Статус: Участник
Группы: Участники
Зарегистрирован: 14.10.2008(UTC)
Сообщений: 11
Откуда: Moscow
|
Возможна ли работа с обычными SSL-соединениями после установки JCP на JVM?
Если да, то будет ли работать обычный SSL-коннектор для Tomcat с анонимными SSL-клиентами как и ранее?
То есть существует ли возможность лишь средствами конфигурирования описать в Tomcat два коннектора - один для работы с обычным SSL, а второй - для работы в инфраструктуре КриптоПРО?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207
Поблагодарили: 3 раз в 3 постах
|
Можно настроить на разные порты: Код:Connector port="8443" maxHttpHeaderSize="8192"
protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false"
sslProtocol="TLS"
keystoreFile="C:/rsa.store"
keystorePass="111111"
Код:Connector port="443" maxHttpHeaderSize="8192"
protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="true"
algorithm="GostX509"
keystoreProvider="JCP"
sslProtocol="GostTLS"
keystoreType="HDImageStore"
keyalg="GOST3410"
sigalg="GOST3411withGOST3410EL"
keystoreFile="C:/gost.store"
keystorePass="111"
truststoreFile="C:/gost.store"
truststorePass="111"
При этом в java.security необходимо закомментировать следующие строки: Код:ssl.SocketFactory.provider=ru.CryptoPro.ssl.SSLSocketFactoryImpl
ssl.ServerSocketFactory.provider=ru.CryptoPro.ssl.SSLServerSocketFactoryImpl
ssl.KeyManagerFactory.algorithm=GostX509
ssl.TrustManagerFactory.algorithm=GostX509
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.10.2008(UTC)
Сообщений: 11
Откуда: Moscow
|
Ольга написал:Можно настроить на разные порты:
Настроил указанным выше образом (только JCP коннектор в томкете), но соединиться с сервером не получается - IE сразу обрывает соединение (SSL3 и TLS включены), а csptest с другой машины выдает следующий результат - Код:C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -v -server 192.168.1.239 -port 8443
ClientHello: RecordLayer: TLS, Len: 91
Cipher Suites: (00 35) (00 05) (c0 0a) (c0 09) (c0 0a) (c0 13) (00 14) (00 32) (00 38) (00 13) (00 04) (00 80) (01 81) (
00 00)
96 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0x80090326 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:401:Error performing handshake.
Error number 57 (87).
Параметр задан неверно.
Total: SYS: 0.016 sec USR: 0.031 sec UTC: 0.080 sec
[ErrorCode: 0x00000001]
Переключая на обычного провайдера SSL, добиваюсь нормального соединения с сервером из IE.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207
Поблагодарили: 3 раз в 3 постах
|
Какая версия csp?
Что пишет csptest с той машины, с которой подключались через IE?
Какой алгоритм ключа "обычного" ssl?
Попробуйте закомментировать коннектор с "обычным" ssl, запустите сервер, предварительно выполнив перезагрузку
и установив clientAuth="false". Убедитесь, что в логах томкета после старта сервера нет ошибок и варнингов. Обратитесь csptest.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.10.2008(UTC)
Сообщений: 11
Откуда: Moscow
|
Ольга написал:Какая версия csp?
Что пишет csptest с той машины, с которой подключались через IE?
Какой алгоритм ключа "обычного" ssl?
Попробуйте закомментировать коннектор с "обычным" ssl, запустите сервер, предварительно выполнив перезагрузку
и установив clientAuth="false". Убедитесь, что в логах томкета после старта сервера нет ошибок и варнингов. Обратитесь csptest. На сервере - последняя версия JCP. На клиенте - CSP 3.0 "Обычный" SSL - самосгенереный ключ. Коннекторы SSL - КриптоПРО и "обычный" одновременно не включены. При пусках работает один из них. clientAuth="false" выставил - csptest дает тот же результат - Код:C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -v -server 192.168.1.239 -port 8443
ClientHello: RecordLayer: TLS, Len: 91
Cipher Suites: (00 35) (00 05) (c0 0a) (c0 09) (c0 0a) (c0 13) (00 14) (00 32) (00 38) (00 13) (00 04) (00 80) (01 81) (
00 00)
96 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0x80090326 returned by InitializeSecurityContext (2)
An error occurred in running the program.
