| ||||
| ||||
| Необходимо организовать защищенный удаленный доступ на сервер W2K3 Std SP2 + PS 4.0 c клиента Program Neighborhood (не web!). На сервер установлен продукт КриптоПро 3.0 КС1, импортирован сертификат проверки подлинности сервера (выдан центром сертификации windows). SSL Relay видит сертификат и поднимается, 443 порт на сервере слушается. При попытке доступа с клиента по SSL (неважно, установлен его сертификат или нет) выдается ошибка "...SSL server ... is not accepting connections." При этом в логах службы Citrix XTE Server на сервере появляются следующие записи: [warn] SSL handshake from client failed [error] SSL Library Error 5 on имя_сервера:443 with peer IP-адрес сервера: An unclassified SSL error occurred. (error code: 0x80090301 - The handle specified is invalid) Пробовал откатывать сервис паки на windows, версии КриптоПро 3224 и 3293, версии клиента PN 7, 9 и 10 - результат неизменен. В чем может быть причина ошибки? | ||||
| Ответы: | ||||
| ||||
| Поправка в описании ошибки: "...with peer IP-адрес СЕРВЕРА: An unclassified SSL error..." - неверно. "...with peer IP-адрес КЛИЕНТА: An unclassified SSL error..." - верно. | ||||
| ||||
| На сервер и на клиент нужно кроме КриптоПро CSP 3.0 устанавливать "КриптоПро WinLogon" (можно без лицензии? если не используется вход в домен по смарт-карте) - http://www.cryptopro.ru/pub/WinLogon/ | ||||
| ||||
| В нашей конфигурации используется сеть без доменов. Установка winlogon на сервере и клиенте ничего не дала. | ||||
| ||||
| И после установки перезагрузили сервер и клиент? А также - это прямое соединение, т.е. без использования Citrix Secure Gateway? | ||||
| ||||
| Да, клиент и сервер были перезагружены. Да, используется прямое соединение, без secure gateway. | ||||
| ||||
| Ясно, спасибо. На машине клиента найдите sslsdk_b.dll, если есть - упакуйте и пришлите на support@cryptopro.ru - сравним версию с той, что была у нас при испытаниях. | ||||
| ||||
| Файл отправил. | ||||
| ||||
| Проверили - файл такой же, как был при испытаниях. К сожалению, у нас сейчас нет готового стенда с Citrix. Вопрос - Вы можете предоставить нам ваши компьютеры (сервер и клиент) для проведения отладки? | ||||
| ||||
| Василий, к сожалению, предоставить компьютеры не представляется возможным. Должен быть другой вариант найти решение. У меня появилась дополнительная информация. Только что провел такой эксперимент: удалил сертификаты на сервере и на клиенте и запросил (служба сертификации microsoft) другие сертификаты, изменив провайдера (был Crypto-Pro GOST R 34.10-2001 КС1 CSP, стал Microsoft Enhanced Cryptographic Provider v1.0). Назначения сертификатов остались прежними (на сервере - проверка подлинности сервера, на клиенте - проверка подлинности клиента). Доступ через SSL заработал, что указывает на проблему в одной из компонент КриптоПро. Опишу все свои действия, связанные с КриптоПро. Что я делал на сервере: установил КС1 (3293, англ.), удалил считыватель флоппи, добавил считыватель реестра (англ.), установил winlogon, импортировал сертификат, поднял SSL. Что я делал на клиенте: установил КС1 (3293, англ.), удалил считыватель флоппи, добавил считыватель реестра (англ.), установил winlogon, импортировал сертификат, настроил клиента citrix на соединение SSL с сервером (443 порт на сервере звонится, при попытке соединения - вышеописанная ошибка). | ||||
| ||||
| Очень не уверен, что КС1 будет работать, особенно на сервере. Лучше установите КС2. | ||||
| ||||
| Установка КС2 не помогла - появляется та же самая ошибка. Следующий эксперимент помог установить, что проблема именно на стороне сервера: на клиенте установили ГОСТ-сертификат (провайдер КриптоПро), на сервере - RSA-сертификат (провайдер Microsoft). После чего все заработало. Но стоило на сервере установить ГОСТ-сертификат, появилась ошибка соединения. Такое ощущение, что проблема во взаимодействии КриптоПро с Citrix. | ||||
| ||||
| Василий, не могли бы Вы привести конфигурацию тестового стенда (интересуют версии операционных систем на сервере и клиенте, серверной и клиентской части Citrix, выбранное шифрование (SSL или TLS), а также состав и версии установленных компонент КриптоПро). | ||||
| ||||
| Хм, стенда у нас нет - потому мы его и запрашиваем. http://www.cryptopro.ru/cryptopro/forum/view.asp?q=6577 | ||||
| ||||
| Какое дополнительное описание необходимо предоставить для изготовления стенда? 1. Сервер: ОС windows server 2003 standard SP2 Citrix PS 4.0 CryptoPro КС1, КС2 (3.0.3224, 3.0.3293, 3.06...) WinLogon (1.0.1067) Импортировали сертификаты на сервер, SSL поднялась, XTE запустилась. 2. Клиент: ОС XP SP2, wista home premium Citrix PN 7, PN 9, PN 10 CryptoPro КС1, КС2 (3.0.3224, 3.0.3293, 3.06...) WinLogon (1.0.1067) Ни одна попытка установить соединение с сервером (используя ГОСТ-сертификаты) не увенчалась успехом. Все это было перечислено выше. Объясните, в чем неграмотность данного описания, и я исправлю недочеты. Спросив про конфигурацию стенда, я имел в виду упоминание Василия о проводимых вами испытаниях и хотел узнать, в какой конфигурации у вас все заработало. Пока же, лично у меня, появились некоторые сомнения в реальности рабочей схемы. Буду очень вам благодарен, если они будут развеяны. | ||||
| ||||
| Citrix PS, Citrix PN - где взять? Нужен так же примерный порядок настройки и использования. | ||||
| ||||
| ПО и мануалы по его настройке можно взять на http://citrix.com. Но если я правильно понимаю, требуемое соединение было успешно установлено в ходе ваших испытаний. Значит, у вас должно быть все соответствующее ПО. Как и отчеты по его конфигурации и настройке перед испытаниями. Можно взять требуемую информацию оттуда. | ||||
| ||||
| Потратил три часа на развертывание стенда на PS 4.5 - sslrelay настроить не получилось. Без предоставленных образов виртуальных машин стенда скрещивания CSP c Citrix не будет. | ||||
| ||||
| Пришлите, если возможно, все версии sslsdk_b.dll с сервера. | ||||
| ||||
| Файлы отправил на support@cryptopro.ru. Прошу ответить на следующие вопросы. На вашем сайте размещена информация о реализации Citrix и КриптоПро возможности двусторонней криптографической аутентификации (http://www.cryptopro.ru/cryptopro/news/default.asp?n=150). Сохранились ли отчеты (в том числе информация о версионности и настройке ПО) о проведенных испытаниях? Проводились ли испытания двусторонней аутентификации с помощью сертификатов, хранящихся в реестре? | ||||
Сергей