Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Alexander Kumanyaev  
#1 Оставлено : 2 ноября 2021 г. 11:54:39(UTC)
Alexander Kumanyaev

Статус: Участник

Группы: Участники
Зарегистрирован: 03.10.2019(UTC)
Сообщений: 28
Российская Федерация
Откуда: MSK

Сказал(а) «Спасибо»: 2 раз
Где можно почитать подробнее про алгоритм выбора клиентского сертификата при двусторонней SSL аутентификации?
В документации нашел следующее:
Цитата:

если на носителе существует подходящий сертификат (цепочка сертификатов) и при этом
удовлетворяющий переданному сервером списку доверенных имен издателей, а открытый
ключ этого сертификата совпадает по параметрам с открытым ключом сертификата
сервера, то этот сертификат будет передан серверу, а на соответствующем ему закрытом
ключе будет осуществлен обмен;


Как бы на пальцах понять где в сертификате сервера достать список этих доверенных имен издателей и как посмотреть нужные параметры в клиентском сертификате?

Коллеги с которыми я стыкуюсь подсказывают, что у них вообще принимаются любые клиентские сертификаты, как я могу это проверить?

У меня есть лог log.txt (174kb) загружен 2 раз(а). попытки соединения, как по нему понять, почему мой клиентский сертификат не выбрался для аутентификации клиента?

Отредактировано пользователем 2 ноября 2021 г. 11:59:36(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#2 Оставлено : 3 ноября 2021 г. 19:20:48(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте.
1. "Где можно почитать подробнее про алгоритм выбора клиентского сертификата при двусторонней SSL аутентификации?" - в рук-ве разработчика Java TLS, поискать в интернете про JSSE.
2. "Где в сертификате сервера достать список этих доверенных имен издателей и как посмотреть нужные параметры в клиентском сертификате?" - в сертификате сервера нет такой информации. Сервер присылает список в ходе хендшейка. Список берется из хранилища корневых сертификатов сервера.
3. "...у них вообще принимаются любые клиентские сертификаты, как я могу это проверить?" - возможно, список доверенных имен не высылается совсем или он очень велик, тогда он тоже не высылается, и клиент вправе выбрать и выслать любой сертификат.
В приложенном логе сервер прислал список доверенных:
Цитата:

<CN="УЦ АО \"НИИАС\"", O="АО \"НИИАС\"", OU=НТК ТИО, L=Москва, C=RU, EMAILADDRESS=cainfo@pkitrans.ru>
<CN="УЦ1 АО \"НИИАС\"", O="АО \"НИИАС\"", L=Москва, C=RU, EMAILADDRESS=cainfo@vniias.ru>

Клиент не выбрал ни один подходящий сертификат, хотя что-то имелось с алгоритмом GOST3410_2012_256 (видимо, apep_test_niias, про который ниже), здесь выбор оборвался на строке:
Цитата:

FINE: %% check extended key usage. size: 1
ноя 02, 2021 11:20:25 AM ru.CryptoPro.ssl.cl_38 a
FINE: %% check extended key usage of Client

Возможно, в сертификате клиента нет расширенного использования ключа "клиентская аутентификация".
При этом сервер вернул HTTP/1.1 200 OK, а не 403.
Возможно, на сервере нет строгого требования предъявлять сертификат клиента, потому POST-запрос был успешен.
Вообще, в начале лога среди сертификатов есть, видимо, заданный вами
Цитата:

found key for : apep_test_niias
chain [0] = [
[
Version: V3
Subject: EMAILADDRESS=a.kumanyaev@vniias.ru, O=Центр автоматизации управления допускаемыми скоростями движения поездов, OU="ОА \"НИИАС\"", T=Система, CN=АСУВОП Серверная Подпись, SURNAME=АСУВОП, GIVENNAME=Серверная Подпись, C=RU, L=Москва, ST=77 город Москва, STREET="Орликов пер., д. 5 стр. 1"
Signature Algorithm: 1.2.643.7.1.1.3.2, OID = 1.2.643.7.1.1.3.2

Key: ru.CryptoPro.JCP.Key.GostPublicKey
Validity: [From: Wed Oct 13 14:28:21 MSK 2021,
To: Fri Jan 13 14:38:21 MSK 2023]
Issuer: CN=Тестовый 2012, O="АО \"НИИАС\"", OU=НТК ТИО, STREET="ул. Нижегородская, д.27, стр. 1", L=Москва, ST=77 г.Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303030303030303030303030, OID.1.2.643.100.1=#120D30303030303030303030303030
SerialNumber: [ 01e150a8 565000cd 80ec111a 2c282715 0f]

Но у него издатель CN=Тестовый 2012, то есть он не подходит.

Отредактировано пользователем 3 ноября 2021 г. 19:29:13(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.