Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Проблема Ошибка "CA cert support not built in" при использовании curl вместе с СА сертификатом
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline stap2103  
#1 Оставлено : 2 февраля 2023 г. 16:29:50(UTC)
stap2103

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.10.2022(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 1 раз
Привет
При попытке обращения к сервису внутри компании и использования сертификата из контейнера вместе с СА сертификатом получаю ошибку "schannel: CA cert support not built in"
Контейнер установлен из pfx в uMy хранилище, корневой сертификат так же установлен (их вообще 4 штуки).
В чем скорее всего может быть проблема?

Если использовать только сертификат контейнера, то наш сервис возвращает 403, чего не должно быть. Если не использовать серт вовсе или неверный, то не можем достучаться - что корректно. Но это уже наша кухня, предполагаем, что не хватает СА серта в этой цепочке для TLS подключения.

Цитата:

/opt/cprocsp/bin/curl -X POST --insecure \
--cacert "/Users/xxx/Downloads/tls_ca/root1.cer" \
--cert ${cert SHA1 Thumbprint} \
-v "https://xxx.ru/api/auth/get" \
-d '{"login": "xxx","password": "xxx"}'

Note: Unnecessary use of -X or --request, POST is already inferred.
* Trying xx.xx.xx.xxx:443...
* TCP_NODELAY set
* Connected to xxx.ru (xx.xx.xx.xxx) port 443 (#0)
* schannel: CA cert support not built in
* Closing connection 0
* schannel: shutting down SSL/TLS connection with xxx.ru port 443
curl: (4) schannel: CA cert support not built in


ОС: Mac OS Monterey 12.3
Версия CryptoPro CSP: 5.0 (ru.cryptopro.csp-cades-5.0.12600)
Версия Curl:
Цитата:

curl 7.65.3-DEV (x86_64-apple-darwin19.6.0) libcurl/7.65.3-DEV Schannel zlib/1.2.11
Release-Date: [unreleased]
Protocols: dict file ftp ftps gopher http https imap imaps ldap ldaps pop3 pop3s rtsp smtp smtps telnet tftp
Features: AsynchDNS IPv6 Kerberos Largefile libz NTLM NTLM_WB SPNEGO SSL SSPI UnixSockets
Вверх
Offline Андрей Русев  
#2 Оставлено : 17 февраля 2023 г. 0:42:49(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,578

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 663 раз в 458 постах
Автор: stap2103 Перейти к цитате
* schannel: CA cert support not built in
Это означает, что надо удалить параметр "--cacert /Users/xxx/Downloads/tls_ca/root1.cer", а корневой поставить в хранилище корневых КриптоПро:
Код:
/opt/cprocsp/bin/certmgr -inst -store uroot -file /Users/xxx/Downloads/tls_ca/root1.cer


Официальная техподдержка. Официальная база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET