logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline rmussalimov  
#1 Оставлено : 28 ноября 2019 г. 20:25:58(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Добрый день

Установил JCP, создал хранилище сертификатов, поставил 2 нужных серта сервера к которому подключаюсь (ГОСТ TLS)

Инициализирую хранилище следующим образом и пытаюсь обратиться к ресурсу

Цитата:
public static void main(String [] args) throws ClientProtocolException, IOException, NoSuchAlgorithmException
{

System.setProperty("javax.net.ssl.trustStoreType", "HDImageStore");
System.setProperty("javax.net.ssl.trustStore", "C:\\Users\\DNS\\Documents\\myTrustStore.store");
System.setProperty("javax.net.ssl.trustStorePassword", "123456");

URL url = new URL("https://lk.egrz.ru");
InputStream openStream = url.openStream();
openStream.close();

}


Однако, получаю исключение:


Цитата:
WARNING: main, handling exception: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching lk.egrz.ru found
Exception in thread "main" javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching lk.egrz.ru found
at ru.CryptoPro.ssl.cl_2.a(Unknown Source)
at ru.CryptoPro.ssl.cl_97.a(Unknown Source)
at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
at ru.CryptoPro.ssl.cl_15.a(Unknown Source)
at ru.CryptoPro.ssl.cl_15.a(Unknown Source)
at ru.CryptoPro.ssl.cl_58.u(Unknown Source)
at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
at ru.CryptoPro.ssl.cl_97.a(Unknown Source)
at ru.CryptoPro.ssl.cl_97.n(Unknown Source)
at ru.CryptoPro.ssl.cl_97.b(Unknown Source)
at ru.CryptoPro.ssl.cl_97.startHandshake(Unknown Source)
at sun.net.www.protocol.https.HttpsClient.afterConnect(Unknown Source)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(Unknown Source)
at java.net.URL.openStream(Unknown Source)
at ru.lanit.egrz.requestprocessors.Test.main(Test.java:30)
Caused by: java.security.cert.CertificateException: No name matching lk.egrz.ru found
at ru.CryptoPro.ssl.util.cl_10.c(Unknown Source)
at ru.CryptoPro.ssl.util.cl_10.a(Unknown Source)
at ru.CryptoPro.ssl.cl_125.a(Unknown Source)
at ru.CryptoPro.ssl.cl_125.a(Unknown Source)
at ru.CryptoPro.ssl.cl_125.checkServerTrusted(Unknown Source)
... 15 more


Ошибку загуглил - написано, что адрес сервера и CN сертификата должны совпадать

И это действительно так

photo_2019-11-28_22-18-12.jpg (63kb) загружен 16 раз(а).

Не знаю в чем проблема - на стаке предложили обходное решение - добавить строчку:

Цитата:
HttpsURLConnection.setDefaultHostnameVerifier ((hostname, session) -> true);


Но тогда выдает:

