Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.10.2014(UTC) Сообщений: 38  Откуда: Казань Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 1 раз в 1 постах
|
Уважаемого afev прошу пояснить следующее: Автор: afev  ...Скорее всего, это не корневые, а сами сертификаты сервера. Для построения цепочки нужны корневые, потому empty для trust anchor... Разьве не достаточно в trust store держать только сертификат сервера? Ведь таким образом мы ему автоматически доверяем и доверие к сертификату его УЦ не требуется?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.09.2015(UTC)
Сообщений: 33
Сказал(а) «Спасибо»: 4 раз
|
Автор: est412 Уважаемого afev прошу пояснить следующее: Автор: afev ...Скорее всего, это не корневые, а сами сертификаты сервера. Для построения цепочки нужны корневые, потому empty для trust anchor... Разьве не достаточно в trust store держать только сертификат сервера? Ведь таким образом мы ему автоматически доверяем и доверие к сертификату его УЦ не требуется? Полагаю, что тут вопрос больше к моей некомпетентности в данном вопросе - Я сам что попало напихал в trustedCertStore. В итоге создал новый trustedCertStore, положил в него cacer3.crt и всё заработало.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.10.2014(UTC) Сообщений: 38 Откуда: Казань Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 1 раз в 1 постах
|
Да, но это именно корневой сертификат, и в полном соответствии со словами afev всё работает.
Но если в trustedCertStore вместо cacer3.crt положить сертификат сервера, т.е. вот этот:
Subject: CN=icrs.demo.nbki.ru, O=OJSC NBCH 2014, L=Moscow, ST=Moscow, C=RU, EMAILADDRESS=support@nbki.ru
Не будет работать?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.09.2015(UTC)
Сообщений: 33
Сказал(а) «Спасибо»: 4 раз
|
Автор: est412 Да, но это именно корневой сертификат, и в полном соответствии со словами afev всё работает.
Но если в trustedCertStore вместо cacer3.crt положить сертификат сервера, т.е. вот этот:
Subject: CN=icrs.demo.nbki.ru, O=OJSC NBCH 2014, L=Moscow, ST=Moscow, C=RU, EMAILADDRESS=support@nbki.ru
Не будет работать?
А его откуда скачать/взять?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.10.2014(UTC) Сообщений: 38 Откуда: Казань Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 1 раз в 1 постах
|
Если он недоступен, тогда конечно, без вариантов...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.09.2015(UTC)
Сообщений: 33
Сказал(а) «Спасибо»: 4 раз
|
Всё это хорошо. Простейший запрос сделан. Теперь в другом вопрос - как мне заставить NetBeans получить данные от Web-service? В конфиге, в netbeans_default_options добавил -J-Djavax.net.ssl.trustStore=c:/temp/JavaApplication2/trustedCertStore -J-Djavax.net.ssl.trustStorePasswor=qwerty Но он всё равно не видит данные от сервера Код:
02.09.2015 15:59:49 : Получение местоположения: file:/C:/temp/afs_wsdl.xml
\еПолучено: file:/C:/temp/afs_wsdl.xml
Сохранение в: C:\Users\wwwdev\AppData\Roaming\NetBeans\8.0.2\config\WebServices\afs_wsdl-xml\catalog\afs_wsdl.xml.wsdl
Получение местоположения: https://icrs.nbki.ru/nbch-afs/ws/service?xsd
Найдено в документе: file:/C:/temp/afs_wsdl.xml
Ошибка: Возникла ошибка ввода/вывода. Server selected improper ciphersuite TLS_DH_RSA_WITH_AES_128_CBC_SHA
