Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Егор Воронянский  
#11 Оставлено : 21 марта 2024 г. 20:04:50(UTC)
Егор Воронянский

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.03.2024(UTC)
Сообщений: 4
Российская Федерация
Откуда: г. Москва

Кое-что поправил в java.security файле и пересобрал CertStore.
Цепочка сертификатов строится
Snimok ehkrana 2024-03-22 v 12.54.43 AM.png (105kb) загружен 4 раз(а).
В логах сейчас получаю ошибку
Цитата:

java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
at java.security.cert.PKIXParameters.setTrustAnchors(PKIXParameters.java:200) ~[na:1.8.0_401]
at java.security.cert.PKIXParameters.<init>(PKIXParameters.java:120) ~[na:1.8.0_401]
at java.security.cert.PKIXBuilderParameters.<init>(PKIXBuilderParameters.java:104) ~[na:1.8.0_401]
at ru.CryptoPro.ssl.pc_4.cl_2.<init>(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.pc_4.cl_4.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_121.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_121.a(Unknown Source) ~[cpSSL.jar:41789]

Полный лог прикладываю cronos2.log (29kb) загружен 2 раз(а).
В cacerts сертификаты также есть
Цитата:

./keytool -list -v -keystore /Library/Java/JavaVirtualMachines/jdk-1.8.jdk/Contents/Home/jre/lib/security/cacerts | grep crypt
мар 22, 2024 12:38:37 AM ru.CryptoPro.JCP.pref.JCPPref a
INFO: user: 501
Enter keystore password: changeit
accessLocation: URIName: http://cdp.cryptopro.ru/ra/aia/tlsca.p7b
accessLocation: URIName: http://tlsca2012.cryptop...d5a75d6e038753325704.crt
[URIName: http://cdp.cryptopro.ru/...d5a75d6e038753325704.crl]
[URIName: http://tlsca2012.cryptop...d5a75d6e038753325704.crl]
DNSName: *.cryptopro.ru
DNSName: cryptopro.ru
DNSName: *.crypto-pro.ru
DNSName: crypto-pro.ru
Alias name: letsencryptisrgx2 [jdk]
Alias name: letsencryptisrgx1 [jdk]
accessLocation: URIName: http://cdp.cryptopro.ru/ra/aia/tlsca.p7b
accessLocation: URIName: http://tlsca2012.cryptop...d5a75d6e038753325704.crt
[URIName: http://cdp.cryptopro.ru/...d5a75d6e038753325704.crl]
[URIName: http://tlsca2012.cryptop...d5a75d6e038753325704.crl]
Alias name: cryptopro.ru
Issuer: CN=R3, O=Let's Encrypt, C=US
DNSName: tlsca.cryptopro.ru

Offline Евгений Афанасьев  
#12 Оставлено : 21 марта 2024 г. 20:09:06(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Автор: Егор Воронянский Перейти к цитате
Вот полный лог с включенным уровнем логирования
cronos.log (71kb) загружен 4 раз(а).

Формат печати сообщений не из cpSSL.jar, вероятно, SSLContext с участием провайдера JTLS либо не используется (есть несколько строк ru.CryptoPro.ssl), либо не создается совсем для подключения: в стеке ошибки нет ru.CryptoPro.ssl.

Отдельно надо заметить, что JTLS не поддерживает иностранные алгоритмы.

Отредактировано пользователем 22 марта 2024 г. 0:22:23(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#13 Оставлено : 21 марта 2024 г. 20:11:26(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Автор: Егор Воронянский Перейти к цитате
Кое-что поправил в java.security файле и пересобрал CertStore.
Цепочка сертификатов строится
Snimok ehkrana 2024-03-22 v 12.54.43 AM.png (105kb) загружен 4 раз(а).
В логах сейчас получаю ошибку
Цитата:

java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
at java.security.cert.PKIXParameters.setTrustAnchors(PKIXParameters.java:200) ~[na:1.8.0_401]
at java.security.cert.PKIXParameters.<init>(PKIXParameters.java:120) ~[na:1.8.0_401]
at java.security.cert.PKIXBuilderParameters.<init>(PKIXBuilderParameters.java:104) ~[na:1.8.0_401]
at ru.CryptoPro.ssl.pc_4.cl_2.<init>(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.pc_4.cl_4.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_121.a(Unknown Source) ~[cpSSL.jar:41789]
at ru.CryptoPro.ssl.cl_121.a(Unknown Source) ~[cpSSL.jar:41789]

