Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 153  Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Есть тема "Использование КриптоПро JTLS в Apache Tomcat". В ней указана ссылка на одноименную статью. Честное слово, ничего из написанного в данной статье не работает. В качестве базового примера Цитата:6. Запускаем Tomcat проверяем соединение с односторонней аутентификацией:
a) с помощью csptest:
csptest -tlsc -port 8443 -v -file index.jsp -nocheck Запускаем Код:$ /opt/cprocsp/bin/amd64/csptest -tlsc -port 8443 -v -file index.jsp -nocheck
/opt/cprocsp/bin/amd64/csptest: unrecognized option `-tlsc'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000002]
Идем дальше. Устанавливаем Apache Tomcat 8.5.6. Параметры настройки берем из данной статьи. Запускаем. Смотрим, что пишется в файле $CATALINA_HOME/logs/catalina.log Код:SEVERE [main] org.apache.coyote.AbstractProtocol.init Failed to initialize end point associated with ProtocolHandler ["https-jsse-nio-8443"]
java.lang.IllegalArgumentException: None of the [protocols] specified are supported by the SSL engine : [[GostTLS]]
at org.apache.tomcat.util.net.SSLUtilBase.getEnabled(SSLUtilBase.java:87)
at org.apache.tomcat.util.net.SSLUtilBase.<init>(SSLUtilBase.java:54)
at org.apache.tomcat.util.net.jsse.JSSEUtil.<init>(JSSEUtil.java:142)
Да, JCP и JTLS - 2.0.x Каким образом настраивать Apache Tomcat и произвести проверку?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Автор: miser  Есть тема "Использование КриптоПро JTLS в Apache Tomcat". В ней указана ссылка на одноименную статью. Честное слово, ничего из написанного в данной статье не работает. В качестве базового примера Цитата:6. Запускаем Tomcat проверяем соединение с односторонней аутентификацией:
a) с помощью csptest:
csptest -tlsc -port 8443 -v -file index.jsp -nocheck Запускаем Код:$ /opt/cprocsp/bin/amd64/csptest -tlsc -port 8443 -v -file index.jsp -nocheck
/opt/cprocsp/bin/amd64/csptest: unrecognized option `-tlsc'
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,000 sec
[ErrorCode: 0x00000002]
Идем дальше. Устанавливаем Apache Tomcat 8.5.6. Параметры настройки берем из данной статьи. Запускаем. Смотрим, что пишется в файле $CATALINA_HOME/logs/catalina.log Код:SEVERE [main] org.apache.coyote.AbstractProtocol.init Failed to initialize end point associated with ProtocolHandler ["https-jsse-nio-8443"]
java.lang.IllegalArgumentException: None of the [protocols] specified are supported by the SSL engine : [[GostTLS]]
at org.apache.tomcat.util.net.SSLUtilBase.getEnabled(SSLUtilBase.java:87)
at org.apache.tomcat.util.net.SSLUtilBase.<init>(SSLUtilBase.java:54)
at org.apache.tomcat.util.net.jsse.JSSEUtil.<init>(JSSEUtil.java:142)
Да, JCP и JTLS - 2.0.x Каким образом настраивать Apache Tomcat и произвести проверку? а) Проверьте csptestf. Спасибо, инструкцию подправим. б) Начиная с 8.5.x, в tomcat произошли существенные изменения (см. Connector в tomcat). Адаптер для работы с этой примерно версией и выше (9.0.x) появится в след. релизе. Инструкция написана для версий 6-7-8 (начальные). Отредактировано пользователем 14 октября 2016 г. 13:36:05(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Честное слово. csptestf и csptest - это две разные программы. Я привел текст инструкции и выполнил в консоли. Моё дополнение - указал полный путь к данной программе.
В инструкции нет упоминания об использовании той или иной версии Apache Tomcat. Я взял последний официальный релиз.
В другой теме форума я указывал, что по TLS работает только на КриптоПро Fox версии 31.
В качестве базового сервера используется старый Apache Tomcat с JCP+JTLS 1.0.x и специальным файлом TomCatSSL.jar.
Взял последнюю официальную сборку Apache Tomcat и связку JCP+JTLS 2.0.x.
Хочу проверить, что будет работать последняя версия КриптоПро Fox.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Поставил Apache Tomcat 8.0.6. При запуске ошибок нет. В настройках указал обязательную авторизацию клиента. У клиента есть как минимум два ключа авторизации. Эти ключи видны в CryptoFox. Цитата:
Двусторонняя аутентификация
...
