BG Development Форуми -> Ауторизация с клиентски сертификат

BG Development · За реклама · За контакти

Помощ

Търсене

Потребители

Календар

Правила

Здравей! ( Включване | Регистриране )

BG Development Форуми -> Програмиране -> Java

Страници: (2) 1 [2] ( Първото ново мнение )

Ауторизация с клиентски сертификат

Абонирай се за темата | Изпрати адреса на темата на приятел | Принтирай темата

lucky

Публикувано на: 05-10-2017, 19:13

Име:
Група: Потребител
Ранг: Редовен член

Мнения: 412
Регистриран на: 05.08.17

QUOTE

NSS: client certificate not found (nickname not specified)

Аз това го разбирам като client-a, сиреч Java кода, да не е предоставил валиден client сертификат. Или, сървъра праща запитване към клиента дали има сертификати издаден от конректния Issuer (Issuer полето на CA-то). Тоест при тази грешка изобщо няма указан client сертификат.

Обаче thrawn беше написал:

QUOTE

Ако разкарам Key Manager -ът от ssl контекста ми връща "неуспешна ауторизация".

thrawn	Публикувано на: 05-10-2017, 19:18
Име: Група: Потребител Ранг: Почетен член Мнения: 1518 Регистриран на: 17.01.17	Едитнах поста на предната страница. Именно за да разбера дали е локализиран проблема искам да видя и тялото на тоя отговор.

kierenski

Публикувано на: 05-10-2017, 19:21

Име:
Група: Потребител
Ранг: Активен

Мнения: 234
Регистриран на: 10.01.16

CODE

curl -v https://inetdec.nra.bg/pls/pub/login_cert.home?caller=home.magic
* Trying 212.122.164.63...
* TCP_NODELAY set
* Connected to inetdec.nra.bg (212.122.164.63) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* ALPN, server accepted to use http/1.1
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
* subject: CN=inetdec.nra.bg,OU=ISMBP,O=National Revenue Agency,L=Sofia,ST=Sofia,C=BG,serialNumber=Government Entity,businessCategory=Government Entity,incorporationCountry=BG
* start date: ное 10 00:00:00 2016 GMT
* expire date: фев 09 23:59:59 2019 GMT
* common name: inetdec.nra.bg
* issuer: CN=GeoTrust EV SSL CA - G4,O=GeoTrust Inc.,C=US
> GET /pls/pub/login_cert.home?caller=home.magic HTTP/1.1
> Host: inetdec.nra.bg
> User-Agent: curl/7.51.0
> Accept: */*
>
* NSS: client certificate not found (nickname not specified)
* ALPN/NPN, server did not agree to a protocol
< HTTP/1.1 200 OK
< Date: Thu, 05 Oct 2017 17:20:29 GMT
< Server: Apache/2.4.20 (Win64) OpenSSL/1.0.2g mod_owa 2.10.8
< Pragma: no-cache
< Content-Length: 1109
< Content-Type: text/html; charset=Windows-1251
<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<title></title>
<meta http-equiv="content-type" content="text/html; charset=windows-1251"/>
<meta http-equiv="X-UA-Compatible" content="IE=Edge" /> <link rel="stylesheet" href="/static/isfw/css/global.css?">
<link rel="stylesheet" href="/static/isfw/css/writetable.css?">
<link rel="stylesheet" href="/static/isfw/css/calendar-win2k-1.css?">
<link rel="stylesheet" href="/static/isfw/css/jquery-ui.min.css?">
<link rel="stylesheet" href="/static/isfw/css/jquery-ui.structure.min.css?">
<link rel="stylesheet" href="/static/isfw/css/jquery-ui.theme.min.css?">
</head>
<body>
<div id="page"><br><br>
<table class="form" align="center" cellpadding="4" cellspacing="0" width="70%">
<tr><th colspan="2">��</th></tr>
<tr><td width="20%" align="center"><img border="0" src="/static/isfw/images/error.gif"></td>
<td><p>Неуспешна оторизация с Електронен подпис.</p></td></tr></table>
</div>
</body>
* Curl_http_done: called premature == 0
* Connection #0 to host inetdec.nra.bg left intact

