Ошибка при обращении к серверу, использующему TLS_CIPHER

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

3 Страницы12 3 >

Ошибка при обращении к серверу, использующему TLS_CIPHER_2001

Опции

Предыдущая тема Следующая тема

what_is_it@inbox.ru		#1 Оставлено : 25 декабря 2018 г. 13:45:15(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 27.02.2013(UTC) Сообщений: 38 Откуда: Москва Сказал(а) «Спасибо»: 14 раз Поблагодарили: 11 раз в 9 постах		Добрый день! Используем jcp-2.0.39893 (пробовали так же jcp-2.0.39442) Все работало. Проблема возникла с переходом с eToken на ruToken Клиентское приложение коннектится к серверам через RestTemplate вот так: Код: `HttpHeaders headers = new HttpHeaders(); HttpEntity<?> httpEntity = new HttpEntity<>(null, headers); headers.setAccept(Arrays.asList(MediaType.APPLICATION_OCTET_STREAM)); URI uri = new URI(url); ResponseEntity<byte[]> response = null; try { response = atsRestTemplate.exchange( uri, HttpMethod.GET, httpEntity, byte[].class); } catch(HttpClientErrorException e) { throw getRestExceptionWithCauses (e, "ATS", uri); }` И при обращении к protected.atsenergo.ru, мы имеем ошибку (см. лог во вложении) ats_log.txt (37kb) загружен 11 раз(а). Как нам устранить данную проблему? Если открывать url https://protected.atsene...20181201&id=19207665 (к которому мы обращаемся) в Сhrome он падает с ошибкой "ERR_SSL_VERSION_OR_CIPHER_MISMATCH", в Firefox с ошибкой "SSL_ERROR_NO_CYPHER_OVERLAP" через ie, он работает у нас в рутокен Exchange key GOST R 34.10-2012 DH 256 bits * Exchange parameter set: GOST R 34.10-2001, exchange default parameters * Digest parameter set: GOST R 34.11-2012 (256) digest * Encryption parameter set: GOST 28147-89, TC 26 encryption parameters Z * Private key usage period: till 20-12-2019 16:19:55 Enabled cipher suites:[TLS_CIPHER_2012, TLS_CIPHER_2001, TLS_EMPTY_RENEGOTIATION_INFO_SCSV] Причем, когда мы шлем запрос другому серверу, получаем Cached client session: [Session-4, TLS_CIPHER_2012] и все работает нормально а от protected.atsenergo.ru видим Client cached [Session-2, TLS_CIPHER_2001] и все ломается с ошибкой 403, "серийный номер не найден"


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Евгений Афанасьев		#2 Оставлено : 25 декабря 2018 г. 14:33:44(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 690 раз в 651 постах		Здравствуйте. 1. На всякий случай попробуйте при проверке использовать IE или csptest, так как с Chrome/Firefox могут быть сложности. 2. В логе не передан сертификат клиента, Certificate message пуст. Это возможно, если: А) нет подходящих сертификатов, потому что тип контейнера и пароль к нему для поиска были указаны не верно; Б) тип и пароль были указаны, но в контейнере нет сертификата или его срок истек; В) сертификаты найдены, но их издатель не входит в список, присланный сервером (не походит алгоритм - не ГОСТ 2001, или не подходит имя): Код: 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - *** CertificateRequest Cert Types: Type-21, Type-22 Cert Authorities: <CN=УЦ ОАО АТС, OU=УЦ, O=ОАО АТС, L=Москва, C=RU, T=Уполномоченное лицо, EMAILADDRESS=atsca@atsenergo.ru> <CN=АО АТС root, O=АО АТС, STREET=Краснопресненская набережная 12, L=г. Москва, ST=77 г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN="АО \"АТС\"", O="АО \"АТС\"", OU=УЦ, STREET=" Краснопресненская наб.12 подъезд 7 этаж 8", L=Москва, ST=77 г.Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=Головной удостоверяющий центр, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="125375 г. Москва, ул. Тверская, д. 7", L=Москва, ST=77 г. Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru> <CN="АО \"АТС\"", OU=УЦ, O="АО \"АТС\"", L=Москва, ST=77 г.Москва, C=RU, EMAILADDRESS=atsca@rosenergo.com, STREET=Краснопресненская наб.12 подъезд 7 этаж 8, T=Уполномоченное Лицо, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=УЦ ОАО АТС, OU=УЦ, O=ОАО АТС, L=Москва, ST=77 г.Москва, C=RU, EMAILADDRESS=atsca@rosenergo.com, STREET=Краснопресненская наб.12 подъезд 7 этаж 8, T=Уполномоченное Лицо, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru> Г) он входит в список, но у него нет в составе использования ключа "клиентская аутентификация". Так как нет части лога, где происходит отбор контейнера, а только CertificateRequest, то предположу, что издатель клиента не подходит. Если цепочка клиента длинная (>2 сертификатов), то в контейнер надо установить всю цепочку, а не только клиентский сертификат (чтобы один из издателей подошел. Возможно, ваш издатель - Головной удостоверяющий центр). Отредактировано пользователем 25 декабря 2018 г. 14:34:26(UTC) \| Причина: Не указана
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK

2 пользователей поблагодарили Евгений Афанасьев за этот пост.		what_is_it@inbox.ru оставлено 15.01.2019(UTC), what_the оставлено 06.02.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

what_is_it@inbox.ru		#3 Оставлено : 26 декабря 2018 г. 19:10:05(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 27.02.2013(UTC) Сообщений: 38 Откуда: Москва Сказал(а) «Спасибо»: 14 раз Поблагодарили: 11 раз в 9 постах		А) Тип контейнера и пароль к нему всем серверам передается одинаково, но проблема только с одним сервером Б) Сертификат в контейнере есть и его срок истекает в 2023 году В) Издатель сертификата ключа: CN="АО \"АТС\"", O="АО \"АТС\"", OU=УЦ, STREET=" Краснопресненская наб.12 подъезд 7 этаж 8", L=Москва, ST=77 г.Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530 есть в списке, присланном сервером Г) Key Usage: Digital Signature Non Repudiation Key Encipherment Data Encipherment это значит, что "клиентская аутентификация" отсутствует? Что нам делать в этом случае? А как на другом сервере работает тогда, если она необходима? Сертификат без цепочки. Как добыть часть лога, где происходит отбор контейнера? Вот лог от другого сервера, где все работает благополучно лог с brso


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

two_oceans		#4 Оставлено : 27 декабря 2018 г. 7:22:58(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах		Автор: what_is_it@inbox.ru это значит, что "клиентская аутентификация" отсутствует? Что нам делать в этом случае? Нет, по перечисленному судить невозможно. "клиентская аутентификация" смотрится в поле "Улучшенный ключ" (оно же "расширенное использование ключа" оно же "Extended Key Usage"), там должен быть текст вроде "Проверка подлинности клиента" (или "Аутентификация клиента") или оид 1.3.6.1.5.5.7.3.2 Разночтения в тексте зависят от способа просмотра сертификата так как такого текста в самом сертификате нет, только оид и программа просмотра показывает текст по своему вкусу. Насчет сертификата в контенере со сроком более 5 лет - могут быть проблемы с истечением срока использования закрытого ключа в контейнере. Обычно решается: либо 1) пересозданием контейнера (экспорт в pfx, установка pfx)- в этом случае срок станет дата пересоздания + примерно 1 год 3 месяца либо 2) стиранием расширения срока действия из контейнера - если в самом сертификате указано аналогичное расширение "Период действия закрытого ключа", то срок будет считаться по сертификату, если не указано то срок станет 1 год 3 месяца с момента выпуска сертификата, то есть придется перейти к варианту 1.