5. Запускаем Tomcat, проверяем соединение с двусторонней аутентификацией:
a) с помощью csptest:
csptest -tlsc -port 8443 -v -file index.jsp -nocheck
Код:
$ /opt/cprocsp/bin/amd64/csptestf -tlsc -port 8443 -v -file index.jsp -nocheck
6 algorithms supported:
[0] 1.2.643.2.2.21 (ГОСТ 28147-89)
[1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[2] 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit)
[3] 0x801f
[4] 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[5] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
Cipher strengths: 256..256
Supported protocols: 0x80
dwProtocolMask: 0x800a0aaa
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 62
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
67 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:566:Error performing handshake.
Error number 0x80090326 (2148074278).
The message received was unexpected or badly formatted.
Total: SYS: 0,000 sec USR: 0,120 sec UTC: 0,170 sec
[ErrorCode: 0x80090326]
Мне опять же не понятно, какой ключ используется программой csptestf. На стороне сервера получаем ошибку, $CATALONA_HOME/logs/cryptopro.log Код:14-Oct-2016 15:16:56.937 FINE [main] ru.CryptoPro.ssl.SSLContextImpl.engineInit SSLContext engineInit
14-Oct-2016 15:16:56.942 FINER [main] ru.CryptoPro.ssl.SSLContextImpl.engineInit trigger seeding of SecureRandom
14-Oct-2016 15:16:56.942 FINER [main] ru.CryptoPro.ssl.SSLContextImpl.engineInit done seeding SecureRandom
14-Oct-2016 15:16:56.948 FINER [main] ru.CryptoPro.ssl.y.<init> Created: [Session-1, Unknown 0x0:0x0]
14-Oct-2016 15:16:58.668 INFO [http-nio-8443-Acceptor-0] ru.CryptoPro.ssl.SSLEngineImpl.a Using SSLEngineImpl.
14-Oct-2016 15:16:58.675 FINE [http-nio-8443-Acceptor-0] ru.CryptoPro.ssl.f.a Allow unsafe renegotiation: false
Allow legacy hello messages: true
Is initial handshake: true
Is secure renegotiation: false
14-Oct-2016 15:16:58.682 ALL [http-nio-8443-exec-1] ru.CryptoPro.ssl.v.a [Raw read]: length = 5
0000: 16 03 01 00 3E ....>
14-Oct-2016 15:16:58.683 ALL [http-nio-8443-exec-1] ru.CryptoPro.ssl.v.a [Raw read]: length = 62
0000: 01 00 00 3A 03 01 58 00 BE AA E5 B4 F6 94 A2 64 ...:..X........d
0010: 62 BF 1E 79 C2 B3 10 32 D8 ED 3E E5 B7 85 89 B1 b..y...2..>.....
0020: 5D 35 8A 5E BE 59 00 00 08 FF 85 00 81 00 32 00 ]5.^.Y........2.
0030: 31 01 00 00 09 FF 01 00 01 00 00 23 00 00 1..........#..
14-Oct-2016 15:16:58.686 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.O.<init> ClientHello sessionId: {}
14-Oct-2016 15:16:58.687 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.n.a %% ClientHello, TLSv1; Cipher Suites: [TLS_CIPHER_2012, TLS_CIPHER_2001, SSL3_CK_GVO_KB2, SSL3_CK_GVO]; Compression Methods: 0; Extensions
14-Oct-2016 15:16:58.688 ALL [http-nio-8443-exec-1] ru.CryptoPro.ssl.v.f [read] hashes: len = 62
0000: 01 00 00 3A 03 01 58 00 BE AA E5 B4 F6 94 A2 64 ...:..X........d
0010: 62 BF 1E 79 C2 B3 10 32 D8 ED 3E E5 B7 85 89 B1 b..y...2..>.....
0020: 5D 35 8A 5E BE 59 00 00 08 FF 85 00 81 00 32 00 ]5.^.Y........2.
0030: 31 01 00 00 09 FF 01 00 01 00 00 23 00 00 1..........#..
14-Oct-2016 15:16:58.688 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.n.a create new Session
14-Oct-2016 15:16:58.688 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.n.b Check cipher suite: TLS_CIPHER_2012
14-Oct-2016 15:16:58.688 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.n.b Check cipher suite: TLS_CIPHER_2001
14-Oct-2016 15:16:58.688 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.f.a Add certificate algorithm: GOST3410EL [priority: 2]
14-Oct-2016 15:16:58.688 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.n.b Find server container with type: GOST3410EL
14-Oct-2016 15:16:58.688 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.r.a %% getting aliases for Server
14-Oct-2016 15:16:58.688 WARNING [http-nio-8443-exec-1] ru.CryptoPro.ssl.r.a %% No alias is match
14-Oct-2016 15:16:58.688 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.n.b Check cipher suite: SSL3_CK_GVO_KB2
14-Oct-2016 15:16:58.689 FINE [http-nio-8443-exec-1] ru.CryptoPro.ssl.n.b Check cipher suite: SSL3_CK_GVO
14-Oct-2016 15:16:58.689 SEVERE [http-nio-8443-exec-1] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-exec-1, fatal error: 40: no cipher suites in common
14-Oct-2016 15:16:58.689 SEVERE [http-nio-8443-exec-1] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-exec-1, fatal error:
javax.net.ssl.SSLHandshakeException: no cipher suites in common
at ru.CryptoPro.ssl.C.a(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
at ru.CryptoPro.ssl.f.a(Unknown Source)
at ru.CryptoPro.ssl.f.a(Unknown Source)
at ru.CryptoPro.ssl.n.b(Unknown Source)
at ru.CryptoPro.ssl.n.a(Unknown Source)
at ru.CryptoPro.ssl.n.a(Unknown Source)
at ru.CryptoPro.ssl.f.o(Unknown Source)
at ru.CryptoPro.ssl.U.a(Unknown Source)
at ru.CryptoPro.ssl.U.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at ru.CryptoPro.ssl.b.run(Unknown Source)
at org.apache.tomcat.util.net.SecureNioChannel.tasks(SecureNioChannel.java:300)
at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:358)
at org.apache.tomcat.util.net.SecureNioChannel.handshake(SecureNioChannel.java:208)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1496)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1476)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
Ладно. Теперь результаты по CryptoFox следующие: 1) версия 31 - TLS не работает. 2) версия 45 - TLS работает.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Автор: miser no cipher suites in common Предположу, что сервером не найден подходящий ключевой контейнер (в папке пользователя, под управлением которого запущен сервер, нет контейнера, не тот пароль, нет сертификата в контейнере, срок сертификата истек, в сертификате нет политики аут. сервера и т.п.). |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Автор: afev
Предположу, что сервером не найден подходящий ключевой контейнер (в папке пользователя, под управлением которого запущен сервер, нет контейнера, не тот пароль, нет сертификата в контейнере, срок сертификата истек, в сертификате нет политики аут. сервера и т.п.).
Действительно, при переходе версий JCP, каталог контейнеров поменялся. Скопировал. Ошибка поменялась. Имеется следующая конфигурация на сервере Cтоит JDK 1.6 с предустановленным JCP_JTLS 1.0. Работает старый Apache Tomcat. КриптоПро Fox 3.1 ходит к нему успешно. Стоит вторая JDK 1.7 c предустановленным JCP_JTLS 2.0. Работает Apache Tomcat 8.0.6. При попытке зайти из под КриптоПро Fox 3.1, выдается ошибка Код:javax.net.ssl.SSLException: Unsupported record version SSLv3
При попытке зайти из под КриптоПро Fox 4.5, выдается ошибка Код:javax.net.ssl.SSLException: Received fatal alert: BAD_CERTIFICATE
При попытке зайти из под MS IE, выдается вразумительная ошибка о не удавшейся "online" проверке сертификата.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Наблюдаю очень интересное явление на своей Linux машине. Имеется три последние версии КриптоПро Fox v31.1.0esr, сведения о сертификате Цитата:This certificate has been verified for the following user:
SSL Client Certificate
EMail Signer Certificate
EMail Recipient Certificate Нормально соединяется с Apache Tomat + JCP/TLS 1.0.x КриптоПро Fox v38.3.0esrpre, v45.1.2 сведения о сертификате Цитата:Could not verify this certificate for unknown reasons Apache Tomat + JCP/TLS 2.0.x выдает ошибку Код:javax.net.ssl.SSLException: Received fatal alert: BAD_CERTIFICATE
Это сведения об одном и том же сертификате. В разделе "Autorities" установлена цепочка к корневому сертификату. Раздел "Минкомсвязь России" (Security Device: CryptoPro Token). Этот же сертификат, в Windows, под IE работает без проблем. Ответьте, в чем великая разница?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Автор: miser pache Tomat JCP/TLS 2.0.x выдает ошибку Код:
javax.net.ssl.SSLException: Received fatal alert: BAD_CERTIFICATE
Между 1.0 и 2.0 существенные изменения. Возможно, включена (по умолчанию так) проверка цепочка сертификатов, а параметры -Dcom.sun.security.enableCRLDP=true (-Dcom.ibm.security.enableCRLDP=true) для сервера не заданы. Нужен более подробный лог. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз
Поблагодарили: 7 раз в 5 постах
|
Перенес на свою локальную машину Apache Tomcat. Поставил ключ сервера. В файл хранилища, из параметра "truststoreFile", добавил всю цепочку к корневому сертификату. В настройках TLS все галочки сняты * Проверять сертификаты цепочки на отзыв * Загружать CRL по CRLDP сертификата (по умолчанию) * Загружать CRL из папки Единственное, что выставлено - "Запретить небезопасное возобновление сессии, разрешить несоответствие RFC 5746". Еще раз обращаю внимание. Запускаю в виртуальной среде Windwos. Устанавливаю в личные один единственный тестовый сертификат. Из IE соединение работает. Код:17-Oct-2016 13:59:27.538 FINER [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a Root certificate is NOT found.
17-Oct-2016 13:59:27.538 FINE [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a [PKIX] Signature provider: JCP
17-Oct-2016 13:59:27.538 FINE [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a [PKIX] Set some additional (intermediate) certificates
17-Oct-2016 13:59:27.539 FINE [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a [PKIX] parameters:
com.sun.security.enableCRLDP=false
com.ibm.security.enableCRLDP=false
17-Oct-2016 13:59:27.539 FINER [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a [PKIX] Revocation enabled: false
17-Oct-2016 13:59:27.559 FINE [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a [PKIX] Certificate chain was built (length: 4).
17-Oct-2016 13:59:27.559 FINE [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a [PKIX] Offline verification is disabled. CRL timer is turned OFF.
17-Oct-2016 13:59:27.559 FINER [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a Following certificate chain was built and verified(length: 4)
17-Oct-2016 13:59:27.560 FINER [http-nio-8443-exec-3] ru.CryptoPro.ssl.w.a Certificate #0
Запускаю из Linux разные КрипроПро Fox. Проверяю работу из 45.1.2. Использую тот же сертификат. Сервер Apache Tomcat пишет: Код:17-Oct-2016 14:01:01.046 ALL [http-nio-8443-exec-8] ru.CryptoPro.ssl.v.a [Raw read]: length = 5
0000: 15 03 01 00 02 .....
17-Oct-2016 14:01:01.046 ALL [http-nio-8443-exec-8] ru.CryptoPro.ssl.v.a [Raw read]: length = 2
0000: 02 2A .*
17-Oct-2016 14:01:01.047 SEVERE [http-nio-8443-exec-8] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-exec-8, fatal error: 10: Received fatal alert: BAD_CERTIFICATE
17-Oct-2016 14:01:01.047 SEVERE [http-nio-8443-exec-8] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-exec-8, fatal error:
javax.net.ssl.SSLException: Received fatal alert: BAD_CERTIFICATE
at ru.CryptoPro.ssl.C.a(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.j(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.b(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
at ru.CryptoPro.ssl.SSLEngineImpl.unwrap(Unknown Source)
at javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:624)
at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:350)
at org.apache.tomcat.util.net.SecureNioChannel.handshake(SecureNioChannel.java:208)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1496)
at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1476)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
at java.lang.Thread.run(Thread.java:745)
17-Oct-2016 14:01:01.048 FINE [http-nio-8443-exec-8] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-exec-8, fatal: engine already closed. Rethrowing javax.net.ssl.SSLException: Received fatal alert: BAD_CERTIFICATE
17-Oct-2016 14:01:01.048 SEVERE [http-nio-8443-exec-8] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-exec-8, fatal error:80: problem wrapping app data
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 714 раз в 674 постах
|
Автор: afev Нужен более подробный лог. - какие сертификаты выбираются/отсылаются и т.п. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
