BG Development


Страници: (3) 1 2 [3]   ( Първото ново мнение ) Reply to this topicStart new topicStart Poll

> Борика имплементация проблем с curl
thrawn
Публикувано на: 28-02-2017, 11:19
Quote Post



Име:
Група: Потребител
Ранг: Почетен член

Мнения: 1557
Регистриран на: 17.01.17



Нещо си намазал.

Идеята на тоя сертификат е, че web сървизът ползва аутентикация със сертификат. Тъй като сертификатите са публични (всеки може да го вземе и да се представи за теб) при handshake -ът се налага да докажеш, че притежаваш частния ключ.

Същото прави и браузерът когато се опиташ да достъпиш съответния ресурс. Затова се налага тоя сертифиат да бъде импортиран и в него.
PMEmail Poster
Top
wqw
Публикувано на: 16-10-2017, 17:04
Quote Post


Group Icon
Име: Владимир Висулчев
Група: VIP
Ранг: Почетен член

Мнения: 5718
Регистриран на: 10.06.04



QUOTE (thrawn @ 28-02-2017, 11:19)
Затова се налага тоя сертифиат да бъде импортиран и в него.

Под Windows само Firefox има такова понятие, останалите браузъри ползват crypt-о API за работа със Certificate Store на самия Windows и точно тук нещата стават по-блудкави, защото в документацията на БОРИКА (примерно eBORICA Merchant Impl Guide (v2 1)-2014-05_Bulbank.pdf) в глава Преобразуване на сертификат в PKCS12 формат е дадено директно да се ползва openssl pkcs12 -export -inkey etlog.key -in etlog.cer -out etlog.p12.

Това първоначално изглежда че работи, но в etlog.p12 не се добавят intermediate и root сертификатите (BORICA 3DSecure CA и BORICA Root CA съответно) и след импорт в Certificate Store на Windows този клиентски сертификат е неизползваем през crypt-о API без поне intermediate сертификата. Ефектът е че chrome/IE не могат да си покажат диалог за избор на клиентски сертификат и съответно фейлват с ERR_BAD_SSL_CLIENT_AUTH_CERT.

Това което трябва да се направи като междинна стъпка е да се конкатенират etlog.cer + BORICA_3DSecure_CA_2016_cer.cer + BoricaRootCA.cer в примерно etlog.pem и вече този файл да се подаде на параметър -in на openssl. Така генерирания .p12 сертификат вече включва intermediate + root и след импорт в Personal ги вкарва трите сертификата и няма проблем с chrome и IE/Edge да си показват диалога за избор на клиентски сертификат.

cheers,
</wqw>


--------------------
PMEmail PosterUsers Website
Top
wqw
Публикувано на: 16-10-2017, 17:11
Quote Post


Group Icon
Име: Владимир Висулчев
Група: VIP
Ранг: Почетен член

Мнения: 5718
Регистриран на: 10.06.04



Другото, което е супер странно, е че БОРИКА не са си публикували intermediate и root сертификатите за свободно сваляне (така както са направили например с b-trust удостоверителните си вериги).

Слагам ги тука да си ги copy/paste-вате на воля (със сигурност не ги ползвайте след 2026-та)

QUOTE (BORICA_3DSecure_CA_2016_cer.cer)
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----