Полный лог прикладываю cronos2.log (29kb) загружен 2 раз(а).
В cacerts сертификаты также есть
Цитата:

./keytool -list -v -keystore /Library/Java/JavaVirtualMachines/jdk-1.8.jdk/Contents/Home/jre/lib/security/cacerts | grep crypt
мар 22, 2024 12:38:37 AM ru.CryptoPro.JCP.pref.JCPPref a
INFO: user: 501
Enter keystore password: changeit
accessLocation: URIName: http://cdp.cryptopro.ru/ra/aia/tlsca.p7b
accessLocation: URIName: http://tlsca2012.cryptop...d5a75d6e038753325704.crt
[URIName: http://cdp.cryptopro.ru/...d5a75d6e038753325704.crl]
[URIName: http://tlsca2012.cryptop...d5a75d6e038753325704.crl]
DNSName: *.cryptopro.ru
DNSName: cryptopro.ru
DNSName: *.crypto-pro.ru
DNSName: crypto-pro.ru
Alias name: letsencryptisrgx2 [jdk]
Alias name: letsencryptisrgx1 [jdk]
accessLocation: URIName: http://cdp.cryptopro.ru/ra/aia/tlsca.p7b
accessLocation: URIName: http://tlsca2012.cryptop...d5a75d6e038753325704.crt
[URIName: http://cdp.cryptopro.ru/...d5a75d6e038753325704.crl]
[URIName: http://tlsca2012.cryptop...d5a75d6e038753325704.crl]
Alias name: cryptopro.ru
Issuer: CN=R3, O=Let's Encrypt, C=US
DNSName: tlsca.cryptopro.ru


Тут, вероятно, уже передали SSLContext с участием JTLS в http-клиент, ошибка изменилась, есть пакет ru.CryptoPro.ssl в стеке ошибки, но в хранилище сертификатов нет корневых сертификатов: the trustAnchors parameter must be non-empty
Сюда нужно добавлять не сертификат сервера, а корневой сертификат цепочки сервера.
Offline Егор Воронянский  
#14 Оставлено : 22 марта 2024 г. 8:51:03(UTC)
Егор Воронянский

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.03.2024(UTC)
Сообщений: 4
Российская Федерация
Откуда: г. Москва

Возможно, я чего-то не понимаю, но в CertStore есть сертификат УЦ КриптоПРО, но ошибка по-прежнему происходит.
Snimok ehkrana 2024-03-22 v 1.35.31 PM.png (497kb) загружен 3 раз(а).

Вот мой CertStore
certstore_cronos.txt (18kb) загружен 2 раз(а).

Смущает такая строчка в логах
Код:

2024-03-22 13:25:52.747  INFO 48063 --- [nio-8084-exec-1] ru.CryptoPro.ssl.SSLLogger               : trustStore is :  No File Available, using empty keystore.
2024-03-22 13:25:52.747  INFO 48063 --- [nio-8084-exec-1] ru.CryptoPro.ssl.SSLLogger               : trustStore type is :  CertStore
2024-03-22 13:25:52.747  INFO 48063 --- [nio-8084-exec-1] ru.CryptoPro.ssl.SSLLogger               : trustStore provider is :  
2024-03-22 13:25:52.747  INFO 48063 --- [nio-8084-exec-1] ru.CryptoPro.ssl.SSLLogger               : init truststore
2024-03-22 13:25:52.747 DEBUG 48063 --- [nio-8084-exec-1] ru.CryptoPro.ssl.SSLLogger               : 
%% adding as trusted certificates %%


Подскажите пожалуйста, куда все-таки надо положить цепочку корневых сертификатов.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.