Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Джахангир  
#1 Оставлено : 2 сентября 2020 г. 15:06:53(UTC)
Джахангир

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.09.2020(UTC)
Сообщений: 3
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
Предисловие.

На windows установлен КриптоПро CSP 5.0 при помощи него, был загружен корневой сертификат(CA.cer) из удаленного сервера, и сгенерирован сертификат клиента(cert.cer).

Эти файлы я перенес на linux, установил туда КриптоПро CSP 5.0, установил сертификаты в Криптро Про они отоборажаются в cptools. После попытался соединиться с сервером при помощи команды

./csptestf -tlsc -server someserver.ru -port 443 -v

и получаю


Error 0x800b010e (CERT_E_REVOCATION_FAILURE) returned by CertVerifyCertificateChainPolicy!
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebClient.c:1052:Error authenticating server credentials!
Error 0x800b010e: The revocation process could not continue - the certificate(s) could not be checked.
Total: SYS: 0,030 sec USR: 0,080 sec UTC: 0,680 sec
[ErrorCode: 0x800b010e]


Знатоки могут сказать, я что-то упустил?
Offline Андрей Русев  
#2 Оставлено : 6 сентября 2020 г. 15:05:39(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Проверка цепочки серверного сертификата закончилась неуспехом. Детали можно узнать, выставив переменную окружения CP_PRINT_CHAIN_DETAIL=1, но задача может быть непростой. Пример разбора проблемы: https://www.cryptopro.ru...&m=104411#post104411
Официальная техподдержка. Официальная база знаний.
Offline Джахангир  
#3 Оставлено : 7 сентября 2020 г. 10:44:16(UTC)
Джахангир

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.09.2020(UTC)
Сообщений: 3
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
Спасибо большое, Андрей, я уже разобрался в проблеме, оказалось в сертификате не было этой цепочки как таковой и еще некоторых данных, поставщик ответил что это тестовый сервер, поэтому так сделали.

При добавлении флага -nocheck тест проводит обмен данными с сервером:
csptest -tlsc -server someserver -port 443 -file "/" -user "thumbprint" -v -nocheck


У меня вопрос, после обмена данными с севером, я захотел настроить stunnel КриптоПро, следовал этому гайду https://www.cryptopro.ru...uidestunnel_windows.pdf:

в логах я получаю ошибку, что не может найти контейнер, хотя тот находится в 'CURRENT_USER\\MY'


2020.09.07 10:39:36 LOG5[7176:8040]: try to read the client certificate
2020.09.07 10:39:36 LOG7[7176:8040]: open file C:\Users\jaha\from_ie_der.cer with certificate
2020.09.07 10:39:36 LOG5[7176:8040]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2020.09.07 10:39:36 LOG3[7176:8040]: Error 0x80092004 returned by CertFindCertificateInStore

2020.09.07 10:39:36 LOG3[7176:8040]: Error creating credentials
2020.09.07 10:39:36 LOG5[7176:8040]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2020.09.07 10:39:36 LOG7[7176:8040]: free Buffers
2020.09.07 10:39:36 LOG5[7176:8040]: incomp_mess = 0, extra_data = 0
2020.09.07 10:39:36 LOG7[7176:8040]: https finished (0 left)

C:\Users\jaha\from_ie_der.cer - сертификат личный, без серкретного ключа, экспортировал из InternetExplorer 11 по этой инструкции:
https://serveradmin.ru/p...-sertifikatov-cryptopro.

Отредактировано пользователем 7 сентября 2020 г. 10:45:15(UTC)  | Причина: Не указана

Offline Андрей Русев  
#4 Оставлено : 7 сентября 2020 г. 22:00:06(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Для работы сертификат должен быть не только в файле, но и в личной (my) хранилище того пользователя, под которым вы пускаете stunnel. Причём с привязкой к закрытому ключу. Проще всего это организовать, запросив тестовый сертификат с помощью cryptcp на нашем тестовом УЦ (см. https://www.cryptopro.ru...px?g=posts&t=12471), либо импортировать pfx с машины, где сертификат был выпущен.
Официальная техподдержка. Официальная база знаний.
Offline Джахангир  
#5 Оставлено : 8 сентября 2020 г. 13:46:44(UTC)
Джахангир

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.09.2020(UTC)
Сообщений: 3
Российская Федерация
Откуда: Краснодар

Сказал(а) «Спасибо»: 1 раз
Спасибо за ответ. Сертификат и ключ были связаны, с этим все было в порядке. Работал с настройкой stunnel от крипто про в линукс, и там все разрешилось как только я задал setgid, setuid.
Проблема закрыта.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.