Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline adminman  
#1 Оставлено : 21 января 2022 г. 5:41:26(UTC)
adminman

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2022(UTC)
Сообщений: 2
Российская Федерация
Откуда: Новосибирск

Помогите, пожалуйста, разобраться с проблемой.
Есть код на .net5.0, который вычитывает сертификат и устанавливает безопасное соединение с сайтом Equifax. Код работает на серверах под управлением Windows Server 2016(2019) с установленными на них Крипто-Про версий 5.0.12000КС1, 5.0.11455КС1, 4.0.9842 (версии разные так как серверы настраивались в разное время). Для работы этого кода Крипто-Про не нужен, он установлен на серверах совсем для других вещей. Всё это работало на протяжении примерно двух лет. Последний факт корректной работы - 10 января 2022 года. После этого при попытке соединения с сайтом начали получать ошибку (отличается в зависимости от версии):
Крипто-Про 4.0.9842
Код:
Unhandled exception. System.AggregateException: One or more errors occurred. (The SSL connection could not be established, see inner exception.)
 ---> System.Net.Http.HttpRequestException: The SSL connection could not be established, see inner exception.
 ---> System.Security.Authentication.AuthenticationException: Authentication failed, see inner exception.
 ---> System.ComponentModel.Win32Exception (0x80090304): The Local Security Authority cannot be contacted

В логах Windows та же самая ошибка с источником .NET Runtime

Крипто-Про 5.0.11455КС1
Код:
Unhandled exception. System.AggregateException: One or more errors occurred. (The SSL connection could not be established, see inner exception.)
 ---> System.Net.Http.HttpRequestException: The SSL connection could not be established, see inner exception.
 ---> System.Security.Authentication.AuthenticationException: Authentication failed, see inner exception.
 ---> System.ComponentModel.Win32Exception (0x80090304): The Local Security Authority cannot be contacted

В логах Windows та же самая ошибка с источником .NET Runtime, а также ошибка 308 с источником cpssp
Код:
CryptoPro TLS. Error %2 importing public key: %1


Крипто-Про 5.0.12000КС1
Код:
Unhandled exception. System.AggregateException: One or more errors occurred. (The SSL connection could not be established, see inner exception.)
 ---> System.Net.Http.HttpRequestException: The SSL connection could not be established, see inner exception.
 ---> System.Security.Authentication.AuthenticationException: Authentication failed, see inner exception.
 ---> System.ComponentModel.Win32Exception (0x80090320): The credentials supplied were not complete, and could not be verified. The context could not be initialized.

В логах Windows та же самая ошибка с источником .NET Runtime, а также ошибка 307 с источником ssp
Код:
CryptoPro TLS. Error 0x80090320 in TLS protocol: The credentials supplied were not complete, and could not be verified. The context could not be initialized.


Права доступа к закрытому ключу выданы. Хотя, если удалить Крипто-Про, то всё работает хорошо вне зависимости от выставленных прав доступа к ключу. Но удалять Крипто-Про не вариант, так как он нужен для других целей.
Предположения:
  • проблема в обновлениях Windows
  • так как ошибку наблюдаем при попытке соединиться с тестовым сервером Equifax из нашей же тестовой среды (10 января все тесты работали), а наша боевая среда связывается с боевым же сервером Equifax нормально, то, возможно, проблема в тестовом сервере Equifax.

Пока жду ответа буду проверять предположения.
Offline adminman  
#2 Оставлено : 15 марта 2022 г. 5:54:42(UTC)
adminman

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.01.2022(UTC)
Сообщений: 2
Российская Федерация
Откуда: Новосибирск

Разобрался. Тестовый сервер Equifax возвращал другие наборы шифрования, которые он поддерживает. Они собираются переходить на использование ГОСТ, поэтому активировали его на тестовом сервере. В итоге имеем такую картину:
* в ответе сервера присутствуют алгоритмы шифрования ГОСТ
* на хосте, откуда уходил запрос, установлена Крипто-Про
* Крипто-Про вынуждает приложение использовать ГОСТ, так как сервер ответил, что поддерживает его
* для использования ГОСТ нужен дополнительный сертификат, который, естественно, не установлен
* приложение валится, так как не может найти сертификат и установить безопасное соединение

Тему можно закрывать.

Отредактировано пользователем 15 марта 2022 г. 5:56:55(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.