Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline hell-hunter  
#1 Оставлено : 26 августа 2024 г. 10:55:10(UTC)
hell-hunter

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2024(UTC)
Сообщений: 24

Сказал(а) «Спасибо»: 2 раз
Добрый день. Использую linux, csp 5.0.13. Лицензия пользователя csp активирована, не демо, контейнер который был выдан в бки инициализирован командой csptest -absorb -certs -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider". Далее Записываю сертификат клиента в этот контейнер - все ок. Имею 6 сертификатов выданных в бки, 3 корневых, 3 промежуточных. Корневые устанавливаю в хранилище uRoot, промежуточные в uca. Подписываю тестовый xml файл командой cryptcp -sign -thumbprint *** -detach -der "test.xml" "test.xml.sig" -nochain -norev - ответ что все ок. Далее проверяю подпись - тоже все ок. При попытке выполнить curl запрос /opt/cprocsp/bin/amd64/curl -v --location 'https://bki-b2b.scoring.ru/cr4.php' --header 'Content-Type: application/octet-stream' --data 'test.xml.sig' в ответ получаю shutting down SSL/TLS connection with bki-b2b.scoring.ru port 443
curl: (35) schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - The certificate chain was issued by an authority that is not trusted. Уже кучу разных советов с форума попробовал, ничего не помогает. Прошу помощи)
Offline Андрей *  
#2 Оставлено : 26 августа 2024 г. 11:19:02(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Автор: hell-hunter Перейти к цитате
Добрый день. Использую linux, csp 5.0.13. Лицензия пользователя csp активирована, не демо, контейнер который был выдан в бки инициализирован командой csptest -absorb -certs -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider". Далее Записываю сертификат клиента в этот контейнер - все ок. Имею 6 сертификатов выданных в бки, 3 корневых, 3 промежуточных. Корневые устанавливаю в хранилище uRoot, промежуточные в uca. Подписываю тестовый xml файл командой cryptcp -sign -thumbprint *** -detach -der "test.xml" "test.xml.sig" -nochain -norev - ответ что все ок. Далее проверяю подпись - тоже все ок. При попытке выполнить curl запрос /opt/cprocsp/bin/amd64/curl -v --location 'https://bki-b2b.scoring.ru/cr4.php' --header 'Content-Type: application/octet-stream' --data 'test.xml.sig' в ответ получаю shutting down SSL/TLS connection with bki-b2b.scoring.ru port 443
curl: (35) schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - The certificate chain was issued by an authority that is not trusted. Уже кучу разных советов с форума попробовал, ничего не помогает. Прошу помощи)


Здравствуйте.

Сертификат web-сервера выдан в УЦ CN = CryptoPro VPN CA GOST 2012

http://vpnca.cryptopro.r...c27dc50e70c7e06aa7d7.crt

Вы добавили сертификат УЦ в доверенные корневые?
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей *  
#3 Оставлено : 26 августа 2024 г. 11:23:27(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
либо прочитать справку
/opt/cprocsp/bin/amd64/curl --help

и отключить проверку
Цитата:

-k, --insecure Allow insecure server connections when using SSL

Техническую поддержку оказываем тут
Наша база знаний
Offline hell-hunter  
#4 Оставлено : 26 августа 2024 г. 11:56:44(UTC)
hell-hunter

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2024(UTC)
Сообщений: 24

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
либо прочитать справку
/opt/cprocsp/bin/amd64/curl --help

и отключить проверку
Цитата:

-k, --insecure Allow insecure server connections when using SSL



с отключенной проверкой возвращает ответ <div class="text-container">
<h1 class="error-header">Oops!</h1>
<p class="error-message"> A client has not presented the required certificate</p>
</div>
</div>
<p style="visibility: hidden; height: 0;">No required SSL certificate was sent</p>
</body>
</html>
* Closing connection 0
* schannel: shutting down SSL/TLS connection with bki-b2b-test.scoring.ru port 443
Offline hell-hunter  
#5 Оставлено : 26 августа 2024 г. 12:01:18(UTC)
hell-hunter

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2024(UTC)
Сообщений: 24

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
Автор: hell-hunter Перейти к цитате
Добрый день. Использую linux, csp 5.0.13. Лицензия пользователя csp активирована, не демо, контейнер который был выдан в бки инициализирован командой csptest -absorb -certs -provtype 80 -provider "Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider". Далее Записываю сертификат клиента в этот контейнер - все ок. Имею 6 сертификатов выданных в бки, 3 корневых, 3 промежуточных. Корневые устанавливаю в хранилище uRoot, промежуточные в uca. Подписываю тестовый xml файл командой cryptcp -sign -thumbprint *** -detach -der "test.xml" "test.xml.sig" -nochain -norev - ответ что все ок. Далее проверяю подпись - тоже все ок. При попытке выполнить curl запрос /opt/cprocsp/bin/amd64/curl -v --location 'https://bki-b2b.scoring.ru/cr4.php' --header 'Content-Type: application/octet-stream' --data 'test.xml.sig' в ответ получаю shutting down SSL/TLS connection with bki-b2b.scoring.ru port 443
curl: (35) schannel: next InitializeSecurityContext failed: SEC_E_UNTRUSTED_ROOT (0x80090325) - The certificate chain was issued by an authority that is not trusted. Уже кучу разных советов с форума попробовал, ничего не помогает. Прошу помощи)


Здравствуйте.

Сертификат web-сервера выдан в УЦ CN = CryptoPro VPN CA GOST 2012

http://vpnca.cryptopro.r...c27dc50e70c7e06aa7d7.crt

Вы добавили сертификат УЦ в доверенные корневые?


Да, скачивал этот сертификат и добавлял в uRoot
Offline Андрей *  
#6 Оставлено : 26 августа 2024 г. 13:57:27(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
Автор: hell-hunter Перейти к цитате
Автор: Андрей * Перейти к цитате
либо прочитать справку
/opt/cprocsp/bin/amd64/curl --help

и отключить проверку
Цитата:

-k, --insecure Allow insecure server connections when using SSL



с отключенной проверкой возвращает ответ <div class="text-container">
<h1 class="error-header">Oops!</h1>
<p class="error-message"> A client has not presented the required certificate</p>
</div>
</div>
<p style="visibility: hidden; height: 0;">No required SSL certificate was sent</p>
</body>
</html>
* Closing connection 0
* schannel: shutting down SSL/TLS connection with bki-b2b-test.scoring.ru port 443



вроде же все переводится?

добавить:

Цитата:
-E, --cert <certificate[:password]> Client certificate file and password
--cert-status Verify the status of the server certificate
--cert-type <type> Certificate file type (DER/PEM/ENG)


--cert отпечаток клиентского сертификата
Техническую поддержку оказываем тут
Наша база знаний
Offline hell-hunter  
#7 Оставлено : 28 августа 2024 г. 16:10:15(UTC)
hell-hunter

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2024(UTC)
Сообщений: 24

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
Автор: hell-hunter Перейти к цитате
Автор: Андрей * Перейти к цитате
либо прочитать справку
/opt/cprocsp/bin/amd64/curl --help

и отключить проверку
Цитата:

-k, --insecure Allow insecure server connections when using SSL



с отключенной проверкой возвращает ответ <div class="text-container">
<h1 class="error-header">Oops!</h1>
<p class="error-message"> A client has not presented the required certificate</p>
</div>
</div>
<p style="visibility: hidden; height: 0;">No required SSL certificate was sent</p>
</body>
</html>
* Closing connection 0
* schannel: shutting down SSL/TLS connection with bki-b2b-test.scoring.ru port 443



вроде же все переводится?

добавить:

Цитата:
-E, --cert <certificate[:password]> Client certificate file and password
--cert-status Verify the status of the server certificate
--cert-type <type> Certificate file type (DER/PEM/ENG)


--cert отпечаток клиентского сертификата


Да, спасибо, данную проблему разобрали, получилось отправить подписанный файл. Отправляем запрос с флагом --output <файл> и в ответе в этом файле видим: <responsestring>Запрос не подписан</responsestring>

Если я правильно это интерпретирую, то сервер бки считает что наш файл не подписан достоверной подписью. Мое предположение, что данный файл который мы отправляем не в DER кодировке, а в условиях партнера сказано "На прикладном уровне необходимо сформировать файл запроса в приведенных ниже форматах, после чего подписать закрытым ключом Партнера этот запрос в формате CMS/PKCS#7 в DER кодировке.". НО, я подписываю файл с помощью команды с указанием флага -der, что я думал переводит как раз таки в эту кодировку. Вот команда полная cryptcp -sign -thumbprint <*****>-detach -der "test.xml" "test.xml.sig" -nochain -norev. Отсюда вопрос, подскажите пожалуйста, где моя ошибка, кодируется ли таким флагом файл?

Offline Андрей *  
#8 Оставлено : 28 августа 2024 г. 16:31:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
если указан -der значит должен быть бинарный файл там,
а как передается исходный запрос (файл)?

ранее было указано такое:
Цитата:

При попытке выполнить curl запрос /opt/cprocsp/bin/amd64/curl -v --location 'https://bki-b2b.scoring.ru/cr4.php' --header 'Content-Type: application/octet-stream' --data 'test.xml.sig'


а test.xml (исходный файл, сам запрос) - где?
Техническую поддержку оказываем тут
Наша база знаний
Offline hell-hunter  
#9 Оставлено : 28 августа 2024 г. 16:41:38(UTC)
hell-hunter

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2024(UTC)
Сообщений: 24

Сказал(а) «Спасибо»: 2 раз
Автор: Андрей * Перейти к цитате
если указан -der значит должен быть бинарный файл там,
а как передается исходный запрос (файл)?

ранее было указано такое:
Цитата:

При попытке выполнить curl запрос /opt/cprocsp/bin/amd64/curl -v --location 'https://bki-b2b.scoring.ru/cr4.php' --header 'Content-Type: application/octet-stream' --data 'test.xml.sig'


а test.xml (исходный файл, сам запрос) - где?


Сейчас команду немного изменили, передаем таким запросом /opt/cprocsp/bin/amd64/curl -v --location -X POST 'https://bki-b2b-test.scoring.ru/cr4.php' --header 'Content-Type: application/octet-stream' --data-binary 'test.xml' --data-binary 'test.xml.sig' --cert <****> --output info1.txt
Offline Андрей *  
#10 Оставлено : 28 августа 2024 г. 16:48:02(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,357
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2217 раз в 1731 постах
cr4.php сам определяет, где что?
Нет описания web запроса?
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.