Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline lexaspb  
#1 Оставлено : 7 июня 2023 г. 15:46:21(UTC)
lexaspb

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.06.2023(UTC)
Сообщений: 3
Российская Федерация

Добрый день. Не работает двухсторонняя аутентификация с сервисом НБКИ при использовании CryptoPro JCP, по логу после входа в контейнер и проверки сертификатов удостоверяющих центров (в списке присутствуют уц клиентского сертификата) получаем следующие ошибки:

[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447875] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_15 a
FINE: No appropriate cert was found.
]]

[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447876] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_42] [METHODNAME: f] [[
*** Certificate message
***
]]

[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447876] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_42 f
FINE: *** Certificate message
***

]]

[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447876] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_15] [METHODNAME: a] [[
Generate ephemeral key pair.]]

[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447876] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_15 a
FINE: Generate ephemeral key pair.
....
[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447917] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_7] [METHODNAME: a] [[
Begin encrypt... ]]

[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447917] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_7 a
FINE: Begin encrypt...
]]

[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447918] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_7] [METHODNAME: a] [[
Encrypted... ]]

[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447918] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_7 a
FINE: Encrypted...
]]

[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447940] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_97] [METHODNAME: b] [[
pool-59-thread-4, RECV TLSv1.2 ALERT: fatal, description = handshake_failure]]

[tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447940] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_97 b
FINE: pool-59-thread-4, RECV TLSv1.2 ALERT: fatal, description = handshake_failure


В контейнер входим по паролю, в клиентском сертификате присутствует цепочка удостоверяющих центров.

Для проверки на эту же машину был установлен CryptoPro CSP, соединение через curl устанавливается
/opt/cprocsp/bin/amd64/curl --url https://reports.nbki.ru --cert HASH --verbose , где HASH идентификатор клиентского сертификата.

Подскажите, пожалуйста, в чем может быть ошибка ?


cert.png (35kb) загружен 11 раз(а). prop1.png (14kb) загружен 6 раз(а). prop2.png (13kb) загружен 7 раз(а).
Offline Евгений Афанасьев  
#2 Оставлено : 7 июня 2023 г. 17:10:53(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте. Приведите полный лог. По первому сообщению - не выбран клиентский сертификат, у этого могут быть разные причины.
Offline lexaspb  
#3 Оставлено : 7 июня 2023 г. 17:37:39(UTC)
lexaspb

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.06.2023(UTC)
Сообщений: 3
Российская Федерация

приложил

Отредактировано пользователем 9 июня 2023 г. 10:10:55(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#4 Оставлено : 7 июня 2023 г. 20:49:31(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Возможно, цепочка сертификатов клиента - длинная, например, состоит из трех сертификатов, в ключевом контейнере установлен только сертификат клиента и поэтому не проходит проверка по издателю. Нужно установить полную цепочку сертификатов клиента (p7b) в клиентский ключевой контейнер.
P.S. Да, на первой картинке цепочка клиента - длинная. Но построили вы ее с помощью отдельного хранилища доверенных сертификатов, а надо, чтобы цепочка была вся в контейнере.

Отредактировано пользователем 7 июня 2023 г. 20:50:36(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
nickm оставлено 09.06.2023(UTC)
Offline lexaspb  
#5 Оставлено : 9 июня 2023 г. 10:12:24(UTC)
lexaspb

Статус: Новичок

Группы: Участники
Зарегистрирован: 07.06.2023(UTC)
Сообщений: 3
Российская Федерация

Да, проблема была в неполной цепочке в контейнере (не было сертов уц). Спасибо за помощь.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.