Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline ESofter  
#11 Оставлено : 4 августа 2015 г. 15:13:05(UTC)
ESofter

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.01.2015(UTC)
Сообщений: 67

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Выслал "Андрею *" клиентский сертификат. Неудобно его выкладывать в общий форум...

Наверное действительно не выставлены какие-то нужные свойства ! Понять бы еще какие, чтобы это сообщить пользователю.
Offline Андрей Писарев  
#12 Оставлено : 4 августа 2015 г. 15:59:52(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,322
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
В самом сертификате - ничего не заметил.
Цитата:
Улучшенный ключ:
Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Защищенная электронная почта (1.3.6.1.5.5.7.3.4)
Средство электронной подписи:
"КриптоПро CSP" (версия 3.6)

Цепочка строится с использованием приложенного сертификата, и ключа УЦ в перечне квалифицированных
http://e-trust.gosuslugi...?ogrn=1127746460885&
Идентификатор ключа: 09768C3B4B0A3C0541A44EC983BB9D966F65D79F



Сделать копию контейнера и к ней привязать сертификат.
Программа работает от имени пользователя ОС или подключается к хранилищу локального компьютера?
Корневой установлен в доверенные корневые локального компьютера или только текущего пользователя?
Используются ли кросс-сертификаты от УЦ 1 ИС ГУЦ и УЦ 2 ИС ГУЦ (установлены на сервере\клиенте)?
Техническую поддержку оказываем тут
Наша база знаний
Offline ESofter  
#13 Оставлено : 4 августа 2015 г. 16:46:28(UTC)
ESofter

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.01.2015(UTC)
Сообщений: 67

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
1.Сделать копию контейнера и к ней привязать сертификат.
2.Программа работает от имени пользователя ОС или подключается к хранилищу локального компьютера?
3.Корневой установлен в доверенные корневые локального компьютера или только текущего пользователя?
4.Используются ли кросс-сертификаты от УЦ 1 ИС ГУЦ и УЦ 2 ИС ГУЦ (установлены на сервере\клиенте)?

Заработало !

В общем созвонился с пользователем. Он сказал, что похоже не тот сертификат выслал. Выслал другой клиентский, от другого УЦ !

2. Серверная часть крутится под IIS - пулу дал свою учетку (так и раньше работало. т.к. нужен доступ к БД). В серверном сертификате права на пул даны. Клиентскую программу запускаю без особых прав (без админских).

3. После вашего вопроса - установил корневой сертификат в доверенные И в Текущего пользователя, И в текущий компьютера.

Перед выполнением пункта 3 не работало (уже на новом сертификате). После выполнения пункта 3 заработало.

Спасибо вам большое за поддержку. Буду знать теперь что нужно контролировать Корневые Доверенные центры как клиента, так и сервера. Просто не знал что было виновно в проблеме, пока Вы не дали наводку на проблему. Данный текст ошибки то не шибко показывает конкретную причину - гадать и перебирать только остается.

Отредактировано пользователем 4 августа 2015 г. 17:10:08(UTC)  | Причина: Не указана

Offline ConfUser  
#14 Оставлено : 5 августа 2015 г. 15:35:52(UTC)
ConfUser

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.04.2015(UTC)
Сообщений: 6
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Подскажите пожалуйста, а чем отличаются ошибки
Цитата:
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">
<s:Body>
<s:Fault>
<faultcode xmlns:a="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">a:FailedAuthentication</faultcode>
<faultstring xml:lang="ru-RU">В сообщении не удалось проверить, по крайней мере, один маркер безопасности.</faultstring>
</s:Fault>
</s:Body>
</s:Envelope>


от, описанной автором статьи:
Цитата:
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/">
<s:Body>
<s:Fault>
<faultcode xmlns:a="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">a:FailedAuthentication</faultcode>
<faultstring xml:lang="ru-RU">В сообщении не удалось проверить, по крайней мере, один токен безопасности.</faultstring>
</s:Fault>
</s:Body>
</s:Envelope>


Я понимаю, что разница в словах маркер/токен. Причину искать также в клиентском/серверном сертификатах?
Offline ESofter  
#15 Оставлено : 11 октября 2016 г. 12:14:00(UTC)
ESofter

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.01.2015(UTC)
Сообщений: 67

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Снова возникла эта проблема. Не знаю что делать.
Сейчас ситуация такова. Я настроил, чтобы сервер и клиент работали используя один и тот же сертификат.

на клиентской стороне (clientCert и serverCert указывают на один и тот же сертификат):
Цитата:
factory.Credentials.ClientCertificate.Certificate = clientCert;
factory.Credentials.ServiceCertificate.DefaultCertificate = serverCert;
factory.Credentials.ServiceCertificate.Authentication.CertificateValidationMode = X509CertificateValidationMode.None;
factory.Credentials.ServiceCertificate.Authentication.RevocationMode = X509RevocationMode.NoCheck;


На стороне сервера (используется тот же сертификат):
Цитата:
MyServiceHost host = new MyServiceHost(singletonInstance, baseAddresses);
host.Credentials.ServiceCertificate.Certificate = GetServiceCertificate();



При попытке отправить запрос в сервис получаю ошибку:
Цитата:
Server stack trace:
в System.ServiceModel.Channels.SecurityChannelFactory`1.SecurityRequestChannel.ProcessReply(Message reply, SecurityProtocolCorrelationState correlationState, TimeSpan timeout)
в System.ServiceModel.Channels.SecurityChannelFactory`1.SecurityRequestChannel.Request(Message message, TimeSpan timeout)
в System.ServiceModel.Dispatcher.RequestChannelBinder.Request(Message message, TimeSpan timeout)
в System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
в System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
в System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]:
в System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
в System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
в MyServ.IMyServ.Request1(Request1_Request request)
в MyClient1.MyClient.Request1(string myParams) в C:\Projects\MyClient\MyClient.cs:строка 281
в MyClient1.Form1.button_Click(Object sender, EventArgs e) в C:\Projects\MyClient\Form1.cs:строка 44


В Fiddler'e пойман ответ сервера:
Цитата:
<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"><s:Body><s:Fault><faultcode xmlns:a="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">a:FailedAuthentication</faultcode><faultstring xml:lang="ru-RU">В сообщении не удалось проверить, по крайней мере, один токен безопасности.</faultstring></s:Fault></s:Body></s:Envelope>


Запускаю из VS, с админскими правами. Когда появилось окошко с просьбой ввести пароль для сертификата - ввел его, и включал галочку "Сохранить".

Как я понимаю, клиент успешно отправил запрос. Но сервер не смог проверить его ?
Еще странно, что ответ от сервера не подписан. Т.е. чистый "s:Envelope".
Может быть сервер не смог получить доступ к сертификату ? Но ведь открытая часть сертификата передается в самом сообщении.
Не пойму, кто вообще генерит ошибку о том, что не удалось проверить токен и почему.

Подскажите пожалуйста в чем может быть дело ?
Offline ESofter  
#16 Оставлено : 11 октября 2016 г. 13:59:29(UTC)
ESofter

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.01.2015(UTC)
Сообщений: 67

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Пробовал для сервера перебирать разные сертификаты - ошибка не меняется. Не пойму, в чем может быть проблема.
Клиентскую сторону не трогал. Сертификат кажется нормальный.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.