Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline eumus  
#1 Оставлено : 29 февраля 2008 г. 12:07:52(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

Я столкнулся с проблемой, описанной здесь (просто 1 в 1!):

http://www.cryptopro.ru/...ro/forum/view.asp?q=6066

К сожалению, ни под windows 2000 (CSP 3) ни под XP (CSP 3.6) ни в какой комбинации флажков TLS 1.0, SSL 2.0 и SSL 3.0 IE подцепляться к серверу не желает. csptest выдает следующее:

87 bytes of handshake data sent
1534 bytes of handshake data received
210 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0x80090317 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:404:Error performing handshake.
Error number 78b (1931).
The context has expired and can no longer be used.

Total: SYS: 0.016 sec USR: 0.031 sec UTC: 0.203 sec
[ErrorCode: 0x00000001]


Пожалуйста, помогите решить проблему!
Offline Ольга  
#2 Оставлено : 3 марта 2008 г. 18:45:49(UTC)
Ольга

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207

Поблагодарили: 3 раз в 3 постах
Опишите поподробней вашу проблему.
Укажите версии продуктов, настройки системы и коннектора.
Еще раз проверьте ваши контейнеры и сертификаты.
Offline eumus  
#3 Оставлено : 4 марта 2008 г. 12:27:14(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

JCP.1.0.33
JTLS.1.0.33

Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false"
sslProtocol="GostTLS"
algorithm="GostX509"
keystoreProvider="JCP"
keystoreType="HDImageStore"
keystoreFile="c:\tomcat55\tomcat.keystore"
keystorePass="123456"
keyalg="GOST3410"
sigalg="GOST3411withGOST3410EL"
keyAlias="tomcat"
SSLImplementation="ru.CryptoPro.TomCatSSL.JSSEImplementation"
SSLEnabled="true"


Сертификаты генерились по руководству программиста JCP. Пробовал и через ComLine, и с помощью ControlPane, и кодом на java (из руководства). Сертификаты получались с тестового серт. центра Крипто Про.
Есть только один настораживающий факт: при добавлении серверного сертификата и сертификата СА в цепочку любыми способами, при дальнейшем просмотре сертификата сервера в ControlPane, выводится предупреждение о том, что невозможно отобразить цепочку и поэтому будет показан список. Может я что-то не так делаю? Не могли бы вы привести в этом случае пошаговую инструкцию где скачать правильный сертификат СА, как получить правильный серверный сертификат и как построить из них правильную цепочку?
Offline Ольга  
#4 Оставлено : 4 марта 2008 г. 19:49:04(UTC)
Ольга

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207

Поблагодарили: 3 раз в 3 постах
1. ssl устанавливается только инсталлятором
2. пробовали ли запускать без использования переходника КриптоПро TomCatSSL (см. Руководство программиста КриптоПро JTLS)
3. укажите версию java-машины

Offline eumus  
#5 Оставлено : 5 марта 2008 г. 10:46:14(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

1. "ssl устанавливается только инсталлятором" - это не совсем понял
2. да, естественно пробовали и так и этак
3. 1.5.0_13
Offline Ольга  
#6 Оставлено : 5 марта 2008 г. 14:18:10(UTC)
Ольга

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207

Поблагодарили: 3 раз в 3 постах
установка SSL осуществляется следующей командой:

java -jar cpSSL.jar

в этом случае будут прописаны необходимые настройки.

Для проверки основных настроек провайдера можно запустить класс ComLine.CheckConf
Offline eumus  
#7 Оставлено : 5 марта 2008 г. 17:22:04(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

ssl установлен, CheckConf говорит что все установлено и в порядке
Offline eumus  
#8 Оставлено : 5 марта 2008 г. 17:23:55(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

Ольга, а вы не могли бы уточнить ситуацию у вашего сотрудника, который отвечал на вопросы по этой проблеме в старом форуме в ветке
http://www.cryptopro.ru/...ro/forum/view.asp?q=6066
Offline Ольга  
#9 Оставлено : 6 марта 2008 г. 17:33:16(UTC)
Ольга

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207

Поблагодарили: 3 раз в 3 постах
eumus написал:
csptest выдает следующее:

87 bytes of handshake data sent
1534 bytes of handshake data received
210 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0x80090317 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:404:Error performing handshake.
Error number 78b (1931).
The context has expired and can no longer be used.

