Вы пробовали настраивать КриптоПро JTLS в Apache Tomcat ?- Page 2

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы<12

Вы пробовали настраивать КриптоПро JTLS в Apache Tomcat ?

Опции

Предыдущая тема Следующая тема

miser		#11 Оставлено : 17 октября 2016 г. 14:32:39(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз Поблагодарили: 7 раз в 5 постах		Прикладываю файл архива с журналом работы TLS системы и сертификатом клиента cryptopro-log.zip (141kb) загружен 4 раз(а). Cоединение от IE Код: `17-Oct-2016 13:59:27.520 FINE [http-nio-8443-exec-2] ru.CryptoPro.ssl.n.a create new Session` Cоединение от КриптоПро Fox Код: `17-Oct-2016 14:00:58.982 FINE [http-nio-8443-exec-7] ru.CryptoPro.ssl.n.a create new Session`


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#12 Оставлено : 17 октября 2016 г. 14:54:59(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 714 раз в 674 постах		IE в ответ на сообщение сервера (certificate authorities) Код: <T=Генеральный директор, STREET="Малоохтинский пр., д.68", CN=Тестов Тест Тестович, GIVENNAME=Тест Тестович, SURNAME=Тестов, OU=Администрация, O=ООО «Тестовая организация», L=Санкт-Петербург, ST=78 г. Санкт-Петербург, C=RU, EMAILADDRESS=5780196@comita.ru, OID.1.2.643.3.131.1.1=#120C303031323334353637383934, OID.1.2.643.100.1=#120D31303337383136303139363437, OID.1.2.643.100.3=#120B3030303030303030303030> <CN=NWUDCCA6, O="ЗАО \"УДОСТОВЕРЯЮЩИЙ ЦЕНТР\"", ST=78 г.Санкт-Петербург, L=Санкт-Петербург, C=RU, OID.1.2.643.3.131.1.1=#120C303037383036313232373230, OID.1.2.643.100.1=#120D31303337383136303139363437, STREET="ул. Малыгина, дом 6 лит. А"> <EMAILADDRESS=contact@ekey.ru, OID.1.2.643.3.131.1.1=#120C303035323630313132393030, OID.1.2.643.100.1=#120D31303235323033303339383430, OU=Удостоверяющий Центр, O=ЗАО 'Удостоверяющий Центр', STREET=Лубянский проезд 15 стр. 4, L=Москва, ST=77 Москва, C=RU, CN=CAekey.ru63> <CN=InfoTrust, OU=Удостоверяющий центр, O="ООО НПП \"Ижинформпроект\"", L=Ижевск, ST=18 Удмуртская Республика, C=RU, EMAILADDRESS=pki@infotrust.ru, OID.1.2.643.3.131.1.1=#120C303031383331303134353333, OID.1.2.643.100.1=#120D31303231383031313631313430> <CN=TENSORCA3, OU=Удостоверяющий центр, O=ООО Компания Тензор, L=Ярославль, ST=76 Ярославская область, C=RU, EMAILADDRESS=root@nalog.tensor.ru, STREET=Московский проспект д.12, OID.1.2.643.3.131.1.1=#120C303037363035303136303330, OID.1.2.643.100.1=#120D31303237363030373837393934> <CN=УЦ ООО «Сертум-Про» (Qualified), OU=Служба ИТ, O=ООО «Сертум-Про», L=Екатеринбург, ST=66 Свердловская область, C=RU, EMAILADDRESS=ca@sertum-pro.ru, STREET=ул. Ульяновская д. 13А, OID.1.2.643.3.131.1.1=#120C303036363733323430333238, OID.1.2.643.100.1=#120D31313136363733303038353339> <CN=УЦ ООО Кордон, OU=Удостоверяющий центр, O=ООО Кордон, L=Ростов-на-Дону, ST=61 Ростовская область, C=RU, EMAILADDRESS=info@uckordon.ru, STREET="ул. Мильчакова д. 5\\2", OID.1.2.643.3.131.1.1=#120C303036313638303232343533, OID.1.2.643.100.1=#120D31303836313638303032323035> <CN=УЦ 2 ИС ГУЦ, C=RU, ST=77 г.