Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline long76  
#1 Оставлено : 15 апреля 2022 г. 10:53:17(UTC)
long76

Статус: Участник

Группы: Участники
Зарегистрирован: 16.03.2021(UTC)
Сообщений: 20
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
здравствуйте, в моем приложении используется BouncyCastle для подписания, JCP для соединения с сайтами на ГОСТ TLS. возникла проблема

Код:
Caused by: java.security.cert.CertificateException: Invalid public key algorithm ECGOST3410-2012 in the certificate:
sn 309e66b0b0d0eed49ec6d09bad46c2bd6b0d7ff6
issuer: CN=Федеральное казначейство, O=Федеральное казначейство, C=RU, L=Москва, STREET="Большой Златоустинский переулок, д. 6, строение 1", OID.1.2.643.100.1=#120D31303437373937303139383330, OID.1.2.643.3.131.1.1=#120C303037373130353638373630, ST=г. Москва, EMAILADDRESS=uc_fk@roskazna.ru
    at ru.CryptoPro.ssl.util.SecureChecker.checkPublicKeys(Unknown Source)
    at ru.CryptoPro.ssl.pc_4.cl_4.b(Unknown Source)
    at ru.CryptoPro.ssl.cl_121.a(Unknown Source)
    at ru.CryptoPro.ssl.cl_121.a(Unknown Source)
    at ru.CryptoPro.ssl.cl_121.checkServerTrusted(Unknown Source)
    ... 91 more


JBOSS 8

BouncyCastle 1.59

JCP 2.0.41789

JDK 8 1.8.0_321

Ubuntu 20.04

Можно избежать этой ошибки убрав bcprov-jdk15on-1.59.jar из модулей JBOSS, но из-за этого не работает подписание.

Можно ли добавить алиасы для шифров BC в КриптоПРО? Есть ли сейчас возможность как-то добавить эти алиасы самим программно/через конфигурацию?

Сейчас используем stunnel, но хотелось бы иметь возможность без запуска доп. средств отправлять запросы на любой сайт на ГОСТ TLS.

Заранее спасибо.
Offline Евгений Афанасьев  
#2 Оставлено : 15 апреля 2022 г. 11:28:19(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,963
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
Здравствуйте.
Автор: long76 Перейти к цитате
Можно ли добавить алиасы для шифров BC в КриптоПРО? Есть ли сейчас возможность как-то добавить эти алиасы самим программно/через конфигурацию?

Нет.
Причина ошибки, скорее всего, в том, что BC в списке провайдеров оказывается выше JCP и берет декодирование открытых ключей на себя.

вариант 1 (рекомендуется):
выстроить список провайдеров так, чтобы BC был в конце списка. Если BC указан в java.security, то поместить его после JCP в списке, поправив нумерацию, или, если BC добавляется программно, можно попробовать получить (до всех действий) список провайдеров из Security.getProviders() и выстроить его так, чтобы BC был после JCP (с помощью Security.removeProvider, Security.addProvider);

вариант 2:
задать
Цитата:

System.setProperty("tls_prohibit_disabled_validation", "false")

или указать его для java-процесса:
Цитата:

java -Dtls_prohibit_disabled_validation=false <arguments>

Отредактировано пользователем 15 апреля 2022 г. 11:29:00(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
long76 оставлено 15.04.2022(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.