Статус: Новичок
Группы: Участники
Зарегистрирован: 07.06.2023(UTC) Сообщений: 3 
|
Добрый день. Не работает двухсторонняя аутентификация с сервисом НБКИ при использовании CryptoPro JCP, по логу после входа в контейнер и проверки сертификатов удостоверяющих центров (в списке присутствуют уц клиентского сертификата) получаем следующие ошибки: [SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447875] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_15 a
FINE: No appropriate cert was found.
]]
[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447876] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_42] [METHODNAME: f] [[
*** Certificate message
***
]]
[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447876] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_42 f
FINE: *** Certificate message
***
]]
[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447876] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_15] [METHODNAME: a] [[
Generate ephemeral key pair.]]
[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447876] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_15 a
FINE: Generate ephemeral key pair.
....
[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447917] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_7] [METHODNAME: a] [[
Begin encrypt... ]]
[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447917] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_7 a
FINE: Begin encrypt...
]]
[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447918] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_7] [METHODNAME: a] [[
Encrypted... ]]
[SEVERE] [] [] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447918] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_7 a
FINE: Encrypted...
]]
[FINE] [] [ru.CryptoPro.ssl.SSLLogger] [tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447940] [levelValue: 500] [CLASSNAME: ru.CryptoPro.ssl.cl_97] [METHODNAME: b] [[
pool-59-thread-4, RECV TLSv1.2 ALERT: fatal, description = handshake_failure]]
[tid: _ThreadID=251 _ThreadName=pool-59-thread-4] [timeMillis: 1685709447940] [levelValue: 1000] [[
Jun 02, 2023 3:37:27 PM ru.CryptoPro.ssl.cl_97 b
FINE: pool-59-thread-4, RECV TLSv1.2 ALERT: fatal, description = handshake_failure
В контейнер входим по паролю, в клиентском сертификате присутствует цепочка удостоверяющих центров. Для проверки на эту же машину был установлен CryptoPro CSP, соединение через curl устанавливается /opt/cprocsp/bin/amd64/curl --url https://reports.nbki.ru --cert HASH --verbose , где HASH идентификатор клиентского сертификата. Подскажите, пожалуйста, в чем может быть ошибка ?  cert.png (35kb) загружен 11 раз(а). prop1.png (14kb) загружен 6 раз(а). prop2.png (13kb) загружен 7 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
|
Здравствуйте. Приведите полный лог. По первому сообщению - не выбран клиентский сертификат, у этого могут быть разные причины. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.06.2023(UTC) Сообщений: 3
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.12.2008(UTC) Сообщений: 3,963 Откуда: Крипто-Про Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 704 раз в 665 постах
|
Возможно, цепочка сертификатов клиента - длинная, например, состоит из трех сертификатов, в ключевом контейнере установлен только сертификат клиента и поэтому не проходит проверка по издателю. Нужно установить полную цепочку сертификатов клиента (p7b) в клиентский ключевой контейнер. P.S. Да, на первой картинке цепочка клиента - длинная. Но построили вы ее с помощью отдельного хранилища доверенных сертификатов, а надо, чтобы цепочка была вся в контейнере. Отредактировано пользователем 7 июня 2023 г. 20:50:36(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
|
nickm оставлено 09.06.2023(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.06.2023(UTC) Сообщений: 3
|
Да, проблема была в неполной цепочке в контейнере (не было сертов уц). Спасибо за помощь.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