Цитата:
WARNING: main, handling exception: javax.net.ssl.SSLHandshakeException: ru.CryptoPro.ssl.pc_4.cl_5: PKIX path building failed: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target
Exception in thread "main" javax.net.ssl.SSLHandshakeException: ru.CryptoPro.ssl.pc_4.cl_5: PKIX path building failed: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target
at ru.CryptoPro.ssl.cl_2.a(Unknown Source)
at ru.CryptoPro.ssl.cl_97.a(Unknown Source)
at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
at ru.CryptoPro.ssl.cl_15.a(Unknown Source)
at ru.CryptoPro.ssl.cl_15.a(Unknown Source)
at ru.CryptoPro.ssl.cl_58.u(Unknown Source)
at ru.CryptoPro.ssl.cl_58.a(Unknown Source)
at ru.CryptoPro.ssl.cl_97.a(Unknown Source)
at ru.CryptoPro.ssl.cl_97.n(Unknown Source)
at ru.CryptoPro.ssl.cl_97.b(Unknown Source)
at ru.CryptoPro.ssl.cl_97.startHandshake(Unknown Source)
at sun.net.www.protocol.https.HttpsClient.afterConnect(Unknown Source)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream0(Unknown Source)
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(Unknown Source)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(Unknown Source)
at java.net.URL.openStream(Unknown Source)
at ru.lanit.egrz.requestprocessors.Test.main(Test.java:30)
Caused by: ru.CryptoPro.ssl.pc_4.cl_5: PKIX path building failed: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target
at ru.CryptoPro.ssl.pc_4.cl_2.a(Unknown Source)
at ru.CryptoPro.ssl.pc_4.cl_2.a(Unknown Source)
at ru.CryptoPro.ssl.pc_4.cl_4.b(Unknown Source)
at ru.CryptoPro.ssl.cl_125.a(Unknown Source)
at ru.CryptoPro.ssl.cl_125.a(Unknown Source)
at ru.CryptoPro.ssl.cl_125.checkServerTrusted(Unknown Source)
... 15 more
Caused by: ru.CryptoPro.reprov.certpath.JCPCertPathBuilderException: unable to find valid certification path to requested target
at ru.CryptoPro.reprov.certpath.SunCertPathBuilder.engineBuild(Unknown Source)
at ru.CryptoPro.reprov.CPCertPathBuilder.engineBuild(Unknown Source)
at java.security.cert.CertPathBuilder.build(Unknown Source)
... 21 more


Дело точно в сертификатах? Установив данные сертификаты в Windows хранилище (без какого-либо криптопровайдера), могу зайти на сайт через IE. Стоило установить какой-либо криптопродукт, так сразу сертификаты недействительными становятся.

В чем дело?

Сертификаты приложить не могу

Отредактировано пользователем 28 ноября 2019 г. 20:31:20(UTC)  | Причина: Не указана

Online Евгений Афанасьев  
#2 Оставлено : 29 ноября 2019 г. 19:52:42(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
Добрый день.
Возможны варианты проверки имени сервера: по cn или alternative name (корректно закодированное ip или имя хоста). Попробуйте включить логирование для JCPLogger с уровнем ALL, как описано в инструкции на портале тех поддержки, в лог будет выведен сертификат в base64, приложите его сюда (лог или только сертификат из лога).
Техническую поддержку оказываем тут
Наша база знаний
Offline rmussalimov  
#3 Оставлено : 29 ноября 2019 г. 21:19:07(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Автор: Евгений Афанасьев Перейти к цитате
Добрый день.
Возможны варианты проверки имени сервера: по cn или alternative name (корректно закодированное ip или имя хоста). Попробуйте включить логирование для JCPLogger с уровнем ALL, как описано в инструкции на портале тех поддержки, в лог будет выведен сертификат в base64, приложите его сюда (лог или только сертификат из лога).


Здравствуйте!

Прикладываю log.txt (37kb) загружен 3 раз(а).
Online Евгений Афанасьев  
#4 Оставлено : 29 ноября 2019 г. 21:30:46(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
Версия JCP последняя с сайта? 2.0.40424? Точно ALL уровень у ConsoleHandler и JCPLogger?
Техническую поддержку оказываем тут
Наша база знаний
Offline rmussalimov  
#5 Оставлено : 29 ноября 2019 г. 22:04:31(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Автор: Евгений Афанасьев Перейти к цитате
Версия JCP последняя с сайта? 2.0.40424? Точно ALL уровень у ConsoleHandler и JCPLogger?


Версия - jcp-2.0.40035

Да, должно быть ALL

photo_2019-11-30_00-02-18.jpg (97kb) загружен 5 раз(а).
Offline rmussalimov  
#6 Оставлено : 30 ноября 2019 г. 13:00:11(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Выставил ALL у .level

logall.txt (47kb) загружен 5 раз(а).
Online Евгений Афанасьев  
#7 Оставлено : 30 ноября 2019 г. 13:08:22(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
Тела серверного сертификата в логах нет, видимо, до построения цепочки не доходит, но серверный сертификат в конце лога отображается, как:
Код:

FINE: *** Certificate message
chain [0] = [
[
  Version: V1
  Subject: CN=10.167.6.220, OU=Proxy, O=TLS, C=RU <---------- самоподписанный?
  Signature Algorithm: 1.2.643.2.2.3, OID = 1.2.643.2.2.3

  Key:  ru.CryptoPro.JCP.Key.GostPublicKey
  Validity: [From: Sat Dec 09 23:13:33 YEKT 2017,
               To: Mon Jan 08 23:13:33 YEKT 2018]
  Issuer: CN=10.167.6.220, OU=Proxy, O=TLS, C=RU <---------- самоподписанный?
  SerialNumber: [    ecdb2779 301876f9]

]
  Algorithm: [1.2.643.2.2.3]
  Signature:
0000: 7A 99 B3 9F 26 6D B7 B9   CE D4 49 CD DC D7 45 2A  z...&m....I...E*
0010: F1 F5 6C 06 9D BF 13 62   B7 F1 6C 59 B7 87 4A B4  ..l....b..lY..J.
0020: A6 51 23 73 56 CD 2A F8   38 8B 36 CC A7 4F FC 0C  .Q#sV.*.8.6..O..
0030: D7 88 12 BD 68 26 8B F3   9A 88 F3 AF 71 08 F1 A8  ....h&......q...
]

Сертификат небольшой (содержит мало сведений), выглядит, как самоподписанный, CN=10.167.6.220 не совпадает с lk.egrz.ru, подозреваю, что alternative name с lk.egrz.ru нет, оттого и ошибка.
Возможно, нужна поддержка SNI, но ее пока нет в JTLS для передачи имени хоста в SNI.

Отредактировано пользователем 30 ноября 2019 г. 13:10:35(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline rmussalimov  
#8 Оставлено : 30 ноября 2019 г. 13:18:10(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Автор: Евгений Афанасьев Перейти к цитате
Тела серверного сертификата в логах нет, видимо, до построения цепочки не доходит, но серверный сертификат в конце лога отображается, как:
Код:

FINE: *** Certificate message
chain [0] = [
[
  Version: V1
  Subject: CN=10.167.6.220, OU=Proxy, O=TLS, C=RU <---------- самоподписанный?
  Signature Algorithm: 1.2.643.2.2.3, OID = 1.2.643.2.2.3

  Key:  ru.CryptoPro.JCP.Key.GostPublicKey
  Validity: [From: Sat Dec 09 23:13:33 YEKT 2017,
               To: Mon Jan 08 23:13:33 YEKT 2018]
  Issuer: CN=10.167.6.220, OU=Proxy, O=TLS, C=RU <---------- самоподписанный?
  SerialNumber: [    ecdb2779 301876f9]

]
  Algorithm: [1.2.643.2.2.3]
  Signature:
0000: 7A 99 B3 9F 26 6D B7 B9   CE D4 49 CD DC D7 45 2A  z...&m....I...E*
0010: F1 F5 6C 06 9D BF 13 62   B7 F1 6C 59 B7 87 4A B4  ..l....b..lY..J.
0020: A6 51 23 73 56 CD 2A F8   38 8B 36 CC A7 4F FC 0C  .Q#sV.*.8.6..O..
0030: D7 88 12 BD 68 26 8B F3   9A 88 F3 AF 71 08 F1 A8  ....h&......q...
]

Сертификат небольшой (содержит мало сведений), выглядит, как самоподписанный, CN=10.167.6.220 не совпадает с lk.egrz.ru, подозреваю, что alternative name с lk.egrz.ru нет, оттого и ошибка.
Возможно, нужна поддержка SNI, но ее пока нет в JTLS для передачи имени хоста в SNI.



С раскомментированной строчкой

Цитата:
HttpsURLConnection.setDefaultHostnameVerifier ((hostname, session) -> true);


Выдает следующее

logalluncommented.txt (52kb) загружен 2 раз(а).

Что это вообще за сертификат и как он туда попал?
Online Евгений Афанасьев  
#9 Оставлено : 30 ноября 2019 г. 14:03:13(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
С помощью этой строки вы отключаете проверку хоста и сертификата, происходит попытка построения цепочки, серверный сертификат теперь виден в логе в виде base64, его можно сохранить в файл отдельно, построение падает, т. к. цепочка состоит из одного сертификата, самоподписанного недоверенного (и его нет в trust store).
Откуда берётся - надо уточнять у стороны, к которой подключаетесь.
Предполагаю, что надо при подключении передавать имя хоста в расширении SNI (server name identification) , но этот функционал пока не поддерживается.

Отредактировано пользователем 30 ноября 2019 г. 14:05:53(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline rmussalimov  
#10 Оставлено : 30 ноября 2019 г. 14:15:34(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Автор: Евгений Афанасьев Перейти к цитате
С помощью этой строки вы отключаете проверку хоста и сертификата, происходит попытка построения цепочки, серверный сертификат теперь виден в логе в виде base64, его можно сохранить в файл отдельно, построение падает, т. к. цепочка состоит из одного сертификата, самоподписанного недоверенного (и его нет в trust store).
Откуда берётся - надо уточнять у стороны, к которой подключаетесь.
Предполагаю, что надо при подключении передавать имя хоста в расширении SNI (server name identification) , но этот функционал пока не поддерживается.


То есть со стороны КриптоПро проблем нет? Когда получаем ServerHello, наполовину успех достигнут? Потом принимается сертификат сервера и по идее он должен быть в хранилище клиента? Он вообще какой-то странный, просроченный, а CN (подозреваю, что это IP) вообще из США.

photo_2019-11-30_14-30-01.jpg (23kb) загружен 6 раз(а).

Ипмортировать его в КриптоПро JCP не могу (он вообще косячный, там даже открытый ключ - 0 bits, алгоритмы, хэш - null)

photo_2019-11-30_16-18-14.jpg (53kb) загружен 13 раз(а).

Отредактировано пользователем 30 ноября 2019 г. 14:21:48(UTC)  | Причина: Не указана

Online Евгений Афанасьев  
#11 Оставлено : 30 ноября 2019 г. 14:24:46(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
Запросите лучше информацию в egrz.ru, наверняка у них есть инструкции.
На счет панели: JCP не поддерживает работу с не-ГОСТ алгоритмами, и не распознает их.

Отредактировано пользователем 30 ноября 2019 г. 14:57:30(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline rmussalimov  
#12 Оставлено : 4 декабря 2019 г. 13:33:36(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Автор: Евгений Афанасьев Перейти к цитате
Запросите лучше информацию в egrz.ru, наверняка у них есть инструкции.
На счет панели: JCP не поддерживает работу с не-ГОСТ алгоритмами, и не распознает их.


Кажется, мы начинаем понимать

Сообщение с форума:

Цитата:
Ранее было опробовано решение с JCP от Крипто-про. Однако в этом случае при отправке запроса на открытие защищенного соединения TLS, сервер отвечает не тем сертификатом, который мы ожидаем получить для проверки(lk.egrz.ru), в итоге handshake не происходит, а происходит обрыв соединения. Возможно, нам отвечает сервер, обрабатывающий начальный запрос и распределяющий запросы до конечных точек и высылает свой собственный сертификат.


Можно пропустить сервер с неправильным сертификатом как-то и сразу получить серт конечной точки?
Online Евгений Афанасьев  
#13 Оставлено : 4 декабря 2019 г. 15:41:53(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
Автор: Евгений Афанасьев Перейти к цитате
Предполагаю, что надо при подключении передавать имя хоста в расширении SNI (server name indication) , но этот функционал пока не поддерживается.

Отредактировано пользователем 4 декабря 2019 г. 18:36:48(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#14 Оставлено : 5 декабря 2019 г. 5:36:11(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 786
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 49 раз
Поблагодарили: 168 раз в 158 постах
Цитата:
Он вообще какой-то странный, просроченный, а CN (подозреваю, что это IP) вообще из США.
IP 10.x.x.x не принадлежит какой-то стране, а зарезервирован для частных сетей очень большого размера. Это в частности означает, что: 1) сертификаты TLS интернета не выдаются доверенными зарубежными УЦ на адреса частных сетей, бывают только самодельные сертификаты - самоподписанные или ведомственного УЦ; 2) многие отечественные федеральные госучреждения используют этот диапазон IP для связи с сетями подразделений: очень удобно назначить второй октет на код региона (100+код региона на областное подразделение, 200+ на центральный аппарат), третий октет на код города/района/отдела. Очень часто диапазон используется в сетях випнета для виртуальной адресации.
Автор: rmussalimov Перейти к цитате
Автор: Евгений Афанасьев Перейти к цитате
Запросите лучше информацию в egrz.ru, наверняка у них есть инструкции.
На счет панели: JCP не поддерживает работу с не-ГОСТ алгоритмами, и не распознает их.
Кажется, мы начинаем понимать
Тем не менее выше вернулся просроченный сертификат с алгоритмом гост-2001, так что дело не в алгоритме. Проблематично что он V1, то есть без поддержки (всех или почти всех) расширений. Subject Alternative Name - это как раз расширение и его невозможно передать в таком сертификате, как и кучу других данных.
Автор: rmussalimov Перейти к цитате
Можно пропустить сервер с неправильным сертификатом как-то и сразу получить серт конечной точки?
Вот это правильное направление. Более точно это зависит от схемы сети ведомства и обычно внутренняя сеть защищена, обойти шлюз не получится. Придется через SNI пробовать.

Отредактировано пользователем 5 декабря 2019 г. 6:04:21(UTC)  | Причина: Не указана

thanks 2 пользователей поблагодарили two_oceans за этот пост.
rmussalimov оставлено 07.12.2019(UTC), Евгений Афанасьев оставлено 07.12.2019(UTC)
Offline rmussalimov  
#15 Оставлено : 7 декабря 2019 г. 18:35:12(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Спасибо большое за разъяснение.

Удалось импортнуть сертификат, возвращаемый сервером (надо было добавить BEGIN/END CERTIFICATE).

Теперь вроде как доходим до ServerHelloDone

Лог прилагаю, надеюсь, кто-то сможет сказать в чем сейчас ошибка, ошибка теперь очень общая:

logImportedCert.txt (87kb) загружен 7 раз(а).

Надеюсь на помощь и заранее спасибо
Online Евгений Афанасьев  
#16 Оставлено : 9 декабря 2019 г. 12:33:35(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
В логе есть список сертификатов, которым доверяет сервер:
Код:

