Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Отправка клиентского сертификата вместе с цепочкой (cert chain) через curl криптопро (schannel)
Статус: Участник
Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
|
Всем привет! Нужно каким-то образом указать curl в параметре --cert или альтернативным образом, чтобы он отправил на сервер не только клиентский сертификат, но и всю цепочку (промежуточный и корневой). Была вероятность, что дело обойдется загрузкой в контейнер этой цепочки сертов как необязательных расширений, что и было сделано (через csptestf), но вызов Код:curl --cert "<thumbprint>"
по-прежнему не хочет отправлять цепочку на сервер. Как быть в таком случае?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 729 раз в 630 постах
|
Цепочка (без корневого) пересылается по умолчанию. Если нужно и корневой, то есть параметр: Код:\\config\\Parameters\\tls_client_send_root_certificate 1
Отредактировано пользователем 10 августа 2023 г. 12:58:43(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
|
Автор: Максим Коллегин  Цепочка (без корневого) пересылается по умолчанию. Если нужно и корневой, то есть параметр: Код:\\config\\Parameters\\tls_client_send_root_certificate 1
Спасибо. А не подскажете где этот параметр настраивается?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 729 раз в 630 постах
|
На Windows: config =>\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\ |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
|
Походу так
cpconfig -ini \config\Parameters -add bool tls_client_send_root_certificate true
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 729 раз в 630 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
|
Любопытно, но аутентификация все равно не срабатывает, даже после включения отправки всей цепочки. Пытаюсь отдебажить с помощью csptest и получаю такой вывод: Код:
Client certificate: ---- //выбирается нужный клиентский серт
Subject: -----
Valid : 20.05.2022 10:19:38 - 30.08.2036 12:32:44 (UTC)
Issuer : C=RU, S=77 г. Москва, L=г. Москва, STREET="ул. Неглинная, д. 12",
PrivKey: 20.05.2022 10:19:38 - 20.08.2023 10:19:38 (UTC)
new schannel credential created //вроде как все нормально
11 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2.1 (ГОСТ Р 34.12-2015 Кузнечик CTR-ACPKM)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1.1 (ГОСТ Р 34.12-2015 Магма CTR-ACPKM)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
5367 bytes of handshake data sent
79 bytes of handshake data received
Handshake was successful
При этом в выводе утилиты есть Код:Issuers: 0, Length: 0 bytes
а на тестовом сервере этой конторы здесь отдается целый список Issuer-ов. К слову, на тестовом сервере с тестовым сертом и ключом аутентификация проходит.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 729 раз в 630 постах
|
В логе csptest — успех.
Issuerы могут и не присылаться сервером ( например, если из слишком много) |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.08.2023(UTC)
Сообщений: 14
|
Вот вроде везде успехи -- а отбивает 401 Unauthorized Код:1380 bytes of (encrypted) application data received
93 bytes of (encrypted) application data received
Decrypted data: 1452 bytes
No data in socket: OK if file is completely downloaded
Reply status: HTTP/1.1 401 Unauthorized
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2567:Bad HTTP status.
На той стороне настаивают, что дело в неустановленных (неотправляемых им) наших промежуточных/корневых сертификатах, так как они у себя видят, что серт не прошел проверку. При этом детали пока не уточняются, логи типа успех/неуспех.
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 5.0
»
Отправка клиентского сертификата вместе с цепочкой (cert chain) через curl криптопро (schannel)
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
