Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline 0xBA0BAB  
#1 Оставлено : 15 июля 2010 г. 20:01:01(UTC)
0xBA0BAB

Статус: Участник

Группы: Участники
Зарегистрирован: 13.07.2010(UTC)
Сообщений: 11

Вроде бы установил и настроил Tomcat 6.0.16 +jtls, стартует без ошибок в логах.
По рекомендациям все делал, сначала решил добиться односторонней аутентификации.
В catalina*.log встречается, что томкат подхватывает коннектор:
Код:

15.07.2010 15:02:48 ru.CryptoPro.JCP.tools.l a
INFO: Loading JCP...
15.07.2010 15:02:48 ru.CryptoPro.JCP.tools.l a
INFO: JCP loaded.
15.07.2010 15:02:48 ru.CryptoPro.ssl.d init
FINE: %% adding as private keys %%
15.07.2010 15:02:51 ru.CryptoPro.ssl.d init
FINE:
found key: tomcat
15.07.2010 15:02:51 ru.CryptoPro.ssl.d init
FINE:
------
Certificate chain [0] for key:tomcat
  Subject: CN=tomcat, OU=Security, O=********, L=Unknown, ST=Unknown, C=RU
  Valid from Thu Jul 15 14:47:21 YEKST 2010 until Wed Oct 13 14:47:21 YEKST 2010
------

Однако при попытке получить доступ к какому-нибудь приложению по https получаем в файрфоксе ошибку (IE привычно отмалчивается о причинах):
Код:
Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования.

(Код ошибки: ssl_error_no_cypher_overlap)

И вот такие интересные записи в catalina*.log:
Код:

15.07.2010 17:43:52 ru.CryptoPro.ssl.ServerLicense verifyAmount
INFO: Approaching to licensed connections limit: 1/1
15.07.2010 17:43:52 ru.CryptoPro.ssl.ServerLicense verifyAmount
INFO: Approaching to licensed connections limit: 1/1
15.07.2010 17:43:52 ru.CryptoPro.ssl.P a
FINE: %% ClientHello, SSLv3; Cipher Suites: [Unknown 0x0:0x88, Unknown 0x0:0x87, Unknown 0x0:0x39, Unknown 0x0:0x38, Unk
nown 0x0:0x84, Unknown 0x0:0x35, Unknown 0x0:0x45, Unknown 0x0:0x44, Unknown 0x0:0x33, SSL3_CK_GVO_KB2, Unknown 0x0:0x96
, Unknown 0x0:0x41, Unknown 0x0:0x4, Unknown 0x0:0x5, Unknown 0x0:0x2f, Unknown 0x0:0x16, Unknown 0x0:0x13, Unknown 0xfe
:0xff, Unknown 0x0:0xa, Unknown 0x0:0xff]; Compression Methods: 0
15.07.2010 17:43:52 ru.CryptoPro.ssl.d a
FINE: %% getting aliases for Server
15.07.2010 17:43:52 ru.CryptoPro.ssl.d a
FINE: %% matching alias: tomcat
15.07.2010 17:43:52 ru.CryptoPro.ssl.d a
FINE: %% getting aliases for Server
15.07.2010 17:43:52 ru.CryptoPro.ssl.d a
FINE: %% matching alias: tomcat

Натравливание csptest говорит, что соединение странным образом рвется:
Код:

csptest -tlsc -server  *.*.*.* -port 8443 -v -v
CSP (Type:75) v3.6.5355 KC1 Release Ver:3.6.5402 OS:Windows CPU:IA32 FastCode:RE
ADY,ENABLED.
csptest -tlsc -server *.*.*.* -port 8443 -v -v
ClientHello: RecordLayer: SSL, Len: 85
Cipher Suites: (81 00 00) (80 00 00) (32 00 00) (04 00 00) (05 00 00) (0a 00 00)
 (80 00 01) (c0 00 07) (80 00 03) (09 00 00) (40 00 06) (64 00 00) (62 00 00) (0
3 00 00) (06 00 00) (80 00 02) (80 00 04) (13 00 00) (12 00 00) (63 00 00)
87 bytes of handshake data sent
0000  80 55 01 03 01 00 3c 00:00 00 10 00 00 81 00 00  .U....<.........
0010  80 00 00 32 00 00 04 00:00 05 00 00 0a 01 00 80  ...2............
0020  07 00 c0 03 00 80 00 00:09 06 00 40 00 00 64 00  ...........@..d.
0030  00 62 00 00 03 00 00 06:02 00 80 04 00 80 00 00  .b..............
0040  13 00 00 12 00 00 63 d9:d1 9c 55 64 44 18 61 34  ......c...UdD.a4
0050  e3 16 93 82 7d 8c 4a                             ....}.J

