Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
nginx AcceptSecurityContext failed
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline volunteer  
#1 Оставлено : 11 февраля 2021 г. 21:08:56(UTC)
volunteer

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2021(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Добрый день. Используем nginx c поддержкой ГОСТ TLS на CentOS Linux release 7.8.2003
Собирали по статье из базы знаний https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/333/10/sbork-i-nstrojjk-nginx-c-podderzhkojj-gost-tls
nginx обслуживает клиентов как с обычным RSA, так и ГОСТ-шифрованием (используем chromium-gost). Стенд работал исправно.
Примерно с 15 января стали фиксировать ошибки для клиентов с RSA шифрованием:
Код:
curl -X POST https://pgs-mrtgost.stageoffice.ru/
curl: (35) SSL received an unexpected Server Hello Done handshake message.

openssl s_client -connect pgs-mrtgost.stageoffice.ru:443
CONNECTED(00000003)
...
139648664569744:error:1408D0F4:SSL routines:ssl3_get_key_exchange:unexpected message:s3_clnt.c:1416:
...

Код:
tail /opt/nginx/logs/error.log
...
2021/02/11 19:56:31 [error] 762#0: *175 AcceptSecurityContext failed: 0x80090326 while SSPI handshaking, client: 172.18.0.1, server: 0.0.0.0:443

Клиенты с шифрованием ГОСТ подключаются штатно.
Используем RSA сертификат sectigo, публичный ключ server.txt (7kb) загружен 7 раз(а)., так же дополнительно в хранилище сертификатов криптопро uRoot добавляем корневой сертификат sectigo sectigo aaa.txt (2kb) загружен 1 раз(а).. Получаем следующую цепочку сертификации, которая валидна при работе с обычным nginx:
Код:
Sectigo (AAA)
└─── USERTrust RSA Certification Authority
    └── Sectigo RSA Domain Validation Secure Server CA
        └─── *.stageoffice.ru

В хранилище криптопро (только RSA сертификаты):
Код:
gosu nginx /opt/cprocsp/bin/amd64/certmgr -l -chain -store uMy
Certmgr 1.1 (c) "Crypto-Pro", 2007-2020.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer              : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Subject             : OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Serial              : 0x00BEB07A80056A4ED77412FFEFF4704142
SHA1 Hash           : e540c66d7e9ae40d9287b3c893abe7548458143b
SubjKeyID           : 2ce4090fc9d066569d8ee5bd67ea046f4bf01fe1
Signature Algorithm : sha256RSA
PublicKey Algorithm : RSA (2048 bits)
Not valid before    : 07/10/2019  00:00:00 UTC
Not valid after     : 31/10/2021  23:59:59 UTC
PrivateKey Link     : Yes
Container           : pfx-02447d5a-015c-f537-4210-49a74af80580
Provider Name       :
Provider Info       : Provider Type: 24, Key Spec: 1, Flags: 0x0
CA cert URL         : http://crt.sectigo.com/SectigoRSADomainValidationSecureServerCA.crt
OCSP URL            : http://ocsp.sectigo.com
Extended Key Usage  : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Certificate chain   : The revocation process could not continue - the certificate(s) could not be checked. (0x800b010e)
#0:
  Issuer            : AAA Certificate Services
  Subject           : AAA Certificate Services
  SHA1 Hash         : d1eb23a46d17d68fd92564c2f1f1601764d8e349
#1:
  Subject           : USERTrust RSA Certification Authority
  SHA1 Hash         : d89e3bd43d5d909b47a18977aa9d5ce36cee184c
#2:
  Subject           : Sectigo RSA Domain Validation Secure Server CA
  SHA1 Hash         : 33e4e80807204c2b6182a3a14b591acd25b5f0db
#3:
  Subject           : *.stageoffice.ru
  SHA1 Hash         : e540c66d7e9ae40d9287b3c893abe7548458143b
2-------
Issuer              : C=US, S=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Subject             : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Serial              : 0x7D5B5126B476BA11DB74160BBC530DA7
SHA1 Hash           : 33e4e80807204c2b6182a3a14b591acd25b5f0db
SubjKeyID           : 8d8c5ec454ad8ae177e99bf99b05e1b8018d61e1
Signature Algorithm : sha384RSA
PublicKey Algorithm : RSA (2048 bits)
Not valid before    : 02/11/2018  00:00:00 UTC
Not valid after     : 31/12/2030  23:59:59 UTC
PrivateKey Link     : No
CA cert URL         : http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt
OCSP URL            : http://ocsp.usertrust.com
CDP                 : http://crl.usertrust.com/USERTrustRSACertificationAuthority.crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Certificate chain   : Verified successfully.
#0:
  Issuer            : AAA Certificate Services
  Subject           : AAA Certificate Services
  SHA1 Hash         : d1eb23a46d17d68fd92564c2f1f1601764d8e349
#1:
  Subject           : USERTrust RSA Certification Authority
  SHA1 Hash         : d89e3bd43d5d909b47a18977aa9d5ce36cee184c
#2:
  Subject           : Sectigo RSA Domain Validation Secure Server CA
  SHA1 Hash         : 33e4e80807204c2b6182a3a14b591acd25b5f0db
3-------
Issuer              : C=GB, S=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=AAA Certificate Services
Subject             : C=US, S=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
Serial              : 0x3972443AF922B751D7D36C10DD313595
SHA1 Hash           : d89e3bd43d5d909b47a18977aa9d5ce36cee184c
SubjKeyID           : 5379bf5aaa2b4acf5480e1d89bc09df2b20366cb
Signature Algorithm : sha384RSA
PublicKey Algorithm : RSA (4096 bits)
Not valid before    : 12/03/2019  00:00:00 UTC
Not valid after     : 31/12/2028  23:59:59 UTC
PrivateKey Link     : No
OCSP URL            : http://ocsp.comodoca.com
CDP                 : http://crl.comodoca.com/AAACertificateServices.crl
Certificate chain   : Verified successfully.
#0:
  Issuer            : AAA Certificate Services
  Subject           : AAA Certificate Services
  SHA1 Hash         : d1eb23a46d17d68fd92564c2f1f1601764d8e349
#1:
  Subject           : USERTrust RSA Certification Authority
  SHA1 Hash         : d89e3bd43d5d909b47a18977aa9d5ce36cee184c

