Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline liardok  
#1 Оставлено : 2 ноября 2015 г. 17:10:05(UTC)
liardok

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 9
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 4 раз
Здравствуйте,

Помогите, пожалуйста.

Задача: аутентифицировать пользователей при помощи ключа на флеш.

Для начала хочу настроить сервер для работы по https, с проверкой клиентского сертификата на сервере.

Сделал:

1. Скачал, установил КриптоПро CSP
2. На странице тестового УЦ (https://www.cryptopro.ru/certsrv/certrqma.asp) создал контейнер, получил запрос на сертификат (указал флешку при установке)
3. Получил по запросу на сертификат сам сертификат (https://www.cryptopro.ru/certsrv/certfnsh.asp)
4. Получил сертификат ЦС - сделал загрузка сертификата ЦС (CRYPTO-PRO TEST Center 2)
5. Полученный certnew.cer импортировал в хранилище keystore.jks
6. Установил Jetty, в настройках указал key-store-provider=JCP, key-store=keystore.jks и т.д.

Используется windows 8.1

При старте сервера возникает ошибка: no such provider: JCP, хотя КриптроПро CSP установлен.
Какие могут быть причины, что сделал не правильно?

Спасибо!
Offline Максим Коллегин  
#2 Оставлено : 2 ноября 2015 г. 17:17:30(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Для работы JCP его нужно установить - это отдельный продукт.
На Windows в качестве веб-сервера можно использовать IIS.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
liardok оставлено 03.11.2015(UTC)
Offline Евгений Афанасьев  
#3 Оставлено : 2 ноября 2015 г. 17:25:58(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Автор: liardok Перейти к цитате

6. Установил Jetty, в настройках указал key-store-provider=JCP, key-store=keystore.jks и т.д.


В дистрибутиве JCP 2.0 есть инструкция по настройке Jetty + JCP.
thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
liardok оставлено 03.11.2015(UTC)
Offline liardok  
#4 Оставлено : 2 ноября 2015 г. 18:06:43(UTC)
liardok

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 9
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 4 раз
Спасибо большое за ответы!

Пропустил, что JCP отдельный продукт.

Сейчас возникает другая ошибка: no cipher suites in common

Если не получится запустить встроенный jetty (через spring boot), попробую, конечно, отдельный сервер, но пока есть желание запустить встроенный для разработки.

Спасибо еще раз!
Offline Евгений Афанасьев  
#5 Оставлено : 2 ноября 2015 г. 20:39:48(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Автор: liardok Перейти к цитате

Сейчас возникает другая ошибка: no cipher suites in common

Скорее всего, отсутствует/не подходит/не найден ключевой контейнер для сервера.
Offline liardok  
#6 Оставлено : 3 ноября 2015 г. 19:39:21(UTC)
liardok

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 9
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 4 раз
Добрый день,

Помогите, пожалуйста. Есть непонимание, самостоятельно не могу разобраться.

Задача - сделать аутентификацию по сертификату и сделать возможным создавать подпись по сертификату.
Сертификат должен быть на usb-флеш.

Для этого, если я правильно понимаю, у клиента должна быть usb-флеш с приватным ключом и сертификатом от УЦ. Для процесса разработки, этот ключ и сертификат я могу создать с помощью https://www.cryptopro.ru/certsrv/certrqma.asp , где в запросе укажу:
1. Сертификат проверки подлинности клиента;
2. Пометить ключ как экспортируемый;

Нажимаю "Выдать", указываю "Дисковод E" (где usb-флеш), устанавливаю пароль (12345) - при этом создается контейнер на флешке.
Захожу в него через JCP - вижу что там только key, далее нажимаю в браузере на странице "установить этот сертификат" и вижу в JCP сертификат в контейнере появился.
Захожу на тестовую страницу https://www.cryptopro.ru...ge/cades_bes_sample.html - проверяю, что подпись создается.

Теперь мне нужно сделать keystore и truststore для сервера для того, чтобы можно было их указать в настройках сервера. Если я правильно понимаю, в keystore должен находится приватный ключ сервера (если аутентификация односторонняя, то приватный ключ сервера не важен), а так же сертификат клиента. Я могу выгрузить сертификат с usb-флеш в файл .cer. Подтвердите, пожалуйста, что его нужно загрузить в хранилище сертификатов в JCP после этого в формате CertStore? Что-то еще должно находится в этом хранилище?
Этот файл и будет являться keystore и truststore для сервера?


Заранее спасибо.
Offline liardok  
#7 Оставлено : 3 ноября 2015 г. 22:33:46(UTC)
liardok

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 9
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 4 раз
Пожалуйста, укажите, это не правильная схема?
Документацию прочитал всю по JCP.
Я правильно понимаю, что сервер и клиент должны установить защищенное соединение при помощи сертификатов, затем уже можно на сервере из запроса получить информацию о клиенте?
Offline liardok  
#8 Оставлено : 4 ноября 2015 г. 9:55:57(UTC)
liardok

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 9
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 4 раз
Подскажите, пожалуйста, что обозначает ответ в логе:

FINE: %% ClientHello, Unknown 3.3; Cipher Suites: [Unknown 0xc0:0x2b, Unknown 0xc0:0x2f, Unknown 0xc0:0xa, Unknown 0xc0:0x9, Unknown 0xc0:0x13, Unknown 0xc0:0x14, Unknown 0xc0:0x7, Unknown 0xc0:0x11, Unknown 0x0:0x33, Unknown 0x0:0x39, Unknown 0x0:0x2f, Unknown 0x0:0x35, Unknown 0x0:0xa, Unknown 0x0:0x5, Unknown 0x0:0x4]; Compression Methods: 0; Extensions: Unsupported extension server_name, [host_name: localhost], Extension renegotiation_info, renegotiated_connection: <empty>, Unsupported extension elliptic_curves, data: [0, 6, 0, 23, 0, 24, 0, 25], Extension ec_point_formats, formats: [uncompressed], Unsupported extension type_35, data: [], Unsupported extension type_13172, data: [], Unsupported extension type_16, data: [0, 21, 2, 104, 50, 8, 115, 112, 100, 121, 47, 51, 46, 49, 8, 104, 116, 116, 112, 47, 49, 46, 49], Unsupported extension status_request, data: [1, 0, 0, 0, 0], Unsupported extension signature_algorithms, data: [0, 20, 4, 1, 5, 1, 6, 1, 2, 1, 4, 3, 5, 3, 6, 3, 2, 3, 4, 2, 2, 2];

Спасибо
Offline liardok  
#9 Оставлено : 4 ноября 2015 г. 22:47:33(UTC)
liardok

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.11.2015(UTC)
Сообщений: 9
Российская Федерация
Откуда: Санкт-Петербург

Сказал(а) «Спасибо»: 4 раз
Добрый день еще раз,

Помогите, пожалуйста, все-таки, понять по логу, где может быть ошибка, ведь что-то явно не правильно настроено.
Что можно проверить. Самому не разобраться.
Лог прикладываю.

cryptossl.log (14kb) загружен 1 раз(а).
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.