Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline ==fff==  
#21 Оставлено : 17 ноября 2022 г. 12:52:55(UTC)
==fff==

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.09.2022(UTC)
Сообщений: 35
Туркменистан

Сказал(а) «Спасибо»: 2 раз
Автор: Евгений Афанасьев Перейти к цитате
Судя по логам, проблема в том, что для TLS используется ключ подписи на алгоритме ГОСТ 2012, он отбраковывается модулем cpSSL. Требуется ключ обмена. В будущих релизах добавим возможность использовать ключ подписи.


Да, сертификат по ГОСТ 2012. Используется для подписания передаваемых данных и для установки защищенного соединения.

Уточнил в ФНС. Можно использовать несколько ключей: один для подписания, а второй для обмена. Выпускали сертификат по этой ссылке. Также смотрел здесь. Вижу вариант либо создать ключ подписи и обмена, либо только подписи. Возможно подскажете где могу сделать сертификат, подходящий только для обмена?
Offline Евгений Афанасьев  
#22 Оставлено : 17 ноября 2022 г. 21:26:55(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Обычно УЦ позволяет создать закрытый ключ подписи или ключ подписи и обмена (у него шире спектр действий) и затем по запросу на сертификат выпустить требуемый сертификат.
Offline ==fff==  
#23 Оставлено : 17 ноября 2022 г. 22:04:07(UTC)
==fff==

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.09.2022(UTC)
Сообщений: 35
Туркменистан

Сказал(а) «Спасибо»: 2 раз
Автор: Евгений Афанасьев Перейти к цитате
Обычно УЦ позволяет создать закрытый ключ подписи или ключ подписи и обмена (у него шире спектр действий) и затем по запросу на сертификат выпустить требуемый сертификат.


Да, об этом и говорю. У меня ключ подписи и обмена. Но если Вас правильно понял, функционал подписи не позволяет модулю cpSSL использовать мой ключ для установки защищенного подключения. Следовательно мне нужен ключ только для обмена. У УЦ есть возможность выпустить такой ключ?

Потому что если нет, то мне непонятно, какой ключ должен быть для установки соединения посредством cpSSL. Все кроме ГОСТ 2012?
Offline Андрей *  
#24 Оставлено : 17 ноября 2022 г. 23:58:46(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
Автор: ==fff== Перейти к цитате
Автор: Евгений Афанасьев Перейти к цитате
Обычно УЦ позволяет создать закрытый ключ подписи или ключ подписи и обмена (у него шире спектр действий) и затем по запросу на сертификат выпустить требуемый сертификат.


Да, об этом и говорю. У меня ключ подписи и обмена. Но если Вас правильно понял, функционал подписи не позволяет модулю cpSSL использовать мой ключ для установки защищенного подключения. Следовательно мне нужен ключ только для обмена. У УЦ есть возможность выпустить такой ключ?

Потому что если нет, то мне непонятно, какой ключ должен быть для установки соединения посредством cpSSL. Все кроме ГОСТ 2012?


Посмотрите, всего два варианта, а не через "и", три.

1. "Ключ подписи" - подписание
2. "Ключ подписи и обмена" - подписание, TLS
Техническую поддержку оказываем тут
Наша база знаний
Offline ==fff==  
#25 Оставлено : 11 января 2023 г. 13:01:02(UTC)
==fff==

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.09.2022(UTC)
Сообщений: 35
Туркменистан

Сказал(а) «Спасибо»: 2 раз
Автор: Евгений Афанасьев Перейти к цитате
Судя по логам, проблема в том, что для TLS используется ключ подписи на алгоритме ГОСТ 2012, он отбраковывается модулем cpSSL. Требуется ключ обмена. В будущих релизах добавим возможность использовать ключ подписи.


Евгений, подскажите пожалуйста, есть ориентировочные сроки решения проблемы? Выходим на прод, а у ФНС требования по сертификату для установки TLS соединения отличаются от тех, которые предъявляет cpSSL. Я скачал свежую КриптоПро Java CSP и JTLS (версия 5.0.42898-A для JVM 10+), но там ситуация не поменялась.
Offline ==fff==  
#26 Оставлено : 11 января 2023 г. 13:28:48(UTC)
==fff==

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.09.2022(UTC)
Сообщений: 35
Туркменистан

Сказал(а) «Спасибо»: 2 раз
И следом вопрос. С коллегами спорим по поводу того, как должен выглядеть ключ для успешной установки соединения.
Есть тестовый ключ, в котором:
  • свойство Улучшенный ключ=Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
  • свойство Использование ключа=Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0)

И есть ключ, которым хотим авторизоваться на проде:
  • свойство Улучшенный ключ=Пользователь службы штампов времени (1.2.643.2.2.34.25)
    Пользователь службы актуальных статусов (1.2.643.2.2.34.26)
    Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
    Неизвестное использование ключа (1.2.643.3.58.2.1.6)
    Неизвестное использование ключа (1.2.643.3.58.3.1.1.5)
    Неизвестное использование ключа (1.2.643.3.8.100.1.19)
    Неизвестное использование ключа (1.2.643.5.1.24.2.1.3)
    Неизвестное использование ключа (1.2.643.5.1.24.2.30)
    Неизвестное использование ключа (1.2.643.6.15)
    Неизвестное использование ключа (1.2.643.6.18.2)
    Неизвестное использование ключа (1.2.643.6.48)
    Неизвестное использование ключа (1.2.643.6.7)
    Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
    Защищенная электронная почта (1.3.6.1.5.5.7.3.4)
  • свойство Использование ключа=Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных, Согласование ключей (f8)


При авторизации вторым ключом получаю
Код:
FINE: Warning: no suitable certificate found - continuing without client authentication


Правильно понял, что в текущей ситуации для успешной авторизации нужно чтобы в Улучшенный ключ было Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) и ничего более? Если неправильно понял, то как понять, какой сертификат подойдет, а какой нет?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.