Можно ли использовать публичный ключ для установления соединения с сервером?

Question

[Илья Караваев]

Проводим интеграцию с по стороннего разработчика. Хост отвергает соединение и на наш вопрос о возможных причинах, нам выдали DER сертификат с публичным ключом. Перекопал уже пол интернета, все пишут как организовать подобную авторизацию, но не как авторизоваться.

Собственно для авторизации как правило используется закрытый ключ, а открытый должен быть на сервере. Чем мне может помочь открытый ключ сервера, чтобы я смог к нему подключиться и сервер не отвергал соединение?

Содержимое ключа:

Version: 3 (0x2)
Signature Algorithm: sha256WithRSAEncryption
      Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (1024 bit)
                Modulus:
                    00:00:00...
      X509v3 extensions:
            X509v3 Subject Key Identifier:
                00:00:00...
Signature Algorithm: sha256WithRSAEncryption
      00:00:00...

Comments

[Илья Караваев]

Ответ видимо прост, никак. Для подключения необходимо использовать закрытый ключ. Открытый нужен для обратного запроса от сервера.

Answer 1

[CityCat4]

Что Вы там с чем интегрируете, я не знаю, но Вам лучше почитать про то, как такое делается в ssh. Принцип-то там достаточно простой - сервер генерит пару ключей и Вы генерите пару ключей. Чтобы сервер мог к Вам цепляться, нужно прописать его публичный ключ в своем конфиге. Чтобы Вы могли к нему цепляться - соответственно он должен у себя прописать.

Как это к Вашему случаю применить честно говоря, не знаю

Comments

[Илья Караваев]

Я тоже не знаю. Сервер к нам стучаться не должен. Все запросы выполняем мы. От нас ключ не просят.

Answer 2

[Saboteur]

Вы уверены, что ключ нужен для авторизации, а не просто для установки ssl соединения?

Кем выдан их сертификат? Есть вероятность, что они используют самоподписный сертификат, поэтому и прислали вам открытый ключ, чтобы вы добавили его как доверенный вручную.

Comments

[Илья Караваев]

Нет, не уверен. Прислали с комментарием "Возможно у вас нет сертификата." Но вопрос был вполне конкретным об отсутствии возможности получить доступ к хосту. Все соединения отвергаются хостом. С закрытым ГОСТовским сертификатом мы работали при наличии такой проблемы, но вот с открытым для таких же целей, вообще не понятно, можно ли.

[Saboteur]

Илья Караваев: Так напишите ошибки, можно же включить детализированный вывод и посмотреть по какой причине соединения отвергаются.
Может быть у вас нет CA сертификата, которым подписан их сертификат, и они вам прислали сам сертификат, чтобы он был добавлен как доверенный.

[Илья Караваев]

Saboteur: в целом вопрос решился, проблема была не на нашей стороне... Но если расскажите, как смотреть причины отклонения запроса, буду очень благодарен. Обычное использование telnet не дает такой информации...

[Saboteur]

Илья Караваев: К сожалению, в данном случае никак - детальные логи можно включить на стороне сервера, а не клиента.

[Илья Караваев]

Saboteur: Владельцы сервера не особо заинтересованы в отладке... :) Им так хорошо жилось без нас.