Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
КриптоПро Fox и сертификат пользователя в TLS
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline miser  
#1 Оставлено : 18 октября 2016 г. 18:03:36(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 8 раз в 5 постах
Несколько дней пытаюсь получить ответ. Имеются
КриптоПро Fox 31 сборка, 38 сборка и 45 сборка.
На стороне сервера стоит Apache Tomcat и JCP+TLS 2.0.x. Настроена двухсторонняя авторизация.

IE и КриптоПро Fox 31 работают корректно.
КриптоПро Fox 45 не работает. На стороне сервера вижу ответ от клиента - BAD_CERTIFICATE.

КриптоПро Fox v31.1.0esr, сведения о клиентском сертификате
Цитата:
This certificate has been verified for the following user:
SSL Client Certificate
EMail Signer Certificate
EMail Recipient Certificate


КриптоПро Fox v38.3.0esrpre, v45.1.2 сведения о клиентском сертификате
Цитата:
Could not verify this certificate for unknown reasons


Как осуществлять TLS соединение с авторизацией клиента?

Тема развивалась в другом обсуждении - Вы пробовали настраивать КриптоПро JTLS в Apache Tomcat ?.
Вверх
Offline Максим Коллегин  
#2 Оставлено : 18 октября 2016 г. 18:09:56(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,422
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 38 раз
Поблагодарили: 734 раз в 632 постах
Если сообщение BAD_CERTIFICATE от клиента - может проблема с серверным сертификатом?
Знания в базе знаний, поддержка в центре поддержки
Вверх
WWW
Offline miser  
#3 Оставлено : 19 октября 2016 г. 10:32:14(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 8 раз в 5 постах
Увы. Дело не в серверном сертификате. Есть набор виртуальных машин. Сертификат выдан на название виртуальной машины. CN="название сервера".
Я могу понять проблему, когда перенес Apache Tomcat на другую виртуальную машину, с другим названием.
Я говорю сейчас о том, что используется исходная виртуальная машина.

Ситуация такая. Запускаю разные обозреватели под Linux или Windows системы.
Windows + IE - TLS работает.
Windows + КриптоПро FOX 31 - TLS работает.
Windows + КриптоПро FOX 45 - TLS не работает.
Linux + КриптоПро FOX 31 - TLS работает.
Linux + КриптоПро FOX 45 - TLS не работает.

Далее, рассматриваем закрытый ключ и сертификат клиента.
КриптоПро FOX 31 - сертификат "SSL Client Certificate".
КриптоПро FOX 45 - Could not verify this certificate for unknown reasons

На клиентской Linux машине стоит КриптоПро CSP 4.0.9797.
Цепочки сертификатов на сервере Apache Tomcat, находятся в файле, описанном в параметре keystoreFile="...".
В Linux, цепочки сертификатов лежат в хранилище "uRoot".
В Windows, цепочки сертификатов лежат в хранилище "Доверенные корневые центры сертификации".

Если в Windows, промежуточные сертификаты разместить в хранилище "Доверенные издатели", КриптоПро Fox их не увидит.

Да, в КриптоПро FOX 45, в разделе настроек "Advanced", пробовал устанавливать и снимать галочку на использовании OSCP запросов. Это не влияет.

Отредактировано пользователем 19 октября 2016 г. 10:47:47(UTC)  | Причина: Не указана
Вверх
Offline Максим Коллегин  
#4 Оставлено : 19 октября 2016 г. 11:20:15(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,422
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 38 раз
Поблагодарили: 734 раз в 632 постах
Хранилище Доверенные издатели - для проверки подписи программ.

Без авторизации клиента cpfox 45 работает?
Знания в базе знаний, поддержка в центре поддержки
Вверх
WWW
Offline miser  
#5 Оставлено : 19 октября 2016 г. 13:00:12(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 8 раз в 5 постах
В Apache Tomact отменил авторизацию. Параметр clientAuth="true" поменял на "false". Теперь сертификат пользователя не запрашивается.
Результаты:
Windows + КриптоПро FOX 31 - TLS работает.
Windows + КриптоПро FOX 45 - TLS не работает.

На стороне сервера, в журнале ошибок нет. Отличие журнала, для сессии FOX 31, журнал длиннее - идет обмен данными.
Можно ли как-то включить системный журнал для КриптоПро FOX 45 под Windows?

В Windows стоит КриптоПро CSP 3.9.8001 КС1.

Отредактировано пользователем 19 октября 2016 г. 13:05:21(UTC)  | Причина: Не указана
Вверх
Offline Максим Коллегин  
#6 Оставлено : 19 октября 2016 г. 13:37:16(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,422
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 38 раз
Поблагодарили: 734 раз в 632 постах
Попробуйте с более свежей версией CSP.
Сможете прислать сертификат с ключом или открыть порт для доступа снаружи?
Знания в базе знаний, поддержка в центре поддержки
Вверх
WWW
Offline miser  
#7 Оставлено : 24 октября 2016 г. 16:28:10(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 8 раз в 5 постах
Извиняюсь, что не сразу ответил.
Куда уж более свежую CSP ставить. И так, самая распоследняя на Linux стоит, 4.0.9797.
Ну, не хочет нормально работать КриптоПро Fox версии 45.

