| ||||
| ||||
| На 2000 сервере стоит IIS. Поставил CSP 2.0 + TLS. Пытаюсь поднять SSL для одного сайта: Захожу в СА, генерирую Server Authentification Certificate, сохраняю локально. С помощью оснастки CryptoPro имортирую сертификат в персональное хранилище. Далее, в IIS в закладке Server Sertificate выбираю ранее импортированный сертификат. Ставлю галочки включить SSL и Запрашивать сертификаты клиента. От клиента (2000 windows) захожу в CA, запрашиваю сертификат, сохраняю локально. Точно также имортирую его с помощью оснастки CryptoPro в персональные сертификаты. С клиента набираю https://servername... и эксплорер выдает, что не возможно отобразить страницу... Что я делаю не так, подскажите, пожалуйста! Заранее спасибо! | ||||
| Ответы: | ||||
| ||||
| Правильный порядок действий на компьютере с IIS: 0) Установить ПО: КриптоПро CSP, КриптоПро TLS, должны быть не истёкшие лицензии на оба продукта. 1) Установить сертификат ЦС в хранилище "Доверенные корневые..." ЛОКАЛЬНОГО КОМПЬЮТЕРА. 2) Установить сертификат сервера в хранилище "Личные" ЛОКАЛЬНОГО КОМПЬЮТЕРА с привязкой к секретному ключу (с помощью нашей панели, кнопка "Установить личный сертификат"). 3) Если на контейнер, соответствующий сертификату сервера, установлен пароль, а также, если до окончания срока лицензии на CSP или TLS осталось меньше месяца, то необходимо пазрешить "взаимодействие с рабочим столом" для службы "Служба IIS Admin". 4) при первом соединении с IIS со стороны клиента на сервере необходимо ввести пароль на контейнер, если он установлен. 5)на компьютере клиента должны быть установлены: КриптоПро CSP, КриптоПро TLS, сертификат ЦС - в хранилище "Доверенные корневые..." текущего пользователя. | ||||
| ||||
| Сделал все так, как Вы сказали... Все равно, страница не отображается... Попробовал сделать ssl через стандарного крипто-провайдера - все работает... В ходе установки сертификата CA на клиенте возник вопрос - сертификат CA нужно ставить через Крипто-Про или можно стандарнтыми средствами? Если через крипто-про, то он тербует привязки в ключам, которые физически находятся на другом компьютере... | ||||
| ||||
| Сертификат ЦС ставится стандартными средствами (из файла). | ||||
| ||||
| На указанный вами e-mail выслана инструкция по получению, установке сертификатов (серверного, клиенстского) и настройки IIS. | ||||
| ||||
| Спасибо огромное буду дальше мучать! | ||||
| ||||
| Уважаемый fav, а можно и мне такую инструкцию в почту кинуть? Надо оценить ваш уц, а все попытки соединится заканчиваются ошибкой чтения WSDLReader’а Я программист, а не ковбой… силы на исходе Вот сюда ее родимую, если не затруднит: danchenco@yandex.ru | ||||
| ||||
| С прошедшими праздниками, уважаемые творцы УЦ… все еще надеюсь получить в почту инструкцию… | ||||
| ||||
| При использовании мастера КриптоПро и установке сертификата в Личные КОМПЬЮТЕРА он по каким-то неведомым причинам попадает в Личные ПОЛЬЗОВАТЕЛЯ, из-под которого производилась установка сертификата :) Лекарство простое - в консоли перетащить сертификат в нужное хранилище. | ||||
| ||||
| Альт (danchenko@yandex.ru). Инструкция вам выслана, но, видимо, это не то, что вам нужно. | ||||
| ||||
| Спасибо всем! Все заработало! | ||||
| ||||
| Для Павла. Вы правы, если речь о кнопке "Просмотреть сертификаты в контейнере" - если открыть сертификат таким образом, то, при нажатии "Установить сертификат" в окне сертификата, он попадёт в Личные пользователя. Если же использовать кнопку "Установить личный сертификат", то сертификат попадёт в указанное пользователем хранилище (в т.ч. Личные локального компьютера). | ||||
| ||||
| Граждане, был бы очень признателен, если бы поделились этой инструкцией и со мной. Заранее благодарю! sobakaev@ivelum.com | ||||
| ||||
| Люди, если возможно скинте аналогичную инструкцию и мне :) | ||||
| ||||