Исправить The revocation process could not continue - the certificate(s) could not be checked. (0x800b010e) не удается никак, кроме как добавить сам сертификат в доверенные. Хотя на сервере есть доступ в интернет, в /etc/opt/cprocsp/config64.ini пути до curl указаны. Не помогает и импорт crl, указанный в свойствах сертификата http://crl.comodoca.com/AAACertificateServices.crl ,(пробовал дополнительно хранилища uMy и uCa):
Код:
gosu nginx /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -crl -file /tmp/USERTrustRSACertificationAuthority.crl 
Certmgr 1.1 (c) "Crypto-Pro", 2007-2020.
Program for managing certificates, CRLs and stores.
Installing:
=============================================================================
1-------
Issuer     : C=US, S=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
ThisUpdate : 07/02/2021  12:53:19 UTC
NextUpdate : 14/02/2021  12:53:19 UTC
AuthKeyID  : 5379bf5aaa2b4acf5480e1d89bc09df2b20366cb
=============================================================================

[ErrorCode: 0x00000000]

Без исправления этой ошибки не удается использовать csptest -tlsc:
Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -tlsc -server pgs-mrtgost.stageoffice.ru -u e540c66d7e9ae40d9287b3c893abe7548458143b -nosave
#0:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

Error 0x800b010e (CERT_E_REVOCATION_FAILURE) returned by CertVerifyCertificateChainPolicy!
Error 0xffffffff800b010e authenticating client credentials
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebClient.c:732:Error creating credentials.
Error 0x800b010e: The revocation process could not continue - the certificate(s) could not be checked.
Total: SYS: 0.020 sec USR: 0.080 sec UTC: 0.100 sec
[ErrorCode: 0x800b010e]

(e540c66d7e9ae40d9287b3c893abe7548458143b - sha1 сертификата *.stageoffice.ru)
Если добавиь сертификат в доверенные вручную (gosu nginx /opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file /tmp/cert.pem), для сертифката отображается Certificate chain : Verified successfully.
Теперь через csptest отображается та же ошибка, что при работе с curl и openssl:
Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -tlsc -server pgs-mrtgost.stageoffice.ru -u e540c66d7e9ae40d9287b3c893abe7548458143b -nosave
#0:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

**** Error 0xffffffff80091004 returned by InitializeSecurityContext (2)
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebClient.c:754:Error performing handshake.
Error 0x80091004: Invalid cryptographic message type.
Total: SYS: 0.040 sec USR: 0.070 sec UTC: 0.120 sec
[ErrorCode: 0x80091004]

Для теста выпустили Let’s Encrypt сертифкаты на тот же домен *.stageoffice.ru и используем в связке с тем же ГОСТ-сертификатом. tlsc отрабатывает штатно:
Код:
gosu nginx /opt/cprocsp/bin/amd64/certmgr -l -chain
Certmgr 1.1 (c) "Crypto-Pro", 2007-2020.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer              : C=US, O=Let's Encrypt, CN=R3
Subject             : CN=stageoffice.ru
Serial              : 0x04DE57AE0737E7F392B0E18E84995E1117B7
SHA1 Hash           : ad0dda4244494243f965d340ffe401441ddc830a
SubjKeyID           : 83ed333941ff82db58a86bcd96db976b267262a5
Signature Algorithm : sha256RSA
PublicKey Algorithm : RSA (2048 bits)
Not valid before    : 02/02/2021  04:16:40 UTC
Not valid after     : 03/05/2021  04:16:40 UTC
PrivateKey Link     : Yes
Container           : HDIMAGE\\pfx-3980.000\A1F2
Provider Name       : Crypto-Pro Enhanced RSA and AES CSP
Provider Info       : Provider Type: 24, Key Spec: 1, Flags: 0x0
OCSP URL            : http://r3.o.lencr.org
CA cert URL         : http://r3.i.lencr.org/
Extended Key Usage  : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Certificate chain   : Verified successfully.
#0:
  Issuer            : DST Root CA X3
  Subject           : DST Root CA X3
  SHA1 Hash         : dac9024f54d8f6df94935fb1732638ca6ad77c13
#1:
  Subject           : R3
  SHA1 Hash         : 48504e974c0dac5b5cd476c8202274b24c8c7172
#2:
  Subject           : stageoffice.ru
  SHA1 Hash         : ad0dda4244494243f965d340ffe401441ddc830a

Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -tlsc -server pgs-mrtgost.stageoffice.ru -u ad0dda4244494243f965d340ffe401441ddc830a -nosave
#0:
Subject: CN=stageoffice.ru
Valid  : 02.02.2021 04:16:40 - 03.05.2021 04:16:40 (UTC)
Issuer : C=US, O=Let's Encrypt, CN=R3

DContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
1 connections, 1089 bytes in 0.017 seconds;
Total: SYS: 0.040 sec USR: 0.070 sec UTC: 0.130 sec
[ErrorCode: 0x00000000]


Прошу помочь с устранением ошибки при использовании RSA сертифкатов sectigo.
версия nginx 1.18.0, криптопро 5.0.11823, лицензия
Код:
/opt/cprocsp/sbin/amd64/cpconfig -license -view
License validity:
hide
Expires: 22 day(s)
License type: Server.

конфиг nginx nginx gost.txt (3kb) загружен 16 раз(а).

Отредактировано пользователем 11 февраля 2021 г. 21:19:47(UTC)  | Причина: hide license
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline volunteer  
#2 Оставлено : 13 февраля 2021 г. 19:11:06(UTC)
volunteer

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2021(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Продолжил исследование, попробовал через tlss:
server:
Код:
/opt/cprocsp/bin/amd64/csptest -tlss -u e540c66d7e9ae40d9287b3c893abe7548458143b -port 8443 -v
#0:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
11 algorithms supported:
     Aglid  Class  OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0x540:
    Transport Layer Security 1.0 server side
    Transport Layer Security 1.1 server side
    Transport Layer Security 1.2 server side
dwProtocolMask: 0x400d1555
Idle timeout: 0 ms

###после подключения клиента###

Accepting connection 1
Socket connection established

Received 149 (handshake) bytes from client

Send 4754 handshake bytes to client
 recv failed: 2148073488
Couldn't connect
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebServer.c:1039:Handshake()
Error 0x80090010: Access denied.

7 bytes of handshake data sent
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebServer.c:2478:Socket shutdown(): 0x6b
Error 0x80090010: Access denied.
Error disconnecting from client

client:
Код:
/opt/cprocsp/bin/amd64/csptest -tlsc -u e540c66d7e9ae40d9287b3c893abe7548458143b -server test.stageoffice.ru -port 8443 -v
#0:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA


Client certificate:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

11 algorithms supported:
     Aglid  Class  OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
    Transport Layer Security 1.0 client side
    Transport Layer Security 1.1 client side
    Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 144
SessionId: (empty)
Cipher Suites: (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
149 bytes of handshake data sent
4754 bytes of handshake data received
**** Error 0xffffffff80091004 returned by InitializeSecurityContext (2)
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebClient.c:754:Error performing handshake.
Error 0x80091004: Invalid cryptographic message type.
Total: SYS: 0.040 sec USR: 0.070 sec UTC: 0.120 sec
[ErrorCode: 0x80091004]


Попробовал тот же сертификат RSA от sectigo *.stageoffice на Windows, работает:
server:
Код:
PS C:\Program Files\Crypto Pro\CSP> .\csptest.exe -tlss -u e540c66d7e9ae40d9287b3c893abe7548458143b -port 8443
#0:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

Try call SetCredentialsAttributes, 000000085EBBEB10
Idle timeout: 0 ms

###после подключения клиента###

SECPKG_ATTR_SESSION_INFO: Reuse: 0, SessionId: 5c140000d1cc766ab744a199fcf47b9b443e76b129d8baec5c9c7bb07b950e46
Connected, waiting for request...
CheckPolicyResult passed.

client:
Код:
.\csptest.exe -tlsc -u e540c66d7e9ae40d9287b3c893abe7548458143b -port 8443 -server test.stageoffice.ru
#0:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

DDEContext expired: OK if file is completely downloaded
Reply status: HTTP/1.0 200 OK
1 connections, 42 bytes in 0.015 seconds;
Total: SYS: 0,016 sec USR: 0,031 sec UTC: 0,093 sec
[ErrorCode: 0x00000000]


Более того, на linux взял RSA сертифкат от другого домена, *.myoffice-app.ru от тогоже sectigo, все работает! server-app.txt (7kb) загружен 2 раз(а).(так же пришлось добавить сам серт в доверенные, иначе выдавало The revocation process could not continue)
Код:
 /opt/cprocsp/bin/amd64/certmgr -l -chain
Certmgr 1.1 (c) "Crypto-Pro", 2007-2020.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer              : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Subject             : OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.myoffice-app.ru
Serial              : 0x00A1F8C60738F31382378D548C771350A4
SHA1 Hash           : d4ed8861cadd8fdf91bc659938219687964f26a5
SubjKeyID           : 3eec2d45b538b7fa5bc6b932f4942d3b008ab2f6
Signature Algorithm : sha256RSA
PublicKey Algorithm : RSA (2048 bits)
Not valid before    : 15/11/2019  00:00:00 UTC
Not valid after     : 10/12/2021  23:59:59 UTC
PrivateKey Link     : Yes
Container           : HDIMAGE\\pfx-d42c.000\F387
Provider Name       : Crypto-Pro Enhanced RSA and AES CSP
Provider Info       : Provider Type: 24, Key Spec: 1, Flags: 0x0
CA cert URL         : http://crt.sectigo.com/SectigoRSADomainValidationSecureServerCA.crt
OCSP URL            : http://ocsp.sectigo.com
Extended Key Usage  : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
                      1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Certificate chain   : Verified successfully.
#0:
  Issuer            : AAA Certificate Services
  Subject           : AAA Certificate Services
  SHA1 Hash         : d1eb23a46d17d68fd92564c2f1f1601764d8e349
#1:
  Subject           : USERTrust RSA Certification Authority
  SHA1 Hash         : d89e3bd43d5d909b47a18977aa9d5ce36cee184c
#2:
  Subject           : Sectigo RSA Domain Validation Secure Server CA
  SHA1 Hash         : 33e4e80807204c2b6182a3a14b591acd25b5f0db
#3:
  Subject           : *.myoffice-app.ru
  SHA1 Hash         : d4ed8861cadd8fdf91bc659938219687964f26a5

server:
Код:
/opt/cprocsp/bin/amd64/csptest -tlss -u d4ed8861cadd8fdf91bc659938219687964f26a5 -port 8443 -v
#0:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.myoffice-app.ru
Valid  : 15.11.2019 00:00:00 - 10.12.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.myoffice-app.ru
Valid  : 15.11.2019 00:00:00 - 10.12.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
11 algorithms supported:
     Aglid  Class  OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0x540:
    Transport Layer Security 1.0 server side
    Transport Layer Security 1.1 server side
    Transport Layer Security 1.2 server side
dwProtocolMask: 0x400d1555
Idle timeout: 0 ms

###после подключения клиента###

Accepting connection 1
Socket connection established

Received 150 (handshake) bytes from client

Send 5086 handshake bytes to client

Received 126 (handshake) bytes from client

Send 51 handshake bytes to client
SECPKG_ATTR_SESSION_INFO: Reuse: 0, SessionId: 9bc21161ddcd1ff5a07d4e7e4f4d194cccdf3f676141e770c9197c3b4e7511ca
Connected, waiting for request...

