Добрый день.

Столкнулись с такой проблемой: в сертификате одного из пользователей указаны такие адреса для списка отозванных сертификатов:
http://ca.roseltorg.ru/c...47b78be839f14b1ad8a4.crl
http://www.roseltorg.ru/...47b78be839f14b1ad8a4.crl

Первый адрес обычный - по нему все скачивается и проверяется хорошо.
А вот второй адрес возвращает HTTP-код 302 и редиректит на адрес https://www.roseltorg.ru...915447b78be839f14b1ad8a4
Если пытаться скачать CRL через браузер, он этот редирект нормально отрабатывает и файл скачивает
Но КриптоПро JCP похоже обработать этот редирект не может, в логах получаем ошибку:



(если первый URL, который без редиректа, доступен - то проверка проходит успешно, ошибка только когда первый URL недоступен и КриптоПро JCP обращается по второму адресу)

Используем свежую версию КриптоПро JCP 2.0.40502

Вот в этой новости: https://www.cryptopro.ru...ts&m=90347#post90347
была информация про специальный параметр для включения возможности скачивания CRL когда требуется обрабатывать редиректы ( -Dallow_crl_redirect=true )
Пробовали указывать данный параметр запуска - ничего не изменилось (у нас приложение на tomcat, указывали -Dallow_crl_redirect=true как параметр запуска tomcat)
Может надо как-то по другому включать эту возможность?

Прикладываю сертификат:
cert.zip (2kb) загружен 4 раз(а).

Чтобы воспроизвести ошибку надо чтобы первый URL был недосупен, я этого добивался добавлением такой записи в файл hosts:
0.0.0.0 ca.roseltorg.ru

Посмотрите также эту тему

Да, спасибо, видел эту тему.
Там в итоге вручную скачали CRL, но боюсь у нас такое не получится, так как из-за установленного JTLS не получится обработать https-соединение (JTLS не дает работать по не-ГОСТовским сертификатам)

Добрый день.


Попробовали обойти проблему с JTLS - сделали версию в которой JTLS отключен (он установлен с JCP, но все изменения из файла java.security убраны, и https-соединения обрабатываются успешно).

После этого снова попробовали сделать вызов с переадресацией, собрали подробные логи.
log_success.zip (12kb) загружен 1 раз(а). - лог успешной проверки (переадресация не требовалась)
log_error.zip (13kb) загружен 2 раз(а). - лог ошибочной проверки (переадресация не произошла)

судя по логам после попытки скачать CRL по адресу с переадресацией он получает пустой ответ со статусом 301:

после чего больше не пытается никуда обращаться

При этом в логах также попалась такая строчка:

хотя мы указываем в параметрах запуска приложения такой параметр: -Dallow_crl_redirect=true

В связи с этим вопрос: Как правильно включать механизм обработки переадресации? Нужно сделать ещё что-то, кроме указания параметра -Dallow_crl_redirect=true?

После этой команды поведение изменилось, в логах строчка про allow_crl_redirect приобрела вид:


Видно что при попытке соединения идет редирект:


Потом долго идет SSL-взаимодействие с удаленным сервером (рукопожатие, обработка https-сертификатов и т.п.)
Но заканчивается это все к сожалению ошибкой Invalid Http response:


Подробный лог: log_error2.zip (51kb) загружен 4 раз(а).

Обработал сырые данные из лога, которые вернул сервер roseltorg - выяснил что он вернул html-страницу с 404 ошибкой и текстом:
"Сервер обнаружил в запросе клиента синтаксическую ошибку"

При этом при попытке скачать данный CRL через браузер - он скачивается успешно.