Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.12.2017(UTC) Сообщений: 44 Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
Автор: two_oceans Цитата:т.е. проблема может быть на стороне сервера, а не клиента? Проблема скорее на клиенте. Просто в ряде случаев проблемы на клиенте с построением цепочки могут быть из-за конфликта сертификатов УЦ. Например, есть другой действительный сертификат этого же удостоверяющего центра и издатель в конечном сертификате в точности совпадает с полем субъект в сертификате этого УЦ, но значение идентификатора ключа УЦ отличается. Пусть при этом верного сертификата УЦ у клиента не установлено. В этом случае при построении цепочки некоторыми программами может быть проигнорировано отличие идентификатора ключа и построена неверная цепочка к совсем другому корневому сертификату. На человеческий взгляд это практически неотличимо пока не сравните идентификаторы ключей. Далее цифровая подпись конечного сертификата будет считаться неверной при проверке ключом УЦ из другого сертификата УЦ и конечный сертификат будет считаться поврежденным. Это очень актуальная проблема если Вы несколько лет пользуетесь сертификатами одного и того же УЦ и у клиентов множество "прошлогодних" сертификатов этого УЦ (выдаются они дольше чем на 1 год и еще действуют), но нет "свежего" сертификата. Указание всех промежуточных сертификатом самим сервером значительно ослабляет проблему построения неверной цепочки для сертификата сервера. Обратите внимание, что для наилучшего эффекта промежуточные сертификаты не просто должны передаваться сервером по отдельности, а должны быть расположены по порядку и уже связаны в цепочку. Полностью проблема не снимается, так как корневой сертификат должен быть установлен у клиента и в связи промежуточного сертификата с корневым также возможна аналогичная ошибка, но в целом указание промежуточных сертификатов сервером стабилизирует построение цепочек клиентами. Ух ты ж.. я мало что понял, но покажу картинку. Это какие сертификаты есть у меня и какая ошибка. Никаких старых нет. Что делать, непонятно. 2018-12-18_09-36.png (131kb) загружен 31 раз(а).
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 395 раз в 366 постах
|
Итак, зашел на сайт по адресу из скриншота, выдало ошибку, просмотрел сертификат, нашел ссылку на сертификат промежуточного УЦ и посмотрел цепочку сертификатов. Итак, смотрим: 1) Головной удостоверяющий центр - идентификатор ключа субъекта (SubjectKeyID на Вашем скриншоте из позапрошлого поста) 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d - на скриншотах он присутствует. 2) ГКУ ТО "ЦИТТО" - идентификатор ключа субъекта 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 - на скриншоте Криптопро он отсутствует, но что-то присутствует на последнем скриншоте хотя не видно ни одного идентификатора чтобы сверить тот же самый или нет. Идентификатор ключа УЦ - 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d, совпадает с Головной удостоверяющий центр. Сертификат 2018 года. Скачал его с https://citto.ru/subsections/2 "Корневой сертификат 2018 (cer)" и установил в промежуточные удостоверяющие центры. Отпечаток SHA-1: 75 d7 db f7 3f 8f 28 7e 53 9c d4 29 24 ff 48 f7 da 8d dd d1. 3) *.admtyumen.ru - Идентификатор ключа УЦ - 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 совпадает с ГКУ ТО "ЦИТТО". Правильная цепочка построена. На мой взгляд в последнем не хватает нескольких оидов для всевозможных использований сайта, но на госуслуги вроде бы и так переходит, а после авторизации выдает "Вы не зарегистрированы в ППУ". В тоже время у Вас на скриншоте есть самоподписанный сертификат ГКУ ТО Центр информационных технологий Тюменской области 2015 года и сертификат выданный ГКУ ТО Центр информационных технологий Тюменской области - Головным удостоверяющим центром через УЦ 1 ИС ГУЦ 2016 года. Оба сертификата с отличающимися идентификаторами ключа субъекта. В итоге, как раз вышеописанная мной ситуация когда есть 2 "прошлогодних" сертификата, но нет "свежего". Правда в этом случае наименование прошлогодних и свежего не совпадает, так что цепочка не строится вообще. Как видите все достаточно просто, нужно выбрать правильный промежуточный сертификат и установить его. Отредактировано пользователем 18 декабря 2018 г. 12:05:21(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.12.2017(UTC) Сообщений: 44 Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