Received 158 (request) bytes from client
X
Message is: 'GET / HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: test.myoffice-app.ru
Connection: close

'

Send 67 header bytes to client

Send 34 data bytes to client

31 bytes of handshake data sent

client:
Код:
/opt/cprocsp/bin/amd64/csptest -tlsc -u e540c66d7e9ae40d9287b3c893abe7548458143b -port 8443 -server test.myoffice-app.ru -v
#0:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA


Client certificate:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

11 algorithms supported:
     Aglid  Class  OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
    Transport Layer Security 1.0 client side
    Transport Layer Security 1.1 client side
    Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 145
SessionId: (empty)
Cipher Suites: (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
150 bytes of handshake data sent
5086 bytes of handshake data received
126 bytes of handshake data sent
51 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_SESSION_INFO: Reuse: 0, SessionId: 9bc21161ddcd1ff5a07d4e7e4f4d194cccdf3f676141e770c9197c3b4e7511ca
SECPKG_ATTR_CONNECTION_INFO: Protocol: FFFFFFFF
SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: C030 (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
SECPKG_ATTR_CIPHER_INFO: Cipher: (AES), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (), Len: 0
SECPKG_ATTR_CIPHER_INFO: Exchange: (ECDH), MinLen: 256, MaxLen: 521
SECPKG_ATTR_CIPHER_INFO: Certificate: (RSA), KeyType: 0
SECPKG_ATTR_NAMES: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.myoffice-app.ru
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.myoffice-app.ru
Valid  : 15.11.2019 00:00:00 - 10.12.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

Protocol: 0xffffffff
Cipher: 0x6610
Cipher strength: 256
Hash: 0x0
Hash strength: 0
Key exchange: 0xae06
Key exchange strength: 256

Header: 13, Trailer: 16, MaxMessage: 16384

HTTP request: GET / HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: test.myoffice-app.ru
Connection: close


Sending plaintext: 100 bytes
158 bytes of application data sent
67 bytes of (encrypted) application data received
Decrypted data: 38 bytes
65 bytes of (encrypted) application data received
Decrypted data: 5 bytes
Extra data: 31 bytes
Context expired: OK if file is completely downloaded
Reply status: HTTP/1.0 200 OK
Sending Close Notify
31 bytes of handshake data sent
WARNING: ENOTCONN on socket shutdown (ungraceful shutdown)
1 connections, 43 bytes in 0.013 seconds;
Total: SYS: 0.040 sec USR: 0.080 sec UTC: 0.130 sec
[ErrorCode: 0x00000000]


Что может быть такого в RSA сертификате sectigo *.stageoffice.ru?
Вверх
Offline Санчир Момолдаев  
#3 Оставлено : 14 февраля 2021 г. 8:01:18(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,040
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 226 раз в 213 постах
Добрый день!
несколько предположений есть.

1) ошибка 0x80090010: Access denied. обычно означает что истек срок действия ЗК.
протестируйте изначальный контейнер: csptest -keys -check -info -cont 'имя контейнера'
Not valid before : 07/10/2019 00:00:00 UTC
если добавить год и три месяца (срок действия ЗК) примерно попадаем в наши дни.

2)
Certificate chain : The revocation process could not continue - the certificate(s) could not be checked. (0x800b010e)
исходя из названия понятно что не может проверить на отзыв.
в листовом сертификате *.stageoffice.ru нет ссылки на crl, только ocsp
это значит что должен быть установлен наш ocsp клиент. либо его нет, либо истекла лицензия.
приведите вывод
/opt/cprocsp/bin/amd64/ocsputil license

также уточните версию csp

Отредактировано пользователем 14 февраля 2021 г. 8:01:55(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline volunteer  
#4 Оставлено : 14 февраля 2021 г. 11:25:29(UTC)
volunteer

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2021(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Версия:
CSP (Type:80) v5.0.10006 KC1 Release Ver:5.0.11823 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (EncryptECB; DecryptECB; DecryptCBC; GammaCNT; DecryptCFB; GR3412GammaOFB; GR3412GammaCTR; GHASH; SHA1; SHA2; AESNI; RSA; ).

Почему-то не могу проверить контейнер с RSA:
Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -fqcn
CSP (Type:80) v5.0.10006 KC1 Release Ver:5.0.11823 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (EncryptECB; DecryptECB; DecryptCBC; GammaCNT; DecryptCFB; GR3412GammaOFB; GR3412GammaCTR; GHASH; SHA1; SHA2; AESNI; RSA; ).
AcquireContext: OK. HCRYPTPROV: 23604995
\\.\HDIMAGE\pfx-f392614b-3171-e255-9917-c1498696d71d
\\.\HDIMAGE\pfx-45ccdb3a-f716-ae2f-ac6e-933775de181c
OK.
Total: SYS: 0.010 sec USR: 0.000 sec UTC: 0.020 sec
[ErrorCode: 0x00000000]

Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -absorb -certs -autoprov
Match: HDIMAGE\\pfx-f392.000\1C8F
Match: HDIMAGE\\pfx-45cc.000\8165
OK.
Total: SYS: 0.010 sec USR: 0.010 sec UTC: 0.030 sec
[ErrorCode: 0x00000000]

Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -keys -check -info -cont default
CSP (Type:80) v5.0.10006 KC1 Release Ver:5.0.11823 OS:Linux CPU:AMD64 FastCode:READY:DISABLED (EncryptECB; DecryptECB; DecryptCBC; GammaCNT; DecryptCFB; GR3412GammaOFB; GR3412GammaCTR; GHASH; SHA1; SHA2; AESNI; RSA; ).
User key container list:
(1) pfx-f392614b-3171-e255-9917-c1498696d71d, Reader: HDIMAGE
(2) pfx-45ccdb3a-f716-ae2f-ac6e-933775de181c, Reader: HDIMAGE
Select container number ( (c)Cancel ) : 2
AcquireContext: OK. HCRYPTPROV: 33195251
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "pfx-45ccdb3a-f716-ae2f-ac6e-933775de181c"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1fa9783
Symmetric key is not available.
UEC key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'GOST 28147-89'(14) Long:'GOST 28147-89'(14)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026142

