Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 35  Сказал(а) «Спасибо»: 2 раз
|
Автор: Евгений Афанасьев  Судя по логам, проблема в том, что для TLS используется ключ подписи на алгоритме ГОСТ 2012, он отбраковывается модулем cpSSL. Требуется ключ обмена. В будущих релизах добавим возможность использовать ключ подписи. Да, сертификат по ГОСТ 2012. Используется для подписания передаваемых данных и для установки защищенного соединения. Уточнил в ФНС. Можно использовать несколько ключей: один для подписания, а второй для обмена. Выпускали сертификат по этой ссылке. Также смотрел здесь. Вижу вариант либо создать ключ подписи и обмена, либо только подписи. Возможно подскажете где могу сделать сертификат, подходящий только для обмена?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963  Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
|
Обычно УЦ позволяет создать закрытый ключ подписи или ключ подписи и обмена (у него шире спектр действий) и затем по запросу на сертификат выпустить требуемый сертификат. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 35 Сказал(а) «Спасибо»: 2 раз
|
Автор: Евгений Афанасьев Обычно УЦ позволяет создать закрытый ключ подписи или ключ подписи и обмена (у него шире спектр действий) и затем по запросу на сертификат выпустить требуемый сертификат. Да, об этом и говорю. У меня ключ подписи и обмена. Но если Вас правильно понял, функционал подписи не позволяет модулю cpSSL использовать мой ключ для установки защищенного подключения. Следовательно мне нужен ключ только для обмена. У УЦ есть возможность выпустить такой ключ? Потому что если нет, то мне непонятно, какой ключ должен быть для установки соединения посредством cpSSL. Все кроме ГОСТ 2012?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,318  Сказал «Спасибо»: 549 раз
Поблагодарили: 2207 раз в 1722 постах
|
Автор: ==fff== Автор: Евгений Афанасьев Обычно УЦ позволяет создать закрытый ключ подписи или ключ подписи и обмена (у него шире спектр действий) и затем по запросу на сертификат выпустить требуемый сертификат. Да, об этом и говорю. У меня ключ подписи и обмена. Но если Вас правильно понял, функционал подписи не позволяет модулю cpSSL использовать мой ключ для установки защищенного подключения. Следовательно мне нужен ключ только для обмена. У УЦ есть возможность выпустить такой ключ? Потому что если нет, то мне непонятно, какой ключ должен быть для установки соединения посредством cpSSL. Все кроме ГОСТ 2012? Посмотрите, всего два варианта, а не через "и", три. 1. "Ключ подписи" - подписание 2. "Ключ подписи и обмена" - подписание, TLS |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 35 Сказал(а) «Спасибо»: 2 раз
|
Автор: Евгений Афанасьев Судя по логам, проблема в том, что для TLS используется ключ подписи на алгоритме ГОСТ 2012, он отбраковывается модулем cpSSL. Требуется ключ обмена. В будущих релизах добавим возможность использовать ключ подписи. Евгений, подскажите пожалуйста, есть ориентировочные сроки решения проблемы? Выходим на прод, а у ФНС требования по сертификату для установки TLS соединения отличаются от тех, которые предъявляет cpSSL. Я скачал свежую КриптоПро Java CSP и JTLS (версия 5.0.42898-A для JVM 10+), но там ситуация не поменялась.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 19.09.2022(UTC) Сообщений: 35 Сказал(а) «Спасибо»: 2 раз
|
И следом вопрос. С коллегами спорим по поводу того, как должен выглядеть ключ для успешной установки соединения. Есть тестовый ключ, в котором: - свойство Улучшенный ключ=Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
- свойство Использование ключа=Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных (f0)
И есть ключ, которым хотим авторизоваться на проде: - свойство Улучшенный ключ=Пользователь службы штампов времени (1.2.643.2.2.34.25)
Пользователь службы актуальных статусов (1.2.643.2.2.34.26)
Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
Неизвестное использование ключа (1.2.643.3.58.2.1.6)
Неизвестное использование ключа (1.2.643.3.58.3.1.1.5)
Неизвестное использование ключа (1.2.643.3.8.100.1.19)
Неизвестное использование ключа (1.2.643.5.1.24.2.1.3)
Неизвестное использование ключа (1.2.643.5.1.24.2.30)
Неизвестное использование ключа (1.2.643.6.15)
Неизвестное использование ключа (1.2.643.6.18.2)
Неизвестное использование ключа (1.2.643.6.48)
Неизвестное использование ключа (1.2.643.6.7)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Защищенная электронная почта (1.3.6.1.5.5.7.3.4)
- свойство Использование ключа=Цифровая подпись, Неотрекаемость, Шифрование ключей, Шифрование данных, Согласование ключей (f8)
При авторизации вторым ключом получаю Код:FINE: Warning: no suitable certificate found - continuing without client authentication
Правильно понял, что в текущей ситуации для успешной авторизации нужно чтобы в Улучшенный ключ было Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) и ничего более? Если неправильно понял, то как понять, какой сертификат подойдет, а какой нет?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
