Статус: Участник
Группы: Участники
Зарегистрирован: 23.12.2019(UTC) Сообщений: 12 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Добрый день! Пишем на сишарпе клиент для подключения к серверу МДЛП "Честного знака" (REST API). Уперлись в постоянно возникающую ошибку "Запрос был прерван. Не удалось создать защищенный канал SSL/TLS" при попытке подключиться по https. Предположительно проблема в том, что в списке предлагаемых клиентом шифров отсутствуют гостовские, которые требуются серверу. См лог протокола Handshake в прикрепленных файлах. Клиентский и сертификат УЦ установлены. Собственно вопрос. Как "включить/внедрить" гост-шифры в клиент, чтобы сервер их увидел при установлении соединения? Используем КриптоПро CSP 4.0 и КриптоПро .NET. Может найдется ссылка на пример подобной реализации? С СКЗИ только недавно начали работать, сильно не пинайте! Заранее спасибо за помощь! Support_2019-12-24.JPG (84kb) загружен 27 раз(а). Support_2019-12-25_01.JPG (28kb) загружен 19 раз(а). Support_2019-12-25_03.JPG (43kb) загружен 22 раз(а). Support_2019-12-25_02.JPG (102kb) загружен 21 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,340 Сказал «Спасибо»: 550 раз Поблагодарили: 2212 раз в 1727 постах
|
Здравствуйте.
В сертификате какой алгоритм? DNS имя сервера? ... p.s. в IE - отображается, что TLS по ГОСТ-сертификату? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.12.2019(UTC) Сообщений: 12 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
В сертификате клиента: алгоритм открытого ключа ГОСТ Р 34.10-2012 256 бит алгоритм подписи ГОСТ Р 34.11/34.10-2001 алгоритм хэширования ГОСТ Р 34.11-94 Имя сервера: https://api.stage.mdlp.crpt.ruВ IE открывается только по прямому адресу https://185.196.171.27/, и тогда картинка как в прикрепленном файле. Получается IE тоже не знает про гостовские шифры? Support_2019-12-25_04.JPG (127kb) загружен 21 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,340 Сказал «Спасибо»: 550 раз Поблагодарили: 2212 раз в 1727 постах
|
А Вы связывались с ними? Что в тех.требованиях написано про доступы? Что написано про "тестовые" сертификаты? Разрешено ли использовать указанный тестовый УЦ (см. разные алгоритмы ГОСТ)?
По http тоже не работает? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.12.2019(UTC) Сообщений: 12 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
В тех. требованиях дословно: "Для взаимодействия по HTTPS используется ГОСТ Р 34.10-2012 сертификат... Перед установкой соединения необходимо выполнить следующие настройки: 1. Общие настройки: – В операционной системе Windows (7, 10) добавить запись DisableClientExtendedMasterSecret (dword) в реестре HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL со значением 1 (т.к. Windows по-умолчанию блокирует подобные соединения). 2. Настройки для "Тестового стенда API": – Адреса API: • http://api.stage.mdlp.crpt.ru• https://api.stage.mdlp.crpt.ru– Добавить в хранилище доверенных сертификатов тестовый корневой сертификат от КриптоПро. Ссылка для загрузки: http://testca.cryptopro.ru/certsrv/certcarc.asp– В файл hosts добавить запись: 185.196.171.27 api.stage.mdlp.crpt.ru... Используемые протоколы и шифры для соединения (SSL шифры были выбраны с учетом требований к информационной безопасности по предоставлению публичного API для доступа к государственной информационной системе): ssl_protocols: TLSv1 ssl_ciphers: GOST2012-GOST8912-GOST8912" Ничего более. Излишне, наверное, говорить, что все вышеперечисленное выполнено. Один важный момент. Для работы с их сервером, необходимо сделать заявку, после чего они открывают доступ с вашего ip-адреса. Поэтому, я думаю, Ваши попытки будут блокироваться, если попытаетесь воспроизвести мою ситуацию. И да, с http проблем нет, все работает. У меня по-прежнему остается главный вопрос: каким образом заставить клиента (нашу программу) отправлять серверу нужный cipher suite, ведь, по-видимому, именно в этом проблема. И IE, судя по всему, не может соединиться по той же причине. Где-то у нас в системе не прописаны гостовские шрифты. Должны они устанавливаться при инсталляции КриптоПро CSP?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,340 Сказал «Спасибо»: 550 раз Поблагодарили: 2212 раз в 1727 постах
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,340 Сказал «Спасибо»: 550 раз Поблагодарили: 2212 раз в 1727 постах
|
Автор: StaniNeuer Ничего более. Излишне, наверное, говорить, что все вышеперечисленное выполнено. Один важный момент. Для работы с их сервером, необходимо сделать заявку, после чего они открывают доступ с вашего ip-адреса. Поэтому, я думаю, Ваши попытки будут блокироваться, если попытаетесь воспроизвести мою ситуацию.
И да, с http проблем нет, все работает. Нет ничего лишнего. Да, как раз это хотел уточнить. Сборки ПО какие (КриптоПРО CSP\.NET), ОС? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.12.2019(UTC) Сообщений: 12 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Подключение в IE к https://cpca.cryptopro.ru/ выдает сообщение: "Сертификат безопасности этого веб-сайта не был выпущен доверенным центром сертификации" (см прикрепленный файл) В контексте нашей проблемы, что это означает? Скорее всего после установки в хранилище доверенных центров, подключение и по этому адресу начнет натыкаться на отсутствие нужного шрифта, Вы так не считаете? КриптоПро CSP 4.0.9963, КриптоПро .NET 1.0.7132.0, Windows 7 Support_2019-12-25_05.JPG (55kb) загружен 11 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,340 Сказал «Спасибо»: 550 раз Поблагодарили: 2212 раз в 1727 постах
|
Автор: StaniNeuer Подключение в IE к https://cpca.cryptopro.ru/ выдает сообщение: "Сертификат безопасности этого веб-сайта не был выпущен доверенным центром сертификации" (см прикрепленный файл) В контексте нашей проблемы, что это означает? Скорее всего после установки в хранилище доверенных центров, подключение и по этому адресу начнет натыкаться на отсутствие нужного шрифта, Вы так не считаете? КриптоПро CSP 4.0.9963, КриптоПро .NET 1.0.7132.0, Windows 7 Support_2019-12-25_05.JPG (55kb) загружен 11 раз(а). Не считаю. Добавив корневой в доверенные - будет открываться без сообщения. Вы соединились по ГОСТ-у, т.е. он работает в ОС.
Шрифты мы не обсуждаем, только наборы шифрования
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 23.12.2019(UTC) Сообщений: 12 Откуда: Москва Сказал(а) «Спасибо»: 2 раз
|
Хорошо, давайте проверим. Ссылку на корневой не подскажите, где найти?
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close