Москва, L=Москва, O=Минкомсвязь России, STREET=125375 г. Москва ул. Тверская д.7, EMAILADDRESS=dit@minsvyaz.ru, OID.1.2.643.100.1=#120D31303437373032303236373031, OID.1.2.643.3.131.1.1=#120C303037373130343734333735> <STREET="Мясницкая, д.39", CN=fm-portal-https.comita.lan, O=Росфинмониторинг, L=Москва, ST=77 г. Москва, C=RU, EMAILADDRESS=5780196@comita.ru, OID.1.2.643.3.131.1.1=#120C303037373038323334363333, OID.1.2.643.100.1=#120D31303437373038303232353438> <CN=Головной удостоверяющий центр, OID.1.2.643.3.131.1.1=#120C303037373130343734333735, OID.1.2.643.100.1=#120D31303437373032303236373031, O=Минкомсвязь России, STREET="125375 г. Москва, ул. Тверская, д. 7", L=Москва, ST=77 г. Москва, C=RU, EMAILADDRESS=dit@minsvyaz.ru> <CN=NWUDCCA6model, O="ЗАО \"УДОСТОВЕРЯЮЩИЙ ЦЕНТР\"", ST=78 г.Санкт-Петербург, L=Санкт-Петербург, C=RU, OID.1.2.643.3.131.1.1=#120C303037383036313232373230, OID.1.2.643.100.1=#120D31303337383136303139363437, STREET="ул. Малыгина, дом 6 лит. А"> <CN=ООО КриптоЦентр, EMAILADDRESS=info@24ecp.ru, C=RU, ST=Красноярский край, L=Красноярск, STREET=ул. Дубровинского д. 110, O=ООО КриптоЦентр, OID.1.2.643.100.1=#120D31313132343638303338353732, OID.1.2.643.3.131.1.1=#120C303032343630323331313532> <CN=УЦ ИнфоЦентр, OU=Удостоверяющий центр, O="ООО \"ИнфоЦентр\"", L=Владимир, ST=33 Владимирская область, C=RU, EMAILADDRESS=info@icentr.ru, STREET=Октябрьский проспект дом 36, OID.1.2.643.3.131.1.1=#120C303033333238343330303137, OID.1.2.643.100.1=#120D31303433333032303030373139> <CN=УЦ HИЦ ACK, O="ОАО \"НИЦ АСК\"", L=Москва, ST=77 г. Москва, C=RU, STREET="Ленинградский проспект, д. 37 корп. 12", OID.1.2.643.3.131.1.1=#120C303037373134303232333039, OID.1.2.643.100.1=#120D31303237373339333630313130> <CN=УЦ ЗАО «ПФ «СКБ Контур» (Qualified), OU=Удостоверяющий центр, O=ЗАО «ПФ «СКБ Контур», L=Екатеринбург, ST=66 Свердловская область, C=RU, EMAILADDRESS=ca@skbkontur.ru, STREET=Пр. Космонавтов д. 56, OID.1.2.643.3.131.1.1=#120C303036363633303033313237, OID.1.2.643.100.1=#120D31303236363035363036363230> шлет сертификат Код: Subject: T=Генеральный директор, STREET="Малоохтинский пр., д.68", CN=Тестов Тест Тестович, GIVENNAME=Тест Тестович, SURNAME=Тестов, OU=Администрация, O=ООО «Тестовая организация», L=Санкт-Петербург, ST=78 г. Санкт-Петербург, C=RU, EMAILADDRESS=5780196@comita.ru, OID.1.2.643.3.131.1.1=#120C303031323334353637383934, OID.1.2.643.100.1=#120D31303337383136303139363437, OID.1.2.643.100.3=#120B3030303030303030303030 Valid from Wed Jul 13 10:50:02 MSK 2016 until Thu Jul 13 10:50:02 MSK 2017 все ок. А в случае firefox сервер получает после указанного сообщения (certificate authorities) ответ: Код: `SSLException: Received fatal alert: BAD_CERTIFICATE` т.е. BAD_CERTIFICATE от клиента. Отредактировано пользователем 17 октября 2016 г. 15:26:52(UTC) \| Причина: Не указана
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

miser		#13 Оставлено : 17 октября 2016 г. 15:39:09(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз Поблагодарили: 7 раз в 5 постах		Вот, вот. У меня была дурная мысль, о том, что КриптоПро Fox неправильно работает со своим сертификатом. Я сегодня писал об этом. Извиняюсь за повтор. КриптоПро Fox v31.1.0esr, сведения о клиентском сертификате Цитата: This certificate has been verified for the following user: SSL Client Certificate EMail Signer Certificate EMail Recipient Certificate КриптоПро Fox v38.3.0esrpre, v45.1.2 сведения о клиентском сертификате Цитата: Could not verify this certificate for unknown reasons Или вы думаете, что КриптоПро Fox ругается на сертификат сервера? Я сомневаюсь. Всё и начиналось, с тестового стенда. Сертификат выдан на конкретный стенд. Картинка была та же самая.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#14 Оставлено : 17 октября 2016 г. 17:29:55(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 714 раз в 674 постах		Автор: miser КриптоПро Fox ругается на сертификат сервера? Сообщение bad_certificate приходит после отправки сервером certificate authorities. Нельзя ли, допустим, получить лог firefox? Как отрабатывает csptestf -tlsc?
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

miser		#15 Оставлено : 18 октября 2016 г. 13:43:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз Поблагодарили: 7 раз в 5 постах		Сейчас попробовал. Правда, система попросила указать пароль к контейнеру уже не действующего ключа. В КриптоПро Fox я указываю другой, действующий ключ. Если честно, не совсем понимаю, как в csptestf указать тот или иной сертификат, если строка владельца одна и та же. Сертификаты отличаются серийными номерами и идентификаторами контейнеров закрытых ключей. Подскажите, где в Linux смотреть журналы от КриптоПро Fox? У меня Ubuntu 16.04 LTS, архитектура amd64. Код: $ /opt/cprocsp/bin/amd64/csptestf -tlsc -port 8443 -v -file index.jsp -nocheck 6 algorithms supported: [0] 1.2.643.2.2.21 (ГОСТ 28147-89) [1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [2] 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit) [3] 0x801f [4] 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [5] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) Cipher strengths: 256..256 Supported protocols: 0x80 dwProtocolMask: 0x800a0aaa Protocol version: 3.1 ClientHello: RecordLayer: TLS, Len: 62 Cipher Suites: (ff 85) (00 81) (00 32) (00 31) 67 bytes of handshake data sent 7189 bytes of handshake data received Server requested new credentials! Trying to create new credential ... Issuers: 15, Length: 5113 bytes Client certificate: Subject: STREET="Малоохтинский пр., д.68", SNILS=00000000000, OGRN=1037816019647, INN=001234567894, E=5780196@comita.ru, C=RU, S=78 г. Санкт-Петербург, L=Санкт-Петербург, O=ООО «Тестовая организация», OU=Администрация, SN=Тестов, G=Тест Тестович, CN=Тестов Тест Тестович, T=Генеральный директор Valid : 14.07.2015 09:35:25 - 14.07.2016 09:35:25 (UTC) expired Issuer : STREET="ул. Малыгина, дом 6 лит. А", OGRN=1037816019647, INN=007806122720, C=RU, L=Санкт-Петербург, S=78 г.Санкт-Петербург, O="ЗАО ""УДОСТОВЕРЯЮЩИЙ ЦЕНТР""", CN=NWUDCCA6 new schannel credential created 6 algorithms supported: [0] 1.2.643.2.2.21 (ГОСТ 28147-89) [1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [2] 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit) [3] 0x801f [4] 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [5] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) Cipher strengths: 256..256 Supported protocols: 0x80 dwProtocolMask: 0x800a0aaa **** Error 0xffffffff80090304 returned by InitializeSecurityContext (2) An error occurred in running the program. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:566:Error performing handshake. Error number 0x80090304 (2148074244). The Local Security Authority cannot be contacted Total: SYS: 0,010 sec USR: 0,210 sec UTC: 70,430 sec [ErrorCode: 0x80090304]


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#16 Оставлено : 18 октября 2016 г. 13:52:24(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 714 раз в 674 постах		Автор: miser где в Linux смотреть журналы от КриптоПро Fox? У меня Ubuntu 16.04 LTS, архитектура amd64 Этот вопрос лучше задать в разделе "Другие продукты"
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

miser		#17 Оставлено : 24 октября 2016 г. 13:11:36(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз Поблагодарили: 7 раз в 5 постах		Извините, а как такое возможно? Цитата: 24-Oct-2016 11:26:19.558 FINER [http-nio-8443-exec-4] ru.CryptoPro.ssl.w.a Root certificate is NOT found. 24-Oct-2016 11:26:19.560 FINE [http-nio-8443-exec-4] ru.CryptoPro.ssl.w.a [PKIX] Signature provider: JCP 24-Oct-2016 11:26:19.560 FINE [http-nio-8443-exec-4] ru.CryptoPro.ssl.w.a [PKIX] Set some additional (intermediat e) certificates 24-Oct-2016 11:26:19.560 FINE [http-nio-8443-exec-4] ru.CryptoPro.ssl.w.a [PKIX] parameters: com.sun.security.enableCRLDP=false com.ibm.security.enableCRLDP=false 24-Oct-2016 11:26:19.560 FINER [http-nio-8443-exec-4] ru.CryptoPro.ssl.w.a [PKIX] Revocation enabled: false 24-Oct-2016 11:26:19.799 FINE [http-nio-8443-exec-4] ru.CryptoPro.ssl.w.a [PKIX] Certificate chain was built (len gth: 4). 24-Oct-2016 11:26:19.800 FINE [http-nio-8443-exec-4] ru.CryptoPro.ssl.w.a THROW java.security.GeneralSecurityException: [PKIX] Online verification of certificate status is enabled but com.sun. security.enableCRLDP=false, com.ibm.security.enableCRLDP=false at ru.CryptoPro.ssl.w.a(Unknown Source) at ru.CryptoPro.ssl.w.a(Unknown Source) at ru.CryptoPro.ssl.g.checkClientTrusted(Unknown Source) at ru.CryptoPro.ssl.x.checkClientTrusted(Unknown Source) at ru.CryptoPro.ssl.n.a(Unknown Source) at ru.CryptoPro.ssl.n.a(Unknown Source) at ru.CryptoPro.ssl.f.o(Unknown Source) at ru.CryptoPro.ssl.U.a(Unknown Source) at ru.CryptoPro.ssl.U.run(Unknown Source) at java.security.AccessController.doPrivileged(Native Method) at ru.CryptoPro.ssl.b.run(Unknown Source) at org.apache.tomcat.util.net.SecureNioChannel.tasks(SecureNioChannel.java:300) at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:358) Я имею ввиду последнее сообщение об ошибке в представленном логе. Да, это сейчас работает виртуальная машина, где сетевые интерфейсы отключены на уровне управления виртуальными машинами. Ни NAT, на мост. Всё выключено. В настройках TLS, все галочки сняты. Отредактировано пользователем 24 октября 2016 г. 13:13:39(UTC) \| Причина: уточнение


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#18 Оставлено : 24 октября 2016 г. 14:40:21(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,003 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 714 раз в 674 постах		Автор: miser В настройках TLS, все галочки сняты. Под управлением учетной записи пользователя, под которой запускается сервер?
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

miser		#19 Оставлено : 24 октября 2016 г. 15:56:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 14.03.2011(UTC) Сообщений: 153 Откуда: Санкт-Петербург Сказал «Спасибо»: 1 раз Поблагодарили: 7 раз в 5 постах		Действительно, под учетной записью, в которой запускается Apache Tomcat, галочки стояли. Провайдер сходил с ума. В хранилище доверенных сертификатов находятся все цепочки к УЦ. При попытке восстановить цепочку к пользовательскому сертификату, в цепочку не попадал "CN=Головной удостоверяющий центр". Иногда, два раза появлялся сертификат "CN=УЦ 2 ИС ГУЦ", вместо "CN=Головной удостоверяющий центр". Снял галочки под этой учетной записью. Заработало.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы<12

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close