Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline promcalc  
#1 Оставлено : 25 декабря 2020 г. 17:16:01(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Добрый день.

Мне нужно подключиться к Equifax по tls соединению.

Адрес для отправки данных https://bki-b2b-test.equifax.ru/xml.php

Я получил от клиента сертификат, установил его на машину.

Вот его данные:

Цитата:
$ /opt/cprocsp/bin/amd64/certmgr -list -thumbprint 4b3e68---xxx---3fabaa
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : C=RU, L=Moscow, O=Equifax Credit Services LLC, CN=Equifax Credit Services CA
Subject : C=RU, O="ООО", CN=С Д С, E=e@k.pro
Serial : 0x01A8029DEC0142020104
SHA1 Hash : 4b3e68---xxx---3fabaa
SubjKeyID : 1c23f6---xxx---fb6536
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 26/10/2020 10:22:19 UTC
Not valid after : 26/10/2021 10:22:19 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\\F926
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
CA cert URL : http://www.e-notary.ru/c...dir/ca/equifax_llc_5.cer
CDP : http://www.e-notary.ru/crl/crl_equifax_llc_5.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
=============================================================================

[ErrorCode: 0x00000000]



Пытаюсь отправить данные по указанному адресу:

Цитата:
$ /opt/cprocsp/bin/amd64/curl -X POST -E 4b3e68---xxx---3fabaa -o /tmp/test_response_01.xml -v --header "Content-Type:application/octet-stream; charset=windows-1251" --trace-ascii /tmp/debugdump.tx
t --data-binary @/tmp/testdata/test_request_01.xml.sign https://bki-b2b-test.equifax.ru/xml.php
Warning: --trace-ascii overrides an earlier trace/verbose option
== Info: About to connect() to bki-b2b-test.equifax.ru port 443 (#0)
== Info: Trying 37.16.85.163... % Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- 0:00:01 --:--:-- 0== Info: connected
== Info: Connected to bki-b2b-test.equifax.ru (37.16.85.163) port 443 (#0)
== Info: Closing connection #0
== Info: Problem with the local SSL certificate

curl: (58) Problem with the local SSL certificate


Попробовал брать сертификат из файла:

Цитата:
$ /opt/cprocsp/bin/amd64/curl -X POST -E /tmp/fe880425.cer -o /tmp/test_response_01.xml -v --header "Content-Type:application/octet-stream; charset=windows-1251" --trace-ascii /tmp/debugdump.txt --data-binary @/tmp/testdata/test_request_01.xml.sign https://bki-b2b-test.equifax.ru/xml.php
Warning: --trace-ascii overrides an earlier trace/verbose option
== Info: About to connect() to bki-b2b-test.equifax.ru port 443 (#0)
== Info: Trying 37.16.85.163... % Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0== Info: connected
== Info: Connected to bki-b2b-test.equifax.ru (37.16.85.163) port 443 (#0)
== Info: Closing connection #0
== Info: Problem with the local SSL certificate

curl: (58) Problem with the local SSL certificate



Подскажите, как понять, что не так с сертификатом?

Отредактировано пользователем 28 декабря 2020 г. 15:11:45(UTC)  | Причина: правка команды

Offline Андрей Русев  
#2 Оставлено : 28 декабря 2020 г. 12:39:58(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 832

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 209 раз в 163 постах
Здравствуйте.
А что выдают
Код:
rpm -qa|grep cprocsp
dpkg -l|grep cprocsp
/opt/cprocsp/bin/amd64/csptestf -keyset -verifyco -info
/opt/cprocsp/bin/amd64/csptestf -tlsc -v -server bki-b2b-test.equifax.ru -file xml.php -nosave

Официальная техподдержка. Официальная база знаний.
Offline promcalc  
#3 Оставлено : 28 декабря 2020 г. 15:07:56(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Добрый день.

