BG Development


Страници: (2) 1 [2]   ( Първото ново мнение ) Reply to this topicStart new topicStart Poll

> Ауторизация с клиентски сертификат
lucky
Публикувано на: 05-10-2017, 19:13
Quote Post



Име:
Група: Потребител
Ранг: Редовен член

Мнения: 519
Регистриран на: 05.08.17



QUOTE
NSS: client certificate not found (nickname not specified)


Аз това го разбирам като client-a, сиреч Java кода, да не е предоставил валиден client сертификат. Или, сървъра праща запитване към клиента дали има сертификати издаден от конректния Issuer (Issuer полето на CA-то). Тоест при тази грешка изобщо няма указан client сертификат.

Обаче thrawn беше написал:

QUOTE

Ако разкарам Key Manager -ът от ssl контекста ми връща "неуспешна ауторизация".
PMEmail Poster
Top
thrawn
Публикувано на: 05-10-2017, 19:18
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1684
Регистриран на: 17.01.17



Едитнах поста на предната страница.
Именно за да разбера дали е локализиран проблема искам да видя и тялото на тоя отговор.
PMEmail Poster
Top
kierenski
Публикувано на: 05-10-2017, 19:21
Quote Post



Име:
Група: Потребител
Ранг: Активен

Мнения: 274
Регистриран на: 10.01.16



CODE
curl -v https://inetdec.nra.bg/pls/pub/login_cert.home?caller=home.magic
*   Trying 212.122.164.63...
* TCP_NODELAY set
* Connected to inetdec.nra.bg (212.122.164.63) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
 CApath: none
* ALPN, server accepted to use http/1.1
* SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
* Server certificate:
*       subject: CN=inetdec.nra.bg,OU=ISMBP,O=National Revenue Agency,L=Sofia,ST=Sofia,C=BG,serialNumber=Government Entity,businessCategory=Government Entity,incorporationCountry=BG
*       start date: ное 10 00:00:00 2016 GMT
*       expire date: фев 09 23:59:59 2019 GMT
*       common name: inetdec.nra.bg
*       issuer: CN=GeoTrust EV SSL CA - G4,O=GeoTrust Inc.,C=US
> GET /pls/pub/login_cert.home?caller=home.magic HTTP/1.1
> Host: inetdec.nra.bg
> User-Agent: curl/7.51.0
> Accept: */*
>
* NSS: client certificate not found (nickname not specified)
* ALPN/NPN, server did not agree to a protocol
< HTTP/1.1 200 OK
< Date: Thu, 05 Oct 2017 17:20:29 GMT
< Server: Apache/2.4.20 (Win64) OpenSSL/1.0.2g mod_owa 2.10.8
< Pragma: no-cache
< Content-Length: 1109
< Content-Type: text/html; charset=Windows-1251
<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
   <head>
       <title></title>
       <meta http-equiv="content-type" content="text/html; charset=windows-1251"/>
       <meta http-equiv="X-UA-Compatible" content="IE=Edge" />       <link rel="stylesheet" href="/static/isfw/css/global.css?">
      <link rel="stylesheet" href="/static/isfw/css/writetable.css?">
      <link rel="stylesheet" href="/static/isfw/css/calendar-win2k-1.css?">
      <link rel="stylesheet" href="/static/isfw/css/jquery-ui.min.css?">
      <link rel="stylesheet" href="/static/isfw/css/jquery-ui.structure.min.css?">
      <link rel="stylesheet" href="/static/isfw/css/jquery-ui.theme.min.css?">
</head>
<body>
<div id="page"><br><br>
     <table class="form" align="center" cellpadding="4" cellspacing="0" width="70%">
       <tr><th colspan="2">������</th></tr>
       <tr><td width="20%" align="center"><img border="0" src="/static/isfw/images/error.gif"></td>
           <td><p>Неуспешна оторизация с Електронен подпис.</p></td></tr></table>
</div>
</body>
* Curl_http_done: called premature == 0
* Connection #0 to host inetdec.nra.bg left intact


Това мнение е било редактирано от kierenski на 05-10-2017, 19:24
PMEmail Poster
Top
thrawn
Публикувано на: 05-10-2017, 19:24
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1684
Регистриран на: 17.01.17



Значи не е това.