QUOTE (BoricaRootCA.cer)
-----BEGIN CERTIFICATE-----
MIIDrjCCApagAwIBAgIEjp6JUjANBgkqhkiG9w0BAQUFADBqMQswCQYDVQQGEwJC
RzEOMAwGA1UEBxMFU29maWExFDASBgNVBAoTC0JPUklDQSBMdGQuMRwwGgYDVQQL
ExNTZWN1cml0eSBEZXBhcnRtZW50MRcwFQYDVQQDEw5CT1JJQ0EgUm9vdCBDQTAe
Fw0wNjA2MDEwODAzNDJaFw0yNjA2MzAyMTAwMDBaMGoxCzAJBgNVBAYTAkJHMQ4w
DAYDVQQHEwVTb2ZpYTEUMBIGA1UEChMLQk9SSUNBIEx0ZC4xHDAaBgNVBAsTE1Nl
Y3VyaXR5IERlcGFydG1lbnQxFzAVBgNVBAMTDkJPUklDQSBSb290IENBMIIBIjAN
BgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1U38irnjgJIxMohODYXG5kcIn7Z3
rBl1xdHLcixlUNs89JOFDymOx1gTSc0s5eH+EWdrHxQsGIAlbonJeormginQF+5E
CW2CzRC7YrhFvF4OLj8fnHYTXruCFcI3P1oJaG0JxPMeBOTIHHe6IZ+eJqnl4pCq
NbJfHXJaeex79qFMgwdFVE1DP+5hsgb8SOI4sRyeJNg8PtadID+Hx+/u4Xds8c6K
UpGuJxvLIuqQaLA7sScLGns1VEtnqBvRFujrgGroEyR0dKxcGX6WYbOUBX7ygkhQ
IzJZIF5akhDwZ9uZap5BFoLvJFYBZ5GeDiNsvJpKR0+TjS/8Ollof85k1wIDAQAB
o1wwWjBKBgNVHSUEQzBBBggrBgEFBQcDAQYIKwYBBQUHAwIGCCsGAQUFBwMDBggr
BgEFBQcDBAYIKwYBBQUHAwgGCCsGAQUFBwMJBgNVHSUwDAYDVR0PBAUDAwf+ADAN
BgkqhkiG9w0BAQUFAAOCAQEAAe6VwZ/Wo6dW4iJXqicgbUJ/nZEBHYmDGKNDwtkn
iNfd4PYqyi+ZqKVwIdthXkyGbz0l85iAZqgi0lmbXtK7K8q9vIUus2KQw6mZmqmA
2V+gdiv0oDNXPwS1XNpb3ykpFJeyOU3drCLOK665nhrGle3wGgeJBqMOuCvkqdvR
1d2MuiX5yYdUqFI3W69r3Byqhlcyy7WoLz1MX97HcRl3CtjWW4kCx4+GCGft4st/
Tg920Hu21ZuXevB63s83DlRGhOPsQVyfLZbB6TfEC3duIYT0KLIWM6y2a29RrdoC
Edeqiyew97rk3NWwzz1fMqdNhb1YsU+yszp+LdF3VXFqew==
-----END CERTIFICATE-----

Инфо за intermediate (първия)
CODE
# openssl x509 -noout -text -in BORICA_3DSecure_CA_2016_cer.cer
Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number: 2699734686 (0xa0eaae9e)
   Signature Algorithm: sha1WithRSAEncryption
       Issuer: C=BG, L=Sofia, O=BORICA Ltd., OU=Security Department, CN=BORICA Root CA
       Validity
           Not Before: Jul 15 13:13:48 2016 GMT
           Not After : May 24 13:13:48 2026 GMT
       Subject: C=BG, ST=Sofia, L=Sofia, O=Borica Ltd., OU=Security, CN=BORICA 3DSecure CA
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:ca:86:ba:66:53:c1:64:3b:88:df:8c:1f:ed:53:
                   31:16:2d:f1:10:2b:75:3e:d7:fc:79:4b:ad:34:9f:
                   ba:fd:4f:b3:ef:ae:5a:4a:fc:9a:8b:05:bf:b6:c0:
                   e8:57:44:ab:10:53:92:b4:c2:94:52:a5:04:d9:c0:
                   a8:f5:37:20:83:6a:09:0b:c1:be:0a:9a:96:e9:c6:
                   63:14:39:f5:53:cf:d5:04:d7:9d:89:fc:ce:7a:8a:
                   52:b0:1b:74:4d:ad:56:df:05:12:4e:d8:80:e3:e2:
                   f1:cc:56:07:4e:96:4d:8e:14:e3:fa:25:15:f6:03:
                   27:7c:e0:6a:08:53:65:8e:cd:a0:a6:64:f7:6f:89:
                   f7:8e:76:21:5e:78:2f:db:55:05:b0:f9:f1:1e:38:
                   05:ba:65:52:bd:0d:0f:02:3d:64:7e:9f:ad:91:e6:
                   bf:58:92:27:72:9c:6a:cb:e8:10:2f:83:bd:80:f1:
                   c9:96:0f:d9:51:8b:40:e2:34:1d:09:05:4c:27:15:
                   20:a8:a7:17:61:88:91:84:90:06:95:b1:79:0e:cc:
                   91:87:08:79:7f:6e:28:3a:61:5f:14:0d:7e:4e:52:
                   1e:8b:a6:0a:a7:2e:a1:0f:28:8b:e7:fd:3e:2a:7c:
                   12:cd:7b:6f:24:f8:74:eb:e3:f4:5b:c7:f0:99:52:
                   80:79
               Exponent: 65537 (0x10001)
       X509v3 extensions:
           X509v3 Subject Key Identifier:
               FD:97:AE:79:29:7B:30:EA:7A:72:9D:B1:77:7F:7D:8D:24:CF:75:22
           X509v3 Authority Key Identifier:
               DirName:/C=BG/L=Sofia/O=BORICA Ltd./OU=Security Department/CN=BORICA Root CA
               serial:71:61:76:AE

           X509v3 Basic Constraints:
               CA:TRUE
           X509v3 Key Usage:
               Certificate Sign, CRL Sign
   Signature Algorithm: sha1WithRSAEncryption
        79:3b:5e:f0:d1:cc:2f:21:54:ff:b0:87:dd:97:ad:7d:59:a0:
        cc:8d:86:b2:ac:81:d0:1b:ca:53:d1:6e:19:e2:f2:42:6f:ea:
        ad:70:db:ad:96:1c:0f:6f:cf:8e:dc:d4:c7:88:ed:86:d5:20:
        8b:be:89:24:21:ab:2b:2f:af:81:5a:31:88:bd:b9:08:64:36:
        d5:11:cd:6d:04:52:d4:58:35:4f:38:bb:82:69:a7:f1:41:a0:
        83:7d:73:8b:2d:1c:31:b9:1a:3f:a4:92:41:3d:26:81:2c:8c:
        14:97:0c:d9:22:50:ab:3d:8b:d5:61:c3:a7:bb:94:cc:d3:52:
        fb:42:62:3b:af:a6:35:ed:cb:08:30:fd:e7:d4:de:f7:04:3f:
        db:7d:75:8d:3c:99:ce:22:b7:de:38:c8:c0:83:db:2a:02:c9:
        be:9a:d5:9d:da:05:35:66:19:c4:c7:e3:9d:86:b2:1b:74:ba:
        e7:c2:0a:0d:39:3b:6d:b9:55:22:b5:50:0e:75:36:5b:be:a2:
        e9:94:a1:a8:85:02:0a:ce:7a:67:08:0c:f2:f3:d8:40:df:1c:
        68:c8:74:7f:8c:34:9e:71:4a:6b:af:e9:50:79:5a:56:de:72:
        18:b8:03:ad:cb:b6:fd:30:a8:f4:0a:f0:2a:6a:29:31:23:f5:
        ce:7a:c6:6f

