Статус: Активный участник
Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126
Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
|
Автор: Lirein  Спасибо, после отключения TLS1.2 и TLS1.1 - всё заработало. Ждём пока налоговая починит настройки сервера. nalog.ru заработал по TLS 1.2. Можно возвращать настройки
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.12.2017(UTC) Сообщений: 44  Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
не работает?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: x09 Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
не работает? "Выбираю сертификат" где? Если вы работаете в экосистеме КриптоПро CSP, то все действия необходимо делать пользуясь функционалом КриптоПро CSP. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.12.2017(UTC) Сообщений: 44 Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Дмитрий Пичулин Автор: x09 Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
не работает? "Выбираю сертификат" где? Если вы работаете в экосистеме КриптоПро CSP, то все действия необходимо делать пользуясь функционалом КриптоПро CSP. в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ криптопро тоже стоит, там они есть. Но на сайт закрытый ГОСТОм не пускает NET::ERR_CERT_AUTHORITY_INVALID
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: x09 в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ Браузер это не КриптоПро CSP. Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/ certmgr -list -store urootУстановить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/ certmgr -inst -store uroot -file /path/to/cert |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.12.2017(UTC) Сообщений: 44 Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Дмитрий Пичулин Автор: x09 в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ Браузер это не КриптоПро CSP. Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/ certmgr -list -store urootУстановить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/ certmgr -inst -store uroot -file /path/to/cert В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся? p.s. тестирую вот тут ppu.admtyumen.ru  2018-12-17_12-52.png (210kb) загружен 16 раз(а).Отредактировано пользователем 17 декабря 2018 г. 10:54:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
|
Автор: x09 Автор: Дмитрий Пичулин Автор: x09 в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ Браузер это не КриптоПро CSP. Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/ certmgr -list -store urootУстановить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/ certmgr -inst -store uroot -file /path/to/cert В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся? p.s. тестирую вот тут ppu.admtyumen.ru 2018-12-17_12-52.png (210kb) загружен 16 раз(а). С большой вероятностью, цепочка до корневых не может построиться, возможно стоит промежуточные сертификаты добавить в цепочку сервера, чтобы он их пользователям отправлял в рамках TLS. Лучше, конечно, тестировать TLS с помощью csptestf -tlsc, а потом уже в браузере. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.12.2017(UTC) Сообщений: 44 Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Автор: Дмитрий Пичулин Автор: x09 Автор: Дмитрий Пичулин Автор: x09 в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ Браузер это не КриптоПро CSP. Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/ certmgr -list -store urootУстановить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/ certmgr -inst -store uroot -file /path/to/cert В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся? p.s. тестирую вот тут ppu.admtyumen.ru 2018-12-17_12-52.png (210kb) загружен 16 раз(а). С большой вероятностью, цепочка до корневых не может построиться, возможно стоит промежуточные сертификаты добавить в цепочку сервера, чтобы он их пользователям отправлял в рамках TLS. Лучше, конечно, тестировать TLS с помощью csptestf -tlsc, а потом уже в браузере. т.е. проблема может быть на стороне сервера, а не клиента?
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
|
Цитата:т.е. проблема может быть на стороне сервера, а не клиента? Проблема скорее на клиенте. Просто в ряде случаев проблемы на клиенте с построением цепочки могут быть из-за конфликта сертификатов УЦ. Например, есть другой действительный сертификат этого же удостоверяющего центра и издатель в конечном сертификате в точности совпадает с полем субъект в сертификате этого УЦ, но значение идентификатора ключа УЦ отличается. Пусть при этом верного сертификата УЦ у клиента не установлено. В этом случае при построении цепочки некоторыми программами может быть проигнорировано отличие идентификатора ключа и построена неверная цепочка к совсем другому корневому сертификату. На человеческий взгляд это практически неотличимо пока не сравните идентификаторы ключей. Далее цифровая подпись конечного сертификата будет считаться неверной при проверке ключом УЦ из другого сертификата УЦ и конечный сертификат будет считаться поврежденным. Это очень актуальная проблема если Вы несколько лет пользуетесь сертификатами одного и того же УЦ и у клиентов множество "прошлогодних" сертификатов этого УЦ (выдаются они дольше чем на 1 год и еще действуют), но нет "свежего" сертификата. Указание всех промежуточных сертификатом самим сервером значительно ослабляет проблему построения неверной цепочки для сертификата сервера. Обратите внимание, что для наилучшего эффекта промежуточные сертификаты не просто должны передаваться сервером по отдельности, а должны быть расположены по порядку и уже связаны в цепочку. Полностью проблема не снимается, так как корневой сертификат должен быть установлен у клиента и в связи промежуточного сертификата с корневым также возможна аналогичная ошибка, но в целом указание промежуточных сертификатов сервером стабилизирует построение цепочек клиентами. Отредактировано пользователем 18 декабря 2018 г. 7:24:20(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
