Статус: Участник
Группы: Участники
Зарегистрирован: 06.06.2018(UTC) Сообщений: 17 
|
Здравствуйте! Есть у нас проект, написаный на Java, который через шифрованые сети подключается к удаленному серверу для сбора данных с него. Несколько месяцев работало все нормально, но недавно случился форс-мажор и пришлось переустановить JCP вместе с явой, после чего начались проблемы. Программа подключается к серверу с использованием двухсторонней аутентификации через сертификаты. После повторной установки CryptoPro JCP была введена лицензия, сделаны те же настройки что и делались ранее, импортировано старое хранилище сертификатов. Однако при запуске программы на определенном моменте возникает отказ в соединении, который у нас побороть никак не получается Собственно ошибка в которую упираемся написана в описании темы Цитата:org.springframework.web.client.HttpClientErrorException: 403 Forbidden детальный лог прикреплю во вложении. Пробовали в панели управления JCP ставить галку на пункте Check revocation status of the certificate chain - ситуация повторяется, но при этом возникает еще одна ошибка немногим ранее Цитата:javax.net.ssl.SSLHandshakeException: Received fatal alert: HANDSHAKE_FAILURE лог так же прикреплю вторым файлом Прошу помощи, ибо сами уже зашли в тупик  log1.txt (20kb) загружен 3 раз(а). log2.txt (32kb) загружен 5 раз(а).Отредактировано пользователем 8 августа 2018 г. 8:51:53(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Здравствуйте. 1. Если у вас ранее была версия jcp 1.0.54, то она существенно отличается от 2.0, т.к. в последнюю, например, добавлена проверка цепочки сертификатов другой стороны. Проверку, например, можно отключить в "Настройках сервера" в панели JCP. 2. Логи не все, сложно сказать, отчего не проверяется цепочка: возможно, нет доступа к CRL, заданному в CRLDP в сертификате сервера или промежуточном сертификате, или CRLDP нет вообще. Если использовать проверку цепочки, то желательно включить полное логирование с уровнем ALL для SSLLogger и FINE для JCPLogger (см. https://support.cryptopr...nlirovnija-kriptopro-jcp и https://support.cryptopr...irovnija-kriptopro-jtls) и приложить логи. 3. В томкат, начиная с версии (примерно) 8.5, произошли изменения в организации коннектора: для него требуется адаптер (он есть в дистрибутиве, в папке Doc\WebServerIntegration\Tomcat9). |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.06.2018(UTC) Сообщений: 17
|
Нет, проект у нас был изначально построен на JCP 2.0, и как раз проверка цепочки сертификатов (это ведь пункт как раз Check revocation status of the certificate chain?) пробовали отключить, первый лог был с отключенной проверкой, второй с включенной. Сейчас включили SSLLogging, и вывалилась ошибка собственно Цитата:2018-08-08 15:08:50.106 DEBUG 2420 --- [ main] ru.CryptoPro.ssl.SSLLogger : 19136019@2018-03-23-ООО Наша организация -1 : private key test failed Сдается мне что не с проста это, и проблема где-то в этом кроется... Лог во вложении log3.txt (141kb) загружен 6 раз(а).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.06.2018(UTC) Сообщений: 17
|
Появилось еще одно уточнение, в панели управления JCP при открытии хранилища и сертификатов можно сделать Build сертификата, так вот при выборе сертификата из хранилища контейнеров, после указания пути по которому они расположены возникает ошибка 1.jpg (88kb) загружен 16 раз(а).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.06.2018(UTC) Сообщений: 17
|
Судя по всему ошибка кроется где-то в CryptoPro CSP, ибо когда я пытаюсь зайти на тестовый стенд, предоставленный заказчиком, через браузер - плагин, который должен предлагать авторизоваться по сертификату, выдает предупреждение о том, что сертификаты в системе не установлены или срок действия всех сертификатов истек, а серт действителен до июня 2019 года
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Автор: Despair  Нет, проект у нас был изначально построен на JCP 2.0, и как раз проверка цепочки сертификатов (это ведь пункт как раз Check revocation status of the certificate chain?) пробовали отключить, первый лог был с отключенной проверкой, второй с включенной. Сейчас включили SSLLogging, и вывалилась ошибка собственно Цитата:2018-08-08 15:08:50.106 DEBUG 2420 --- [ main] ru.CryptoPro.ssl.SSLLogger : 19136019@2018-03-23-ООО Наша организация -1 : private key test failed Сдается мне что не с проста это, и проблема где-то в этом кроется... Лог во вложении log3.txt (141kb) загружен 6 раз(а). Нужно отключить предупреждения о сроке ГОСТ 2001 - см. https://support.cryptopr...ekhod-n-gost-r-3410-2012 |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.06.2018(UTC) Сообщений: 17