2 пользователей поблагодарили two_oceans за этот пост.		what_is_it@inbox.ru оставлено 15.01.2019(UTC), what_the оставлено 06.02.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

what_is_it@inbox.ru		#5 Оставлено : 27 декабря 2018 г. 15:57:22(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 27.02.2013(UTC) Сообщений: 38 Откуда: Москва Сказал(а) «Спасибо»: 14 раз Поблагодарили: 11 раз в 9 постах		Client Authentication (1.3.6.1.5.5.7.3.2) у сертификата есть и выпущен он недавно (в пределах одного-двух месяцев)

1 пользователь поблагодарил what_is_it@inbox.ru за этот пост.		what_the оставлено 06.02.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#6 Оставлено : 27 декабря 2018 г. 22:58:49(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 690 раз в 651 постах		Сравните логи (крутите вправо, там есть стрелки с описанием): "плохой" - Код: Cipher Suite: TLS_CIPHER_2001 <------- только ГОСТ 2001 Cert Types: Type-21, Type-22 <------- только ГОСТ 2001 Cert Authorities: <CN=УЦ ОАО АТС, OU=УЦ, O=ОАО АТС, L=Москва, C=RU, T=Уполномоченное лицо, EMAILADDRESS=atsca@atsenergo.ru> <CN=АО АТС root, O=АО АТС, STREET=Краснопресненская набережная 12, L=г. Москва, ST=77 г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN="АО \"АТС\"", O="АО \"АТС\"", OU=УЦ, STREET=" Краснопресненская наб.12 подъезд 7 этаж 8", L=Москва, ST=77 г.Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=Головной удостоверяющий центр, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="125375 г. Москва, ул. Тверская, д. 7", L=Москва, ST=77 г. Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru> <CN="АО \"АТС\"", OU=УЦ, O="АО \"АТС\"", L=Москва, ST=77 г.Москва, C=RU, EMAILADDRESS=atsca@rosenergo.com, STREET=Краснопресненская наб.12 подъезд 7 этаж 8, T=Уполномоченное Лицо, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=УЦ ОАО АТС, OU=УЦ, O=ОАО АТС, L=Москва, ST=77 г.Москва, C=RU, EMAILADDRESS=atsca@rosenergo.com, STREET=Краснопресненская наб.12 подъезд 7 этаж 8, T=Уполномоченное Лицо, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru> 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - * ServerHelloDone 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - Certificate request received. 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - Search for client containers with GOST algorithms. <------- только ГОСТ 2001 ищем 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - Search for client containers with type: GOST3410EL 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - %% getting aliases for Client 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - %% check public key algorithm 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.error - %% No alias is match <------- не нашли 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - Containers not found. 2018-12-24 16:20:46 r.C.JCP.tools.logger.BasicLogger.trace - No appropriate cert was found. И хороший - Код: Cipher Suite: TLS_CIPHER_2012 <------- и ГОСТ 2001, и ГОСТ 2012 Cert Types: Type-22, Type-238, Type-239 <------- и ГОСТ 2001, и ГОСТ 2012 Cert Authorities: <CN=АО АТС root, O=АО АТС, STREET=Краснопресненская набережная 12, L=г. Москва, ST=77 г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=УЦ ОАО АТС, OU=УЦ, O=ОАО АТС, L=Москва, C=RU, T=Уполномоченное лицо, EMAILADDRESS=atsca@atsenergo.ru> <CN=System Operator GOST Root CA, O=System Operator of the Unified Energy System, C=RU> <CN=System Operator RSA Root CA, O=System Operator of the Unified Energy System, C=RU> <CN=System Operator GOST CP CA, O=System Operator of the Unified Energy System, C=RU> <CN="АО \"АТС\"", OU=УЦ, O="АО \"АТС\"", L=Москва, ST=77 г.Москва, C=RU, EMAILADDRESS=atsca@rosenergo.com, STREET=Краснопресненская наб.12 подъезд 7 этаж 8, T=Уполномоченное Лицо, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=Microsoft Root Certificate Authority, DC=microsoft, DC=com> <CN="АО \"АТС\"", O="АО \"АТС\"", OU=УЦ, STREET=" Краснопресненская наб.12 подъезд 7 этаж 8", L=Москва, ST=77 г.Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=УЦ ОАО АТС, OU=УЦ, O=ОАО АТС, L=Москва, ST=77 г.Москва, C=RU, EMAILADDRESS=atsca@rosenergo.com, STREET=Краснопресненская наб.12 подъезд 7 этаж 8, T=Уполномоченное Лицо, OID.1.2.643.3.131.1.1=#120C303037373033363531373932, OID.1.2.643.100.1=#120D31303737373633383138343530> <CN=Microsoft Root Authority, OU=Microsoft Corporation, OU=Copyright (c) 1997 Microsoft Corp.> <CN=System Operator RSA CP CA, O=System Operator of the Unified Energy System, C=RU> <CN=Головной удостоверяющий центр, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="125375 г. Москва, ул. Тверская, д. 7", L=Москва, ST=77 г. Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru> <CN=VeriSign Class 3 Public Primary Certification Authority - G5, OU="(c) 2006 VeriSign, Inc. - For authorized use only", OU=VeriSign Trust Network, O="VeriSign, Inc.", C=US> <CN=Минкомсвязь России, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, ST=77 Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru> <CN=Microsoft Root Certificate Authority 2010, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US> <CN=Тестовый УЦ20 АО АТС, O=АО АТС, OU=ДПОИТ, STREET=Краснопресненская наб. 12, L=Москва, ST=77 г.Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303030303030303030303030, OID.1.2.643.100.1=#120D30303030303030303030303030> <CN=GeoTrust Global CA, O=GeoTrust Inc., C=US> <CN=Baltimore CyberTrust Root, OU=CyberTrust, O=Baltimore, C=IE> <CN=GlobalSign Root CA, OU=Root CA, O=GlobalSign nv-sa, C=BE> <CN=GTE CyberTrust Global Root, OU="GTE CyberTrust Solutions, Inc.", O=GTE Corporation, C=US> <CN=Microsoft Root Certificate Authority 2011, O=Microsoft Corporation, L=Redmond, ST=Washington, C=US> <OU=Class 3 Public Primary Certification Authority, O="VeriSign, Inc.", C=US> <CN=DigiCert High Assurance EV Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US> <EMAILADDRESS=info@globaltrust.info, CN=GLOBALTRUST, OU=GLOBALTRUST Certification Service, O=ARGE DATEN - Austrian Society for Data Protection, ST=Austria, L=Vienna, C=AT> <CN=DigiCert Assured ID Root CA, OU=www.digicert.com, O=DigiCert Inc, C=US> 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - * ServerHelloDone 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Certificate request received. 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Search for client containers with GOST algorithms. 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Search for client containers with type: GOST3410_2012_512 <------- ГОСТ 2012 (512) 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - %% getting aliases for Client 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - %% check public key algorithm 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.error - %% No alias is match <------- ГОСТ 2012 (512) - нет контейнера 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Containers not found. 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Search for client containers with type: GOST3410_2012_256 <------- ГОСТ 2012 (256) 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - %% getting aliases for Client 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - %% check public key algorithm <------- ГОСТ 2012 (256) - что-то есть... 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - %% check extended key usage (size: 14) 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - %% check extended key usage of Client 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - matching alias: 3144f61b-b6b3-4794-9ace-23bda877ad0f 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Check private key: 3144f61b-b6b3-4794-9ace-23bda877ad0f 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Certificate chain 3144f61b-b6b3-4794-9ace-23bda877ad0f found. Check if DH available... 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Private key 3144f61b-b6b3-4794-9ace-23bda877ad0f is available. Test key... 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.subTrace - 3144f61b-b6b3-4794-9ace-23bda877ad0f : private key checked (JCP). 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - tls_client_fixed_DH state not allowed. Use cached key 3144f61b-b6b3-4794-9ace-23bda877ad0f 2018-12-24 16:14:00 r.C.JCP.tools.logger.BasicLogger.trace - Use cached key and certificate with alias 3144f61b-b6b3-4794-9ace-23bda877ad0f <------- ГОСТ 2012 (256) - нашли Вывод: контейнер 3144f61b-b6b3-4794-9ace-23bda877ad0f, который у вас есть, на алгоритме ГОСТ 2012 (256). Использоваться для TLS_CIPHER_2001 он не может. Поэтому в первом случае он не выбирается, а во втором (TLS_CIPHER_2012) - работает (там сервер поддерживает ГОСТ 2012). Отредактировано пользователем 27 декабря 2018 г. 23:00:13(UTC) \| Причина: Не указана
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK

2 пользователей поблагодарили Евгений Афанасьев за этот пост.		what_is_it@inbox.ru оставлено 15.01.2019(UTC), what_the оставлено 06.02.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

what_is_it@inbox.ru		#7 Оставлено : 9 января 2019 г. 10:39:12(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 27.02.2013(UTC) Сообщений: 38 Откуда: Москва Сказал(а) «Спасибо»: 14 раз Поблагодарили: 11 раз в 9 постах		А как получается, что он работает через IE? Если открывать ссылку https://protected.atsene...20181201&id=19207665 через IE с нашим ключем, ошибки не возникает и нам возвращается то, что мы ждем Что такого делает IE, чего не делает наше клиентское приложение, Firefox, Chrome и т.д.?

1 пользователь поблагодарил what_is_it@inbox.ru за этот пост.		what_the оставлено 06.02.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#8 Оставлено : 9 января 2019 г. 11:49:55(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 690 раз в 651 постах		Автор: what_is_it@inbox.ru А как получается, что он работает через IE? Если открывать ссылку https://protected.atsene...20181201&id=19207665 через IE с нашим ключем, ошибки не возникает и нам возвращается то, что мы ждем Что такого делает IE, чего не делает наше клиентское приложение, Firefox, Chrome и т.д.? Могут быть различные нюансы. Допустим, в IE задано использование TLS v.1.1 и TLS v.1.2, при этом TLS v.1.0 запрещен, а сервер содержит TLS_CIPHER_2012 только в TLS v.1.1 и выше, а в TLS v.1.0 (как в java-клиенте) шлет TLS_CIPHER_2001 (это маловероятно, но все возможно). Может, у вас имеется подходящий ключ ГОСТ 2001, который установлен в My и виден IE и тот его выбирает, когда сервер шлет CertificateRequest с CertType: 22. IE работает с CSP, и его работа может отличаться от работы java приложения.
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK

2 пользователей поблагодарили Евгений Афанасьев за этот пост.		what_is_it@inbox.ru оставлено 15.01.2019(UTC), what_the оставлено 06.02.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

what_is_it@inbox.ru		#9 Оставлено : 13 января 2019 г. 17:35:23(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 27.02.2013(UTC) Сообщений: 38 Откуда: Москва Сказал(а) «Спасибо»: 14 раз Поблагодарили: 11 раз в 9 постах		Таким образом, наши рутокены на алгоритме ГОСТ 2012 (256) в настоящее время не могут работать с сервером https://protected.atsenergo.ru:443, т.к. у него TLS_CIPHER_2001. Тогда что нам делать? В JCP есть средства, способные помочь нам работать с этим сервером с такими ключами?

1 пользователь поблагодарил what_is_it@inbox.ru за этот пост.		what_the оставлено 06.02.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#10 Оставлено : 14 января 2019 г. 10:04:53(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,924 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз Поблагодарили: 690 раз в 651 постах		Клиент отправляет список из сайферсюит: TLS_CIPHER_2012 (ГОСТ 2001, ГОСТ 2012) и TLS_CIPHER_2001 (ГОСТ 2001). Сервер выбирает из списка только TLS_CIPHER_2001. Ваш контейнер на алгоритме ГОСТ 2012 (256), то есть использоваться в этом случае не может (нужен ГОСТ 2001). Нужны либо изменения на стороне сервера, либо выпуск контейнера на алгоритме ГОСТ 2001 (чтобы в случае TLS_CIPHER_2001 был выбран он).
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK

2 пользователей поблагодарили Евгений Афанасьев за этот пост.		what_is_it@inbox.ru оставлено 15.01.2019(UTC), what_the оставлено 06.02.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

3 Страницы12 3 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close