  Type:Hash       Name:'GR 34.11-2012 256'(18) Long:'GOST R 34.11-2012 256'(22)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032801

  Type:Signature  Name:'GR 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256'(22)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00011849

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043590

  Type:Exchange   Name:'DH 34.10-2012 256'(18) Long:'GOST R 34.10-2012 256 DH'(25)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00043591

  Type:Hash       Name:'GOST 28147-89 MAC'(18) Long:'GOST 28147-89 MAC'(18)
  DefaultLen:32   MinLen:8    MaxLen:32    Prot:0   Algid:00032799

  Type:Encrypt    Name:'GR 34.12-15 M'(14) Long:'GOST R 34.12-2015 64 Magma'(27)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026160

  Type:Encrypt    Name:'GR 34.12-15 K'(14) Long:'GOST R 34.12-2015 128 Kuznyechik'(33)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026161

  Type:Hash       Name:'GR 34.13-15 M MAC'(18) Long:'GOST R 34.13-2015 64 Magma MAC'(31)
  DefaultLen:64   MinLen:8    MaxLen:64    Prot:0   Algid:00032828

  Type:Hash       Name:'GR 34.13-15 K MAC'(18) Long:'GOST R 34.13-2015 128 Kuznyechik MAC'(37)
  DefaultLen:128  MinLen:8    MaxLen:128   Prot:0   Algid:00032829

  Type:Hash       Name:'GR34.11-12 256 HMAC'(20) Long:'GOST R 34.11-2012 256 HMAC'(27)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032820

Status:
  ControlKeyTimeValidity:       1

  Provider mode:                CSP_MODE_LIBRARY

  Provider handles used:        3
  Provider handles max:         1048576
  CPU Usage:                    0 %
  CPU Usage by CSP:             0 %
  Measurement interval:         101 ms

  Virtual memory used:          8545396 KB
  Virtual memory used by CSP:   56156 KB
  Free virtual memory:          11070544 KB
  Total virtual memory:         19615940 KB

  Physical memory used:         8545396 KB
  Physical memory used by CSP:  4328 KB
  Free physical memory:         7715924 KB
  Total physical memory:        16261320 KB

Key pair info:
  HCRYPTKEY:  0x1fa9783
  AlgID:      CALG_RSA_KEYX = 0x0000a400 (00041984):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_RSA
    AlgSID:   0
  KP_HASHOID:
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/ctkey.c:4601:GetKeyParam(KP_HASHOID)
Error 0x8009000a: Invalid type specified.
Total: SYS: 0.010 sec USR: 0.010 sec UTC: 5.960 sec
[ErrorCode: 0x8009000a]


Такое же поведение с RSA Let's Encrypt. Проверка ГОСТ контейнеров проходит.
Цитата:

1) ошибка 0x80090010: Access denied. обычно означает что истек срок действия ЗК.

Но csptest -tlss / -tlsc на windows с тем же RSA сертификатом отрабатывает.



OCSP клиент действительно не установлен. Чтобы не устанавливать, обходного решения с добавлением сертификата в доверенные достаточно?

Отредактировано пользователем 14 февраля 2021 г. 11:44:24(UTC)  | Причина: Не указана
Вверх
Offline Санчир Момолдаев  
#5 Оставлено : 14 февраля 2021 г. 12:01:25(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,040
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 226 раз в 213 постах
Автор: volunteer Перейти к цитате

Такое же поведение с RSA Let's Encrypt. Проверка ГОСТ контейнеров проходит.

укажите тип провайдера:
csptest -keys -check -info -provtype 24 -cont '\\.\HDIMAGE\rsa'

Автор: volunteer Перейти к цитате

Но csptest -tlss / -tlsc на windows с тем же RSA сертификатом отрабатывает.

на windows ванильный CryptoAPI который мы патчим установкой нашего провайдера.
на линукс у нас своя реализация CryptoAPI - CAPILite

Автор: volunteer Перейти к цитате

OCSP клиент действительно не установлен. Чтобы не устанавливать, обходного решения с добавлением сертификата в доверенные достаточно?


не думаю. давайте пока решим первый вопрос.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
Offline volunteer  
#6 Оставлено : 14 февраля 2021 г. 13:18:05(UTC)
volunteer

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2021(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Получил /dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/ctkey.c:5115:UniSignHash(NULL)
Error 0x80090010: Access denied.
Действительно прошел год и три месяца. А что это за магическое число такое?
Код:
(get-date '07/10/2019').AddMonths(15)
7 января 2021 г. 0:00:00

на *.myoffice-app.ru, получается, истечет завтра
Код:
(get-date '15.11.2019').AddMonths(15)
15 февраля 2021 г. 0:00:00

То есть в теории завтра перестанет работать и этот сертификат?

sectigo:
Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -keys -check -info -provtype 24 -cont 'pfx-45ccdb3a-f716-ae2f-ac6e-933775de181c'
CSP (Type:24) "Crypto-Pro Enhanced RSA and AES CSP" v5.0
AcquireContext: OK. HCRYPTPROV: 28470851
GetProvParam(PP_NAME): Crypto-Pro Enhanced RSA and AES CSP
Container name: "pfx-45ccdb3a-f716-ae2f-ac6e-933775de181c"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x1b362e3
Symmetric key is not available.
UEC key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'RC2'(4) Long:'RSA Data Security's RC2'(24)
  DefaultLen:128  MinLen:40   MaxLen:128   Prot:0   Algid:00026114

  Type:Encrypt    Name:'RC4'(4) Long:'RSA Data Security's RC4'(24)
  DefaultLen:128  MinLen:40   MaxLen:128   Prot:0   Algid:00026625

  Type:Encrypt    Name:'DES'(4) Long:'Data Encryption Standard (DES)'(31)
  DefaultLen:56   MinLen:56   MaxLen:56    Prot:0   Algid:00026113

  Type:Encrypt    Name:'3DES TWO KEY'(13) Long:'Two Key Triple DES'(19)
  DefaultLen:112  MinLen:112  MaxLen:112   Prot:0   Algid:00026121

  Type:Encrypt    Name:'3DES'(5) Long:'Three Key Triple DES'(21)
  DefaultLen:168  MinLen:168  MaxLen:168   Prot:0   Algid:00026115

  Type:Hash       Name:'SHA-256'(8) Long:'Secure Hash Algorithm 256 (SHA-256)'(36)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032780

  Type:Hash       Name:'SHA-384'(8) Long:'Secure Hash Algorithm 384 (SHA-384)'(36)
  DefaultLen:384  MinLen:384  MaxLen:384   Prot:0   Algid:00032781

  Type:Hash       Name:'SHA-512'(8) Long:'Secure Hash Algorithm 512 (SHA-512)'(36)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00032782

  Type:Hash       Name:'SHA-1'(6) Long:'Secure Hash Algorithm (SHA-1)'(30)
  DefaultLen:160  MinLen:160  MaxLen:160   Prot:0   Algid:00032772

  Type:Hash       Name:'MD2'(4) Long:'Message Digest 2 (MD2)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032769

  Type:Hash       Name:'MD4'(4) Long:'Message Digest 4 (MD4)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032770

  Type:Hash       Name:'MD5'(4) Long:'Message Digest 5 (MD5)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032771

  Type:Hash       Name:'SSL3 SHAMD5'(12) Long:'SSL3 SHAMD5'(12)
  DefaultLen:288  MinLen:288  MaxLen:288   Prot:0   Algid:00032776

  Type:Hash       Name:'CMAC'(5) Long:'Message Authentication Code'(28)
  DefaultLen:0    MinLen:0    MaxLen:0     Prot:0   Algid:00032830

  Type:Signature  Name:'RSA_SIGN'(9) Long:'RSA Signature'(14)
  DefaultLen:1024 MinLen:384  MaxLen:16384 Prot:0   Algid:00009216

  Type:Exchange   Name:'RSA_KEYX'(9) Long:'RSA Key Exchange'(17)
  DefaultLen:1024 MinLen:384  MaxLen:16384 Prot:0   Algid:00041984

  Type:Hash       Name:'HMAC'(5) Long:'Hugo's MAC (HMAC)'(18)
  DefaultLen:0    MinLen:0    MaxLen:0     Prot:0   Algid:00032777

  Type:Encrypt    Name:'AES 128'(8) Long:'Advanced Encryption Standard 128-bit'(37)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00026126

  Type:Encrypt    Name:'AES 192'(8) Long:'Advanced Encryption Standard 192-bit'(37)
  DefaultLen:192  MinLen:192  MaxLen:192   Prot:0   Algid:00026127

  Type:Encrypt    Name:'AES 256'(8) Long:'Advanced Encryption Standard 256-bit'(37)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026128

Key pair info:
  HCRYPTKEY:  0x1b362e3
  AlgID:      CALG_RSA_KEYX = 0x0000a400 (00041984):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_RSA
    AlgSID:   0
  Permissions:
    CRYPT_ENCRYPT
    CRYPT_DECRYPT
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_EXPORT_KEY
    CRYPT_IMPORT_KEY
    0x800
    0x20000
    0x100000
KP_CERTIFICATE:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

Container version: 4
Carrier flags:
  This reader is non-removable.
  This reader does not support unique carrier names.
  This reader is not virtual.
  This carrier does not have embedded cryptography.
License: Cert without license
Check container passed.
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/ctkey.c:5115:UniSignHash(NULL)
Error 0x80090010: Access denied.
Total: SYS: 0.010 sec USR: 0.010 sec UTC: 0.030 sec
[ErrorCode: 0x80090010]


lets encrypt:
Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -keys -check -info -provtype 24 -container pfx-398003af-2d0e-472f-0145-d3c25ffd5cdc
CSP (Type:24) "Crypto-Pro Enhanced RSA and AES CSP" v5.0
AcquireContext: OK. HCRYPTPROV: 37011011
GetProvParam(PP_NAME): Crypto-Pro Enhanced RSA and AES CSP
Container name: "pfx-398003af-2d0e-472f-0145-d3c25ffd5cdc"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x235b2e3
Symmetric key is not available.
UEC key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'RC2'(4) Long:'RSA Data Security's RC2'(24)
  DefaultLen:128  MinLen:40   MaxLen:128   Prot:0   Algid:00026114

  Type:Encrypt    Name:'RC4'(4) Long:'RSA Data Security's RC4'(24)
  DefaultLen:128  MinLen:40   MaxLen:128   Prot:0   Algid:00026625

  Type:Encrypt    Name:'DES'(4) Long:'Data Encryption Standard (DES)'(31)
  DefaultLen:56   MinLen:56   MaxLen:56    Prot:0   Algid:00026113

  Type:Encrypt    Name:'3DES TWO KEY'(13) Long:'Two Key Triple DES'(19)
  DefaultLen:112  MinLen:112  MaxLen:112   Prot:0   Algid:00026121

  Type:Encrypt    Name:'3DES'(5) Long:'Three Key Triple DES'(21)
  DefaultLen:168  MinLen:168  MaxLen:168   Prot:0   Algid:00026115

  Type:Hash       Name:'SHA-256'(8) Long:'Secure Hash Algorithm 256 (SHA-256)'(36)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032780

  Type:Hash       Name:'SHA-384'(8) Long:'Secure Hash Algorithm 384 (SHA-384)'(36)
  DefaultLen:384  MinLen:384  MaxLen:384   Prot:0   Algid:00032781

  Type:Hash       Name:'SHA-512'(8) Long:'Secure Hash Algorithm 512 (SHA-512)'(36)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00032782

  Type:Hash       Name:'SHA-1'(6) Long:'Secure Hash Algorithm (SHA-1)'(30)
  DefaultLen:160  MinLen:160  MaxLen:160   Prot:0   Algid:00032772