.\WebClient.c:401:Error performing handshake.
Error number 57 (87).
Параметр задан неверно.
Total: SYS: 0.016 sec USR: 0.016 sec UTC: 0.078 sec
[ErrorCode: 0x00000001]
в консоли сервера при этом сообщения - Код:16:24:17,451 ERROR [STDERR] Nov 17, 2008 4:24:17 PM ru.CryptoPro.ssl.ServerLicense verifyAmount
INFO: Approaching to licensed connections limit: 1/1
16:24:24,149 ERROR [STDERR] Nov 17, 2008 4:24:24 PM ru.CryptoPro.ssl.ServerLicense verifyAmount
INFO: Approaching to licensed connections limit: 1/1
16:24:34,728 ERROR [STDERR] Nov 17, 2008 4:24:34 PM ru.CryptoPro.ssl.ServerLicense verifyAmount
INFO: Approaching to licensed connections limit: 1/1
16:24:34,774 ERROR [STDERR] Nov 17, 2008 4:24:34 PM ru.CryptoPro.ssl.ServerLicense verifyAmount
INFO: Approaching to licensed connections limit: 1/1
16:24:34,785 ERROR [STDERR] Nov 17, 2008 4:24:34 PM ru.CryptoPro.ssl.d a
WARNING: %% No alias is match
16:24:34,792 ERROR [STDERR] Nov 17, 2008 4:24:34 PM ru.CryptoPro.ssl.d a
WARNING: %% No alias is match
16:24:39,374 ERROR [STDERR] Nov 17, 2008 4:24:39 PM ru.CryptoPro.ssl.ServerLicense verifyAmount
INFO: Approaching to licensed connections limit: 1/1
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207
Поблагодарили: 3 раз в 3 постах
|
сервер не нашел ключи...я для этого просила посмотреть лог до обращения к серверу...
пароль на контейнер и на соответствующее хранилище должен быть одинаков
ps: самосгенереный ключ - это не алгоритм (keytool по умолчанию генерирует ключ DSA...)
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.10.2008(UTC)
Сообщений: 11
Откуда: Moscow
|
Ольга написал:сервер не нашел ключи...я для этого просила посмотреть лог до обращения к серверу...
пароль на контейнер и на соответствующее хранилище должен быть одинаков
ps: самосгенереный ключ - это не алгоритм (keytool по умолчанию генерирует ключ DSA...) Пароли совпадают. В процессе запуска сервер на отсутствие ключей не ругается - но такое было, пока не были указаны правильные пути. Возможно по состоянию контрольной панели Вы сможете подсказать мне о месте, в котором я ошибся - [img]http://img-fotki.yandex.ru/get/3003/gon3ales.0/0_2c769_827a8ef4_L[/img]
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.10.2008(UTC)
Сообщений: 11
Откуда: Moscow
|
oalexeev написал:Пароли совпадают. В процессе запуска сервер на отсутствие ключей не ругается - но такое было, пока не были указаны правильные пути. И вот с какой конфигурацией оно запускается - Код: Connector port="8443" maxHttpHeaderSize="8192"
protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false"
algorithm="GostX509"
keystoreProvider="JCP"
sslProtocol="GostTLS"
keystoreType="HDImageStore"
keyalg="GOST3410"
sigalg="GOST3411withGOST3410EL"
keystoreFile="/home/jboss/gost.store"
keystorePass="q"
truststoreFile="/home/jboss/gost.store"
truststorePass="q"
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.01.2008(UTC)
Сообщений: 207
Поблагодарили: 3 раз в 3 постах
|
ключ является ключом обмена?Аутентификация сервера? нужно проверить ssl (для этого можно запустить CheckConfFull из ComLine (samples.jar)) Отредактировано пользователем 18 ноября 2008 г. 17:18:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 14.10.2008(UTC)
Сообщений: 11
Откуда: Moscow
|
Ольга написал:ключ является ключом обмена?Аутентификация сервера?
