Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,921  Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 688 раз в 649 постах
|
Здравствуйте. 1. "Где можно почитать подробнее про алгоритм выбора клиентского сертификата при двусторонней SSL аутентификации?" - в рук-ве разработчика Java TLS, поискать в интернете про JSSE. 2. "Где в сертификате сервера достать список этих доверенных имен издателей и как посмотреть нужные параметры в клиентском сертификате?" - в сертификате сервера нет такой информации. Сервер присылает список в ходе хендшейка. Список берется из хранилища корневых сертификатов сервера. 3. "...у них вообще принимаются любые клиентские сертификаты, как я могу это проверить?" - возможно, список доверенных имен не высылается совсем или он очень велик, тогда он тоже не высылается, и клиент вправе выбрать и выслать любой сертификат. В приложенном логе сервер прислал список доверенных: Цитата:
<CN="УЦ АО \"НИИАС\"", O="АО \"НИИАС\"", OU=НТК ТИО, L=Москва, C=RU, EMAILADDRESS=cainfo@pkitrans.ru>
<CN="УЦ1 АО \"НИИАС\"", O="АО \"НИИАС\"", L=Москва, C=RU, EMAILADDRESS=cainfo@vniias.ru>
Клиент не выбрал ни один подходящий сертификат, хотя что-то имелось с алгоритмом GOST3410_2012_256 (видимо, apep_test_niias, про который ниже), здесь выбор оборвался на строке: Цитата:
FINE: %% check extended key usage. size: 1
ноя 02, 2021 11:20:25 AM ru.CryptoPro.ssl.cl_38 a
FINE: %% check extended key usage of Client
Возможно, в сертификате клиента нет расширенного использования ключа "клиентская аутентификация". При этом сервер вернул HTTP/1.1 200 OK, а не 403. Возможно, на сервере нет строгого требования предъявлять сертификат клиента, потому POST-запрос был успешен. Вообще, в начале лога среди сертификатов есть, видимо, заданный вами Цитата:
found key for : apep_test_niias
chain [0] = [
[
Version: V3
Subject: EMAILADDRESS=a.kumanyaev@vniias.ru, O=Центр автоматизации управления допускаемыми скоростями движения поездов, OU="ОА \"НИИАС\"", T=Система, CN=АСУВОП Серверная Подпись, SURNAME=АСУВОП, GIVENNAME=Серверная Подпись, C=RU, L=Москва, ST=77 город Москва, STREET="Орликов пер., д. 5 стр. 1"
Signature Algorithm: 1.2.643.7.1.1.3.2, OID = 1.2.643.7.1.1.3.2
Key: ru.CryptoPro.JCP.Key.GostPublicKey
Validity: [From: Wed Oct 13 14:28:21 MSK 2021,
To: Fri Jan 13 14:38:21 MSK 2023]
Issuer: CN=Тестовый 2012, O="АО \"НИИАС\"", OU=НТК ТИО, STREET="ул. Нижегородская, д.27, стр. 1", L=Москва, ST=77 г.Москва, C=RU, OID.1.2.643.3.131.1.1=#120C303030303030303030303030, OID.1.2.643.100.1=#120D30303030303030303030303030
SerialNumber: [ 01e150a8 565000cd 80ec111a 2c282715 0f]
Но у него издатель CN=Тестовый 2012, то есть он не подходит. Отредактировано пользователем 3 ноября 2021 г. 19:29:13(UTC)
| Причина: Не указана |
