Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,445 Сказал «Спасибо»: 53 раз Поблагодарили: 791 раз в 731 постах
|
Автор: Dmitriy Gorchakov Автор: two_oceans Автор: Dmitriy Gorchakov Интересно, что приватный ключ протух (PrivKey: 25.07.2019 08:18:03 - 25.10.2020 23:59:00 (UTC) expired) но еще более интереснее почему "A certificate chain could not be built to a trusted root authority." и не только с ними. Все логично, согласно закона об электронной подписи максимальный срок использования закрытого ключа 1 год 3 месяца (если ключ не находится в аппаратном устройстве с неизвлекаемыми ключами, для которых максимальный срок 3 года; есть разные понятия как отсчитывать 1 год 3 месяца, дающие до 4 дней разницы, кто-то отсчитывает месяцы по календарю (454-458 дней), кто-то фиксированно 456 или 457 дней; время суток также не регламентировано - но от 25 июля 2019 года срок уже прошел по всем вариантам), а они выпустили сам сертификат на 1 год 4 месяца. Гениально. Соответственно закрытый ключ протух на месяц скорее чем сертификат, а они наверно по самому сертификату срок смотрят, а не по сроку закрытого ключа в сертификате. При расчете цепочки учитывается, что текущая дата попадает в промежуток актуальности каждого сертификата в цепочке. Похоже в данном случае, период закрытого ключа также ограничивает промежуток актуальности (это уже зависит каким СКЗИ проверять). Странно получается, что у них 2 сертификата(видимо 2 сервера балансируются), так как при нескольких запросах получается такая картина:
Цитата:[root@centos7 amd64]# sudo -u stunnel ./csptestf -tlsc -server zoe-lk.fincert.cbr.ru -port 443 --cert '1d4fc07ce4cdfa8448f5ab6b45285eddbd21daef' -v 8 algorithms supported: Aglid Class OID [00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89) [01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит) [03] 0x801f 0x8000 [04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) [06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012) [07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012) Cipher strengths: 256..256 Supported protocols: 0xa80: Transport Layer Security 1.0 client side Transport Layer Security 1.1 client side Transport Layer Security 1.2 client side dwProtocolMask: 0x800a0aaa Protocol version: 3.3 ClientHello: RecordLayer: TLS, Len: 108 Cipher Suites: (ff 85) (00 81) (00 32) (00 31) 113 bytes of handshake data sent 1973 bytes of handshake data received 215 bytes of handshake data sent 31 bytes of handshake data received Handshake was successful SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT) SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1 SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256 SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2012 256), MinLen: 512, MaxLen: 512 SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2012 256), KeyType: 0 SECPKG_ATTR_NAMES: 1.2.643.100.111="#0C818AD0A1D0A0D095D094D0A1D0A2D092D09E20D09AD0A0D098D09FD0A2D09ED093D0A0D090D0A4D098D0A7D095D0A1D09AD09ED09920D097D090D0A9D098D0A2D0AB20D098D09DD0A4D09ED0A0D09CD090D0A6D098D0982022D09AD09ED09DD0A2D098D09DD095D09DD0A220544C532DD0A1D095D0A0D092D095D0A02220D092D095D0A0D0A1D098D0AF2032", C=RU, L=Москва, O=CBR, OU=Центр мониторинга и реагирования на компьютерные атаки ЦБ РФ, CN=zoe-lk.fincert.cbr.ru SECPKG_ATTR_PACKAGE_INFO not supported.