7 bytes of handshake data received
0000  15 03 01 00 02 02 28                             ......(

**** Server unexpectedly disconnected
An error occurred in running the program.
.\WebClient.c:414:Error performing handshake.
Error number 0x80090304 (2148074244).
The Local Security Authority cannot be contacted

Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.063 sec
[ErrorCode: 0x80090304]

Прошу помощи Pray
Offline Iva  
#2 Оставлено : 16 июля 2010 г. 14:38:16(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181

Общее имя сертификата (common name) должно совпадать с DNS-именем (или IP - при обращении клиентов только по IP) сервера Apache Tomcat. У Вас DNS-имя tomcat?
Offline 0xBA0BAB  
#3 Оставлено : 16 июля 2010 г. 19:10:15(UTC)
0xBA0BAB

Статус: Участник

Группы: Участники
Зарегистрирован: 13.07.2010(UTC)
Сообщений: 11

Нет.
Однако с ip ситуация та же.
Offline 0xBA0BAB  
#4 Оставлено : 19 июля 2010 г. 13:21:02(UTC)
0xBA0BAB

Статус: Участник

Группы: Участники
Зарегистрирован: 13.07.2010(UTC)
Сообщений: 11

Решил плюнуть и сначала просто наладить канал https, с другим алгоритмом (RSA). Получилось сразу. В разных вариантах, с разными серверами (5.5, 6.0)
Соединение устанавливается с предупреждением "самоподписанный сертификат". Меня устраивает.
Делаю все то же самое через контрольную панель JCP. Получаю
Код:
Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования.

(Код ошибки: ssl_error_no_cypher_overlap)

Собственно, от файрфокса иного и не ждали. IE однако тоже ничего (конкретного) не показывает (CSP 3.6).
Но csptest по-прежнему говорит, что опять же после ответных 7 байт рукопожатия отваливается сервер (см. первый пост).
Характерно, что Томкат 6.0 в catalina*.log все-таки что-то пишет (FINE: %% ClientHello, SSLv3; Cipher Suites: [Unknown.........]), а Томкат 5.5 просто молча проглатывает ситуацию, не сообщает ничего (продолжает работать!)

Прошу пояснить, что означает фраза "The Local Security Authority cannot be contacted"
Offline Iva  
#5 Оставлено : 19 июля 2010 г. 17:58:10(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181

Клиент и сервер не могут договориться на каком шиферсьюте им работать.
В протоколе сервера есть наш SSL3_CK_GVO_KB2, а в протоколе csptest
Cipher Suites: (81 00 00) (80 00 00) (32 00 00) (04 00 00) (05 00 00) (0a 00 00)
(80 00 01) (c0 00 07) (80 00 03) (09 00 00) (40 00 06) (64 00 00) (62 00 00) (0
3 00 00) (06 00 00) (80 00 02) (80 00 04) (13 00 00) (12 00 00) (63 00 00)
ГОСТ-а нет
Чтоб проверить правильность установки клиента зайдите через IE на
https://ats.cryptopro.ru:9443/cryptopro/default.asp
И тоже самое через csptest
csptest -tlsc -server ats.cryptopro.ru -port 9443 -file cryptopro/default.asp -v -v
Можно проверить встречную работу CSP на себя, запустив сначала сервер
csptest -tlss -port 9443 -user localhost -v
а потом клиент
csptest -tlsc -server localhost -port 9443 -v -v
Можно еще посмотреть что скажет JCP клиент. Примеры TLS соединения между клиентом и сервером есть в Samples/JTLS_samples. Пакет ComLine модуля Samples содержит примеры сервера и клиента, запускаемые из командной строки.


Offline 0xBA0BAB  
#6 Оставлено : 4 августа 2010 г. 13:11:31(UTC)
0xBA0BAB

Статус: Участник

Группы: Участники
Зарегистрирован: 13.07.2010(UTC)
Сообщений: 11

Iva написал:
Чтоб проверить правильность установки клиента зайдите через IE на
https://ats.cryptopro.ru:9443/cryptopro/default.asp

Я так понимаю, если неправильно все настроено, то IE не должен зайти?
Заходит без проблем.
Iva написал:
И тоже самое через csptest
csptest -tlsc -server ats.cryptopro.ru -port 9443 -file cryptopro/default.asp -v -v


Не нашел способа указать прокси, соответственно коннект не происходит.
Iva написал:
Можно еще посмотреть что скажет JCP клиент. Примеры TLS соединения между клиентом и сервером есть в Samples/JTLS_samples. Пакет ComLine модуля Samples содержит примеры сервера и клиента, запускаемые из командной строки.

