Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 13  Откуда: Минск Поблагодарили: 1 раз в 1 постах
|
Правильно ли я понимаю, что если односторонняя аутентификация работает, то проблема не с настройкой сервера?
Проблему надо искать где-то на клиентской части?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,001  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 713 раз в 673 постах
|
Если csptest отрабатывает и при односторонней, и при двухсторонней, то думаю, что да. Посмотрите в журнале событий, возможно, есть сообщения от csp. Если их нет, то логирование в csp можно настроить (поищите в ветке csp). Отредактировано пользователем 21 ноября 2013 г. 15:39:54(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 13 Откуда: Минск Поблагодарили: 1 раз в 1 постах
|
Автор: afev  Если csptest отрабатывает и при односторонней, и при двухсторонней, то думаю, что да.
Посмотрите в журнале событий, возможно, есть сообщения от csp. Если их нет, то логирование в csp можно настроить (поищите в ветке csp). Логирование настроил, но ничего существенного там не обнаружил. Временно решил проблему так: Решил генерировать ключи и сертификаты как для сервера так и для клиента одним способом - либо с помощью CSP либо с помощью JCP. Остановился на JCP. Т.к. ключи и сертификат сервера у меня есть, генерирую ключ для клиента с помощью JCP, там же создаю запрос на сертификат в BASE-64. Скопировал хранилище на съемный диск. В CSP зарегистрировал этот диск как хранилище ключа, открыл его и поставил сертификат. Обратился к серверу через IE - ЗАРАБОТАЛО! :) Остается выяснить, почему сертификат, сгенерированный с помощью CSP не подходит для JCP. Есть соображения? Может специальная конфигурация необходима на странице генерации ключа?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,001 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 713 раз в 673 постах
|
Сравните сертификаты (поля), проверьте издателя (УЦ), есть ли сертификат издателя в trust store сервера и в ROOT (доверенные корневые центры сертификации). |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 30.10.2013(UTC) Сообщений: 13 Откуда: Минск Поблагодарили: 1 раз в 1 постах
|
Автор: afev Сравните сертификаты (поля), проверьте издателя (УЦ), есть ли сертификат издателя в trust store сервера и в ROOT (доверенные корневые центры сертификации). Сертификаты отличаются: https://www.dropbox.com/...compare_certificates.pngВот сравнение вывода утилиты keytools. Слева - сгенерировано через https://www.cryptopro.ru/certsrv/certrqma.aspС параметрами: подлинность сервера, ключи уже имеются, использование - оба. Справа - запрос сгенерирован с помощью JCP, после сертификат получен здесь: https://www.cryptopro.ru/certsrv/certrqxt.aspИ получается такая ситуация: 1) если я делаю запросы сертификатов пользователя и сервера с помощью JCP - работаеют отлично tomcat и glassfish. 2) если делаю сертификаты с помощью CSP, то tomcat работает, а вот glassfish ругаетсе "No alias is match". 3) если же сертификат сервера получаю из запроса JCP, а пользователей через CSP, то ни tomcat, ни glassfish работать не хотят - говорят BAD_CERTIFICATE - null cert chain.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,001 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 713 раз в 673 постах
|
Автор: yauhen_l
2) если делаю сертификаты с помощью CSP, то tomcat работает, а вот glassfish ругаетсе "No alias is match".
Возможно, дело в пользователе, под которым запущено приложение, раз с томкатом проблем нет. Автор: yauhen_l
3) если же сертификат сервера получаю из запроса JCP, а пользователей через CSP, то ни tomcat, ни glassfish работать не хотят - говорят BAD_CERTIFICATE - null cert chain.
Получаете в одном УЦ или разных? Могут также отличаться параметры в открытом ключе (посмотрите настройки на вкл. Алгоритмы в панели CSP, если создавали контейнер и получали сертификат с помощью https://www.cryptopro.ru/certsrv/certrqma.asp). Включите логирование, например, для томката (level=FINE для SSLLogger в logging.properties), посмотрите в логе, какие distinguished names в certificate request высылаются клиенту, так как, полагаю, до выбора сертификата из списка на клиенте (IE) не доходит. Отредактировано пользователем 29 ноября 2013 г. 22:55:41(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