Server certificate: Subject: 1.2.643.100.111="#0C818AD0A1D0A0D095D094D0A1D0A2D092D09E20D09AD0A0D098D09FD0A2D09ED093D0A0D090D0A4D098D0A7D095D0A1D09AD09ED09920D097D090D0A9D098D0A2D0AB20D098D09DD0A4D09ED0A0D09CD090D0A6D098D0982022D09AD09ED09DD0A2D098D09DD095D09DD0A220544C532DD0A1D095D0A0D092D095D0A02220D092D095D0A0D0A1D098D0AF2032", C=RU, L=Москва, O=CBR, OU=Центр мониторинга и реагирования на компьютерные атаки ЦБ РФ, CN=zoe-lk.fincert.cbr.ru Valid : 26.10.2020 07:29:42 - 26.02.2021 23:59:00 (UTC) Issuer : DC=ru, DC=cbr, DC=region, OU=PKI, OU=GUBZI, CN=ROOTsvc-CA-test PrivKey: 26.10.2020 07:29:42 - 26.02.2021 23:59:00 (UTC) Error 0x800b010a (CERT_E_CHAINING) returned by CertVerifyCertificateChainPolicy! An error occurred in running the program. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:769:Error authenticating server credentials! Error number 0x800b010a (2148204810). A certificate chain could not be built to a trusted root authority. Total: SYS: 0.020 sec USR: 0.100 sec UTC: 0.190 sec [ErrorCode: 0x800b010a] [root@centos7 amd64]# sudo -u stunnel ./csptestf -tlsc -server zoe-lk.fincert.cbr.ru -port 443 --cert '1d4fc07ce4cdfa8448f5ab6b45285eddbd21daef' -v 8 algorithms supported: Aglid Class OID [00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89) [01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит) [03] 0x801f 0x8000 [04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) [06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012) [07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012) Cipher strengths: 256..256 Supported protocols: 0xa80: Transport Layer Security 1.0 client side Transport Layer Security 1.1 client side Transport Layer Security 1.2 client side dwProtocolMask: 0x800a0aaa Protocol version: 3.3 ClientHello: RecordLayer: TLS, Len: 108 Cipher Suites: (ff 85) (00 81) (00 32) (00 31) 113 bytes of handshake data sent 2082 bytes of handshake data received 215 bytes of handshake data sent 31 bytes of handshake data received Handshake was successful SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT) SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1 SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256 SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2012 256), MinLen: 512, MaxLen: 512 SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2012 256), KeyType: 0 SECPKG_ATTR_NAMES: 1.2.643.100.111="#0C818AD0A1D0A0D095D094D0A1D0A2D092D09E20D09AD0A0D098D09FD0A2D09ED093D0A0D090D0A4D098D0A7D095D0A1D09AD09ED09920D097D090D0A9D098D0A2D0AB20D098D09DD0A4D09ED0A0D09CD090D0A6D098D0982022D09AD09ED09DD0A2D098D09DD095D09DD0A220544C532DD0A1D095D0A0D092D095D0A02220D092D095D0A0D0A1D098D0AF2032", C=RU, S=77 г. Москва, L=Москва, O=БАНК РОССИИ, STREET="ул. Неглинная, дом 12", CN=zoe-lk.fincert.cbr.ru, INN=007702235133, OGRN=1037700013020 SECPKG_ATTR_PACKAGE_INFO not supported.
Server certificate: Subject: 1.2.643.100.111="#0C818AD0A1D0A0D095D094D0A1D0A2D092D09E20D09AD0A0D098D09FD0A2D09ED093D0A0D090D0A4D098D0A7D095D0A1D09AD09ED09920D097D090D0A9D098D0A2D0AB20D098D09DD0A4D09ED0A0D09CD090D0A6D098D0982022D09AD09ED09DD0A2D098D09DD095D09DD0A220544C532DD0A1D095D0A0D092D095D0A02220D092D095D0A0D0A1D098D0AF2032", C=RU, S=77 г. Москва, L=Москва, O=БАНК РОССИИ, STREET="ул. Неглинная, дом 12", CN=zoe-lk.fincert.cbr.ru, INN=007702235133, OGRN=1037700013020 Valid : 25.07.2019 08:19:45 - 25.11.2020 23:59:00 (UTC) Issuer : DC=ru, DC=cbr, DC=region, OU=PKI, OU=GUBZI, CN=ROOTsvc-CA-test PrivKey: 25.07.2019 08:19:45 - 25.10.2020 23:59:00 (UTC) expired Error 0x800b010a (CERT_E_CHAINING) returned by CertVerifyCertificateChainPolicy! An error occurred in running the program. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:769:Error authenticating server credentials! Error number 0x800b010a (2148204810). A certificate chain could not be built to a trusted root authority. Total: SYS: 0.010 sec USR: 0.090 sec UTC: 0.170 sec [ErrorCode: 0x800b010a]
Хорошо, пусть будет так, допустим эта штука не работает у них, но я пробую делать запрос к другому ендпоинту и там уже проблема с цепочкой сертов, что тут то не так?:
Цитата: [root@centos7 amd64]# sudo -u stunnel ./csptestf -tlsc -server bankgate-gost.etpgpb.ru -port 443 --cert '1d4fc07ce4cdfa8448f5ab6b45285eddbd21daef' -v 8 algorithms supported: Aglid Class OID [00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89) [01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит) [03] 0x801f 0x8000 [04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) [06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012) [07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012) Cipher strengths: 256..256 Supported protocols: 0xa80: Transport Layer Security 1.0 client side Transport Layer Security 1.1 client side Transport Layer Security 1.2 client side dwProtocolMask: 0x800a0aaa Protocol version: 3.3 ClientHello: RecordLayer: TLS, Len: 110 Cipher Suites: (ff 85) (00 81) (00 32) (00 31) 115 bytes of handshake data sent 1368 bytes of handshake data received Handshake extra buffer: 1310 bytes 10573 bytes of handshake data received Server requested new credentials!
Trying to create new credential Issuer 0: E=ca@gazprombank.ru, C=RU, L=Moscow, O=GAZPROMBANK, CN=CA GAZPROMBANK Issuer 1: E=ca.gpb@gazprombank.ru, OGRN=1027700167110, INN=007744001497, C=RU, S=Город Москва, L=Город Москва, O="""Газпромбанк"" (Акционерное общество)", CN=УЦ Банка ГПБ (АО) Issuer 2: E=qca@cryptopro.ru, OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Сущёвский вал, д. 18", O="ООО ""КРИПТО-ПРО""", CN="ООО ""КРИПТО-ПРО""" Issuer 3: C=RU, S=MSK, O=JSC Vneshtorgbank, OU=PKI, CN=Certification Authority Issuer 4: E=ca@skbkontur.ru, OGRN=1026605606620, INN=006663003127, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET=Пр. Космонавтов д. 56, OU=Удостоверяющий центр, O="АО ""ПФ ""СКБ КОНТУР""", CN="АО ""ПФ ""СКБ КОНТУР""" Issuer 5: STREET="Большой Саввинский переулок, дом 12, строение 9", OGRN=1117746480334, INN=007707752230, C=RU, S=77 г.Москва, L=Москва, OU=Отдел информационной безопасности, O="ООО ""Сберключ""", CN="ООО ""Сберключ""" Issuer 6: E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России Issuer 7: E=uc@gisca.ru, OGRN=1117847050199, INN=007805544260, C=RU, S=78 г. Санкт-Петербург, L=Санкт-Петербург, STREET="ул. Кронштадтская, дом 10, литер А", OU=Аккредитованный УЦ, O="ООО ""УЦ ГИС""", CN="ООО ""УЦ ГИС""" Issuer 8: E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Issuer 9: E=crt@mkb.ru, OGRN=1027739555282, INN=007734202860, C=RU, S=77 Москва, L=г. Москва, STREET="Луков переулок, д. 2, стр. 1", OU=Управление информационной безопасности, O="ПАО ""Московский кредитный банк""", CN="ПАО ""Московский кредитный банк""" Issuer 10: C=RU, S=Москва, L=Москва, O="ПАО Банк ""ФК Открытие""", CN="Удостоверяющий Центр ПАО Банк ""ФК Открытие""", E=pki@open.ru Issuer 11: OGRN=1097746293886, INN=007729633131, C=RU, S=77 г.Москва, L=Москва, STREET="Ленинские горы, д.1, стр.77", OU=Удостоверяющий центр, O="Общество с ограниченной ответственностью ""Электронный экспресс""", CN="ООО ""Электронный экспресс""" Issuer 12: E=uc@rncb.ru, OGRN=1027700381290, INN=007701105460, C=RU, S=91 Республика Крым, L=Симферополь, STREET="ул. Набережная имени 60–летия СССР, д. 34", OU=Удостоверяющий центр, O=РОССИЙСКИЙ НАЦИОНАЛЬНЫЙ КОММЕРЧЕСКИЙ БАНК (публичное акционерное общество), CN=РНКБ Банк (ПАО) Issuer 13: INN=007710474375, OGRN=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ Issuer 14: C=RU, O=Russian Agricultural Bank, CN=Russian Agricultural Bank CA GOST 2012 Issuer 15: OGRN=1021602855262, INN=001655045406, C=RU, S=16 Республика Татарстан, L=Казань, STREET=ул. Каюма Насыри д. 28 оф. 1010, OU=Удостоверяющий центр, O="ЗАО ""ТАКСНЕТ""", CN="ЗАО ""ТАКСНЕТ""" Issuer 16: STREET="Старый Петровско-Разумовский проезд, д. 1/23, стр. 1", OGRN=1027739113049, INN=007743020560, C=RU, L=Москва, S=77 г. Москва, E=SupportIIT@infotecs.ru, O="Открытое Акционерное Общество ""ИнфоТеКС Интернет Траст""", CN="ОАО ""ИИТ""" Issuer 17: E=qca@cryptopro.ru, OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=г. Москва, STREET="ул. Ибрагимова, д. 31, офис 30Б", O="ООО ""КРИПТО-ПРО""", CN="ООО ""КРИПТО-ПРО""" Issuer 18: E=uc@garant.ru, C=RU, S=г. Москва, L=г. Москва, OU=Удостоверяющий центр, O="ООО ""Электронный экспресс""", CN=УЦ ГАРАНТ Issuer 19: E=ca_tensor@tensor.ru, OGRN=1027600787994, INN=007605016030, C=RU, S=76 Ярославская область, L=г. Ярославль, STREET=Московский проспект д.12, OU=Удостоверяющий центр, O="ООО ""КОМПАНИЯ ""ТЕНЗОР""", CN="ООО ""КОМПАНИЯ ""ТЕНЗОР""" Issuer 20: E=ca@etpgpb.ru, OGRN=5167746487651, INN=007728356929, C=RU, S=77 Москва, L=г. Москва, STREET=Ул. Миклухо-Маклая д.40 эт.1 пом.IV ком.20, O="ООО ""ЭТП ГПБ КОНСАЛТИНГ""", CN="ООО ""ЭТП ГПБ КОНСАЛТИНГ""" Issuer 21: OGRN=1027739176563, INN=007708001614, STREET="Ленинградское шоссе, д.16А, стр.1", E=MV.Chernishev@otpbank.ru, C=RU, S=77 г. Москва, L=Москва, O="АО ""ОТП Банк""", CN="АО ""ОТП Банк""" Issuer 22: OGRN=1027700071530, INN=007704211201, C=RU, S=77 Москва, L=Москва, STREET="Барыковский пер., д. 4, стр. 2", OU=Удостоверяющий центр, O="ООО ""ТАКСКОМ""", CN="ООО ""ТАКСКОМ""" Issuer 23: CN="ООО ""ТРАСТ СЕРВИСЫ""", O="ООО ""ТРАСТ СЕРВИСЫ""", C=RU, S=77 г. Москва, L=Москва, E=uc@trust-s.ru, STREET="Старый Петровско – Разумовский проезд, д. 1/23, стр. 1, офис 79", INN=007714941542, OGRN=1147746873141 Issuer 24: OGRN=1127746036494, INN=007722766598, C=RU, S=77 г. Москва, L=Москва, STREET="ул. Авиамоторная, д. 8А, стр. 5", O=ЗАО «Национальный удостоверяющий центр», CN=ЗАО «Национальный удостоверяющий центр» Issuer 25: E=ca@etpgpb.ru, OGRN=5167746487651, INN=007728356929, C=RU, S=77 Москва, L=г. Москва, STREET="улица Миклухо-Маклая, дом 40, эт.1 пом.IV ком.20", O="ООО ""ЭТП ГПБ КОНСАЛТИНГ""", CN="ООО ""ЭТП ГПБ КОНСАЛТИНГ""" Issuer 26: OGRN=1097746293886, INN=007729633131, C=RU, S=77 г.Москва, L=Москва, STREET="улица Ленинские Горы, дом 1, строение 77, комната 19, этаж 3", OU=Удостоверяющий центр, O="Общество с ограниченной ответственностью ""Электронный экспресс""", CN="ООО ""Электронный экспресс""" Issuer 27: E=ca@sertum.ru, OGRN=1116673008539, INN=006673240328, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET="улица Ульяновская, д. 13, литер А, офис 209 Б", O="Общество с ограниченной ответственностью ""Сертум-Про""", CN="Общество с ограниченной ответственностью ""Сертум-Про""" Issuer 28: E=ca@skbkontur.ru, OGRN=1026605606620, INN=006663003127, C=RU, S=66 Свердловская область, L=Екатеринбург, STREET=Пр. Космонавтов д. 56, OU=Удостоверяющий центр, O="АО ""ПФ ""СКБ Контур""", CN="АО ""ПФ ""СКБ Контур""" Issuers: 29, Length: 9597 bytes
Can not find client certificate with received issuers, trying server certificate Issuer Name Issuer 0: E=ca@etpgpb.ru, OGRN=5167746487651, INN=007728356929, C=RU, S=77 Москва, L=г. Москва, STREET="улица Миклухо-Маклая, дом 40, эт.1 пом.IV ком.20", O="ООО ""ЭТП ГПБ КОНСАЛТИНГ""", CN="ООО ""ЭТП ГПБ КОНСАЛТИНГ""" Issuers: 1, Length: 353 bytes An error occurred in running the program. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:2510:Error finding cert chain Error number 0x80092004 (2148081668). Cannot find object or property. An error occurred in running the program. /dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:628:Error performing handshake. Error number 0x80092004 (2148081668). Cannot find object or property. Total: SYS: 0.010 sec USR: 0.110 sec UTC: 0.120 sec [ErrorCode: 0x80092004]
А с bankgate-gost.etpgpb.ru Вы не можете соединится, так как у Вас нет подходящего личного сертификата, который должен быть выдан одним из перечисленных удостоверяющих центров - в выводе команды Issuer 0-28. |