Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
При помощи сертификата подписаного не нарегестрированом на сервере УЦ всё равно можно получить досту
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline AlexandrR  
#1 Оставлено : 11 апреля 2012 г. 19:09:36(UTC)
AlexandrR

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.04.2012(UTC)
Сообщений: 1
Откуда: СПб
Здравствуйте
у меня возникла проблема с двусторонним ssh
успользуя КриптоПро JCP создал хранилище сертификатов, положил туда сертификат УЦ, подключил серверный сертификат, на вкладке "Server settings" проставил Client autentification: required

настроил томкат:
Код:

<Connector port="8443" maxHttpHeaderSize="8192"
protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="true"
algorithm="GostX509"
keystoreProvider="JCP"
sslProtocol="GostTLS"
keystoreType="HDImageStore"
keyalg="GOST3410"
sigalg="GOST3411withGOST3410EL"
keystoreFile="/usr/local/jcp/uc.keystore"
keystorePass="password"
truststoreFile="/usr/local/jcp/uc.keystore"
truststorePass="password" />

после чего открываю страничку по https и всё работет как надо - если есть сертификаты данного УЦ, то он предлагает из них выбор, если нет, то не пускает

но возникла проблема:

создаю тестовый сертификат
Код:
csptest -keyset -newkeyset -makecert CN=dummy2 -keytype exchange -u 2 -container dummy2 > 1.txt

копирую копирую его в доверенные корневые

и дальше запускаю
Код:
csptest -tlsc -server ****** -file styles/styles.css -port 443 -v -user dummy2 > 1.txt

и получаю файл

лог 1.txt
Код:
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Windows CPU:IA32 FastCode:READY,ENABLED.
c:\Program Files\Crypto Pro\CSP\csptest -tlsc -server url.ru -file styles/style.css -port 443 -v -user dummy2 

Client certificate:
Subject: E=dummy2@cryptopro.ru, CN=dummy2
Valid  : 11.04.2012 - 01.04.2030
Issuer : E=dummy2@cryptopro.ru, CN=dummy2

5 algorithms supported:
[0] 1.2.643.2.2.21 (ГОСТ 28147-89)
[1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[2] 0x801f
[3] 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[4] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
Cipher strengths: 256..256
Supported protocols: 0x80
Try call SetCredentialsAttributes, 0012FC4C
ClientHello: RecordLayer: TLS, Len: 91
Cipher Suites: (00 80) (00 32) (01 31) (00 00) 
96 bytes of handshake data sent
1717 bytes of handshake data received
625 bytes of handshake data sent
6 bytes of handshake data received
25 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_NAMES: E=***, C=RU, S=****, L=****, O=****, CN=****

Server certificate:
Subject: E=****, C=RU, S=***, L=*****, O=****, CN=*****
Valid  : 10.04.2012 - 10.07.2013
Issuer : E=****, C=RU, L=****, O=*****, OU=****, CN=RCA *** ROOT
Error 0x800b0109 (CERT_E_UNTRUSTEDROOT) returned by CertVerifyCertificateChainPolicy!
**** Error authenticating server credentials!

Protocol: TLS1
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa24
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16379

HTTP request: GET /styles/styles.css HTTP/1.0

User-Agent: Webclient

Accept:*/*




Sending plaintext: 72 bytes
81 bytes of application data sent
16388 bytes of (encrypted) application data received
Reply status: HTTP/1.1 200 OK

Decrypted data: 9000 bytes
Extra data: 7379 bytes
8804 bytes of (encrypted) application data received
Decrypted data: 9000 bytes
Extra data: 7174 bytes
Decrypted data: 7154 bytes
Extra data: 11 bytes
Context expired: OK if file is completely downloaded
Sending Close Notify
11 bytes of handshake data sent
1 connections, 25154 bytes in 4.267 seconds;
Total: SYS: 0,234 sec USR: 0,094 sec UTC: 4,510 sec
[ErrorCode: 0x00000000]


Подскажите, пожалуйста, что надо ещё настроить, что б закрыть этот не санкционированный доступ

Отредактировано пользователем 24 апреля 2012 г. 14:29:59(UTC)  | Причина: Не указана
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Евгений Афанасьев  
#2 Оставлено : 23 апреля 2012 г. 13:25:53(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,977
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 708 раз в 669 постах
Здравствуйте.
Вы указываете порт 443, в по настройкам коннектора следует 8443.
Может быть, на этом порту 443 разрешено не указывать клиентский сертификат?

Отредактировано пользователем 23 апреля 2012 г. 19:30:05(UTC)  | Причина: Не указана

Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
Offline Rams  
#3 Оставлено : 30 мая 2012 г. 8:16:10(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург
Подыму тему, поскольку вопрос так и не был решен.

Дело в том, что сертификат пользователя у клиента затребован, но не проверяется издатель данного сертификата, таким образом, можно изготовить поддельный гостовый сертификат с любыми полями и аутентифицироваться в системе.

Второй вопрос: можно ли заставить JavaTLS проверять CRL присланного клиентского сертификата?

Третий вопрос: можно ли подключить TSL список издателей, и ограничить клиентские сертификаты только данными издателями?

Отредактировано пользователем 30 мая 2012 г. 8:20:35(UTC)  | Причина: Не указана
Вверх
Offline Евгений Афанасьев  
#4 Оставлено : 30 мая 2012 г. 13:04:40(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,977
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 708 раз в 669 постах
Добрый день.
Вы пробовали JTLS 1.0.53 и там та же проблема?
Тех. поддержка
База знаний
Логирование JCP
Логирование JTLS
Тест JCP и сбор диаг. информации
Скачать JCP, JCSP и JTLS
Скачать Android CSP + SDK
Вверх
Offline Rams  
#5 Оставлено : 30 мая 2012 г. 14:57:43(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург
Перешлю вопрос разработчикам нашей системы
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET