Проблема с периодическим сбросом аутентификации при использовании сертификата

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Проблема с периодическим сбросом аутентификации при использовании сертификата

Опции

Предыдущая тема Следующая тема

Onkel_Ron		#1 Оставлено : 9 февраля 2023 г. 10:29:15(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 08.02.2023(UTC) Сообщений: 57 Откуда: Москва		Добрый день! С нашей стороны, используется CSP 5.0.12000 КС1, установленный на Windows 2012 с компонентом IIS. Клиент устанавливает HTTPS соединение (Mutual TLS), используя jcp-2.0.41789, и поддерживает соединение с помощью Keep-Alive. Проблема заключается в том, что первый/несколько первых запросов проходят благополучно, а затем все остальные запросы, в рамках открытой HTTPS сессии, отбиваются с кодом 403.7 (Forbidden: Client certificate required). Есть в КриптоПро настройки, которые могли повлиять на такое поведение при HTTPS Keep-Alive соединениях?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#2 Оставлено : 10 февраля 2023 г. 11:48:23(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,415 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 728 раз в 629 постах		Скорее всего открывается новая TLS-сессия, а старая уже вытеснена из кэша. В рамках одной сессии запроса сертификата быть не должно.
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Onkel_Ron		#3 Оставлено : 10 февраля 2023 г. 12:30:58(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 08.02.2023(UTC) Сообщений: 57 Откуда: Москва		Автор: Максим Коллегин Скорее всего открывается новая TLS-сессия, а старая уже вытеснена из кэша. В рамках одной сессии запроса сертификата быть не должно. Если старая TLS сессия вытесняется из кеша, то соединение закрывается и удаленная сторона знает об этом и должна установить новое TLS соединение с прохождением аутентификации. Странность здесь в том, что соединение не разрывается, за счет Keep-Alive, а запросы отбрасываются с кодом 503.7.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#4 Оставлено : 10 февраля 2023 г. 12:39:04(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,415 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 728 раз в 629 постах		А дама трафика сможете собрать?
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Onkel_Ron		#5 Оставлено : 10 февраля 2023 г. 13:16:55(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 08.02.2023(UTC) Сообщений: 57 Откуда: Москва		Автор: Максим Коллегин А дама трафика сможете собрать? Высылаю дамп. dump TLS sessii.zip (22kb) загружен 3 раз(а). Еще дамп, с TLS Alert: dump TLS sessii_1.zip (22kb) загружен 2 раз(а). Отредактировано пользователем 10 февраля 2023 г. 13:34:32(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#6 Оставлено : 10 февраля 2023 г. 13:26:09(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,143 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 160 раз в 145 постах		Автор: Onkel_Ron Странность здесь в том, что соединение не разрывается, за счет Keep-Alive, а запросы отбрасываются с кодом 503.7. Это кто вам такое сказал? Сервер вправе закрыть (по собственной инициативе) даже постоянное подключение. Клиент обязан обработать эту ситуацию.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#7 Оставлено : 10 февраля 2023 г. 20:05:24(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,415 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 728 раз в 629 постах		По дампам нечего пока не скажу. Сможете проверить поведение IIS на родном RSA-сертификате? Попробуйте еще с последней версией CSP 5R3 (12600) Отредактировано пользователем 10 февраля 2023 г. 21:59:49(UTC) \| Причина: Не указана
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Onkel_Ron		#8 Оставлено : 15 февраля 2023 г. 16:46:56(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 08.02.2023(UTC) Сообщений: 57 Откуда: Москва		Добрый день! Посмотрите, пожалуйста, в дамп трафика dump "TLS сессии_1.pcap". Как вы считаете, почему от клиента прилетает сообщение "Alert Message: Encrypted Alert"?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#9 Оставлено : 16 февраля 2023 г. 12:15:37(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,415 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 728 раз в 629 постах		Если сервер не слишком нагруженный -- можно включить полный аудит ssp на сервере и поизучать лог. Что за alert -- я не знаю. https://support.cryptopr...o-csp-50-r2-v-os-windows
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Афанасьев		#10 Оставлено : 16 февраля 2023 г. 14:08:31(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 06.12.2008(UTC) Сообщений: 4,062 Откуда: Крипто-Про Сказал(а) «Спасибо»: 21 раз Поблагодарили: 738 раз в 696 постах		Добрый день. А вы можете включить логирование для SSLLogger, как тут https://support.cryptopr...lirovnija-kriptopro-jtls описано, и собрать логи для этого случая? По поводу дампов: не увидел среди сообщений hello_request (0) и certificate_request (13), после его получения клиент отправит свой сертификат серверу; alert 21 - ошибка шифрования, вероятно, клиент не смог расшифровать сообщение сервера.
		Тех. поддержка База знаний Логирование JCP Логирование JTLS Тест JCP и сбор диаг. информации Скачать JCP, JCSP и JTLS Скачать Android CSP + SDK


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close