Инфо за втория (root)
CODE
# openssl x509 -noout -text -in BoricaRootCA.cer
Certificate:
   Data:
       Version: 3 (0x2)
       Serial Number: -1902212782 (-0x716176ae)
   Signature Algorithm: sha1WithRSAEncryption
       Issuer: C=BG, L=Sofia, O=BORICA Ltd., OU=Security Department, CN=BORICA Root CA
       Validity
           Not Before: Jun  1 08:03:42 2006 GMT
           Not After : Jun 30 21:00:00 2026 GMT
       Subject: C=BG, L=Sofia, O=BORICA Ltd., OU=Security Department, CN=BORICA Root CA
       Subject Public Key Info:
           Public Key Algorithm: rsaEncryption
               Public-Key: (2048 bit)
               Modulus:
                   00:d5:4d:fc:8a:b9:e3:80:92:31:32:88:4e:0d:85:
                   c6:e6:47:08:9f:b6:77:ac:19:75:c5:d1:cb:72:2c:
                   65:50:db:3c:f4:93:85:0f:29:8e:c7:58:13:49:cd:
                   2c:e5:e1:fe:11:67:6b:1f:14:2c:18:80:25:6e:89:
                   c9:7a:8a:e6:82:29:d0:17:ee:44:09:6d:82:cd:10:
                   bb:62:b8:45:bc:5e:0e:2e:3f:1f:9c:76:13:5e:bb:
                   82:15:c2:37:3f:5a:09:68:6d:09:c4:f3:1e:04:e4:
                   c8:1c:77:ba:21:9f:9e:26:a9:e5:e2:90:aa:35:b2:
                   5f:1d:72:5a:79:ec:7b:f6:a1:4c:83:07:45:54:4d:
                   43:3f:ee:61:b2:06:fc:48:e2:38:b1:1c:9e:24:d8:
                   3c:3e:d6:9d:20:3f:87:c7:ef:ee:e1:77:6c:f1:ce:
                   8a:52:91:ae:27:1b:cb:22:ea:90:68:b0:3b:b1:27:
                   0b:1a:7b:35:54:4b:67:a8:1b:d1:16:e8:eb:80:6a:
                   e8:13:24:74:74:ac:5c:19:7e:96:61:b3:94:05:7e:
                   f2:82:48:50:23:32:59:20:5e:5a:92:10:f0:67:db:
                   99:6a:9e:41:16:82:ef:24:56:01:67:91:9e:0e:23:
                   6c:bc:9a:4a:47:4f:93:8d:2f:fc:3a:59:68:7f:ce:
                   64:d7
               Exponent: 65537 (0x10001)
       X509v3 extensions:
           X509v3 Extended Key Usage:
               TLS Web Server Authentication, TLS Web Client Authentication, Code Signing, E-mail Protection, Time Stamping, OCSP Signing, X509v3 Extended Key Usage
           X509v3 Key Usage:
               Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment, Key Agreement, Certificate Sign, CRL Sign
   Signature Algorithm: sha1WithRSAEncryption
        01:ee:95:c1:9f:d6:a3:a7:56:e2:22:57:aa:27:20:6d:42:7f:
        9d:91:01:1d:89:83:18:a3:43:c2:d9:27:88:d7:dd:e0:f6:2a:
        ca:2f:99:a8:a5:70:21:db:61:5e:4c:86:6f:3d:25:f3:98:80:
        66:a8:22:d2:59:9b:5e:d2:bb:2b:ca:bd:bc:85:2e:b3:62:90:
        c3:a9:99:9a:a9:80:d9:5f:a0:76:2b:f4:a0:33:57:3f:04:b5:
        5c:da:5b:df:29:29:14:97:b2:39:4d:dd:ac:22:ce:2b:ae:b9:
        9e:1a:c6:95:ed:f0:1a:07:89:06:a3:0e:b8:2b:e4:a9:db:d1:
        d5:dd:8c:ba:25:f9:c9:87:54:a8:52:37:5b:af:6b:dc:1c:aa:
        86:57:32:cb:b5:a8:2f:3d:4c:5f:de:c7:71:19:77:0a:d8:d6:
        5b:89:02:c7:8f:86:08:67:ed:e2:cb:7f:4e:0f:76:d0:7b:b6:
        d5:9b:97:7a:f0:7a:de:cf:37:0e:54:46:84:e3:ec:41:5c:9f:
        2d:96:c1:e9:37:c4:0b:77:6e:21:84:f4:28:b2:16:33:ac:b6:
        6b:6f:51:ad:da:02:11:d7:aa:8b:27:b0:f7:ba:e4:dc:d5:b0:
        cf:3d:5f:32:a7:4d:85:bd:58:b1:4f:b2:b3:3a:7e:2d:d1:77:
        55:71:6a:7b

cheers,
</wqw>


--------------------
PMEmail PosterUsers Website
Top
1 потребители преглеждат тази тема в момента (1 гости, 0 анонимни потребители)
Потребители, преглеждащи темата в момента:

Topic Options Страници: (3) 1 2 [3]  Reply to this topicStart new topicStart Poll

 


Copyright © 2003-2018 | BG Development | All Rights Reserved
RSS 2.0