Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Евгений Афанасьев  System.setProperty("com.sun.security.enableCRLDP", "false"); означает, что CRL будут переданы иначе и их не нужно грузит из сети по CRLDP в сертификатах. Код:***
TrustManagerFactory tmf = TrustManagerFactory.getInstance("GostX509");
CertPathParameters pkixParams = new PKIXBuilderParameters(trustStore, new X509CertSelector());
// Activate certificate revocation checking
((PKIXBuilderParameters) pkixParams).setRevocationEnabled(true);
List<CertStore> certStores = new ArrayList<>(1);
Collection<CRL> crls = new HashSet<>(1);
crls.add(CertificateFactory.getInstance("X.509").generateCRL( new java.io.FileInputStream("your_local_file.crl")));
certStores.add(CertStore.getInstance("Collection", new CollectionCertStoreParameters(crls)));
((PKIXBuilderParameters) pkixParams).setCertStores(certStores);
System.setProperty("com.sun.security.enableCRLDP", "true");
tmf.init(new CertPathTrustManagerParameters(pkixParams));
***
Как то так?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005  Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Да, без com.sun.security.enableCRLDP, потому что он лишь означает, как получать CRL, а не включение/отключение проверки (например, отключение - setRevocationEnabled(false)). Последнее делает в том числе тот параметр из java prefs. Но потом все равно все упрется в то, что в сертификате сервера нет server authentication. Отредактировано пользователем 3 апреля 2019 г. 15:32:30(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
lartok оставлено 03.04.2019(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.04.2019(UTC)
Сообщений: 3
Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
А что означает trust.store в примере
kst.load(new FileInputStream("trust.store"), "123".toCharArray()); // хранилище доверенных сертификатов //
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Dmitry67 Добрый день!
А что означает trust.store в примере
kst.load(new FileInputStream("trust.store"), "123".toCharArray()); // хранилище доверенных сертификатов //
Файл - хранилище доверенных сертификатов, пароль от этого хранилища соответственно.
|
1 пользователь поблагодарил lartok за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 03.04.2019(UTC)
Сообщений: 3
Сказал(а) «Спасибо»: 1 раз
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.04.2016(UTC)
Сообщений: 108
Сказал(а) «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Евгений Афанасьев Да, без com.sun.security.enableCRLDP, потому что он лишь означает, как получать CRL, а не включение/отключение проверки (например, отключение - setRevocationEnabled(false)). Последнее делает в том числе тот параметр из java prefs. Но потом все равно все упрется в то, что в сертификате сервера нет server authentication. Вот уже несколько недель не могу победить. Сборка Jre 1.8.091 + КриптоПро JCP 2.0.40035 (свежая версия) - ошибка: "RECV TLSv1 ALERT: fatal, description = DECODE_ERROR". На другой стороне стоит КриптоПро CSP 4 версии. Пробовал разные версии КриптоПро JCP 2.0, вроде бы на 38*** ответ от сервера получил "404 Bad request" - ругался на сертификат. В логах сервера "400 Bad Request No required SSL certificate was sent" Код не менялся: Код:***
TrustManagerFactory tmf = TrustManagerFactory.getInstance("GostX509");
CertPathParameters pkixParams = new PKIXBuilderParameters(trustStore, new X509CertSelector());
// Activate certificate revocation checking
((PKIXBuilderParameters) pkixParams).setRevocationEnabled(true);
List<CertStore> certStores = new ArrayList<>(1);
Collection<CRL> crls = new HashSet<>(1);
crls.add(CertificateFactory.getInstance("X.509").generateCRL( new java.io.FileInputStream("your_local_file.crl")));
certStores.add(CertStore.getInstance("Collection", new CollectionCertStoreParameters(crls)));
((PKIXBuilderParameters) pkixParams).setCertStores(certStores);
System.setProperty("com.sun.security.enableCRLDP", "true");
tmf.init(new CertPathTrustManagerParameters(pkixParams));
***
P.S.: Другие участники (ПО, сборка не известно) успешно подключаются по SSL ГОСТ2012 к этому сервису. Отредактировано пользователем 10 апреля 2019 г. 10:55:58(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,005 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 715 раз в 675 постах
|
Если есть возможность, предоставьте адрес для подключения, попробуем подключиться. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