  Type:Hash       Name:'MD2'(4) Long:'Message Digest 2 (MD2)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032769

  Type:Hash       Name:'MD4'(4) Long:'Message Digest 4 (MD4)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032770

  Type:Hash       Name:'MD5'(4) Long:'Message Digest 5 (MD5)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032771

  Type:Hash       Name:'SSL3 SHAMD5'(12) Long:'SSL3 SHAMD5'(12)
  DefaultLen:288  MinLen:288  MaxLen:288   Prot:0   Algid:00032776

  Type:Hash       Name:'CMAC'(5) Long:'Message Authentication Code'(28)
  DefaultLen:0    MinLen:0    MaxLen:0     Prot:0   Algid:00032830

  Type:Signature  Name:'RSA_SIGN'(9) Long:'RSA Signature'(14)
  DefaultLen:1024 MinLen:384  MaxLen:16384 Prot:0   Algid:00009216

  Type:Exchange   Name:'RSA_KEYX'(9) Long:'RSA Key Exchange'(17)
  DefaultLen:1024 MinLen:384  MaxLen:16384 Prot:0   Algid:00041984

  Type:Hash       Name:'HMAC'(5) Long:'Hugo's MAC (HMAC)'(18)
  DefaultLen:0    MinLen:0    MaxLen:0     Prot:0   Algid:00032777

  Type:Encrypt    Name:'AES 128'(8) Long:'Advanced Encryption Standard 128-bit'(37)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00026126

  Type:Encrypt    Name:'AES 192'(8) Long:'Advanced Encryption Standard 192-bit'(37)
  DefaultLen:192  MinLen:192  MaxLen:192   Prot:0   Algid:00026127

  Type:Encrypt    Name:'AES 256'(8) Long:'Advanced Encryption Standard 256-bit'(37)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026128

Key pair info:
  HCRYPTKEY:  0x235b2e3
  AlgID:      CALG_RSA_KEYX = 0x0000a400 (00041984):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_RSA
    AlgSID:   0
  Permissions:
    CRYPT_ENCRYPT
    CRYPT_DECRYPT
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_EXPORT_KEY
    CRYPT_IMPORT_KEY
    0x800
    0x20000
    0x100000
KP_CERTIFICATE:
Subject: CN=stageoffice.ru
Valid  : 02.02.2021 04:16:40 - 03.05.2021 04:16:40 (UTC)
Issuer : C=US, O=Let's Encrypt, CN=R3

Container version: 4
Carrier flags:
  This reader is non-removable.
  This reader does not support unique carrier names.
  This reader is not virtual.
  This carrier does not have embedded cryptography.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
  exchange key
Extensions (maxLength: 1435):
  ParamLen: 47
  OID: 1.2.643.2.2.37.3.10
  Critical: FALSE
  Size: 19
  Decoded size: 24
  PrivKey: Not specified - 02.05.2022 05:52:39 (UTC)

  ParamLen: 32
  OID: 1.2.643.2.2.37.3.11
  Critical: FALSE
  Size: 4
  Decoded size: 8
  Key Time Validity Control Politics:
   Use PKUP extension from certificate
   Do not use PKUP extension from container
Total: SYS: 0.000 sec USR: 0.010 sec UTC: 0.030 sec
[ErrorCode: 0x00000000]

Отредактировано пользователем 14 февраля 2021 г. 13:44:41(UTC)  | Причина: Не указана
Вверх
Offline Санчир Момолдаев  
#7 Оставлено : 14 февраля 2021 г. 13:29:35(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,040
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 226 раз в 213 постах
это число по указано в формуляре CSP
можно отключить на свой страх и риск согласно статье
после отключения перезапустите nginx
Техническую поддержку оказываем тут
Наша база знаний
Вверх
thanks 1 пользователь поблагодарил Санчир Момолдаев за этот пост.
volunteer оставлено 14.02.2021(UTC)
Offline volunteer  
#8 Оставлено : 14 февраля 2021 г. 14:00:27(UTC)
volunteer

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2021(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Спасибо, сработало!
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long ControlKeyTimeValidity 0

Код:
gosu nginx /opt/cprocsp/bin/amd64/csptest -keys -check -info -provtype 24 -cont 'pfx-45ccdb3a-f716-ae2f-ac6e-933775de181c'
CSP (Type:24) "Crypto-Pro Enhanced RSA and AES CSP" v5.0
AcquireContext: OK. HCRYPTPROV: 20414019
GetProvParam(PP_NAME): Crypto-Pro Enhanced RSA and AES CSP
Container name: "pfx-45ccdb3a-f716-ae2f-ac6e-933775de181c"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x13872c3
Symmetric key is not available.
UEC key is not available.

CSP algorithms info:
  Type:Encrypt    Name:'RC2'(4) Long:'RSA Data Security's RC2'(24)
  DefaultLen:128  MinLen:40   MaxLen:128   Prot:0   Algid:00026114

  Type:Encrypt    Name:'RC4'(4) Long:'RSA Data Security's RC4'(24)
  DefaultLen:128  MinLen:40   MaxLen:128   Prot:0   Algid:00026625

  Type:Encrypt    Name:'DES'(4) Long:'Data Encryption Standard (DES)'(31)
  DefaultLen:56   MinLen:56   MaxLen:56    Prot:0   Algid:00026113

  Type:Encrypt    Name:'3DES TWO KEY'(13) Long:'Two Key Triple DES'(19)
  DefaultLen:112  MinLen:112  MaxLen:112   Prot:0   Algid:00026121

  Type:Encrypt    Name:'3DES'(5) Long:'Three Key Triple DES'(21)
  DefaultLen:168  MinLen:168  MaxLen:168   Prot:0   Algid:00026115

  Type:Hash       Name:'SHA-256'(8) Long:'Secure Hash Algorithm 256 (SHA-256)'(36)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00032780

  Type:Hash       Name:'SHA-384'(8) Long:'Secure Hash Algorithm 384 (SHA-384)'(36)
  DefaultLen:384  MinLen:384  MaxLen:384   Prot:0   Algid:00032781