Cert Types: Type-22
Cert Authorities:
<CN=CRYPTO-PRO Test Center 2, O=CRYPTO-PRO LLC, L=Moscow, C=RU, EMAILADDRESS=support@cryptopro.ru>
<CN=УЦ ИИТ (НК1), O=ОАО «ИнфоТеКС Интернет Траст», L=Москва, ST=77 г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373433303230353630, OID.1.2.643.100.1=#120D31303237373339313133303439, STREET="Старый Петровско-Разумовский проезд, д. 1/23, стр. 1", EMAILADDRESS=SupportIIT@infotecs.ru>
<CN="ООО \"ТРАСТ СЕРВИСЫ\"", O="ООО \"ТРАСТ СЕРВИСЫ\"", EMAILADDRESS=uc@trust-s.ru, ST=77 г. Москва, L=Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373134393431353432, STREET="Старый Петровско – Разумовский проезд, д. 1/23, стр. 1", OID.1.2.643.100.1=#120D31313437373436383733313431>
<CN=Головной удостоверяющий центр, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="125375 г. Москва, ул. Тверская, д. 7", L=Москва, ST=77 г. Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru>
<CN="ОАО \"ИИТ\"", O="Открытое Акционерное Общество \"ИнфоТеКС Интернет Траст\"", EMAILADDRESS=SupportIIT@infotecs.ru, ST=77 г. Москва, L=Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373433303230353630, STREET="Старый Петровско-Разумовский проезд, д. 1/23, стр. 1", OID.1.2.643.100.1=#120D31303237373339313133303439>
<CN=CA INFOSEC 2001, O=АО НИП ИНФОРМЗАЩИТА, STREET="Театральная аллея, д.3, стр. 1", L=Москва, ST=г. Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303037373032313438343130, OID.1.2.643.100.1=#120D31303237373339323530333138>

Корневой сертификат цепочки сертификатов клиента должен быть входить в этот список.
Если в вашем ключевом контейнере только 1 сертификат, то нужно установить всю цепочку до корневого, который может попасть в этот список, потому что клиентский наврняка издан каким-нибудь промежуточным, которого в этом списке нет.
И другие причины: нет использования ключа "клиентская аутентификация", просрочен сертификат и т.п.
Техническую поддержку оказываем тут
Наша база знаний
Offline rmussalimov  
#17 Оставлено : 10 декабря 2019 г. 20:23:52(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Спасибо, добавили сертификаты, теперь лог и ошибка следующая. Надеюсь, что поможет

logfinalfull.txt (79kb) загружен 1 раз(а).

Update:

А, нет, ничего не изменилось, можно не смотреть

Отредактировано пользователем 10 декабря 2019 г. 20:52:18(UTC)  | Причина: Не указана

Offline rmussalimov  
#18 Оставлено : 10 декабря 2019 г. 20:57:18(UTC)
rmussalimov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 48

Сказал(а) «Спасибо»: 4 раз
Евгений, можете, пожалуйста, приложить эталонный лог? То есть когда соединение успешно устанавливается

Конечно, проблема не в JCP, а в настройке их сервера, но просто интересно
Online Евгений Афанасьев  
#19 Оставлено : 10 декабря 2019 г. 21:00:20(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
По-прежнему
Код:

FINE: Search for client containers with GOST algorithms.
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_15 a
FINE: Search for client containers with type:  GOST3410EL
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% getting aliases for Client
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_38 a
WARNING: %% No alias is match
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_15 a
FINE: Containers not found.
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_15 a
FINE: No appropriate cert was found.
дек 10, 2019 10:14:33 PM ru.CryptoPro.ssl.cl_42 f
FINE: *** Certificate message
***


Не найден подходящий сертификат.
Причины:
нет вообще ни одного контейнера, чтобы выбрать - например, был задан неправильный пароль, или у данного пользователя нет в папке ни одного контейнера
просрочен сертификат в контейнере
сертификат найден, но у сертификата алгоритм не ГОСТ 2001, как присылает сервер, а ГОСТ 2012 (при этом jcp достаточно старый)
сертификат найден, но в сертификате нет политики "клиентская аутентификация"
сертификат найден, но его издатель (или издатель каждого сертификата в цепочке) не входит в список, присланный сервером - нужно установить всю цепочку сертификатов в ключевой контейнер клиента
Техническую поддержку оказываем тут
Наша база знаний
Online Евгений Афанасьев  
#20 Оставлено : 10 декабря 2019 г. 21:01:15(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 2,892
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 14 раз
Поблагодарили: 428 раз в 419 постах
Автор: rmussalimov Перейти к цитате
Евгений, можете, пожалуйста, приложить эталонный лог? То есть когда соединение успешно устанавливается
Конечно, проблема не в JCP, а в настройке их сервера, но просто интересно

Постараюсь приложить.

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.