Автор: two_oceans Итак, зашел на сайт по адресу из скриншота, выдало ошибку, просмотрел сертификат, нашел ссылку на сертификат промежуточного УЦ и посмотрел цепочку сертификатов. Итак, смотрим: 1) Головной удостоверяющий центр - идентификатор ключа субъекта (SubjectKeyID на Вашем скриншоте из позапрошлого поста) 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d - на скриншотах он присутствует. 2) ГКУ ТО "ЦИТТО" - идентификатор ключа субъекта 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 - на скриншоте Криптопро он отсутствует, но что-то присутствует на последнем скриншоте хотя не видно ни одного идентификатора чтобы сверить тот же самый или нет. Идентификатор ключа УЦ - 8b 98 3b 89 18 51 e8 ef 9c 02 78 b8 ea c8 d4 20 b2 55 c9 5d, совпадает с Головной удостоверяющий центр. Сертификат 2018 года. Скачал его с https://citto.ru/subsections/2 "Корневой сертификат 2018 (cer)" и установил в промежуточные удостоверяющие центры. Отпечаток SHA-1: 75 d7 db f7 3f 8f 28 7e 53 9c d4 29 24 ff 48 f7 da 8d dd d1. 3) *.admtyumen.ru - Идентификатор ключа УЦ - 45 38 78 29 52 e3 aa 4e 11 d0 23 86 ff 8c 4f a6 8b 15 83 b4 совпадает с ГКУ ТО "ЦИТТО". Правильная цепочка построена. На мой взгляд в последнем не хватает нескольких оидов для всевозможных использований сайта, но на госуслуги вроде бы и так переходит, а после авторизации выдает "Вы не зарегистрированы в ППУ". В тоже время у Вас на скриншоте есть самоподписанный сертификат ГКУ ТО Центр информационных технологий Тюменской области 2015 года и сертификат выданный ГКУ ТО Центр информационных технологий Тюменской области - Головным удостоверяющим центром через УЦ 1 ИС ГУЦ 2016 года. Оба сертификата с отличающимися идентификаторами ключа субъекта. В итоге, как раз вышеописанный мной ситуация когда есть 2 "прошлогодних" сертификата, но нет "свежего". Правда в этом случае наименование прошлогодних и свежего не совпадает, так что цепочка не строится вообще. Как видите все достаточно просто, нужно выбрать правильный промежуточный сертификат и установить его. Вроде завелось у меня.. действительно сертификата не хватало ((
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.12.2017(UTC) Сообщений: 44 Сказал(а) «Спасибо»: 3 раз Поблагодарили: 2 раз в 2 постах
|
А есть возможность выкладывать srpm ?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: x09 А есть возможность выкладывать srpm ? Зачем? Все исходники известно где. Плюс, если в оригинальном репозитории Chromium-а нет такого типа сборки, то точно нет. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.02.2019(UTC) Сообщений: 2
|
Добрый день. Есть ли возможность собрать 32 битную версию chromium-gost? Пробовал сам, но что-то совсем не смог разобраться в этом.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: den_denisov Добрый день. Есть ли возможность собрать 32 битную версию chromium-gost? Пробовал сам, но что-то совсем не смог разобраться в этом. Что за система, где это может быть востребовано? Для windows у нас 32-битная сборка. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 06.02.2019(UTC) Сообщений: 2
|
Автор: Дмитрий Пичулин Автор: den_denisov Добрый день. Есть ли возможность собрать 32 битную версию chromium-gost? Пробовал сам, но что-то совсем не смог разобраться в этом. Что за система, где это может быть востребовано? Для windows у нас 32-битная сборка. Linux Ubuntu 14.04, на работе ноутбук старый и только 32 битная ОС встает.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,495 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 464 раз в 332 постах
|
Автор: den_denisov Автор: Дмитрий Пичулин Автор: den_denisov Добрый день. Есть ли возможность собрать 32 битную версию chromium-gost? Пробовал сам, но что-то совсем не смог разобраться в этом. Что за система, где это может быть востребовано? Для windows у нас 32-битная сборка. Linux Ubuntu 14.04, на работе ноутбук старый и только 32 битная ОС встает. Ставьте 32-битную Windows ;) Или всё таки вариант собрать самостоятельно. Пока не доказана массовая необходимость 386, chromium-gost для Unix будет только amd64. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close