| ||||
| ||||
| Пытаюсь настроить SSL на WS2003 (IIS6.0). КриптоПро KC1 3.0.3239. 1.Получил сертификат аутентификации сервера через ваш сайт в тестовом CA CryptoPro. 2.Установил сертификат в Certificates(Local Computer)/Personal. 3.Установил сертификат CA в Trusted Root Certificates Authority. 4.Поставил цепочку сертификатов ЦС церез ссылку на странице вашего тестового Центра сертификации. 5.Выбрал сертификат аутентификации сервера в IIS. При этом при просмотре через IIS сертификат отмечается красной отметкой и сообщает Integrety cannot be guaranteed. И в статусе пометка "This certificate has an nonvalid digital signature." Такой статус у обоих сертификатов - и у серверного и у сертификата ЦС (выше на шаг в иерархии). Обращение по адресу к Web-приложению вызывает (403). Однако при просмотре через mmc/Certificates статусы обоих сертификатов в порядке. В чем может быть дело? Надо ли как-то отдельно настраивать TLS или CSP для взаимодействия с IIS? Может ли это зависеть от настроек Алгоритмов или Default Provider в свойствах CSP? | ||||
| Ответы: | ||||
| ||||
| Вероятно, опечатка - должно быть 3.0.3293 ? После установки CSP нужно перегрузить сервер. Можно ещё раз уточнить - при просмотре одного и того же сертификата (проверьте по серийному номеру) через mmc ок, а через IIS - Недействительная подпись? | ||||
| ||||
| Да, с версией опечатка. Спасибо, перезагрузка и Renew Certificate помогло- -теперь везде все статусы Ok. Однако проблемма 403 осталась. Установил сертификат серверной аутентификации, отметил Require secure channel и Ignore Client Sertificate (для начала). Захожу по строке https://<имя машины>/<виртуальный каталог>/test.html из броузера самого сервера. - 403 В логах IIS никаких обращений не вижу. Те же самые действия с использованием собственного корпоративного сертификата выполняются корректно - все доступно через SSL. Что я мог не учесть? Настройки алгоритмов в CSP Property относительно тех на которых запрашивался серверный сертификат в ЦС? Включение CTL? | ||||
| ||||
| Если оба сертификата (веб-сервера и корневой) - ГОСТ, то CTL не нужен. Для успешной работы нужно, чтобы: - корневой сертификат в "Доверенные корневые ЦС" ЛОКАЛЬНОГО КОМПЬЮТЕРА - действительный по дате CRL этого ЦС в "Доверенные корневые ЦС" или "Промежуточные ЦС" ЛОКАЛЬНОГО КОМПЬЮТЕРА или доступен в онлайне через инет для аккаунта, под которым работает IIS (по умолчанию NETWORK SERVICE) - сертификат веб-сервера в "Личные" ЛОКАЛЬНОГО КОМПЬЮТЕРА с привязкой к ключевому контейнеру - если ключевой контейнер съёмный, он должен быть подключен, считыватель данного вида настроен только один, нет пароля или он был запомнен при установке сертификата. Если всё выполнено - iisreset и должно работать. | ||||
| ||||
| Оба запросшены с вашего тестового центра. В свойствах обоих вижу ГОСТ. Оба находятся в сертификатах локального компьютера в "Личные" и "Доверенные корневые ЦС". Привязка к ключевому контейнеру: создавался на этой же машине в реестре с пустым паролем и опцией сохранения пароля. С свойствах серверного сертификата вижу "У вас есть приватный ключ.." Как понимаю - все должно быть правильно. (если конечно не предположить, что IIS не может залезать в реестр, что наврят ли) У меня сомнения по поводу CRL. Скачал отдельным файлом на диск. Проинсталировал автоматически. Как посмотреть результат? Вижу, что в Certificate(User)/Trusted CA теперь появилось две версии сертификата CA Crypto-Pro. Сравниваю по параметрам - вроде одинаковые. | ||||
| ||||
| CRL автоматически ставить не надо - он попадёт в хранилище пользователя, где IIS его не найдёт. При установке CRL выберите указать физические хранилища - Промежуточные ЦС - локальный компьютер | ||||
Sergey