Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва
Сказал(а) «Спасибо»: 1 раз
|
Я правильно понял, что в журнале Код:июл 17, 2018 10:00:33 AM ru.CryptoPro.ssl.cl_42 f
FINE: *** CertificateRequest
Cert Types: Type-22
Cert Authorities:
<CN=Test Center CRYPTO-PRO, O=CRYPTO-PRO, C=RU, EMAILADDRESS=info@cryptopro.ru>
<CN=УЦ KPИПTO-ПPO, O=ООО КРИПТО-ПРО, L=Москва, C=RU, EMAILADDRESS=cpca@cryptopro.ru>
Это то, чему доверяет удалённый сервер, так?. А наш сертификат выдан выдан: Код:Issuer: CN=УЦ КРИПТО-ПРО (ГОСТ 2012), O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=Москва, C=RU, EMAILADDRESS=cpca@cryptopro.ru
И поэтому, так как удалённый сервер не доверяет CN=УЦ КРИПТО-ПРО (ГОСТ 2012), соединение не устанавливается
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва
Сказал(а) «Спасибо»: 1 раз
|
Какая-то непруха У НБКИ другой сервер для госта 2012 они мне прислали сертификат,я его положил в упомянутый в коде trust.store На этом trust.store цепочка строится  Bezymjannyjj1.png (10kb) загружен 16 раз(а).Метод connection.connect(); проходит Но всё равно выдаёт ошибку на строке int responseCode = connection.getResponseCode(); log5.txt (127kb) загружен 2 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Теперь, видимо, из-за того, что в CertificateRequest приходят типы 21-22, соответствующие ГОСТ 2001, а у вас, вероятно, ключ на алгоритме ГОСТ 2012 (256). При этом используется сайферсюита TLS_CIPHER_2012. В Cert Authorities должны быть в том числе типы 238 (ГОСТ 2012 256) и 239 (ГОСТ 2012 512), например: Код:
FINE: *** CertificateRequest
Cert Types: Type-21, Type-22 <--- должно быть, например, Type-21, Type-22, Type-238
Cert Authorities:
<CN=УЦ KPИПTO-ПPO, O=ООО КРИПТО-ПРО, L=Москва, C=RU, EMAILADDRESS=cpca@cryptopro.ru>
<CN=УЦ КРИПТО-ПРО (ГОСТ 2012), O="ООО \"КРИПТО-ПРО\"", L=Москва, ST=Москва, C=RU, EMAILADDRESS=cpca@cryptopro.ru>
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва
Сказал(а) «Спасибо»: 1 раз
|
Можно поподробнее?
Не понял, в чём проблема
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
В запросе CertificateRequest сервера для сайферсюиты TLS_CIPHER_2012 указаны алгоритмы открытого ключа 21-22, соответствующие ГОСТ 2001, а у вас, судя по всему, сертификат с ключом ГОСТ 2012. Чтобы был выбран ваш сертификат на алгоритме ГОСТ 2012, в CertificateRequest должен быть в том числе тип 238 (и 239), или алгоритм ключа в вашем сертификате должен быть ГОСТ 2001 (тогда он будет соответствовать 21-22). https://tools.ietf.org/html/rfc5246Цитата:
struct {
ClientCertificateType certificate_types<1..2^8-1>; <---
SignatureAndHashAlgorithm
supported_signature_algorithms<2^16-1>;
DistinguishedName certificate_authorities<0..2^16-1>;
} CertificateRequest;
certificate_types - A list of the types of certificate types that the client may offer.
...
The end-entity certificate provided by the client MUST contain a key that is compatible with certificate_types.
http://wwwold.tc26.ru/me...on/%D0%A2%D0%9A26TLS.pdfЦитата:
8.1 Приватные типы алгоритмов
До регистрации в IANA предварительные реализации используют следующие приватные номера преобразований:
CipherSuite TLS_GOSTR341112_256_WITH_28147_CNT_IMIT = {0xFF,0x85} <--- TLS_CIPHER_2012
CipherSuite TLS_GOSTR341112_256_WITH_NULL_GOSTR3411 = {0xFF,0x87}
enum {
gostr34102001(22), gostr34102012_256(238),
gostr34102012_512(239), (255)
} ClientCertificateType;
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва
Сказал(а) «Спасибо»: 1 раз
|
то есть сертификат сервера неверный, он не содержит необходимого алгоритма открытого ключа (238 и 238) Сертификат сервера: icrs2012.cer.txt (2kb) загружен 3 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Ваш сертификат, если он имеет ключ ГОСТ 2012, не соответствует заявленным параметрам сервера, которые тот шлет. |
|
 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2017(UTC)
Сообщений: 14
Откуда: Москва
Сказал(а) «Спасибо»: 1 раз
|
Большое спасибо за помощь!
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