Тука си пише "Неуспешна ауторизация ...." в P тагът.
Явно ауторизацията си минава при мен.

Това мнение е било редактирано от thrawn на 05-10-2017, 19:25
PMEmail Poster
Top
kierenski
Публикувано на: 05-10-2017, 19:25
Quote Post



Име:
Група: Потребител
Ранг: Активен

Мнения: 274
Регистриран на: 10.01.16



При мен ако не е закачен токъна и в браузъра го дава същото иначе влиза без проблем.

Това мнение е било редактирано от kierenski на 05-10-2017, 19:27
PMEmail Poster
Top
thrawn
Публикувано на: 05-10-2017, 19:33
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1684
Регистриран на: 17.01.17



Утре ще тествам идеята на lucky за автоматичното следване на 302-ката.
То и в документацията си пише, че това е true по default.

https://docs.oracle.com/javase/8/docs/api/j...irects-boolean-

Това мнение е било редактирано от thrawn на 05-10-2017, 19:36
PMEmail Poster
Top
gat3way
Публикувано на: 06-10-2017, 01:06
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2766
Регистриран на: 22.06.12



Принципно когато се ползва автентикация с клиентски сертификат, по протокол сървъра изисква от клиента да го предостави, има такава допълнителна стъпка, всъщност две допълнителни стъпки. Това се случва преди да се установи сесията и не е криптирано. Демек примерно с wireshark и ssl филтъра му ще излязат тези неща. Трябва да е точно след client hello, server hello и предоставянето на сървървния сертификат и преди договарянето на ciphersuite-ите (change cipher spec или както там го вади). Та може лесно да се провери пращаш ли клиентски сертификат или не. Единствено трябва да видиш детайлите, защото сървърът ако е конфигуриран винаги да иска автентикация със клиентски сертификат (както сигурно е), тогава винаги минава и certificaterequest-а му, а клиентът може да върне и празен отговор без клиентски сертификат поради ред причини. Та както и да е, wireshark помага за такива казуси.
PMEmail Poster
Top
thrawn
Публикувано на: 06-10-2017, 08:02
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1684
Регистриран на: 17.01.17



setFollowRedirects(false) не помага.

Прикачам дъмп от wireshark на трафика, ако някой знае за какво да гледа там...

---edit---
Проблемът се оказа наистина в следването на 302-ката. Явно setFollowRedirects(false) не го спира. След като добавих CookieManager в конекцията нещата заспаха.

---edit---
Махнах го тоя дъмп, че не знам дали в него няма сесиен идентификатор (то сигурно има де). А не знам колко им е времето на живот на тия сесии.

Това мнение е било редактирано от thrawn на 06-10-2017, 08:58
PMEmail Poster
Top
gat3way
Публикувано на: 06-10-2017, 09:11
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 2766
Регистриран на: 22.06.12



Ха, странно - според дъмпа, сървърът не ти иска клиентски сертификат изобщо, значи освен да се окаже че те редиректва някъде където вече иска, ама не му личи (има още 1-2 TLS сесии по-надолу до други хостове, но не съм ги гледал, щото не знам дали имат нещо общо - те са доста по-късно от първата, не мисля че са в резултат на редиректване).
PMEmail Poster
Top
lucky
Публикувано на: 06-10-2017, 09:27
Quote Post



Име:
Група: Потребител
Ранг: Редовен член

Мнения: 519
Регистриран на: 05.08.17



QUOTE (thrawn @ 06-10-2017, 08:02)
След като добавих CookieManager в конекцията нещата заспаха.

Точно щях да те питам за това. Супер! Е, и аз научих нещо днес. icon_wink.gif
PMEmail Poster
Top
0 потребители преглеждат тази тема в момента (0 гости, 0 анонимни потребители)
Потребители, преглеждащи темата в момента:

Topic Options Страници: (2) 1 [2]  Reply to this topicStart new topicStart Poll

 


Copyright © 2003-2018 | BG Development | All Rights Reserved
RSS 2.0