Статус: Новичок
Группы: Участники
Зарегистрирован: 07.12.2020(UTC)
Сообщений: 2
|
При попытке установить сертификат для аутентификации клиента в логах JTLS отображается сообщение " DH bit restricted for the key" и использовать его не получается Цитата:
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_42 f
FINE: *** ServerHelloDone
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Certificate request received...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Search for client containers with GOST algorithms...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Search for client containers with any GOST algorithm...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% getting aliases for Client
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% checking alias: te-7f914598-6209-4a95-a150-984f30ed1fba
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% check public key algorithm ignored.
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% check extended key usage of Client, size: 3...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: %% check credential issuers...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_38 a
FINE: matching alias: te-7f914598-6209-4a95-a150-984f30ed1fba
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Check private key: te-7f914598-6209-4a95-a150-984f30ed1fba
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Certificate chain te-7f914598-6209-4a95-a150-984f30ed1fba found. Check if DH available...
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: DH bit restricted for the key: te-7f914598-6209-4a95-a150-984f30ed1fba
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: No appropriate cert was found.
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_42 f
FINE: *** Certificate message
***
дек 07, 2020 5:05:45 PM ru.CryptoPro.ssl.cl_15 a
FINE: Generate ephemeral key pair.
В самом сертификате никаких ограничений для DH не прописано Цитата:ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:false
PathLen: undefined
]
ObjectId: 2.5.29.32 Criticality=false
CertificatePolicies [
[CertificatePolicyId: [1.2.643.100.113.1]
[] ]
]
ObjectId: 2.5.29.37 Criticality=false
ExtendedKeyUsages [
clientAuth
emailProtection
1.2.643.4.15.1.1.1.1
]
ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
DigitalSignature
Non_repudiation
Key_Encipherment
Data_Encipherment
Key_Agreement
]
Algorithm: [1.2.643.7.1.1.3.2]
Signature:
0000: 21 34 4E 51 4E D3 DB 47 51 E5 0D 48 A0 77 D8 6E !4NQN..GQ..H.w.n
0010: 3A B5 FE 4E CF 67 2B 45 85 ED 6B 4C 23 28 B5 B0 :..N.g+E..kL#(..
0020: 82 4C 90 03 2D E6 E5 7F 38 BB A9 47 96 36 F2 71 .L..-...8..G.6.q
0030: 73 F5 E4 D7 9E 67 5D 8C 3E B8 CD F5 8F 42 15 D3 s....g].>....B.. Помогите понять, почему JTLS не хочет использовать ключ для создания соединения, на сервере настроена проверка подлинности сертификатов и при использовании эфемеральной пары аутентификация не проходит
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963  Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
|
Здравствуйте.
В ключевом контейнере (не сертификате) может быть бит ключа подписи (ГОСТ 2012), запрещающий использовать его для определенных операций вроде выработки ключа согласования. Этот бит мог быть выставлен при создании ключа. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 35  Сказал(а) «Спасибо»: 2 раз
|
Автор: ShmakovAA  При попытке установить сертификат для аутентификации клиента в логах JTLS отображается сообщение "DH bit restricted for the key"
и использовать его не получается
Здравствуйте. Такая же проблема. Возможно помните, как удалось решить? Или где можно посмотреть, установлен ли бит для моего контейнера.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
|
Здравствуйте. Ответил тут https://www.cryptopro.ru...&m=136882#post136882Автор: Евгений Афанасьев Судя по логам, проблема в том, что для TLS используется ключ подписи на алгоритме ГОСТ 2012, он отбраковывается модулем cpSSL. Требуется ключ обмена. В будущих релизах добавим возможность использовать ключ подписи. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