Полагаю, что NetBeans использует sun.security.ssl.SSLSocketFactoryImpl; Интересно, как его заставить использовать ru.CryptoPro.ssl.SSLSocketFactoryImpl; ? Отредактировано пользователем 2 сентября 2015 г. 16:04:31(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Автор: est412 Разьве не достаточно в trust store держать только сертификат сервера? Ведь таким образом мы ему автоматически доверяем и доверие к сертификату его УЦ не требуется? В TrustManager'е мы фильтруем сертификаты, чтобы в список trust anchor попадали корневые самоподписанные сертификаты, т.к. должна быть построена (и проверена) вся цепочка. Другие сертификаты попадут в список intermediate и также могут быть использованы при построении цепочки. Иначе только в ситуации, когда серверный сертификат - самоподписанный. Автор: ArthurKh Всё это хорошо. Простейший запрос сделан. Теперь в другом вопрос - как мне заставить NetBeans получить данные от Web-service? В конфиге, в netbeans_default_options добавил -J-Djavax.net.ssl.trustStore=c:/temp/JavaApplication2/trustedCertStore -J-Djavax.net.ssl.trustStorePasswor=qwerty Но он всё равно не видит данные от сервера Код:
02.09.2015 15:59:49 : Получение местоположения: file:/C:/temp/afs_wsdl.xml
\еПолучено: file:/C:/temp/afs_wsdl.xml
Сохранение в: C:\Users\wwwdev\AppData\Roaming\NetBeans\8.0.2\config\WebServices\afs_wsdl-xml\catalog\afs_wsdl.xml.wsdl
Получение местоположения: https://icrs.nbki.ru/nbch-afs/ws/service?xsd
Найдено в документе: file:/C:/temp/afs_wsdl.xml
Ошибка: Возникла ошибка ввода/вывода. Server selected improper ciphersuite TLS_DH_RSA_WITH_AES_128_CBC_SHA
Полагаю, что NetBeans использует sun.security.ssl.SSLSocketFactoryImpl; Интересно, как его заставить использовать ru.CryptoPro.ssl.SSLSocketFactoryImpl; ? Поищите, нельзя ли как-то передать объект javax.net.ssl.SSLContext или собственные KeyStore, или переопределить фабрику сокетов. Отредактировано пользователем 2 сентября 2015 г. 16:13:43(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
est412 оставлено 02.09.2015(UTC)
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Или каким-то образом передать Код:
Security.setProperty("ssl.KeyManagerFactory.algorithm", ru.CryptoPro.ssl.Provider.KEYMANGER_ALG);
Security.setProperty("ssl.TrustManagerFactory.algorithm", ru.CryptoPro.ssl.Provider.KEYMANGER_ALG);
Security.setProperty("ssl.SocketFactory.provider", "ru.CryptoPro.ssl.SSLSocketFactoryImpl");
Security.setProperty("ssl.ServerSocketFactory.provider", "ru.CryptoPro.ssl.SSLServerSocketFactoryImpl");
Может, поможет. Вообще эти настройки ранее прописываются при установке в java.security. Отредактировано пользователем 2 сентября 2015 г. 16:16:57(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 02.09.2015(UTC)
Сообщений: 33
Сказал(а) «Спасибо»: 4 раз
|
Автор: afev Или каким-то образом передать Код:
Security.setProperty("ssl.KeyManagerFactory.algorithm", ru.CryptoPro.ssl.Provider.KEYMANGER_ALG);
Security.setProperty("ssl.TrustManagerFactory.algorithm", ru.CryptoPro.ssl.Provider.KEYMANGER_ALG);
Security.setProperty("ssl.SocketFactory.provider", "ru.CryptoPro.ssl.SSLSocketFactoryImpl");
Security.setProperty("ssl.ServerSocketFactory.provider", "ru.CryptoPro.ssl.SSLServerSocketFactoryImpl");
Может, поможет. Вообще эти настройки ранее прописываются при установке в java.security. Не помогло... Полагаю, что NetBeans использует в коде import sun.security.ssl.SSLSocketFactoryImpl; ((( Пичалько. А нельзя ли каким-то образом ( :) ) "заставить" Java видеть ваши методы шифрования при использовании import sun.security.ssl.SSLSocketFactoryImpl; вместо вашего import ru.CryptoPro.ssl.SSLSocketFactoryImpl; ? Момент с import ru.CryptoPro.ssl.SSLSocketFactoryImpl; ломает всю малину...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Автор: afev Поищите, нельзя ли как-то передать объект javax.net.ssl.SSLContext или собственные KeyStore, или переопределить фабрику сокетов. Разве что через SSLContext. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