Вот как-то так:

Цитата:
root@cf:/# rpm -qa|grep cprocsp
root@cf:/#
root@cf:/#
root@cf:/# dpkg -l|grep cprocsp
ii cprocsp-curl-64 4.0.9963-5 amd64 CryptoPro Curl shared library and binaris. Build 9963.
ii cprocsp-rsa-64 4.0.9963-5 amd64 CryptoPro RSA CSP. Build 9963.
ii cprocsp-stunnel-64 4.0.9963-5 amd64 Universal SSL/TLS tunnel.
ii lsb-cprocsp-base 4.0.9963-5 all CryptoPro CSP directories and scripts. Build 9963.
ii lsb-cprocsp-ca-certs 4.0.9963-5 all CA certificates. Build 9963.
ii lsb-cprocsp-capilite-64 4.0.9963-5 amd64 CryptoAPI lite. Build 9963.
ii lsb-cprocsp-kc1-64 4.0.9963-5 amd64 CryptoPro CSP KC1. Build 9963.
ii lsb-cprocsp-rdr-64 4.0.9963-5 amd64 CryptoPro CSP readers. Build 9963.
root@cf:/#
root@cf:/#
root@cf:/# /opt/cprocsp/bin/amd64/csptestf -keyset -verifyco -info
CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 35288659
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP

CSP algorithms info:
Type:Encrypt Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026142

Type:Hash Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801

Type:Signature Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849

Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043590

Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043591

Type:Hash Name:'HMAC GOST 28147-89'(19) Long:'HMAC GOST 28147-89'(19)
DefaultLen:32 MinLen:32 MaxLen:32 Prot:0 Algid:00032799

Status:
Provider handles used: 1
Provider handles max: 1048576
CPU Usage: 13 %
CPU Usage by CSP: 0 %
Measurement interval: 101 ms

Virtual memory used: 9340428 KB
Virtual memory used by CSP: 60044 KB
Free virtual memory: 24023696 KB
Total virtual memory: 33364124 KB

Physical memory used: 9340428 KB
Physical memory used by CSP: 15188 KB
Free physical memory: 16683664 KB
Total physical memory: 26024092 KB

Total: SYS: 0.000 sec USR: 0.010 sec UTC: 0.110 sec
[ErrorCode: 0x00000000]
root@cf:/#
root@cf:/#
root@cf:/# /opt/cprocsp/bin/amd64/csptestf -tlsc -v -server bki-b2b-test.equifax.ru -file xml.php -nosave
8 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[03] 0x801f 0x8000
[04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 110
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
115 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:628:Error performing handshake.
Error number 0x80090326 (2148074278).
The message received was unexpected or badly formatted.
Total: SYS: 0.000 sec USR: 0.060 sec UTC: 0.180 sec
[ErrorCode: 0x80090326]
Offline Андрей Русев  
#4 Оставлено : 28 декабря 2020 г. 23:55:52(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 832

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 209 раз в 163 постах
У вас на стороне сервера RSA TLS, поэтому
* CSP 4.0 не годится - нужен CSP 5.0
* вы пишете, что вам дали сертификат и ключ для доступа, но они по ГОСТ и тоже не подойдут

Отредактировано пользователем 29 декабря 2020 г. 0:23:22(UTC)  | Причина: Не указана

Официальная техподдержка. Официальная база знаний.
Offline promcalc  
#5 Оставлено : 29 декабря 2020 г. 10:35:49(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Спасибо.

Если не сложно, подскажите, где в приведенных листингах видно, что "на стороне сервера RSA TLS", а не ГОСТ ?

И второй вопрос:

Если у нас уже куплена серверная лицензия на 4 версию, нам для 5 версии нужно опять ее покупать?

Отредактировано пользователем 29 декабря 2020 г. 10:41:03(UTC)  | Причина: добавлен вопрос

Offline promcalc  
#6 Оставлено : 29 декабря 2020 г. 15:55:42(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

На всякий случай вот вариант вывода команд для 5 версии:

Цитата:
$ dpkg -l|grep cprocsp
ii cprocsp-curl-64 5.0.11455-5 amd64 CryptoPro Curl shared library and binaris. Build 11455.
ii cprocsp-rsa-64 5.0.11455-5 amd64 CryptoPro RSA CSP. Build 11455.
ii cprocsp-stunnel-64 5.0.11455-5 amd64 Universal SSL/TLS tunnel.
ii lsb-cprocsp-base 5.0.11455-5 all CryptoPro CSP directories and scripts. Build 11455.
ii lsb-cprocsp-ca-certs 5.0.11455-5 all CA certificates. Build 11455.
ii lsb-cprocsp-capilite-64 5.0.11455-5 amd64 CryptoAPI lite. Build 11455.
ii lsb-cprocsp-kc1-64 5.0.11455-5 amd64 CryptoPro CSP KC1. Build 11455.
ii lsb-cprocsp-rdr-64 5.0.11455-5 amd64 CryptoPro CSP readers. Build 11455.
$
$
$ /opt/cprocsp/bin/amd64/csptestf -keyset -verifyco -info
CSP (Type:80) v5.0.10003 KC1 Release Ver:5.0.11455 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 17415683
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP

CSP algorithms info:
Type:Encrypt Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00026142

Type:Hash Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032801

Type:Signature Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00011849

Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043590

Type:Exchange Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
DefaultLen:512 MinLen:512 MaxLen:512 Prot:0 Algid:00043591

Type:Hash Name:'GOST 28147-89 MAC'(18) Long:'GOST 28147-89 MAC'(18)
DefaultLen:32 MinLen:8 MaxLen:32 Prot:0 Algid:00032799

Type:Hash Name:'GR34.11-12 256 HMAC'(20) Long:'GOST R 34.11-2012 256 HMAC'(27)
DefaultLen:256 MinLen:256 MaxLen:256 Prot:0 Algid:00032820

Status:
ControlKeyTimeValidity: 1

Provider handles used: 1
Provider handles max: 1048576
CPU Usage: 25 %
CPU Usage by CSP: 0 %
Measurement interval: 100 ms

Virtual memory used: 9801544 KB
Virtual memory used by CSP: 38892 KB
Free virtual memory: 23562580 KB
Total virtual memory: 33364124 KB

Physical memory used: 9801544 KB
Physical memory used by CSP: 7088 KB
Free physical memory: 16222548 KB
Total physical memory: 26024092 KB

Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.100 sec
[ErrorCode: 0x00000000]
$
$
$ /opt/cprocsp/bin/amd64/csptestf -tlsc -v -server bki-b2b-test.equifax.ru -file xml.php -nosave
11 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2.1 (ГОСТ Р 34.12-2015 Кузнечик CTR-ACPKM)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1.1 (ГОСТ Р 34.12-2015 Магма CTR-ACPKM)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 122
SessionId: (empty)
Cipher Suites: (ff 85) (00 81) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
127 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
An error occurred in running the program.
/dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/csptest/WebClient.c:672:Error performing handshake.
Error number 0x80090326 (2148074278).
The message received was unexpected or badly formatted.
Total: SYS: 0.020 sec USR: 0.030 sec UTC: 0.550 sec
[ErrorCode: 0x80090326]
Offline promcalc  
#7 Оставлено : 30 декабря 2020 г. 11:21:46(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Цитата:
$ /opt/cprocsp/bin/amd64/curl -X POST --cert /tmp/tls_cert_2020/cert.pem -o /tmp/test_response_01.xml -v --header "Content-Type:application/octet-stream; charset=windows-1251" --trace-ascii tmp/debugdump.txt --data-binary @/tmp/testdata/test_request_01.xml.sign https://bki-b2b-test.equifax.ru/xml.php

Warning: --trace-ascii overrides an earlier trace/verbose option
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
curl: (58) Problem with the local SSL certificate


Вот вроде поставил сертификат для tls , но все равно проблема. Может там где-то нужно и приватный ключик указать?
Offline promcalc  
#8 Оставлено : 30 декабря 2020 г. 11:31:45(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Добавил приватный ключ и пароль к нему:

Цитата:
/opt/cprocsp/bin/amd64/curl -X POST --cert /tmp/tls_cert_2020/cert.pem --key /tmp/tls_cert_2020/key.pem --pass XxxxxxN -o /tmp/test_response_01.xml -v --header "Content-Type:application/octet-stream; charset=windows-1251" --trace-ascii /tmp/debugdump.txt --data-binary @/tmp/testdata/test_request_01.xml.sign https://bki-b2b-test.equifax.ru/xml.php
Warning: --trace-ascii overrides an earlier trace/verbose option
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0
curl: (58) Problem with the local SSL certificate
Offline promcalc  
#9 Оставлено : 30 декабря 2020 г. 11:36:49(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Файл сертификата выглядит так:

Цитата:
-----BEGIN CERTIFICATE-----
MIIFQzCCAyugAwIBAgICBAowDQYJKoZIhvcNAQELBQAwWjELMAkGA1UEBhMCUlUx
.......................
sJhB1mjeAA==
-----END CERTIFICATE-----


Файл приватного ключика вот так:

Цитата:
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFHDBOBgkqhkiG9w0BBQ0wQTApBgkqhkiG9w0BBQwwHAQIOT7i51vKpzUCAggA
.............................
hyxiX6YcGMgXOLC06QioQw==
-----END ENCRYPTED PRIVATE KEY-----
Offline promcalc  
#10 Оставлено : 30 декабря 2020 г. 11:58:07(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Посмотрел, пароль подходит к приватному ключу:

Цитата:
$ openssl rsa -in /tmp/tls_cert_2020/key.pem -text -noout
Enter pass phrase for /tmp/tls_cert_2020/key.pem:
RSA Private-Key: (2048 bit, 2 primes)
modulus:
00:d1:.............................
...............................
03:d7
publicExponent: xxxxx (0xaaaaa)
privateExponent:
35:3b:...............................
...............................
prime1:
00:fc:...............................
...............................
prime2:
00:d4:...............................
...............................
exponent1:
00:f3:...............................
...............................
exponent2:
2f:64:...............................
...............................
coefficient:
4a:51:...............................
...............................



На всякий случай убрал пароль и пробоал с приватным ключом без пароля - такая же ошибка.
Offline Андрей Русев  
#11 Оставлено : 30 декабря 2020 г. 12:52:06(UTC)
Андрей Русев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 832

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 209 раз в 163 постах
1. Чтобы понять, что на сервере RSA TLS, надо установить с ним соединение хотя бы до того шага, когда он отдаст свой сертификат, тогда его можно сохранит в файл и посмотреть:
Код:
root@hw-arm64-astra:~# /opt/cprocsp/bin/*/csptestf -tlsc -v -server bki-b2b-test.equifax.ru -file xml.php -nosave -savecert /tmp/ttt.p7b
11 algorithms supported:
     Aglid  Class  OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012 256 бит)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012 512 бит)
Cipher strengths: 256..256
Supported protocols: 0xa80:
    Transport Layer Security 1.0 client side
    Transport Layer Security 1.1 client side
    Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 168
SessionId: (empty)
Cipher Suites: (c1 00) (c1 01) (c1 02) (ff 85) (00 81) (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
173 bytes of handshake data sent
1460 bytes of handshake data received
Handshake extra buffer: 1386 bytes
2051 bytes of handshake data received
Server requested new credentials!

Trying to create new credential
Issuer  0: C=RU, S=Russia, O=Equifax Credit Services LLC, CN=Equifax TLS
Issuer  1: C=RU, S=Russia, L=Moscow, O=Equifax Credit Services LLC, CN=Equifax Credit Services CA
Issuers: 2, Length: 224 bytes

Can not find client certificate with received issuers, trying server certificate Issuer Name
Issuer  0: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Issuers: 1, Length: 98 bytes
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2982:Error finding cert chain
Error 0x80092004: Объект или свойство не найдено.
138 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:765:Error performing handshake.
Error 0x80090326: Получено непредвиденное сообщение или оно имеет неправильный формат.
Total: SYS: 0,000 sec USR: 0,020 sec UTC: 0,040 sec
[ErrorCode: 0x80090326]
root@hw-arm64-astra:~# /opt/cprocsp/bin/*/certmgr -list -file /tmp/ttt.p7b
Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2020.
Программа для работы с сертификатами, CRL и хранилищами.
=============================================================================
1-------
Издатель            : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Субъект             : C=RU, L=Moscow, O=Equifax Credit Services LLC, CN=*.equifax.ru
Серийный номер      : 0x0A042A2B3CF5E18602737572564206E7
Хэш SHA1            : 7e6fc90c8d1ee1caba24ebe3fddd35f10ee136d5
Идентификатор ключа : c836c86ca0bfba596a82d0af953fac06df37c5f2
Алгоритм подписи    : sha256RSA
Алгоритм откр. кл.  : RSA (2048 бит)
Выдан               : 05/03/2020  00:00:00 UTC
Истекает            : 23/05/2022  12:00:00 UTC
Ссылка на ключ      : Нет
OCSP URL            : http://status.thawte.com
URL сертификата УЦ  : http://cacerts.thawte.com/ThawteRSACA2018.crt
URL списка отзыва   : http://cdp.thawte.com/ThawteRSACA2018.crl
Назначение/EKU      : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
2-------
Издатель            : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
Субъект             : C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2018
Серийный номер      : 0x025A8AEF196F7E0D6C2104B21AE6702B
Хэш SHA1            : 4deea7060d80babf1643b4e0f0104c82995075b7
Идентификатор ключа : a3c85e6554e53078c105ea070a6a59ccb9fede5a
Алгоритм подписи    : sha256RSA
Алгоритм откр. кл.  : RSA (2048 бит)
Выдан               : 06/11/2017  12:23:52 UTC
Истекает            : 06/11/2027  12:23:52 UTC
Ссылка на ключ      : Нет
OCSP URL            : http://ocsp.digicert.com
URL списка отзыва   : http://crl3.digicert.com/DigiCertGlobalRootCA.crl
Назначение/EKU      : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
=============================================================================

[ErrorCode: 0x00000000]

Для зарубежных алгоритмов информацию можно узнать с помощью онлайн тестеров TLS:
* https://www.wormly.com/test_ssl
* https://www.ssllabs.com/...=bki-b2b-test.equifax.ru

2. Лицензии от КриптоПро CSP 4.0 официально подходят для сертифицированной КриптоПро CSP 5.0.11455 Fury (как раз как у вас). Начиная с КриптоПро CSP 5.0 R2 (сборка 5.0.11635 Golem) изменилась схема лицензирования: требуются лицензии для КриптоПро CSP 5.0 (начинаются на 50). От КриптоПро CSP 4.0 подходят только временные лицензии с датой окончания.

3. Поддержка RSA TLS на Linux в КриптоПро CSP 5.0.11455 Fury уже была, но на ограниченном наборе криптографических наборов. Ваш сервер использует TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, поддержка которого появилась в КриптоПро CSP 5.0.11823 Iris (см. RSA_ECDHE в списке изменений), так что для работы с ним будет нужна новая лицензия. Кроме покупки новой, есть вариант лицензии на обновление СКЗИ "КриптоПро CSP" до версии 5.0 на одном рабочем месте.
Официальная техподдержка. Официальная база знаний.
Offline promcalc  
#12 Оставлено : 30 декабря 2020 г. 12:56:25(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Сейчас попробовал отправить запрос стандартным curl

Все прошло:

Цитата:
$ curl -X POST --cert /tmp/tls_cert_2020/cert.pem --key /tmp/key_nopass.pem -o /tmp/test_response_01.xml -v --header "Content-Type:application/octet-stream; charset=windows-1251" --trace-ascii /tmp/debugdump.txt --data-binary @/tmp/testdata/test_request_01.xml.sign https://bki-b2b-test.equifax.ru/xml.php

Warning: --trace-ascii overrides an earlier trace/verbose option
Note: Unnecessary use of -X or --request, POST is already inferred.
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 64074 0 61731 100 2343 32575 1236 0:00:01 0:00:01 --:--:-- 33794


Но, если Вы ответите на мои вопросы и расскажите, что я делал не так с вашим ПО, буду очень благодарен.
Offline promcalc  
#13 Оставлено : 30 декабря 2020 г. 12:59:05(UTC)
promcalc

Статус: Участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 24
Российская Федерация
Откуда: Moscow

Написал сообщение выше, когда еще не было ответа на мои вопросы. Сейчас прочитал и вроде ответов не осталось.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.