Тест ComLine.CheckConfFull проходит успешно, полностью. Это меня и озадачивает.
Offline 0xBA0BAB  
#7 Оставлено : 5 августа 2010 г. 13:05:21(UTC)
0xBA0BAB

Статус: Участник

Группы: Участники
Зарегистрирован: 13.07.2010(UTC)
Сообщений: 11

Так, немного разобрался, проблема сдвинулась с мертвой точки. Несмотря на то, что tomcat я настраивал на одностороннюю аутентификацию (клиент не предоставляет сертификат), фактически проблема заключалась в том, что у меня не было никакого клиентского сертификата. Сгенерировал запрос, подключение стало продолжаться дальше, правда, уже с другой ошибкой.
Код:

CSP (Type:75) v3.6.5355 KC1 Release Ver:3.6.5402 OS:Windows CPU:IA32 FastCode:RE
ADY,ENABLED.
csptest -tlsc -server xx.x.x.xx -port 9443 -v -v
ClientHello: RecordLayer: SSL, Len: 85
Cipher Suites: (81 00 00) (80 00 00) (32 00 00) (04 00 00) (05 00 00) (0a 00 00)
 (80 00 01) (c0 00 07) (80 00 03) (09 00 00) (40 00 06) (64 00 00) (62 00 00) (0
3 00 00) (06 00 00) (80 00 02) (80 00 04) (13 00 00) (12 00 00) (63 00 00)
87 bytes of handshake data sent
0000  80 55 01 03 01 00 3c 00:00 00 10 00 00 81 00 00  .U....<.........
0010  80 00 00 32 00 00 04 00:00 05 00 00 0a 01 00 80  ...2............
0020  07 00 c0 03 00 80 00 00:09 06 00 40 00 00 64 00  ...........@..d.
0030  00 62 00 00 03 00 00 06:02 00 80 04 00 80 00 00  .b..............
0040  13 00 00 12 00 00 63 a1:b2 54 29 68 19 ae 58 75  ......c..T)h..Xu
0050  42 24 4a 29 af 62 2d                             B$J).b-

541 bytes of handshake data received
0000  16 03 01 02 18 02 00 00:6c 03 01 4c 5a 44 f7 46  ........l..LZD.F
0010  d0 c8 3e 6b 75 05 9f 0a:7e 60 7c 24 6b 87 9a 0c  ..>ku...~`|$k...
0020  9f 59 4e 52 7d 49 74 22:b3 d9 e6 20 4c 5a 44 f7  .YNR}It"... LZD.
0030  47 23 12 a1 32 08 91 a6:39 9c 61 fe 3c e5 c2 dc  G#..2...9.a.<...
0040  f0 24 d6 f2 04 a8 39 45:58 e1 4e 74 00 81 00 00  .$....9EX.Nt....
0050  24 fd e8 00 20 30 1e 30:08 06 06 2a 85 03 02 02  $... 0.0...*....
0060  09 30 08 06 06 2a 85 03:02 02 16 30 08 06 06 2a  .0...*.....0...*
0070  85 03 02 02 17 0b 00 01:a0 00 01 9d 00 01 9a 30  ...............0
0080  82 01 96 30 82 01 45 a0:03 02 01 02 02 04 74 3e  ...0..E.......t>
0090  f7 7d 30 08 06 06 2a 85:03 02 02 03 30 35 31 0b  .}0...*.....051.
00a0  30 09 06 03 55 04 06 13:02 52 55 31 12 30 10 06  0...U....RU1.0..
00b0  03 55 04 0a 13 09 43 72:79 70 74 6f 50 72 6f 31  .U....CryptoPro1
00c0  12 30 10 06 03 55 04 03:13 09 31 30 2e 37 2e 33  .0...U....10.7.3
00d0  2e 37 34 30 1e 17 0d 31:30 30 38 30 34 31 30 31  .740...100804101
00e0  31 30 30 5a 17 0d 31 31:30 38 30 34 31 30 31 31  100Z..1108041011
00f0  30 30 5a 30 35 31 0b 30:09 06 03 55 04 06 13 02  00Z051.0...U....
0100  52 55 31 12 30 10 06 03:55 04 0a 13 09 43 72 79  RU1.0...U....Cry
0110  70 74 6f 50 72 6f 31 12:30 10 06 03 55 04 03 13  ptoPro1.0...U...
0120  09 31 30 2e 37 2e 33 2e:37 34 30 63 30 1c 06 06  .10.7.3.740c0...
0130  2a 85 03 02 02 13 30 12:06 07 2a 85 03 02 02 24  *.....0...*....$
0140  00 06 07 2a 85 03 02 02:1e 01 03 43 00 04 40 e3  ...*.......C..@.
0150  4f 33 96 0e c2 f6 5c 1d:8b ae 31 b1 4b d5 0e 4d  O3....\...1.K..M
0160  25 12 61 92 34 c7 f2 f5:11 f2 a3 de 29 9d e0 4d  %.a.4.......)..M
0170  4b 41 2c 7c 46 39 f4 c2:0d d8 9e b9 30 69 24 3c  KA,|F9......0i$<
0180  96 15 e4 65 66 2c 56 94:e1 fc bf 02 d8 0e 50 a3  ...ef,V.......P.
0190  3b 30 39 30 0e 06 03 55:1d 0f 01 01 ff 04 04 03  ;090...U........
01a0  02 02 ec 30 13 06 03 55:1d 25 04 0c 30 0a 06 08  ...0...U.%..0...
01b0  2b 06 01 05 05 07 03 01:30 12 06 03 55 1d 13 01  +.......0...U...
01c0  01 ff 04 08 30 06 01 01:ff 02 01 05 30 08 06 06  ....0.......0...
01d0  2a 85 03 02 02 03 03 41:00 f9 65 15 c8 91 7b 36  *......A..e...{6
01e0  f3 3c c6 6a b6 de 12 b0:4d 3d 6f 93 16 06 01 3c  .<.j....M=o....<
01f0  c5 6b bb 2c a9 72 59 40:9d 3a e5 61 1f 51 38 02  .k.,.rY@.:.a.Q8.
0200  72 c3 45 b3 39 9f 73 4d:82 1d 38 70 d5 28 27 4d  r.E.9.sM..8p.('M
0210  7e b1 b3 e1 ad 5b fc 88:3c 0e 00 00 00           ~....[..<....