|
Автор: Евгений Афанасьев Автор: Despair Нет, проект у нас был изначально построен на JCP 2.0, и как раз проверка цепочки сертификатов (это ведь пункт как раз Check revocation status of the certificate chain?) пробовали отключить, первый лог был с отключенной проверкой, второй с включенной. Сейчас включили SSLLogging, и вывалилась ошибка собственно Цитата:2018-08-08 15:08:50.106 DEBUG 2420 --- [ main] ru.CryptoPro.ssl.SSLLogger : 19136019@2018-03-23-ООО Наша организация -1 : private key test failed Сдается мне что не с проста это, и проблема где-то в этом кроется... Лог во вложении log3.txt (141kb) загружен 6 раз(а). Нужно отключить предупреждения о сроке ГОСТ 2001 - см. https://support.cryptopr...ekhod-n-gost-r-3410-2012 оно уже отключено. Есть у меня подозрение что косяк таки не в JCP, а в CSP, ибо нам дали тестовую среду с веб-доступом и входом по сертификату, и при попытке авторизации через браузер плагин (который, на сколько я понимаю, работает все таки с CSP) вываливает ошибку "Сертификаты не установлены или срок действия всех сертификатов истек.", хотя при попытке проверить сертификаты через панель CSP он их прекрасно видит, и тест проходит успешно. Если же все те же действия провести на другом компе (с установкой тех же плагинов), на котором есть CSP но нет JCP - ошибки нет, и всплывающее окно спокойно предлагает выбрать сертификат. Отредактировано пользователем 9 августа 2018 г. 9:26:47(UTC)
| Причина: Дополнение
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
По логу 3 можно только сказать, что происходит ошибка при попытке отобразить окно с предупреждением о ГОСТ 2001 (вероятно, нет графической оболочки) в ходе формирования cert_verify: Код:
java.awt.HeadlessException: null
at java.awt.GraphicsEnvironment.checkHeadless(GraphicsEnvironment.java:204) ~[na:1.8.0_181]
at java.awt.Window.<init>(Window.java:536) ~[na:1.8.0_181]
at java.awt.Frame.<init>(Frame.java:420) ~[na:1.8.0_181]
at java.awt.Frame.<init>(Frame.java:385) ~[na:1.8.0_181]
at javax.swing.JFrame.<init>(JFrame.java:189) ~[na:1.8.0_181]
at ru.CryptoPro.JCP.tools.N.<init>(Unknown Source) ~[JCP.jar:39014]
at ru.CryptoPro.JCP.tools.Gost2001Warning.warn(Unknown Source) ~[JCP.jar:39014]
at ru.CryptoPro.JCP.Sign.c.engineInitSign(Unknown Source) ~[JCP.jar:39014]
at java.security.Signature.initSign(Signature.java:530) ~[na:1.8.0_181]
Ошибка устраняется отключением предупреждений согласно инструкции. По поводу ошибки при построении цепочки сертификатов - в хранилище доверенных есть промежуточные сертификаты для цепочки, если цепочка состоит из более чем двух сертификатов (клиентский - корневой)? Отредактировано пользователем 9 августа 2018 г. 14:17:15(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.06.2018(UTC) Сообщений: 17
|
В общем и целом я бы сказал что проблема, судя по всему, не только и даже не столько в JCP, попытки локализовать "виновника торжества" все четче указывают в целом на Криптопро CSP, ибо при авторизации через сертификат даже на тестовом стенде, где JCP не используется и соответственно программа туда не ходит, плагин выдает ошибку описанную выше. Из чего можно сделать вывод что плагин не знает о том что в CSP установлены сертификаты и не может их увидеть. Разумеется то же самое происходит и при попытке залезть на удаленный сервер без графического интерфейса, CSP так же не передает ключ, необходимый для авторизации
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.06.2018(UTC) Сообщений: 17
|
Автор: Евгений Афанасьев
По поводу ошибки при построении цепочки сертификатов - в хранилище доверенных есть промежуточные сертификаты для цепочки, если цепочка состоит из более чем двух сертификатов (клиентский - корневой)?
нет, цепочка состоит как раз только из клиентского и корневого сертификатов, так что этот момент исключен
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