  Type:Hash       Name:'SHA-512'(8) Long:'Secure Hash Algorithm 512 (SHA-512)'(36)
  DefaultLen:512  MinLen:512  MaxLen:512   Prot:0   Algid:00032782

  Type:Hash       Name:'SHA-1'(6) Long:'Secure Hash Algorithm (SHA-1)'(30)
  DefaultLen:160  MinLen:160  MaxLen:160   Prot:0   Algid:00032772

  Type:Hash       Name:'MD2'(4) Long:'Message Digest 2 (MD2)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032769

  Type:Hash       Name:'MD4'(4) Long:'Message Digest 4 (MD4)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032770

  Type:Hash       Name:'MD5'(4) Long:'Message Digest 5 (MD5)'(23)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00032771

  Type:Hash       Name:'SSL3 SHAMD5'(12) Long:'SSL3 SHAMD5'(12)
  DefaultLen:288  MinLen:288  MaxLen:288   Prot:0   Algid:00032776

  Type:Hash       Name:'CMAC'(5) Long:'Message Authentication Code'(28)
  DefaultLen:0    MinLen:0    MaxLen:0     Prot:0   Algid:00032830

  Type:Signature  Name:'RSA_SIGN'(9) Long:'RSA Signature'(14)
  DefaultLen:1024 MinLen:384  MaxLen:16384 Prot:0   Algid:00009216

  Type:Exchange   Name:'RSA_KEYX'(9) Long:'RSA Key Exchange'(17)
  DefaultLen:1024 MinLen:384  MaxLen:16384 Prot:0   Algid:00041984

  Type:Hash       Name:'HMAC'(5) Long:'Hugo's MAC (HMAC)'(18)
  DefaultLen:0    MinLen:0    MaxLen:0     Prot:0   Algid:00032777

  Type:Encrypt    Name:'AES 128'(8) Long:'Advanced Encryption Standard 128-bit'(37)
  DefaultLen:128  MinLen:128  MaxLen:128   Prot:0   Algid:00026126

  Type:Encrypt    Name:'AES 192'(8) Long:'Advanced Encryption Standard 192-bit'(37)
  DefaultLen:192  MinLen:192  MaxLen:192   Prot:0   Algid:00026127

  Type:Encrypt    Name:'AES 256'(8) Long:'Advanced Encryption Standard 256-bit'(37)
  DefaultLen:256  MinLen:256  MaxLen:256   Prot:0   Algid:00026128

Key pair info:
  HCRYPTKEY:  0x13872c3
  AlgID:      CALG_RSA_KEYX = 0x0000a400 (00041984):
    AlgClass: ALG_CLASS_KEY_EXCHANGE
    AlgType:  ALG_TYPE_RSA
    AlgSID:   0
  Permissions:
    CRYPT_ENCRYPT
    CRYPT_DECRYPT
    CRYPT_READ
    CRYPT_WRITE
    CRYPT_EXPORT_KEY
    CRYPT_IMPORT_KEY
    0x800
    0x20000
    0x100000
KP_CERTIFICATE:
Subject: OU=Domain Control Validated, OU=PositiveSSL Wildcard, CN=*.stageoffice.ru
Valid  : 07.10.2019 00:00:00 - 31.10.2021 23:59:59 (UTC)
Issuer : C=GB, S=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA

Container version: 4
Carrier flags:
  This reader is non-removable.
  This reader does not support unique carrier names.
  This reader is not virtual.
  This carrier does not have embedded cryptography.
License: Cert without license
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Certificate in container matches AT_KEYEXCHANGE key.
Keys in container:
  exchange key
Extensions (maxLength: 1435):
  ParamLen: 47
  OID: 1.2.643.2.2.37.3.10
  Critical: FALSE
  Size: 19
  Decoded size: 24
  PrivKey: Not specified - 14.05.2022 07:30:46 (UTC)

  ParamLen: 32
  OID: 1.2.643.2.2.37.3.11
  Critical: FALSE
  Size: 4
  Decoded size: 8
  Key Time Validity Control Politics:
   Use PKUP extension from certificate
   Do not use PKUP extension from container
Total: SYS: 0.010 sec USR: 0.010 sec UTC: 0.030 sec
[ErrorCode: 0x00000000]


Код:
curl https://pgs-mrtgost.stageoffice.ru/
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
Вверх
Offline volunteer  
#9 Оставлено : 14 февраля 2021 г. 14:29:02(UTC)
volunteer

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.02.2021(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Санчир Момолдаев Перейти к цитате
это число по указано в формуляре CSP
можно отключить на свой страх и риск согласно статье
после отключения перезапустите nginx


Чем-то опасно отключать контроль сроков действия ЗК?

И помогите, пожалуйста, с ocsp-клиентом, как его правильно установить и настроить?
Вверх
Offline Санчир Момолдаев  
#10 Оставлено : 14 февраля 2021 г. 14:39:59(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,040
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 226 раз в 213 постах
Автор: volunteer Перейти к цитате
Чем-то опасно отключать контроль сроков действия ЗК?

тем что идет нарушение формуляра csp. если вам необходима "сертифицированность" решения, то отключать его нельзя

Автор: volunteer Перейти к цитате
И помогите, пожалуйста, с ocsp-клиентом, как его правильно установить и настроить?

скачать и установить пакет cades для вашей ОС. скачать пакеты можно на странице загрузки
скачайте актуальную версию 2.0.14071

установка к примеру на deb-системах dpkg -i cprocsp-pki-cades-64_2.0.14071-1_amd64.deb
посмотреть лицензию (демо при первой установке устанавливается на 90 дней)
/opt/cprocsp/bin/amd64/ocsputil li
установить
/opt/cprocsp/bin/amd64/ocsputil li -s номер_лицензии_ocsp

ошибка Certificate chain : The revocation process could not continue - the certificate(s) could not be checked. (0x800b010e)
до сих пор возвращается?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET