Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

158 Страницы«<2021222324>»
Опции
К последнему сообщению К первому непрочитанному
Offline Aleksandr G*  
#211 Оставлено : 11 декабря 2018 г. 15:03:12(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
Автор: Lirein Перейти к цитате
Спасибо, после отключения TLS1.2 и TLS1.1 - всё заработало. Ждём пока налоговая починит настройки сервера.


nalog.ru заработал по TLS 1.2. Можно возвращать настройки
Offline x09  
#212 Оставлено : 14 декабря 2018 г. 8:58:57(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168

не работает?
Offline Дмитрий Пичулин  
#213 Оставлено : 14 декабря 2018 г. 9:17:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#214 Оставлено : 14 декабря 2018 г. 9:19:28(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: x09 Перейти к цитате
Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168

не работает?

"Выбираю сертификат" где?

Если вы работаете в экосистеме КриптоПро CSP, то все действия необходимо делать пользуясь функционалом КриптоПро CSP.
Знания в базе знаний, поддержка в техподдержке
Offline x09  
#215 Оставлено : 14 декабря 2018 г. 10:47:14(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
Хотел добавить центр сертификации свой.. выбираю сертификат - а мне сначала три чекбокса когда доверять и потом - "Неизвестная ошибка".. в логе
[9968:9968:1214/104929.358431:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168
[9968:9968:1214/105159.838689:ERROR:nsNSSCertificateDB.cpp(89)] PK11_ImportCert failed with error -8168

не работает?

"Выбираю сертификат" где?

Если вы работаете в экосистеме КриптоПро CSP, то все действия необходимо делать пользуясь функционалом КриптоПро CSP.



в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ
криптопро тоже стоит, там они есть. Но на сайт закрытый ГОСТОм не пускает NET::ERR_CERT_AUTHORITY_INVALID

Offline Дмитрий Пичулин  
#216 Оставлено : 14 декабря 2018 г. 13:16:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: x09 Перейти к цитате
в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ

Браузер это не КриптоПро CSP.

Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/certmgr -list -store uroot
Установить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /path/to/cert
Знания в базе знаний, поддержка в техподдержке
Offline x09  
#217 Оставлено : 17 декабря 2018 г. 10:52:08(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ

Браузер это не КриптоПро CSP.

Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/certmgr -list -store uroot
Установить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /path/to/cert


В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся?

p.s. тестирую вот тут ppu.admtyumen.ru

2018-12-17_12-52.png (210kb) загружен 16 раз(а).

Отредактировано пользователем 17 декабря 2018 г. 10:54:26(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#218 Оставлено : 17 декабря 2018 г. 11:09:29(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: x09 Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ

Браузер это не КриптоПро CSP.

Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/certmgr -list -store uroot
Установить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /path/to/cert


В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся?

p.s. тестирую вот тут ppu.admtyumen.ru

2018-12-17_12-52.png (210kb) загружен 16 раз(а).

С большой вероятностью, цепочка до корневых не может построиться, возможно стоит промежуточные сертификаты добавить в цепочку сервера, чтобы он их пользователям отправлял в рамках TLS.

Лучше, конечно, тестировать TLS с помощью csptestf -tlsc, а потом уже в браузере.

Знания в базе знаний, поддержка в техподдержке
Offline x09  
#219 Оставлено : 17 декабря 2018 г. 12:09:52(UTC)
x09

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.12.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: x09 Перейти к цитате
в браузере. настройки->настроить сертификаты->центры сертификации->ИМПОРТ

Браузер это не КриптоПро CSP.

Посмотреть список сертификатов корневых УЦ пользователя: /opt/cprocsp/bin/amd64/certmgr -list -store uroot
Установить корневой сертификат УЦ в хранилище сертификатов пользователя: /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /path/to/cert


В криптопро все сертификаты есть, а браузер ругается все равно. Он как-то прозрачно должен с криптопро связыватся?

p.s. тестирую вот тут ppu.admtyumen.ru

2018-12-17_12-52.png (210kb) загружен 16 раз(а).

С большой вероятностью, цепочка до корневых не может построиться, возможно стоит промежуточные сертификаты добавить в цепочку сервера, чтобы он их пользователям отправлял в рамках TLS.

Лучше, конечно, тестировать TLS с помощью csptestf -tlsc, а потом уже в браузере.



т.е. проблема может быть на стороне сервера, а не клиента?
Offline two_oceans  
#220 Оставлено : 18 декабря 2018 г. 7:18:46(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Цитата:
т.е. проблема может быть на стороне сервера, а не клиента?
Проблема скорее на клиенте.

Просто в ряде случаев проблемы на клиенте с построением цепочки могут быть из-за конфликта сертификатов УЦ. Например, есть другой действительный сертификат этого же удостоверяющего центра и издатель в конечном сертификате в точности совпадает с полем субъект в сертификате этого УЦ, но значение идентификатора ключа УЦ отличается. Пусть при этом верного сертификата УЦ у клиента не установлено. В этом случае при построении цепочки некоторыми программами может быть проигнорировано отличие идентификатора ключа и построена неверная цепочка к совсем другому корневому сертификату. На человеческий взгляд это практически неотличимо пока не сравните идентификаторы ключей. Далее цифровая подпись конечного сертификата будет считаться неверной при проверке ключом УЦ из другого сертификата УЦ и конечный сертификат будет считаться поврежденным. Это очень актуальная проблема если Вы несколько лет пользуетесь сертификатами одного и того же УЦ и у клиентов множество "прошлогодних" сертификатов этого УЦ (выдаются они дольше чем на 1 год и еще действуют), но нет "свежего" сертификата.

Указание всех промежуточных сертификатом самим сервером значительно ослабляет проблему построения неверной цепочки для сертификата сервера. Обратите внимание, что для наилучшего эффекта промежуточные сертификаты не просто должны передаваться сервером по отдельности, а должны быть расположены по порядку и уже связаны в цепочку. Полностью проблема не снимается, так как корневой сертификат должен быть установлен у клиента и в связи промежуточного сертификата с корневым также возможна аналогичная ошибка, но в целом указание промежуточных сертификатов сервером стабилизирует построение цепочек клиентами.

Отредактировано пользователем 18 декабря 2018 г. 7:24:20(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (4)
158 Страницы«<2021222324>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.