02.2020(UTC) Сообщений: 6  Откуда: Мск Сказал(а) «Спасибо»: 2 раз
|
Автор: Андрей Русев 
Здравствуйте, вам же curl сказал: Цитата:curl: (58) Problem with the local SSL certificate". Но проще диагностировать проблемы с помощью csptest: Устанавливаем соединение с тем же сервером, не сохраняя ответ, но сохраняя в файл сертификаты сервера: Код:[root@test-x64-fc22 ~]$ /opt/cprocsp/bin/amd64/csptest -tlsc -server icrs.demo.nbki.ru -file /products/B2BRequestServlet -nosave -savecert /tmp/t.p7b
Error 0x800b0109 (CERT_E_UNTRUSTEDROOT) returned by CertVerifyCertificateChainPolicy!
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:1048:Error authenticating server credentials!
Error 0x800b0109: Цепочка сертификатов обработана правильно, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия.
Total: SYS: 0,020 sec USR: 0,130 sec UTC: 0,170 sec
[ErrorCode: 0x800b0109]
Смотрим, какие сертификаты он прислал: Код:[root@test-x64-fc22 ~]$ /opt/cprocsp/bin/amd64/certmgr -list -file /tmp/t.p7b
Certmgr 1.1 (debug version) (c) "КРИПТО-ПРО", 2007-2020.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель : E=info@cryptopro.ru, OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Субъект : E=info@cryptopro.ru, OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Серийный номер : 0x01D139C600E5A955B54A8F7DC8550A6F66
Хэш SHA1 : 3594f1fcbc8edcf6e6fed45fc29f8a09d8fe7554
Идентификатор ключа : ffe4686092c8ec811319bb9635e35841f1812d9b
Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит
Алгоритм откр. кл. : ГОСТ Р 34.10-2012 (512 бит)
Выдан : 30/01/2019 11:51:44 UTC
Истекает : 30/01/2029 12:01:44 UTC
Ссылка на ключ : Нет
URL сертификата УЦ : http://testca2012.cryptopro.ru/aia/cb1dbb8436a1828a5949195bcb49c1992e31ba84.crt
URL списка отзыва : http://testca2012.cryptopro.ru/cdp/cb1dbb8436a1828a5949195bcb49c1992e31ba84.crl
2-------
Издатель : E=info@cryptopro.ru, OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Субъект : C=RU, CN=nbkidemo201912
Серийный номер : 0x01AB60080126AB88AE48530E4BB591565A
Хэш SHA1 : 3109c3f25b62975362a9023e623ac47e50a0d8aa
Идентификатор ключа : 3bac3968c2b70014b5934d3f0328a38676905eef
Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит
Алгоритм откр. кл. : ГОСТ Р 34.10-2012 (512 бит)
Выдан : 17/12/2019 15:52:34 UTC
Истекает : 17/03/2020 16:02:34 UTC
Ссылка на ключ : Нет
OCSP URL : http://testca2012.cryptopro.ru/ocsp/ocsp.srf
URL сертификата УЦ : http://testca2012.cryptopro.ru/aia/ffe4686092c8ec811319bb9635e35841f1812d9b.crt
URL списка отзыва : http://testca2012.cryptopro.ru/cdp/ffe4686092c8ec811319bb9635e35841f1812d9b.crl
Назначение/EKU : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
=============================================================================
[ErrorCode: 0x00000000]
Видно, что сертификат сервера выпущен на нашем тестовом УЦ. Доверия к нему разумеется нет. Используя "URL сертификата УЦ", в тестовых целях можно скачать и поставить сертификат этого тестового коренвого УЦ в доверенные: Код:
[root@test-x64-fc22 ~]$ /opt/cprocsp/bin/amd64/curl http://testca2012.cryptopro.ru/aia/cb1dbb8436a1828a5949195bcb49c1992e31ba84.crt -o /tmp/testroot.cer
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 1483 100 1483 0 0 131k 0 --:--:-- --:--:-- --:--:-- 131k
[root@test-x64-fc22 ~]$ /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /tmp/testroot.cer
Certmgr 1.1 (debug version) (c) "КРИПТО-ПРО", 2007-2020.
Программа для работы с сертификатами, CRL и хранилищами.
Идёт установка:
=============================================================================
1-------
Издатель : E=info@cryptopro.ru, OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Субъект : E=info@cryptopro.ru, OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Серийный номер : 0x01D484C500E5A9F88E4CB80EC8F17318AF
Хэш SHA1 : a59a87e585a79ffceb7b50e2e7db22f851e1b9b9
Идентификатор ключа : cb1dbb8436a1828a5949195bcb49c1992e31ba84
Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит
Алгоритм откр. кл. : ГОСТ Р 34.10-2012 (512 бит)
Выдан : 30/01/2019 11:49:09 UTC
Истекает : 30/01/2034 11:49:09 UTC
Ссылка на ключ : Нет
=============================================================================
CPCSP: Внимание: установка корневого сертификата с неподтвержденным отпечатком представляет риск для безопасности. Вы хотите установить этот сертификат?
Субъект: Тестовый головной УЦ ООО "КРИПТО-ПРО" ГОСТ 2012 (УЦ 2.0)
Отпечаток (sha1): A59A87E585A79FFCEB7B50E2E7DB22F851E1B9B9
(o)ОК, (c)Отмена
o
[ErrorCode: 0x00000000]
После этого соединение будет успешным: Код:
[root@test-x64-fc22 ~]$ /opt/cprocsp/bin/amd64/csptest -tlsc -server icrs.demo.nbki.ru -file /products/B2BRequestServlet -nosave
DEDEDEDEContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
1 connections, 3040 bytes in 0.077 seconds;
Total: SYS: 0,010 sec USR: 0,150 sec UTC: 0,200 sec
[ErrorCode: 0x00000000]
Спасибо большое за подробный ответ, я всё понял!
|