| Добрый день! Бьюсь над тем, чтобы попробовать запустить SSL с 30-дневной триал-версией КриптоПро КС1 3.0.3300.1. Взял ключ для 127.0.0.1 с тестового УЦ, положил в хралище локального компьютера, настроил SSL (без использования клиентских сертификатов) в IIS на виртуальной машине Windows Server 2003 SP1 english с этим ключиком (доступв интернет с нее для получения CRL есть - проверял вручную CRL-адрес). Результат в Internet Explorer для https://127.0.0.1/test.htm : "cannot find server". В Event Log при каждом запросе страницы: Event Type: Error Event Source: cpSSPCore Event Category: None Event ID: 300 Date: 14.02.2007 Time: 11:11:34 User: N/A Computer: TEST Description: КриптоПро TLS. Ошибка %2 при обращении к CSP: %1 Помогите пожалуйста разобраться или вышлите упомянутую выше инструкцию по настройке IIS/SSL/TLS на alex-khokhlov@yandex.ru. Заранее благодарю! | ||||
| ||||
| "Взял ключ для 127.0.0.1 с тестового УЦ, положил в хралище локального компьютера" Вот эту процедуру распишите поподробнее. | ||||
| ||||
| Все действия выполняются под локальным администратором: 1. http://www.cryptopro.ru/certsrv/ 2. * Сформировать ключи и отправить запрос на сертификат, "Дальше" 3. Имя: 127.0.0.1, остальные идентифицирующие сведения "na", страна "RU" Тип сертификата: сертификат проверки подлинности сервера * создать новый набор ключей CSP: Crypto-Pro GOST R 34.10-2001 KC1 CSP Использование ключей: * оба Размер ключа: 512 * Заданное пользователем имя контейнера Имя контейнера: test (все предыдущие версии этого контейнера предварительно удалены, чтобы не возникало ошибки создания; других контейнеров нет) * пометить ключ как экспортируемый * использовать локальное хранилище компьютера для сертификата Понятное имя: 127.0.0.1 "Выдать" 4. Yes на запрос создания сертификата, ввожу буквы, двигаю мышку, ввожу пароль для контейнера test. 5. "Запрошенный вами сертификат был вам выдан", выбираю ссылку "установить этот сертификат", соглашаюсь на импорт, ввожу пароль на новый контейнер test. 6. "Ваш новый сертификат успешно установлен." 7. Проверяю в mmc/Certificates/Local computer - сертификат там есть. Проверяю закладку "Certification path" сертификата: "This certificate is OK." В Trusted root certication authorities (local computer) есть сертификат на "Test Center CRYPTO-PRO" (в пользовательском хранилище - только сертификат тестового УЦ, самого сертификата "127.0.0.1" - нет) 8. Иду в properties веб-сайта, Directory Security - Server Certificate - Next - Assign an existing certificate - "выбираю только что полученный сертификат" - Next - Next - Next - Finish; Secure communications - Edit - убрано require ssl connection, выбрано "ignore client certificates". Вот, собственно, и все шаги. В контрольной панели Crypto-Pro ничего не изменено, кроме создания биологического датчика случайных чисел и реестра в качестве "private key carrier readers". Сервисам "IIS Admin Service" и "World Wide Web Publishing Service" даны в свойствах в закладке Logon право "interact with desktop". Посмотрел System32/logfiles/w3svcXXXXXXXX/ex070214.log - там только строки при доступе без SSL. Про SSL строк вообще нет, т.е. до обслуживающего запросы ядра IIS дело не доходит... Уже все испробовал сделать - идею по исправлению ситуации, к сожалению, подходят к концу. А ведь наверняка дело в какой-то мелочи!.. :( | ||||
| ||||
| Да, в мелочи - КС1 3.0.3300. Он не умеет окошки рисовать при обращении от службы (например, IIS). Т.е. надо, чтобы: 1) на контейнере сертификата IIS не было пароля (или чтобы он был запомнен при открытии контейнера с флажком CRYPT_MACHINE_KEYSET) 2) до окончания лицензии на CSP+TLS сервер было более месяца Кардинальный вариант - установить CSP 3.0 КС2 | ||||
| ||||
| Спасибо за подсказку! Сам бы никогда до этого не додумался. Так как избавиться от месяца пробной лицензии прямо сейчас не представляется возможным, то я поставил КС2, поставил bio rng/registry reader вместо устройств по умолчанию, сделал заново тестовый сертификатик, импортировал его и сертификат УЦ, и все заработало как надо. | ||||
| ||||
| День добрый. Оч нужна данная инструкция "по получению, установке сертификатов (серверного, клиенстского) и настройки IIS". Жду по адресу onisyukv@infsys.ru. Заранее спасибо. | ||||
| ||||
| А можно и мне ее выслать на vasn@acronym.ru | ||||
| ||||
| Слушайте, а эта чудо-инструкция где-нить в web выложена? Чего вы ей по мылу кидаетесь? | ||||
| ||||
| вышлите пожалуйста инструкцию по адресу it683@komistat.ru | ||||
| ||||
| Добрый вечер! Не могли бы выслать инструкцию "по получению, установке сертификатов (серверного, клиентского) и настройки IIS". Модно выслать на sunny@mbox.ru. Заранее спасибо. | ||||
Михаил Семенов