нужно проверить ssl (для этого можно запустить CheckConfFull из ComLine (samples.jar)) Ключ является ключом обмена и по нему может идти аутентификация сервера. Проверил ssl - Код:java.lang.RuntimeException: Default SSL context init failed:
at ru.CryptoPro.ssl.SSLContextImpl.d(Unknown Source)
at ComLine.CheckConfFull.tls(Unknown Source)
at ComLine.CheckConfFull.checkJTLS(Unknown Source)
at ComLine.CheckConfFull.main(Unknown Source)
Caused by: java.security.UnrecoverableKeyException: Password is not valid.
at ru.CryptoPro.JCP.KeyStore.j.f(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.j.e(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.j.a(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.ContainerStore.engineGetKey(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.JCPKeyStore.engineGetKey(Unknown Source)
at java.security.KeyStore.getKey(KeyStore.java:763)
at com.sun.net.ssl.internal.ssl.KeyManagerFactoryImpl$SunX509.engineInit(KeyManagerFactoryImpl.java:48)
at javax.net.ssl.KeyManagerFactory.init(KeyManagerFactory.java:239)
... 6 more
java.lang.Exception: server not running at the test
at ComLine.CheckConfFull.tls(Unknown Source)
at ComLine.CheckConfFull.checkJTLS(Unknown Source)
at ComLine.CheckConfFull.main(Unknown Source)
Nov 18, 2008 7:29:13 PM ComLine.CheckConfFull main
WARNING:
JTLS - FAIL
Пытался запустить сервер из примеров - Код:java -classpath samples.jar ComLine.Server -trustStorePath /home/jboss/gost.store -trustStorePassword q -keyStorePassword q
Nov 18, 2008 7:41:46 PM ru.CryptoPro.JCP.tools.n a
INFO: JCP loaded.
Exception in thread "main" java.lang.RuntimeException: Default SSL context init failed:
at ru.CryptoPro.ssl.SSLContextImpl.d(Unknown Source)
at ComLine.Server.main(Unknown Source)
Caused by: java.security.UnrecoverableKeyException: Password is not needed.
at ru.CryptoPro.JCP.KeyStore.j.f(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.j.e(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.j.b(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.ContainerStore.engineGetKey(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.JCPKeyStore.engineGetKey(Unknown Source)
at java.security.KeyStore.getKey(KeyStore.java:763)
at com.sun.net.ssl.internal.ssl.KeyManagerFactoryImpl$SunX509.engineInit(KeyManagerFactoryImpl.java:48)
at javax.net.ssl.KeyManagerFactory.init(KeyManagerFactory.java:239)
... 4 more
Пытался запустить сервер из примеров уже без пароля - Код:java -classpath samples.jar ComLine.Server -trustStorePath /home/jboss/gost.store -trustStorePassword q -keyStorePassword null
Nov 18, 2008 7:40:44 PM ru.CryptoPro.JCP.tools.n a
INFO: Loading JCP...
Nov 18, 2008 7:40:44 PM ru.CryptoPro.JCP.tools.n a
INFO: JCP loaded.
Exception in thread "main" java.lang.RuntimeException: Default SSL context init failed:
at ru.CryptoPro.ssl.SSLContextImpl.d(Unknown Source)
at ComLine.Server.main(Unknown Source)
Caused by: java.security.UnrecoverableKeyException: Need password
at ru.CryptoPro.JCP.KeyStore.j.f(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.j.e(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.j.a(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.ContainerStore.engineGetKey(Unknown Source)
at ru.CryptoPro.JCP.KeyStore.JCPKeyStore.engineGetKey(Unknown Source)
at java.security.KeyStore.getKey(KeyStore.java:763)
at com.sun.net.ssl.internal.ssl.KeyManagerFactoryImpl$SunX509.engineInit(KeyManagerFactoryImpl.java:48)
at javax.net.ssl.KeyManagerFactory.init(KeyManagerFactory.java:239)
... 4 more
На контейнере и на сторадже пароли совпадают. Куда копать?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
