Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,683   Сказал «Спасибо»: 572 раз
Поблагодарили: 2302 раз в 1803 постах
|
Автор: vamadir 
Без trusted не работает Gost mTLS,
Без Минкомсвязь России в trusted. Ошибка <capi20>CertCreateCertificateChainEngine!failed: LastError = 0x800B0109
Без Минцифры России в Root, и ЦБ в uСА. Клиент на входящих отваливается по mTLS, даже с учетом trusted
Именно. В trusted и root => самоподписанные, корневые сертификаты Минцифры (ранее Минкомсвязь и ещё ранее имя в CN было Головной Удостоверяющий Центр) ЦБ - это АУЦ и он от root - должен быть в mCA или uCA |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.11.2013(UTC) Сообщений: 77  Откуда: Тирана Сказал «Спасибо»: 3 раз
Поблагодарили: 13 раз в 12 постах
|
Автор: vamadir Автор: Николай Батищев В хранилище Trusted нужно ставить только корневые сертификаты. Промежуточных в нем быть не должно. А можно по подробней? Понятно что в Trusted только СА. А какие именно должны быть СА? Как пример, сертификат выпущен ЦБ его СА минцифры, почему Trusted падает без СА минкомсвязь? Хотя минкомсвязь не участвует в цепочке. Т.е. у меня в Trusted (СА минцифры + СА минкомсвязь) (Это реальный пример с прод стенда) Так же не понятно, если сертификат выпущен моей компанией. То с одним СА моей компании, Trusted падает. Приходится докидывать туда разные СА от КриптоПро и проверять методом тыка с чем будет работать Так же я не могу понять логику работы Trusted хранилищ, но методом тыка выяснил, что для работы Trusted 1. Сертификат СА должен быть установлен не только в Trusted, но и в Root 2. Цепочка(Промежуточных) от СА должна быть установлена в uCA Только при данных действиях Trusted хранилище запускается без ошибок Хранилища Root и Ca - системные (условно), в них устанавливаются корневые и промежуточные для построения цепочки доверия. Рекомендуется использовать пользовательские хранилища пользователя cpnginx (uCa, mCa), если сертификаты будут и в пользовательских и в т.н. хранилищах машины (mRoot, mCa) nginx не запустится. В хранилище Trusted* устанавливаются только корневые (самоподписанные) сертификаты Удостоверяющих Центров. Содержимое этого хранилища ограничивает перечень УЦ. Сертификаты выпущенные этими УЦ или подчиненными этим УЦ будут авторизовываться в mTLS. *Вы можете использовать произвольное название, главное указать его в конфиге nginx. Отредактировано пользователем 21 мая 2025 г. 16:11:30(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.04.2024(UTC) Сообщений: 11 Откуда: Москва Поблагодарили: 1 раз в 1 постах
|
Николай Батищев, Андрей *
Т.е. я правильно понял из ваших ответов?
Nginx
# Проверяет Root + Ca + My
sspi_certificate {My};
# Сертификат с которым мы принимаем(входящие) соединение.
# Проверяет Root + Ca + My
proxy_ssl_certificate {My};
# Сертификат с которым мы устанавливаем(исходящие) соединение.
# Проверяет сертификата клиента(входящие) + CA в Trusted. Если клиентский сертифкат официальный(не самоподписанный), то вместо Trusted, Root
sspi_client_certificate {Trusted};
# Проверка сертификата клиента, входящие по mTLS.
# Проверяет сертификат сервера + CA в Trusted. Если сертифкат сервера официальный(не самоподписанный), то вместо Trusted, Root
proxy_ssl_trusted_certificate {Trusted};
# Проверка сертификата сервера куда идут исходящие, исходящие по mTLS.
Подробнее
sspi_client_certificate / proxy_ssl_trusted_certificate
#
# {Trusted}
# Устанавливаются только корневые (самоподписанные) сертификаты Удостоверяющих Центров.
# Cертификаты выпущенные этими УЦ или подчиненными этим УЦ будут авторизовываться в mTLS
# Содержимое этого хранилища ограничивает перечень УЦ
#
# {Root}
# Cистемный. Официальные корневые сертификаты. Минцифры (ранее Минкомсвязь и ещё ранее имя в CN было Головной Удостоверяющий Центр) и тд.
Подробнее
sspi_certificate / proxy_ssl_certificate
# {Root}
# Cистемный. Устанавливаются официальные корневые для построения цепочки доверия c My.
# Если одни и теже сертификаты будут и в пользовательских и в хранилищах машины (mRoot, uRoot) nginx не запустится
# {Ca}
# Cистемный. Устанавливаются официальные промежуточные для построения цепочки доверия c My.
# Если одни и теже сертификаты будут и в пользовательских и в хранилищах машины (mCa, uCa) nginx не запустится
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
