Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline promcalc  
#1 Оставлено : 26 августа 2021 г. 11:52:16(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Добрый день.

Мы получили от НБКИ письмо, о следующем:

Цитата:
Коллеги, сообщаем вам, что с 31 мая 2021 года при запросе кредитного отчёта через B2B-интерфейс (API) или веб-сайт изменяется метод аутентификации (проверки подлинности) пользователей кредитной истории. Изменения связаны с введением с 01.01.2022 обязательной двусторонней аутентификации при получении услуг НБКИ.


Нам прислали тестовые контейнер и сертификат для тестового сервера для проверки соединения.

Я их установил в обычном порядке.



С их помощью попытался просто проверить возможность запросов:



Пробую посмотреть, что не хватает как указано тут https://www.cryptopro.ru...aspx?g=posts&t=19022 :



Смотрим что в списке сертификатов в файле:



Пробую скачать сертификат:



Смотрю, что в скачанном файле:



Устанавливаю сертификат из файла:



Пробую опять сделать запрос:




Пробую получить информацию о проблеме опять:



Правильно ли я понимаю, что строки

PrivKey: 24.07.2020 09:59:32 - 24.07.2021 09:59:32 (UTC) expired
Error 0x800b0101 (CERT_E_EXPIRED) returned by CertVerifyCertificateChainPolicy!


говорят о том, что у контейнера срок годности вышел?

Каким образом можно посмотреть срок годности контейнера?
Offline two_oceans  
#2 Оставлено : 26 августа 2021 г. 12:37:17(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
Правильно ли я понимаю, что строки
Цитата:
PrivKey: 24.07.2020 09:59:32 - 24.07.2021 09:59:32 (UTC) expired
Error 0x800b0101 (CERT_E_EXPIRED) returned by CertVerifyCertificateChainPolicy!
говорят о том, что у контейнера срок годности вышел? Каким образом можно посмотреть срок годности контейнера?
Добрый день. Похоже на то, однако меня терзают смутные сомнения какой из сроков закончился - есть срок действия закрытого ключа в сертификате, его проставляет УЦ (смотря как настроен УЦ - бывает разный срок) и есть срок действия закрытого ключа в контейнере - проставляется при создании контейнера примерно на 457 дней. В логе же срок действия 365 дней, то есть это скорее всего срок в сертификате. На это же наталкивает сам факт, что ошибка в проверке цепочки сертификатов.

Как просмотреть срок действия закрытого ключа в контейнере. Под windows команда выглядит примерно так:
Код:
"c:\program files (x86)\crypto pro\csp\csptest.exe" -keyset -container "4891d710-d0dc-491d-84a1-2ea50567-ca1"
на linux скорее всего так
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -container HDIMAGE\\TEST2020.000\931A
Выводит информацию о контейнере, в том числе расширениях контейнера, среди которых есть 1.2.643.2.2.37.3.10 и 1.2.643.2.2.37.3.9 - сроки действия закрытых ключей в контейнере.
Код:
csptest -certprop -cert <отпечаток>
показывает информацию по сертификату, в том числе о сроке использования закрытого ключа в сертификате.

Отредактировано пользователем 26 августа 2021 г. 12:54:42(UTC)  | Причина: Не указана

Offline promcalc  
#3 Оставлено : 26 августа 2021 г. 13:16:44(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

Вот результат команды одной (csptest -keyset -container) срок не закончен еще (до 24.10.2021):



А для второй почему-то нет данной опции.
А та, которая больше всего похожа (-property) не дает просто посмотреть, только сплошные деструктивные опции :(

Offline two_oceans  
#4 Оставлено : 27 августа 2021 г. 5:35:57(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
В принципе, тут уже круг сузился, уже и без этой команды все сходится, что истек срок закрытого ключа, указанный в сертификате.
Разве что без отпечатков в выводе последней -tlsc первого сообщения не до конца ясно тот же самый ли сертификат что ставили в самом начале и тот у которого истек закрытый ключ в сертификате. Полагаю, проверку клиентского сертификата клиентской программой можно отключить какой-то опцией (плюс заодно указать чтобы другие старые не цеплялись). Либо отвести время назад.

Есть еще момент с корневым сертификатом - тот корневой который скачивали по предложению сервера - от 2021 года, а клиентский сертификат от 2020 года, то есть очень вероятно, что для клиентского сертификата еще и нет сертификата УЦ.

Отредактировано пользователем 27 августа 2021 г. 5:36:37(UTC)  | Причина: Не указана

Offline promcalc  
#5 Оставлено : 30 августа 2021 г. 10:50:58(UTC)
promcalc

Статус: Активный участник

Группы: Участники
Зарегистрирован: 12.04.2020(UTC)
Сообщений: 32
Российская Федерация
Откуда: Moscow

НБКИ сказали, что тестовый сертификат был нерабочий и прислали новый сертификат.

Установил его и попробовал соединение:

Вроде все стало без ошибок.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.