| ||||
| ||||
| Сеть Windows 2000 Active Directory. На сервере установлен УДЦ Enterprise Root CA на CryptoPro CSP (1.1). Всё работает корректно, на машинах в сети также установлен CryptoPro CSP. Корневой сертификат CA везде на машинах добавлен в Trusted Root и даже в Enterprise Trust как в Local Machine так и в User. CRL виден и доступен отовсюду (в CDP -полное доменное имя машины CA). То есть все правильно, всё сделано "по книгам". Выданы клиентские сертификаты клиентам и серверный для IIS. По https/SSL все работает прекрасно, на IIS захожу. Как только хочу, чтобы доступ был с предявлением клиентского сертификата - так ОБЛОМ: No client certificate was presented (если require client cert), или пустое окно в explorer’е с предложение выбрать сертификат для предъявления, если в IIS стоит accept client cert. Сразу хочу сказать - и на клиентской машине, и на сервере - установлен сертифкат УДЦ, стоит Crypto PRO CSP, доступен CRL, то есть всё установлено корректно. Пробовал на многих машинах (везде Windows 2000 Server) - результат один и тот же - доступ с клиентскими сертификатами к IIS не работает. Когда у нас не было Crypto Pro, я проделывал все это на стандартном Microsoft’овском CSP - то есть все то же самое, только CA и все сертификаты на другом CSP - всё работало. Помогите хотя бы в какую сторону смотреть, причину такой проблемы... | ||||
| Ответы: | ||||
| ||||
| Уточните, пожалуйста: - клиентские сертификаты установлены локально на компьютерах клиентов (в хранилище Личные текущего пользователя, с привязкой к ключу) или должны браться из AD? - номер сборки CSP 1.1 - Сведения об ОС и сервиспаках, хотфиксах (на клиентах и сервере) и версии IE (на клиентах) | ||||
| ||||
| Я обманул Вас :-( На сертификат-сервере стоит CSP 2.0 (build 2049). На клиентских машинах - вразнобой - и 2.0 (2049), и 1.1 (build 139). На веб-серверах, которые настроены требовать клиентский сертификат - также стоят CSP где 1.1 (139), а где 2.0 (2049). Клиентские сертификаты установлены локально на компьютерах клиентов (в хранилище Личные текущего пользователя. Сведения об ОС и сервиспаках, хотфиксах (на клиентах и сервере): сертификат-сервер - это Windows 2000 Server SP4, клиенты - это разные машины: Win 98 SE, Windows XP, Windows 2000 Prof и Server, Windows 2003... Сервис-паки и хотфиксы везде установлены самые свежие (у меня функционирует SUS-сервер, ежедневное обновление с Microsoft и сразу же по всем клиентам). Версии IE (на клиентах) - самые разнообразные - от 4 до 6. Например, у меня IE 6.0.2800.1106. | ||||
| ||||
| 1. Если где-то есть CSP 1.1, значит, все алгоритмы ключей всех сертификатов обязаны быть ГОСТ Р 34.10-94. Поскольку CSP 1.1 не поддерживает ГОСТ Р 34.10-2001. Проверьте этот факт. 2. IE должен быть не ниже 5.0. | ||||
| ||||
| Посмотрел сертификаты: ГОСТ Р 34.11/34.10-94 - сертификат УДЦ ГОСТ Р 34.11/34.10-94 - у юзеров ГОСТ Р 34.11/34.10-94 - у Web-сервера Версии IE - 6 и 5.5 | ||||
| ||||
| Вопрос - проблема только с CSP 1.1? А с 2.0 нормально? Сообщите номер сборки CSP 1.1. | ||||
| ||||
| Проблема с любым CSP Crypto PRO. Веб-серверы и клиенты и с 1.1, и с 2.2 В любых комбинациях. Результат один и тот же - при заходе на веб-сервер у клиента в броузере окно "выберите сертификат" и пустота в списке. Номер сборки CSP 1.1 - 139 - я же написал - посмотрите выше. | ||||
| ||||
| У меня работает. Опять же, в любых комбинациях. Просьба: пришлите мне сертификаты: корневой ЦС, серверный и какой-нибудь клиентский | ||||
| ||||
| Но... В присланных Вами сертификатах - веб-сервера и клиента - алгоритм ключа - RSA. Стало быть, они были сделаны не на нашем CSP. Однако, поскольку они подписаны на сертификате ГОСТ, то, для их корректного использования, нужно предпринять следующие действия: на веб-сервере (в IIS) добавить корневой сертификат Вашего ЦС в Доверенные. Это делается так: в настройках нужного веб-узла (или каталога) - Свойства - Безопасность каталога - кнопка Изменить в разделе Безопасные подключения - Включить список доверенных сертификатов - Создать - Далее - Добавить из хранилища... | ||||
Максим Бассамович