210 bytes of handshake data sent
0000  16 03 01 00 ae 10 00 00:aa 30 81 a7 30 81 a4 30  .........0..0..0
0010  28 04 20 27 ef 86 44 0b:a3 30 09 dc df 5a 11 26  (. '..D..0...Z.&
0020  d8 88 00 68 9c d8 bd e0:78 d4 39 3b a4 7c 2e 28  ...h....x.9;.|.(
0030  00 5c 48 04 04 e2 f1 75:1c a0 78 06 07 2a 85 03  .\H....u..x..*..
0040  02 02 1f 01 a0 63 30 1c:06 06 2a 85 03 02 02 13  .....c0...*.....
0050  30 12 06 07 2a 85 03 02:02 24 00 06 07 2a 85 03  0...*....$...*..
0060  02 02 1e 01 03 43 00 04:40 d5 14 7f 9f 59 ba b7  .....C..@....Y..
0070  b1 24 99 e8 bd f4 a4 80:20 05 39 cb 86 cc f4 dc  .$...... .9.....
0080  bf 92 25 7e f7 fd f3 b0:85 36 9b e6 ae 75 3a 61  ..%~.....6...u:a
0090  60 4e 64 97 c8 a0 ab 28:a9 fa 24 14 34 60 30 25  `Nd....(..$.4`0%
00a0  e7 4d fa ef 7c fa c8 fe:49 04 08 5b 32 ae 5d b9  .M..|...I..[2.].
00b0  0d 83 d2 14 03 01 00 01:01 16 03 01 00 14 4f 97  ..............O.
00c0  b1 30 da 35 93 c4 3b fc:76 da 78 02 bc 14 53 f9  .0.5..;.v.x...S.
00d0  d2 14                                            ..

7 bytes of handshake data received
0000  15 03 01 00 02 02 50                             ......P

**** Error 0x80090317 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:414:Error performing handshake.
Error number 0x80090317 (2148074263).
The context has expired and can no longer be used.

Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.063 sec
[ErrorCode: 0x80090317]

Кажется, подобная проблема возникала уже у других, и вроде бы требуется обновить корневые сертификаты... Пока не получается
Offline 0xBA0BAB  
#8 Оставлено : 6 августа 2010 г. 17:08:35(UTC)
0xBA0BAB

Статус: Участник

Группы: Участники
Зарегистрирован: 13.07.2010(UTC)
Сообщений: 11

Решилось все копированием US_export_policy.jar в local_policy.jar.
Можно закрывать, спасибо.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.