Total: SYS: 0.016 sec USR: 0.031 sec UTC: 0.203 sec
[ErrorCode: 0x00000001]


на какую команду?
Offline eumus  
#10 Оставлено : 6 марта 2008 г. 18:50:09(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

csptest -tlsc -server ip -port port -proto 4 -v
без -proto 4 выдает немного другую ошибку. как и описано здесь: http://www.cryptopro.ru/...ro/forum/view.asp?q=6066
Offline Ольга  
#11 Оставлено : 7 марта 2008 г. 17:45:41(UTC)
Ольга

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207

Поблагодарили: 3 раз в 3 постах
windows xp sp2, java 1.5.0.12

устанавливаем JCP (1.0.33)

устанавливаем JTLS (1.0.33)

устанавливаем TomCat 5.5

настройки коннектора:
Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false"
algorithm="GostX509"
keystoreProvider="JCP"
sslProtocol="GostTLS"
keystoreType="HDImageStore"
keyalg="GOST3410"
sigalg="GOST3411withGOST3410EL"

keystoreFile="D:/store.store"
keystorePass="123"

настраиваем TomCat под свою учетную запись
(Панель управления -> Администрирование -> Службы и приложения -> Службы -> Apache Tomcat свойства -> вход в систему: с учетной записью (указать имя и пароль))

генерируем ключ (аутентификация сервера) с помощью контрольной панели, там же сохраняем запрос в BASE64
по сохраненному запросу получаем сертификат на http://www.cryptopro.ru/certsrv/ , там же получаем корневой сертификат
с помощью контрольной панели устанавливаем полученный сертификат в контейнер
(для того чтобы записать цепочку сертификатов можно воспользоваться ComLine.Certs)//цепочку можно и не записывать
устанавливаем на контейнер пароль "123"
с помощью контрольной панели создаем хранилище сертификатов D:/store.store и устанавливаем на него пароль "123"
в хранилище сертификатов записываем корневой сертификат


Запускаем TomCat получаем соединение с односторонней аутентификацией:

заходим через IE (https://localhost:8443/)

проверяем csptest:
C:\Program Files\Far>csptest -tlsc -port 8443 -v
CSP (Type:71) v3.0.3293 KC1 Release OS:Windows CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.0.3293 KC1 Release OS:Windows CPU:IA32 FastCode:READY,ENABLED.
C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -port 8443 -v
87 bytes of handshake data sent
1435 bytes of handshake data received
210 bytes of handshake data sent
6 bytes of handshake data received
25 bytes of handshake data received
Handshake was successful

Server subject: C=RU, O=CryptoPro, CN=servernew
Server issuer: E=info@cryptopro.ru, C=RU, O=CRYPTO-PRO, CN=Test Center CRYPTO-PRO

**** Error authenticating server credentials!

Protocol: TLS1
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa25
Key exchange strength: 1024

Header: 5, Trailer: 4, MaxMessage: 16379

HTTP request: GET /default.htm HTTP/1.0
User-Agent: Webclient
Accept:*/*


Sending plaintext: 64 bytes
73 bytes of application data sent
1169 bytes of (encrypted) application data received
Decrypted data: 1160 bytes
11 bytes of (encrypted) application data received
Sending Close Notify
11 bytes of handshake data sent
1 connections, 1160 bytes in 1.563 seconds;
Total: SYS: 0.016 sec USR: 0.047 sec UTC: 1.625 sec
[ErrorCode: 0x00000000]

при данной последовательности действий у меня все работает
дальше будем смотреть еще варианты
Offline eumus  
#12 Оставлено : 11 марта 2008 г. 11:26:36(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

сделал, как Вы написали. сейчас у меня результат такой:

C:\>"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -port 8443 -v
CSP (Type:71) v3.0.3293 KC1 Release OS:Windows CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.0.3293 KC1 Release OS:Windows CPU:IA32 FastCode:READY,ENABLED.
C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -port 8443 -v
117 bytes of handshake data sent
1433 bytes of handshake data received
210 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0x80090317 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:417:Error performing handshake.
Error number 0 (0).
The operation completed successfully.

Total: SYS: 0.094 sec USR: 0.109 sec UTC: 0.515 sec
[ErrorCode: 0x00000001]
Offline Ольга  
#13 Оставлено : 3 апреля 2008 г. 15:59:38(UTC)
Ольга

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207

Поблагодарили: 3 раз в 3 постах
Выложена новая версия JCP. Попробуйте на ней.
Offline eumus  
#14 Оставлено : 18 апреля 2008 г. 18:41:30(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

Не помогло :(

Может быть следующая информация послужит зацепкой?
В ControlPane > Хранилища контейнеров > HDImageStore > ... > Сертификаты если нажать кнопку "Просмотр", то показывается предупреждение "Цепочка сертификатов не может быть построена unable to find certification path to requested target..."
Это нормальная ситуация или я неправильно получил сертификат?