Това мнение е било редактирано от kierenski на 05-10-2017, 19:24

thrawn	Публикувано на: 05-10-2017, 19:24
Име: Група: Потребител Ранг: Почетен член Мнения: 1518 Регистриран на: 17.01.17	Значи не е това. Тука си пише "Неуспешна ауторизация ...." в P тагът. Явно ауторизацията си минава при мен. Това мнение е било редактирано от thrawn на 05-10-2017, 19:25

kierenski	Публикувано на: 05-10-2017, 19:25
Име: Група: Потребител Ранг: Активен Мнения: 234 Регистриран на: 10.01.16	При мен ако не е закачен токъна и в браузъра го дава същото иначе влиза без проблем. Това мнение е било редактирано от kierenski на 05-10-2017, 19:27

thrawn	Публикувано на: 05-10-2017, 19:33
Име: Група: Потребител Ранг: Почетен член Мнения: 1518 Регистриран на: 17.01.17	Утре ще тествам идеята на lucky за автоматичното следване на 302-ката. То и в документацията си пише, че това е true по default. https://docs.oracle.com/javase/8/docs/api/j...irects-boolean- Това мнение е било редактирано от thrawn на 05-10-2017, 19:36

gat3way	Публикувано на: 06-10-2017, 01:06
Име: Група: Потребител Ранг: Почетен член Мнения: 2323 Регистриран на: 22.06.12	Принципно когато се ползва автентикация с клиентски сертификат, по протокол сървъра изисква от клиента да го предостави, има такава допълнителна стъпка, всъщност две допълнителни стъпки. Това се случва преди да се установи сесията и не е криптирано. Демек примерно с wireshark и ssl филтъра му ще излязат тези неща. Трябва да е точно след client hello, server hello и предоставянето на сървървния сертификат и преди договарянето на ciphersuite-ите (change cipher spec или както там го вади). Та може лесно да се провери пращаш ли клиентски сертификат или не. Единствено трябва да видиш детайлите, защото сървърът ако е конфигуриран винаги да иска автентикация със клиентски сертификат (както сигурно е), тогава винаги минава и certificaterequest-а му, а клиентът може да върне и празен отговор без клиентски сертификат поради ред причини. Та както и да е, wireshark помага за такива казуси.

thrawn	Публикувано на: 06-10-2017, 08:02
Име: Група: Потребител Ранг: Почетен член Мнения: 1518 Регистриран на: 17.01.17	setFollowRedirects(false) не помага. Прикачам дъмп от wireshark на трафика, ако някой знае за какво да гледа там... ---edit--- Проблемът се оказа наистина в следването на 302-ката. Явно setFollowRedirects(false) не го спира. След като добавих CookieManager в конекцията нещата заспаха. ---edit--- Махнах го тоя дъмп, че не знам дали в него няма сесиен идентификатор (то сигурно има де). А не знам колко им е времето на живот на тия сесии. Това мнение е било редактирано от thrawn на 06-10-2017, 08:58

gat3way	Публикувано на: 06-10-2017, 09:11
Име: Група: Потребител Ранг: Почетен член Мнения: 2323 Регистриран на: 22.06.12	Ха, странно - според дъмпа, сървърът не ти иска клиентски сертификат изобщо, значи освен да се окаже че те редиректва някъде където вече иска, ама не му личи (има още 1-2 TLS сесии по-надолу до други хостове, но не съм ги гледал, щото не знам дали имат нещо общо - те са доста по-късно от първата, не мисля че са в резултат на редиректване).

lucky

Публикувано на: 06-10-2017, 09:27

Име:
Група: Потребител
Ранг: Редовен член

Мнения: 412
Регистриран на: 05.08.17

QUOTE (thrawn @ 06-10-2017, 08:02)

След като добавих CookieManager в конекцията нещата заспаха.

Точно щях да те питам за това. Супер! Е, и аз научих нещо днес.

0 потребители преглеждат тази тема в момента (0 гости, 0 анонимни потребители)

Потребители, преглеждащи темата в момента:

« Предишна тема | Java | Следваща тема »

Страници: (2) 1 [2]

BG Development Форуми -> Програмиране -> Java