Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 33  Сказал(а) «Спасибо»: 2 раз
|
Требуется установить защищенное соединение между джава приложением и сервером ФНС. Ранее данный код работал, сейчас же настраиваю по новой, с новым сертификатом. Что проделано: - Добавлены в trustcacerts джавы корневой и промежуточный сертификаты со стороны ФНС;
- Добавлены в trustcacerts джавы корневой и промежуточный сертификаты с моей стороны;
- Проверил Exchange key в моем сертификате
Код:
$ /opt/cprocsp/bin/csptest -keyset -check -cont '\\.\HDIMAGE\HDIMAGE\\Dogovory.000\8BD4'
Exchange key is available. HCRYPTKEY: 0x7fe318f0ae33
Включил расширенные логи, картина следующая: Код:
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_18 a
FINE: Certificate request received...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_18 a
FINE: Search for client containers with GOST algorithms...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_18 a
FINE: Search for client containers with any GOST algorithm...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% getting aliases for Client
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINER: %% tlsClientAllowSingleCertLocal = false
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% checking alias: Dogovory...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% certificate chain length = 1
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% check public key algorithm ignored (client).
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% signature algorithm not found.
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% check extended key usage of Client, size: 3...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% Extended key usage found and verified.
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% check credential issuers...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
WARNING: %% No alias is match
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_18 a
FINE: Appropriate client aliases not found.
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_18 a
FINE: Containers not found.
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_18 a
FINE: No appropriate cert was found.
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_18 a
FINE: Warning: no suitable certificate found - continuing without client authentication
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_49 f
FINE: *** Certificate message
***
Несколько раз сверил алиас, все правильно. Не пойму почему упорно не хочет видеть мой сертификат? Работаю на версии JCP 5.0.42898-A. Что я еще забыл?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,719   Сказал «Спасибо»: 500 раз
Поблагодарили: 2054 раз в 1594 постах
|
Здравствуйте.
-No appropriate cert was found.
-signature algorithm not found.
-Warning: no suitable certificate found - continuing without client authentication
а в контейнере есть сертификат?
а в Личном?
Если сертификат есть - он тестовый\квалифицированный?
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 33 Сказал(а) «Спасибо»: 2 раз
|
Сертификат в контейнере (я им могу подписывать файлы, check container показывает, что все в порядке). Это личное хранилище, сертификат боевой, генерального.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,927 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
|
Здравствуйте. Цитата:
FINE: %% getting aliases for Client
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% checking alias: Dogovory...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% certificate chain length = 1
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% check public key algorithm ignored (client).
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% signature algorithm not found.
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% check extended key usage of Client, size: 3...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% Extended key usage found and verified.
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
FINE: %% check credential issuers...
Dec 14, 2023 7:08:36 PM ru.CryptoPro.ssl.cl_45 a
WARNING: %% No alias is match
Найден Dogovory: Цитата:%% checking alias: Dogovory в контейнере цепочка сертификатов состоит из 1 сертификата: Цитата:%% certificate chain length = 1 Расширения сертификата проверены: Цитата:%% Extended key usage found and verified. После проверки издателя: Цитата:%% check credential issuers сообщается: Цитата:%% No alias is match То есть по издателю проверка не пройдена. Сервер шлет список имен доверенных корневых сертификатов, в вашем случае в наличии только сертификат подписи. Если цепочка сертификатов длинная (более двух сертификатов), но издатель вашего сертификата может отсутствовать в списке сервера, поэтому сертификат не подошел. Установите в ключевой контейнер Dogovory всю цепочку сертификатов. |
|
 2 пользователей поблагодарили Евгений Афанасьев за этот пост.
|
nickm оставлено 15.12.2023(UTC), Андрей * оставлено 15.12.2023(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 33 Сказал(а) «Спасибо»: 2 раз
|
Код:FINE: %% certificate chain length = 1
Это действительно странно. В цепочке контейнера вижу все 3 сертификата. Автор: Евгений Афанасьев  Установите в ключевой контейнер Dogovory всю цепочку сертификатов. Еще раз проверил контейнер: Цитата:Container checking was finished successfully и внутри отчета Цитата:certificate chain verified Посмотрел информацию о сертификате: Код:Certificate chain : Verified successfully.
#0:
Issuer : Минцифры России
Subject : Минцифры России
Not valid before : 08/01/2022 13:32:39 UTC
Not valid after : 08/01/2040 13:32:39 UTC
SHA1 Thumbprint : 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a
#1:
Subject : Федеральная налоговая служба
Not valid before : 21/07/2023 13:12:44 UTC
Not valid after : 21/07/2038 13:12:44 UTC
SHA1 Thumbprint : 24a2cd23cc4e75ec695031b18054f7683fdf1e86
#2:
Subject : <my_cert_subject>
Not valid before : <date1>
Not valid after : <date2>
SHA1 Thumbprint : <my_cert_thumbprint>
Насколько я понимаю, в контейнере присутствует вся цепочка. В противном случае я бы не смог ничего им подписать, так? Если что-то неправильно, прошу подсказать как посмотреть и установить при необходимости. Работаю на OS X. Криптопро CSP 5.0.12600, версия для Intel процессоров.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,927 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
|
Автор: ==fff== Это действительно странно. В цепочке контейнера вижу все 3 сертификата. Посмотрите тем средством, которое используется, то есть в панели JCP, например. Скорее всего, вы смотрите в панели CSP, а там возможно скачивание сертификатов по сети для построения цепочки и показа или поиск их в хранилище. В контейнере на самом деле их может не быть (вроде в свойствах в печати CSP должно быть что-то такое - указание, откуда сертификат). Модуль TLS берет все сертификаты именно из контейнера. Отредактировано пользователем 15 декабря 2023 г. 21:36:41(UTC)
| Причина: Не указана |
|
2 пользователей поблагодарили Евгений Афанасьев за этот пост.
|
nickm оставлено 15.12.2023(UTC), ==fff== оставлено 19.12.2023(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 33 Сказал(а) «Спасибо»: 2 раз
|
Не знал об этом. Похоже Вы правы. В панели JCP показывает только 1 сертификат в цепочке. На данном этапе возникла проблема с добавлением сертификатов в контейнер. Делаю вот так: Код:sudo /opt/cprocsp/bin/certmgr -inst -file ca_fns_russia_2023_01.crt -cont \\HDIMAGE\\Dogovory
Также пробовал различные комбинации указания пути к хранилищу и контейнеру: - \\HDImageStore\\Dogovory
- \\HDImageStore\\Dogovory.000
- \\HDIMAGE\\Dogovory.000
- \\HDIMAGE\\Dogovory.000\8BD4
- \\.HDIMAGE\\Dogovory.000\8BD4
И еще много как. Также пробовал брать в одинарные кавычки без экранирования "\". Первый вариант по крайней мере правильно определяет хранилище и контейнер. В ответ я получаю предложение вставить носитель: Цитата:Вставьте носитель HDIMAGE с контейнером Dogovory Команда Код:/opt/cprocsp/bin/csptest -keyset -enum_cont -fqcn -verifyc -uniq
по данному контейнеру показывает Код:\\.\HDIMAGE\Dogovory |\\.\HDIMAGE\HDIMAGE\\Dogovory.000\8BD4
Отредактировано пользователем 15 декабря 2023 г. 23:18:19(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз
Поблагодарили: 312 раз в 294 постах
|
Следует указать параметр, например. Или поиск на форуме, например по: Указывайте уникальное наименование в одинарных кавычках, например: Код:'\.\HDIMAGE\HDIMAGE\\Dogovory.000\8BD4'
Автор: ==fff== Делаю вот так: Код:sudo /opt/cprocsp/bin/certmgr -inst -file ca_fns_russia_2023_01.crt -cont \\HDIMAGE\\Dogovory
Cледует отметить, что это относится к личному сертификату подписи, для цепочки команда будет другая - цепочка будет в формате p7b. Отредактировано пользователем 16 декабря 2023 г. 0:02:12(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,927 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 691 раз в 652 постах
|
Добавить цепочку p7b можно и в панели jcp или с помощью keytool. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 33 Сказал(а) «Спасибо»: 2 раз
|
Пробовал так Код:/opt/cprocsp/bin/certmgr -inst -inst_to_cont -cont '\\.\HDIMAGE\HDIMAGE\\Dogovory.000\8BD4' -file ca_fns_russia_2023_01.crt
и вот так Код:/opt/cprocsp/bin/certmgr -inst -inst_to_cont -cont '\\.\HDIMAGE\Dogovory' -file ca_fns_russia_2023_01.crt
Оба варианта видимо рабочие, но в итоге я получаю Код:Не удалось установить сертификат
Открытые ключи в сертификате и контейнере не совпадают
Требуемый сертификат не существует.
Промежуточный ключ (который указан выше) я скачал по ссылке из информации о сертификате в CSP, корневой сертификат был нагуглен по отпечатку оттуда же и скачан: 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a. Почему они могут не совпадать? Еще не знаю как посмотреть открытые ключи из контейнера. Возможно так было бы проще найти корректный.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