КриптоПро Fox версии 31 нормально ходит к Apache Tomcat, с JCP+JTLS 2.0.x. Правда, есть свои глюки.
1) пароль к контейнеру закрытого ключа появляется в окне консоли, откуда идет запуск КриптоПро Fox.
Код:
$ ./firefox
(process:11133): GLib-CRITICAL **: g_slice_set_config: assertion 'sys_page_size == 0' failed
CryptoPro CSP: Type password for container "fedsfm"
Password:

2) выбираю в списке личных сертификатов просроченный. На белой страничке Fox, вижу мало понятную надпись
Код:
A PKCS #11 module returned CKR_FUNCTION_FAILED, indicating that the requested function could not be performed. 
Trying the same operation again might succeed. 
(Error code: sec_error_pkcs11_function_failed)
.

КриптоПро Fox версии 45 вообще, не отсылает на сторону сервера свой сертификат. Apache Tomcat молчит по данному поводу. Выдает
Код:
24-Oct-2016 16:02:45.090 SEVERE [http-nio-8443-exec-3] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-exec-3, fatal error:
 javax.net.ssl.SSLException: Received fatal alert: BAD_CERTIFICATE
        at ru.CryptoPro.ssl.C.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.j(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.b(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.unwrap(Unknown Source)
        at javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:624)
        at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:350)
        at org.apache.tomcat.util.net.SecureNioChannel.handshake(SecureNioChannel.java:208)

Из переписки, в исходном обсуждении, этот результат выдает клиент на сторону сервера.

На стороне КриптоПро Fox версии 45, на все личные сертификаты и сертификаты из цепочки, включая "CN=УЦ 2 ИС ГУЦ" и "CN=Головной удостоверяющий центр", пишет "Could not verify this certificate for unknown reasons".
Вверх
Offline Dmitry_Bokovikov  
#8 Оставлено : 25 октября 2016 г. 13:30:40(UTC)
Dmitry_Bokovikov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 29.01.2014(UTC)
Сообщений: 172
Откуда: Москва

Поблагодарили: 18 раз в 17 постах
Автор: miser Перейти к цитате
Извиняюсь, что не сразу ответил.
Куда уж более свежую CSP ставить. И так, самая распоследняя на Linux стоит, 4.0.9797.
Ну, не хочет нормально работать КриптоПро Fox версии 45.

КриптоПро Fox версии 31 нормально ходит к Apache Tomcat, с JCP+JTLS 2.0.x. Правда, есть свои глюки.
1) пароль к контейнеру закрытого ключа появляется в окне консоли, откуда идет запуск КриптоПро Fox.
Код:
$ ./firefox
(process:11133): GLib-CRITICAL **: g_slice_set_config: assertion 'sys_page_size == 0' failed
CryptoPro CSP: Type password for container "fedsfm"
Password:

2) выбираю в списке личных сертификатов просроченный. На белой страничке Fox, вижу мало понятную надпись
Код:
A PKCS #11 module returned CKR_FUNCTION_FAILED, indicating that the requested function could not be performed. 
Trying the same operation again might succeed. 
(Error code: sec_error_pkcs11_function_failed)
.

КриптоПро Fox версии 45 вообще, не отсылает на сторону сервера свой сертификат. Apache Tomcat молчит по данному поводу. Выдает
Код:
24-Oct-2016 16:02:45.090 SEVERE [http-nio-8443-exec-3] ru.CryptoPro.ssl.SSLEngineImpl.a http-nio-8443-exec-3, fatal error:
 javax.net.ssl.SSLException: Received fatal alert: BAD_CERTIFICATE
        at ru.CryptoPro.ssl.C.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.j(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.b(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.a(Unknown Source)
        at ru.CryptoPro.ssl.SSLEngineImpl.unwrap(Unknown Source)
        at javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:624)
        at org.apache.tomcat.util.net.SecureNioChannel.handshakeUnwrap(SecureNioChannel.java:350)
        at org.apache.tomcat.util.net.SecureNioChannel.handshake(SecureNioChannel.java:208)

Из переписки, в исходном обсуждении, этот результат выдает клиент на сторону сервера.

На стороне КриптоПро Fox версии 45, на все личные сертификаты и сертификаты из цепочки, включая "CN=УЦ 2 ИС ГУЦ" и "CN=Головной удостоверяющий центр", пишет "Could not verify this certificate for unknown reasons".


Добрый день! Не могли бы Вы прислать сертификат?, чтобы мы смогли разобраться, в чем ошибка, если она есть.
На всякий случай сразу убедитесь, что в сертификате в Certificate Key Usage указано Signing при отображении в cpfox.
Вверх
Offline miser  
#9 Оставлено : 25 октября 2016 г. 14:52:37(UTC)
miser

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.03.2011(UTC)
Сообщений: 153
Мужчина
Откуда: Санкт-Петербург

Сказал «Спасибо»: 1 раз
Поблагодарили: 8 раз в 5 постах
Сертификат пользователя и журнал Apache Tomcat можно найти в 11-м сообщении, в теме Вы пробовали настраивать КриптоПро JTLS в Apache Tomcat ?

Цепочка сертификатов с сайта УЦ, выдавшего данный сертификат.

КриптоПро Fox 31 на сертификат выдает
Цитата:
This certificate has been verified for the following uses:
SSL Client Certificate
Email Signer Certificate
Email Recipient Certificate

Details -> Certificate Key Usege:
Critical
Signing
Non-repudiation
Key Encipherment
Data Encipherment

Сертификат работает в КриптоПро Fox 31, Window IE.
Сертификат не работает в КриптоПро Fox 45.

Да, я немного погорячился на счет проверки корневых сертификатов. Они показываются без ошибок.

Отредактировано пользователем 25 октября 2016 г. 15:05:31(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET