| ||||
| ||||
| На одном компьютере (Win 2k Serv) хочется установить два виртуальных web-сервера, которые используют SSL(TLS). Пытаемся установить 2-й сервер по аналогии с описанием из руководства ЦР (установка выделенных ЦР на одном ПК), т.е. меняем порты http, https + ставим на 2-й сервер список доверенных сертификатов (реально сертификат ЦС, выдавшего сертификат аутентификации 2-го сервера). В результате при попытке зайти на 2-й сервер имеем "Ошибка DNS", сервер не найден. Сервер с "правильными" портами работает (вообще-то это ЦР). При попытке задать 2-му серверу другой IP ситуация не меняется. Где могут быть грабли? | ||||
| Ответы: | ||||
| ||||
| Дополнение: На "втором" web-сервере установлен сертификат, выпущенный Центром Регистрации, работающим на "первом" веб-сервере. Сертификат позволяет: -Обеспечивать получение идентификации от удаленного компьютера -Защищать сообщения электронной почты -Пользователь Центра Регистрации | ||||
| ||||
| Причин может быть много: 1. Не доступен ключевой контейнер, т.к. IIS крутится под localsystem, а ключи лежат под current user 2. межсетевой экран "бьет" такие запросы 3. Не правильно настроены параметры SSL|TLS к странице | ||||
| ||||
| Судя по вопросу 642, у Вас причина № 1 (из моего предыдущего ответа). Ибо ключи лежат в разделе "текущий пользователь" | ||||
| ||||
| Можно подробнее по 1 и 3 пунктам (firewall отключили в самом начала, дабы не мешал :-) )? в 1 случае, как я понимаю, надо скопировать ключевой контейнер... КУДА? В 3-м - что понимается под "неправильной настройкой"? На сервере стоит для домашнего каталога "требовать шифрование", "требовать сертификаты клиента" и установлен список доверенных сертификатов (ЦС с которого будут выдаваться клиентам их сертификаты). Больше никаких действий не предпринималось... | ||||
| ||||
| Эксперименты показывают, что проблема кроется в выдаче сертификата. Поле "назначение ключа" через параметры ЦР можно назначить ЛИБО "обмен", ЛИБО "подпись". В то время как и для Web-RA и при запросе ч/з тестовый ЦС КриптоПро (http://www.cryptopro.ru/certsrv/) в "Использовании ключа" стоит "Шифрование ключей , Шифрование данных(F0)". При выдаче через шаблон сертификата в "Использовании ключа" этих пунктов нет совсем. Видимо, вопрос стоит переформулировать так: как ПРАВИЛЬНО выдать сертификат аутентификации сервера? P.S. Кстати, если выдать серверу сертификат "Web-RA" (с правильным DNS именем, разумеется), то все начинает работать. | ||||
| ||||
| Правильно: 1. Поставить в шаблон идентификатор "Проверка подлинности сервера" 2. Тип ключа: ключ обмена. Но самое главное, это правильно УСТАНОВИТЬ его!!! Нуно на компе с веб-ом установить сертификат в хранилище LOCAL_MACHINE но простым копированием, а средствами КриптоПро CSP, указав в качестве исходного хранилища "локальный компьютер"!!! | ||||
ses