Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline StaniNeuer  
#1 Оставлено : 25 декабря 2019 г. 10:59:20(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Добрый день!
Пишем на сишарпе клиент для подключения к серверу МДЛП "Честного знака" (REST API). Уперлись в постоянно возникающую ошибку "Запрос был прерван. Не удалось создать защищенный канал SSL/TLS" при попытке подключиться по https. Предположительно проблема в том, что в списке предлагаемых клиентом шифров отсутствуют гостовские, которые требуются серверу. См лог протокола Handshake в прикрепленных файлах. Клиентский и сертификат УЦ установлены.
Собственно вопрос. Как "включить/внедрить" гост-шифры в клиент, чтобы сервер их увидел при установлении соединения? Используем КриптоПро CSP 4.0 и КриптоПро .NET. Может найдется ссылка на пример подобной реализации?
С СКЗИ только недавно начали работать, сильно не пинайте!
Заранее спасибо за помощь!
Support_2019-12-24.JPG (84kb) загружен 19 раз(а). Support_2019-12-25_01.JPG (28kb) загружен 13 раз(а). Support_2019-12-25_03.JPG (43kb) загружен 15 раз(а). Support_2019-12-25_02.JPG (102kb) загружен 12 раз(а).
Online Андрей Писарев  
#2 Оставлено : 25 декабря 2019 г. 11:14:40(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
Здравствуйте.

В сертификате какой алгоритм?
DNS имя сервера?
...
p.s.
в IE - отображается, что TLS по ГОСТ-сертификату?
Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#3 Оставлено : 25 декабря 2019 г. 11:34:08(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
В сертификате клиента:
алгоритм открытого ключа ГОСТ Р 34.10-2012 256 бит
алгоритм подписи ГОСТ Р 34.11/34.10-2001
алгоритм хэширования ГОСТ Р 34.11-94

Имя сервера: https://api.stage.mdlp.crpt.ru

В IE открывается только по прямому адресу https://185.196.171.27/, и тогда картинка как в прикрепленном файле. Получается IE тоже не знает про гостовские шифры?

Support_2019-12-25_04.JPG (127kb) загружен 17 раз(а).
Online Андрей Писарев  
#4 Оставлено : 25 декабря 2019 г. 12:06:53(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
А Вы связывались с ними?
Что в тех.требованиях написано про доступы?
Что написано про "тестовые" сертификаты? Разрешено ли использовать указанный тестовый УЦ (см. разные алгоритмы ГОСТ)?

По http тоже не работает?
Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#5 Оставлено : 25 декабря 2019 г. 12:26:38(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
В тех. требованиях дословно:
"Для взаимодействия по HTTPS используется ГОСТ Р 34.10-2012 сертификат...
Перед установкой соединения необходимо выполнить следующие настройки:
1. Общие настройки:
– В операционной системе Windows (7, 10) добавить запись DisableClientExtendedMasterSecret (dword) в реестре HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL со значением 1 (т.к. Windows по-умолчанию блокирует подобные соединения).
2. Настройки для "Тестового стенда API":
– Адреса API:
http://api.stage.mdlp.crpt.ru
https://api.stage.mdlp.crpt.ru
– Добавить в хранилище доверенных сертификатов тестовый корневой сертификат от КриптоПро. Ссылка для загрузки: http://testca.cryptopro.ru/certsrv/certcarc.asp
– В файл hosts добавить запись:
185.196.171.27 api.stage.mdlp.crpt.ru...
Используемые протоколы и шифры для соединения (SSL шифры были выбраны с учетом требований к информационной безопасности по предоставлению публичного API для доступа к государственной информационной системе):
ssl_protocols: TLSv1 ssl_ciphers: GOST2012-GOST8912-GOST8912"

Ничего более. Излишне, наверное, говорить, что все вышеперечисленное выполнено.
Один важный момент. Для работы с их сервером, необходимо сделать заявку, после чего они открывают доступ с вашего ip-адреса. Поэтому, я думаю, Ваши попытки будут блокироваться, если попытаетесь воспроизвести мою ситуацию.

И да, с http проблем нет, все работает.

У меня по-прежнему остается главный вопрос: каким образом заставить клиента (нашу программу) отправлять серверу нужный cipher suite, ведь, по-видимому, именно в этом проблема. И IE, судя по всему, не может соединиться по той же причине. Где-то у нас в системе не прописаны гостовские шрифты. Должны они устанавливаться при инсталляции КриптоПро CSP?
Online Андрей Писарев  
#6 Оставлено : 25 декабря 2019 г. 12:34:38(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
проверьте в IE - https://cpca.cryptopro.ru/
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#7 Оставлено : 25 декабря 2019 г. 12:36:45(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
Автор: StaniNeuer Перейти к цитате

Ничего более. Излишне, наверное, говорить, что все вышеперечисленное выполнено.
Один важный момент. Для работы с их сервером, необходимо сделать заявку, после чего они открывают доступ с вашего ip-адреса. Поэтому, я думаю, Ваши попытки будут блокироваться, если попытаетесь воспроизвести мою ситуацию.

И да, с http проблем нет, все работает.


Нет ничего лишнего.
Да, как раз это хотел уточнить.

Сборки ПО какие (КриптоПРО CSP\.NET), ОС?
Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#8 Оставлено : 25 декабря 2019 г. 12:54:52(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Подключение в IE к https://cpca.cryptopro.ru/ выдает сообщение:
"Сертификат безопасности этого веб-сайта не был выпущен доверенным центром сертификации" (см прикрепленный файл)
В контексте нашей проблемы, что это означает? Скорее всего после установки в хранилище доверенных центров, подключение и по этому адресу начнет натыкаться на отсутствие нужного шрифта, Вы так не считаете?

КриптоПро CSP 4.0.9963, КриптоПро .NET 1.0.7132.0, Windows 7

Support_2019-12-25_05.JPG (55kb) загружен 7 раз(а).
Online Андрей Писарев  
#9 Оставлено : 25 декабря 2019 г. 13:03:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
Автор: StaniNeuer Перейти к цитате
Подключение в IE к https://cpca.cryptopro.ru/ выдает сообщение:
"Сертификат безопасности этого веб-сайта не был выпущен доверенным центром сертификации" (см прикрепленный файл)
В контексте нашей проблемы, что это означает? Скорее всего после установки в хранилище доверенных центров, подключение и по этому адресу начнет натыкаться на отсутствие нужного шрифта, Вы так не считаете?

КриптоПро CSP 4.0.9963, КриптоПро .NET 1.0.7132.0, Windows 7

Support_2019-12-25_05.JPG (55kb) загружен 7 раз(а).


Не считаю.
Добавив корневой в доверенные - будет открываться без сообщения.
Вы соединились по ГОСТ-у, т.е. он работает в ОС.

Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#10 Оставлено : 25 декабря 2019 г. 13:10:37(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Хорошо, давайте проверим. Ссылку на корневой не подскажите, где найти?
Online Андрей Писарев  
#11 Оставлено : 25 декабря 2019 г. 13:12:02(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
Автор: StaniNeuer Перейти к цитате
Хорошо, давайте проверим. Ссылку на корневой не подскажите, где найти?


http://cpca20.cryptopro....695f722a7a1709b09a37.crt

Snimok ehkrana ot 2019-12-25 14-11-29.png (36kb) загружен 6 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#12 Оставлено : 25 декабря 2019 г. 13:39:08(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Андрей, Вы правы, теперь есть подключение к https://cpca.cryptopro.ru/ с IE.
Ну а что можете посоветовать по нашей проблеме? Нам необходимо работать (вернее, это - требование серверной стороны) с Тестовым УЦ КриптоПро. Можете дать аналогичную ссылку для проверки https соединения с ним?
Может в сертификатах, нами используемых что-то не так? Заметил просто, что в том, ссылку на который Вы прислали, все шифры ГОСТ 2012, а в наших от тестового УЦ частично шифры ГОСТ 2001. Не знаю, имеет ли это значение.
Online Андрей Писарев  
#13 Оставлено : 25 декабря 2019 г. 14:26:48(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
Нет, у них в требованиях указан адрес:
https://testca.cryptopro.ru/certsrv/

и он на ГОСТ-2001, но Вы можете получать от него для себя с ГОСТ-2012.



На сайте:
Главная > Поддержка > Тестовый УЦ Для разработчиков
есть с ГОСТ-2012, но это необходимо уточнять у ЧЗ - может они уже сменили на ГОСТ-2012? В 2020 - ГОСТ-2001 невозможно будет использовать.
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#14 Оставлено : 25 декабря 2019 г. 14:29:55(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
Автор: StaniNeuer Перейти к цитате
Андрей, Вы правы, теперь есть подключение к https://cpca.cryptopro.ru/ с IE.
Ну а что можете посоветовать по нашей проблеме? Нам необходимо работать (вернее, это - требование серверной стороны) с Тестовым УЦ КриптоПро. Можете дать аналогичную ссылку для проверки https соединения с ним?
Может в сертификатах, нами используемых что-то не так? Заметил просто, что в том, ссылку на который Вы прислали, все шифры ГОСТ 2012, а в наших от тестового УЦ частично шифры ГОСТ 2001. Не знаю, имеет ли это значение.


Какую ссылку? Вы зашли на страницу УЦ - Да - значит TLS по ГОСТ работает.

(можно и в приложении попробовать отправить запрос, чтобы убедиться в этом)



Насчёт разницы работы 2х сайтов с ГОСТ - посмотрите еще настройки TLS в панели управления КриптоПРО CSP.

у меня нет доступа к этой ИС, чтобы проверять.

Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#15 Оставлено : 25 декабря 2019 г. 14:32:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
Попробуйте еще варианты:
Цитата:


csptest -tlsc -server api.stage.mdlp.crpt.ru -v -v
csptest -tlsc -server 185.196.171.27 -v -v

Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#16 Оставлено : 25 декабря 2019 г. 15:11:30(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Андрей, спасибо за помощь!
Запрос на страницу УЦ из приложения тоже проходит. Единственное, чего не могу понять, как убедиться, что при подключении используются ГОСТ-шифр? Wireshark по-прежнему, показывает, что клиент не предлагает серверу для соединения Гостовских наборов шифров.
Support_2019-12-25_07.JPG (145kb) загружен 10 раз(а).

csptest командой получаем, в принципе, тот же результат при подключении к серверу МДЛП, что и из нашего клиента
Support_2019-12-25_06.JPG (127kb) загружен 19 раз(а).
Online Андрей Писарев  
#17 Оставлено : 25 декабря 2019 г. 15:46:40(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
добавьте еще -proto 4 в параметры для csptest
и приложите текстом

Техническую поддержку оказываем тут
Наша база знаний
Online Андрей Писарев  
#18 Оставлено : 25 декабря 2019 г. 15:52:11(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
Автор: StaniNeuer Перейти к цитате

КриптоПро CSP 4.0.9963, КриптоПро .NET 1.0.7132.0, Windows 7



Обновите до 4.0.9971, с перезагрузкой ОС.
Техническую поддержку оказываем тут
Наша база знаний
Offline StaniNeuer  
#19 Оставлено : 25 декабря 2019 г. 15:56:55(UTC)
StaniNeuer

Статус: Участник

Группы: Участники
Зарегистрирован: 23.12.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
C:\Program Files (x86)\Crypto Pro\CSP>csptest -tlsc -server api.stage.mdlp.crpt.
ru -v -v -proto 4
12 algorithms supported:
Aglid Class OID
[00] 0x660e 0x6000
[01] 0x6610 0x6000
[02] 0x6801 0x6000 1.2.840.113549.3.4 (rc4)
[03] 0x6603 0x6000 1.2.840.113549.3.7 (3des)
[04] 0x6601 0x6000 1.3.14.3.2.7 (des)
[05] 0x8003 0x8000 1.2.840.113549.2.5 (md5)
[06] 0x8004 0x8000 1.3.14.3.2.26 (sha1)
[07] 0x2400 0x2000 1.2.840.113549.1.1.1 (RSA)
[08] 0xaa02 0xa000 1.2.840.113549.1.9.16.3.5 (ESDH)
[09] 0xae06 0xa000
[10] 0x2200 0x2000 1.2.840.10040.4.1 (DSA)
[11] 0x2203 0x2000
Cipher strengths: 256..256
Supported protocols: 0x80:
Transport Layer Security 1.0 client side
dwProtocolMask: 0x800a0aaa
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 121
Cipher Suites: (c0 14) (c0 13) (00 35) (00 2f) (c0 0a) (c0 09) (00 38) (00 32) (
00 0a) (00 13) (00 05) (00 04)
126 bytes of handshake data sent
0000 16 03 01 00 79 01 00 00 75 03 01 5e 03 5b 30 b2 ....y...u..^.[0.
0010 8b 2e cd 61 cf cd 43 72 0c 8f f8 62 b5 92 f4 03 ...a..Cr...b....
0020 fe 69 bd fa dc ae 46 eb 6e 56 61 00 00 18 c0 14 .i....F.nVa.....
0030 c0 13 00 35 00 2f c0 0a c0 09 00 38 00 32 00 0a ...5./.....8.2..
0040 00 13 00 05 00 04 01 00 00 34 00 00 00 1b 00 19 .........4......
0050 00 00 16 61 70 69 2e 73 74 61 67 65 2e 6d 64 6c ...api.stage.mdl
0060 70 2e 63 72 70 74 2e 72 75 00 0a 00 06 00 04 00 p.crpt.ru.......
0070 17 00 18 00 0b 00 02 01 00 ff 01 00 01 00 ..............

7 bytes of handshake data received
0000 15 03 01 00 02 02 28 ......(

**** Error 0x80090326 returned by InitializeSecurityContext (2)
An error occurred in running the program.
WebClient.c:628:Error performing handshake.
Error number 0x80090326 (-2146893018).
Получено непредвиденное сообщение или оно имеет неправильный формат.

Total: SYS: 0,031 sec USR: 0,016 sec UTC: 0,100 sec
[ErrorCode: 0x80090326]

C:\Program Files (x86)\Crypto Pro\CSP>
Online Андрей Писарев  
#20 Оставлено : 25 декабря 2019 г. 16:18:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,570
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1590 раз в 1223 постах
это лог после обновления CSP?
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.