Что еще можно проверить для локализации проблемы?
Offline eumus  
#15 Оставлено : 21 апреля 2008 г. 14:04:10(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

Попробовал поставить JCP/JTLS версии 1.0.35 на HP-UX, результат абсолютно тот же
Попробовал запустить сервер из ComLine и подключиться к нему с того же компьютера клиентом из ComLine.
Клиент пишет:

Apr 21, 2008 9:39:09 AM ru.CryptoPro.JCP.tools.m a
INFO: Loading JCP...
Apr 21, 2008 9:39:09 AM ru.CryptoPro.JCP.tools.m a
INFO: JCP loaded.
Apr 21, 2008 9:39:16 AM JTLS_samples.Client proc
INFO: Client request: GET /index.html HTTP/1.0


Exception in thread "main" javax.net.ssl.SSLException: java.lang.UnsupportedOperationException
at ru.CryptoPro.ssl.H.a(Unknown Source)
at ru.CryptoPro.ssl.s.a(Unknown Source)
at ru.CryptoPro.ssl.s.a(Unknown Source)
at ru.CryptoPro.ssl.s.a(Unknown Source)
at ru.CryptoPro.ssl.W.write(Unknown Source)
at java.io.OutputStream.write(OutputStream.java:58)
at JTLS_samples.Client.proc(Unknown Source)
at JTLS_samples.Client.get(Unknown Source)
at ComLine.Client.main(Unknown Source)
Caused by: java.lang.UnsupportedOperationException
at javax.crypto.CipherSpi.engineGetKeySize(DashoA12275)
at javax.crypto.Cipher.b(DashoA12275)
at javax.crypto.Cipher.a(DashoA12275)
at javax.crypto.Cipher.a(DashoA12275)
at javax.crypto.Cipher.a(DashoA12275)
at javax.crypto.Cipher.init(DashoA12275)
at javax.crypto.Cipher.init(DashoA12275)
at ru.CryptoPro.ssl.gostTLS.e.a(Unknown Source)
at ru.CryptoPro.ssl.gostTLS.a.a(Unknown Source)
at ru.CryptoPro.ssl.a.a(Unknown Source)
at ru.CryptoPro.ssl.a.a(Unknown Source)
at ru.CryptoPro.ssl.I.k(Unknown Source)
at ru.CryptoPro.ssl.I.a(Unknown Source)
at ru.CryptoPro.ssl.s.a(Unknown Source)
at ru.CryptoPro.ssl.s.h(Unknown Source)
... 6 more


Сервер в момент подключения клиента пишет:

INFO: Server: read request
Apr 21, 2008 9:29:25 AM JTLS_samples.Server run
SEVERE: Server error:javax.net.ssl.SSLException: Received fatal alert: INTERNAL_ERROR
Offline Ольга  
#16 Оставлено : 21 апреля 2008 г. 16:10:49(UTC)
Ольга

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207

Поблагодарили: 3 раз в 3 постах
То что в контрольной панели не строятся цепочки это проблема контрольной панели, в следующей версии исправим.
по последнему посту: проверте установку провайдера, у вас почему-то не подгрузился наш шифратор.
и еще вопрос: на Windows вы пробовали запускать примеры клиент-сервер?
Offline eumus  
#17 Оставлено : 21 апреля 2008 г. 18:59:56(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

Ура! добился нормального подключения Java клиента к томкэту по SSL, но csptest по-прежнему выдает:

CSP (Type:75) v3.6.4070 KC1 Release Ver:3.6.4677 OS:Windows CPU:IA32 FastCode:READY,ENABLED.
C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -server 192.168.0.1 -port 8443 -proto 4 -v
70 bytes of handshake data sent
769 bytes of handshake data received
**** Error 0x80090308 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:404:Error performing handshake.
Error number 57 (87).
The parameter is incorrect.

Total: SYS: 0.016 sec USR: 0.031 sec UTC: 0.078 sec
[ErrorCode: 0x00000001]
Offline eumus  
#18 Оставлено : 21 апреля 2008 г. 19:11:50(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

А вот что выдает последний билд CSP, который я смог найти у вас на сервере

CSP (Type:75) v3.6.4070 KC2 Release Ver:3.6.4838 OS:Windows CPU:IA32 FastCode:READY,ENABLED.
ClientHello: RecordLayer: TLS, Len: 71
Cipher Suites: (00 80) (00 32) (00 04) (00 05) (00 0a) (00 09) (00 64) (00 62) (
00 03) (00 06) (00 13) (00 12) (01 63) (00 00)
76 bytes of handshake data sent
769 bytes of handshake data received
**** Error 0x80090308 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:401:Error performing handshake.
Error number 57 (87).
The parameter is incorrect.

Total: SYS: 0.016 sec USR: 0.031 sec UTC: 0.734 sec
[ErrorCode: 0x00000001]
Offline Ольга  
#19 Оставлено : 21 апреля 2008 г. 20:17:16(UTC)
Ольга

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207

Поблагодарили: 3 раз в 3 постах
-proto 4 не надо
Offline eumus  
#20 Оставлено : 22 апреля 2008 г. 11:53:34(UTC)
eumus

Статус: Участник

Группы: Участники
Зарегистрирован: 29.02.2008(UTC)
Сообщений: 23

Без прото 4 заработало, спасибо!

Но осталась еще одна проблема: нам необходима клиентская аутентификация, и если я у коннектора томкэта включаю атрибут clientAuth="true", то все работать перестает. Клиентский сертификат с с КриптоПро я получил и установил, при открытии страницы на томкэте IE предлагает выбрать этот сертификат, но дальше выдает ошибку. Пожалуйста, подскажите в чем может быть дело на этот раз?
При попытке подключения джавовским клиентом выдается ошибка:

Exception in thread "main" javax.net.ssl.SSLHandshakeException: Received fatal alert: CERTIFICATE_UNKNOWN
at ru.CryptoPro.ssl.H.a(Unknown Source)
at ru.CryptoPro.ssl.H.a(Unknown Source)
at ru.CryptoPro.ssl.s.b(Unknown Source)
at ru.CryptoPro.ssl.s.a(Unknown Source)
at ru.CryptoPro.ssl.s.a(Unknown Source)
at ru.CryptoPro.ssl.V.flush(Unknown Source)
at ru.CryptoPro.ssl.I.a(Unknown Source)
at ru.CryptoPro.ssl.a.n(Unknown Source)
at ru.CryptoPro.ssl.a.a(Unknown Source)
at ru.CryptoPro.ssl.a.a(Unknown Source)
at ru.CryptoPro.ssl.I.k(Unknown Source)
at ru.CryptoPro.ssl.I.a(Unknown Source)
at ru.CryptoPro.ssl.s.a(Unknown Source)
at ru.CryptoPro.ssl.s.h(Unknown Source)
at ru.CryptoPro.ssl.s.a(Unknown Source)
at ru.CryptoPro.ssl.W.write(Unknown Source)
at java.io.OutputStream.write(OutputStream.java:58)
at JTLS_samples.Client.proc(Unknown Source)
at JTLS_samples.Client.get(Unknown Source)
at ComLine.Client.main(Unknown Source)

а вот результат вызова csptest:

CSP (Type:75) v3.6.4070 KC2 Release Ver:3.6.4838 OS:Windows CPU:IA32 FastCode:READY,ENABLED.
C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -server 192.168.0.1 -port 8443 -v
ClientHello: RecordLayer: SSL, Len: 85
Cipher Suites: (81 00 00) (80 00 00) (32 00 00) (04 00 00) (05 00 00) (0a 00 00)
(80 00 01) (c0 00 07) (80 00 03) (09 00 00) (40 00 06) (64 00 00) (62 00 00) (0
3 00 00) (06 00 00) (80 00 02) (80 00 04) (13 00 00) (12 00 00) (63 00 00)
87 bytes of handshake data sent
816 bytes of handshake data received

Trying to create new credential
Issuers Lenght 0: 0 bytes

Client certificate:
Subject: E=eugene@test.com, C=RU, L=moscow, O=test bank, OU=dist, CN=eugene
Valid : 22.04.2008 - 22.04.2009
Issuer : E=info@cryptopro.ru, C=RU, O=CRYPTO-PRO, CN=Test Center CRYPTO-PRO

new schannel credential created
849 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0x80090317 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:401:Error performing handshake.
Error number 78b (1931).
The context has expired and can no longer be used.

Total: SYS: 0.031 sec USR: 0.078 sec UTC: 0.843 sec
[ErrorCode: 0x00000001]

Отредактировано пользователем 22 апреля 2008 г. 12:14:37(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.