Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
Чем отличается TLS реализация JTLS+JCP и IE+CSP 3.6?
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Максим Коллегин  
#11 Оставлено : 20 апреля 2011 г. 12:41:00(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,396
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Очень странный сайт. Отвечает разными протоколами и сертификатами.
На Windows 7
На TLS 1.0 отвечает:
Цитата:
C:\Users\root>start /b csptest -tlsc -server zakupki.gov.ru -v -proto 4

C:\Users\root>CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6713 OS:Windows CPU:IA
32 FastCode:READY,ENABLED.
C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -server zakupki.gov.ru -v -pro
to 4
12 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 1.2.840.113549.1.1.1 (RSA)
[8] 1.2.840.113549.1.9.16.3.5 (ESDH)
[9] 0xae06
[10] 1.2.840.10040.4.1 (DSA)
[11] 0x2203
Cipher strengths: 256..256
Supported protocols: 0x80
Try call SetCredentialsAttributes, 0012FB34
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 117
Cipher Suites: (00 81) (00 80) (00 32) (00 2f) (00 35) (00 05) (c0 0a) (c0 13) (
c0 14) (c0 09) (00 0a) (00 38) (00 13) (01 04)
122 bytes of handshake data sent
484 bytes of handshake data received
210 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Proto: 80, Suite: 31 (TLS_GOST_R_3410_WITH_28147_LEGACY
)
SECPKG_ATTR_NAMES: C=RU, O=LANIT, CN=zakupki.gov.ru

Server certificate:
Subject: C=RU, O=LANIT, CN=zakupki.gov.ru
Valid : 05.01.2011 18:47:09 - 05.01.2012 18:47:09 (UTC)
Issuer : C=RU, O=LANIT, CN=zakupki.gov.ru
Error 0x800b0109 (CERT_E_UNTRUSTEDROOT) returned by CertVerifyCertificateChainPo
licy!
An error occurred in running the program.
.\WebClient.c:507:Error authenticating server credentials!
Error number 0x800b0109 (2148204809).
Цепочка сертификатов обработана, но обработка прервана на корневом сертификате,
у которого отсутствует отношение доверия с поставщиком доверия.

На SSL 3.0:
Цитата:
C:\Users\root>start /b csptest -tlsc -server zakupki.gov.ru -v -proto 3

C:\Users\root>CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6713 OS:Windows CPU:IA
32 FastCode:READY,ENABLED.
C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -server zakupki.gov.ru -v -pro
to 3
11 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 1.2.840.113549.1.1.1 (RSA)
[8] 1.2.840.113549.1.9.16.3.5 (ESDH)
[9] 1.2.840.10040.4.1 (DSA)
[10] 0x2203
Cipher strengths: 256..256
Supported protocols: 0x20
Try call SetCredentialsAttributes, 0012FB34
Protocol version: 3.0
ClientHello: RecordLayer: TLS, Len: 53
Cipher Suites: (00 05) (00 0a) (00 13) (00 04) (01 ff)
58 bytes of handshake data sent
2881 bytes of handshake data received
208 bytes of handshake data sent
71 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Proto: 300, Suite: 5 (TLS_RSA_WITH_RC4_128_SHA)
SECPKG_ATTR_NAMES: C=RU, S=Some-State, L=Moscow, O=GOV, CN=zakupki.gov.ru

Server certificate:
Subject: C=RU, S=Some-State, L=Moscow, O=GOV, CN=zakupki.gov.ru
Valid : 23.09.2010 13:40:31 - 23.09.2011 13:40:31 (UTC)
Issuer : SN=Медведев, G=Анатолий Борисович, L=г. Москва, STREET="ул. Ильинка, д.
9", OID.1.2.840.113549.1.9.2=Данный сертификат открытого ключа используется со с
редством СКЗИ Крипто Про CSP, C=RU, O=Федеральное казначейство, CN=Уполномоченны
й удостоверяющий центр Федерального казначейства
CA subject: SN=Медведев, G=Анатолий Борисович, L=г. Москва, STREET="ул. Ильинка,
д.9", OID.1.2.840.113549.1.9.2=Данный сертификат открытого ключа используется с
о средством СКЗИ Крипто Про CSP, C=RU, O=Федеральное казначейство, CN=Уполномоче
нный удостоверяющий центр Федерального казначейства
CA issuer : SN=Медведев, G=Анатолий Борисович, L=г. Москва, STREET="ул. Ильинка,
д.9", OID.1.2.840.113549.1.9.2=Данный сертификат открытого ключа используется с
о средством СКЗИ Крипто Про CSP, C=RU, O=Федеральное казначейство, CN=Уполномоче
нный удостоверяющий центр Федерального казначейства

Error 0x800b0109 (CERT_E_UNTRUSTEDROOT) returned by CertVerifyCertificateChainPo
licy!
An error occurred in running the program.
.\WebClient.c:507:Error authenticating server credentials!
Error number 0x800b0109 (2148204809).
Цепочка сертификатов обработана, но обработка прервана на корневом сертификате,
у которого отсутствует отношение доверия с поставщиком доверия.

Отредактировано пользователем 20 апреля 2011 г. 12:43:43(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline Максим Коллегин  
#12 Оставлено : 20 апреля 2011 г. 12:46:14(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,396
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
ГОСТ сертификат только в первом ответе. С ним JCP работать не будет. Это самоподписанный сертификат CA и он не может использоваться в качестве сертификата сервера. IE об этом сообщает красным окном.
Администраторы сервера однако жгут.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline miser  
#13 Оставлено : 20 апреля 2011 г. 15:10:14(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Вы будете удивлены. Но все первые ответы "Server Hello" из моего сообщения - идут от сервера со вторым сертификатом. И этот сертификат ГОСТ.
Код:

Signature Algorithm: GOST R 34.11-94 with GOST R 34.10-2001
Subject: C=RU, ST=Some-State, L=Moscow, O=GOV, CN=zakupki.gov.ru
X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication

И OpenSSL клиент, которые передавал запросы "Client Hello", нормально получает HTTP страницу авторизации.
А вот, самоподписной сертификат OpenSSL клиенту не нравится - нет реализации алгоритма шифрования.
Вверх
Offline basid  
#14 Оставлено : 6 мая 2011 г. 0:28:53(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,109

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
Name: zakupki.gov.ru
Addresses: 77.246.101.212, 77.246.101.214, 77.246.101.211
Насколько мне известно, "странный ГОСТ-овский сертификат" - только у одного из трёх серверов.
Вверх
Offline miser  
#15 Оставлено : 8 мая 2011 г. 0:18:14(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
Теперь у них 3 сервера. Это радует. То то я гляжу, что клиент OpenSSL стал реже выдавать ошибки.

На текущий момент я использую ветку Apache Hise JSSE xnet с поддержкой OpenSSL.
Пришлось кое что подправить для обмена данными с нативными библиотеками для Oracle (Sun) JVM.

Очень бы хотелось увидеть нормально работающий JTLS.
Гос. организациям нужен сертифицированные средства.
Вверх
Offline Максим Коллегин  
#16 Оставлено : 8 мая 2011 г. 4:39:36(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,396
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Что не так с jtls? Работать с некорректными сертификатами он не будет.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline miser  
#17 Оставлено : 12 мая 2011 г. 15:15:58(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
maxdm написал:
Что не так с jtls? Работать с некорректными сертификатами он не будет.

Дело не только в самих сертификатах. В теме "Работа JTLS из Java клиента" я упомянул, что сертификат надо добавить в хранилище доверенных сертификатов. При этом алиас должен совпадать с названием сайта. При работе с сайтом к нам идут минимум 2 разных сертификата. Как мне обойти ограничение в алиасах?
Вверх
Offline Iva  
#18 Оставлено : 16 мая 2011 г. 19:20:11(UTC)
Iva

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.10.2008(UTC)
Сообщений: 181
Требование
Цитата:
При этом алиас должен совпадать с названием сайта.
установлено в Apache HTTP Client. В JTLS таких требований нет. Как обойти это ограничение лучше спрашивать у разработчика.
Вверх
Offline evalotta  
#19 Оставлено : 21 мая 2013 г. 14:47:49(UTC)
evalotta

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.05.2013(UTC)
Сообщений: 3
Подскажите, пожалуйста, как вообще с использованием КриптоПро JCP войти в Личный кабинет сайта закупок???
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (4)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET