| ||||
| ||||
| Вопрос к разработчикам. Почему при установленном КриптоПро/CSP (1.1) и /TLS не удается создать сертификат для проверки подлинности сервера, который можно было бы указать в политике удаленного доступа. То есть при изменении профиля политики (Маршрутизация и удаленный доступ => Политика... => Изменить профиль => Вкладка "Проверка подлинности", Использовать смарт-карту или сертификат => кнопка "Настроить")выскакивает сообщение о том, что не найден подходящий сертификат для EAP. Хотя созданный сертификат по аттрибуту "Использование ключа" предназначен именно для аутентификации сервера (OID=1.3.*.1). Это проблема в КриптоПро/CSP&TLS? Всего хорошего, Илья | ||||
| Ответы: | ||||
| ||||
| Это проблема заключается в том, что пока СКЗИ КриптоПро CSP не поддерживает протокол EAP с типом проверки подлинности EAP-TLS. | ||||
| ||||
| Так можно ли решить проблему аутентификации клиент/сервер и шифрования трафика средствами CryptoPro/TLS? Когда такая возможность появится, ведь на сайте cryptopro.ru декларируется, что именно для этого CP/TLS и предназначен? Какие обходные пути могут быть для аутентификации/шифрования с использованием CP/CSP? С уважением, Илья | ||||
| ||||
| Подождите! Вы задавали вопрос про протокол EAP и мы Вам ответили, а теперь говорите по абстрактный клиент/сервер! Если у Вас в качестве сервера, например, MS IIS или MS ISA Server и Вы хотите с клиента (например: MS IE) осуществить взаимодействие по транспортному протоколу SSL/TLS то Вы можете воспользоваться нашей реализацией протокола TLSv1. (СКЗИ КриптоПро CSP + КриптоПро TLS) И все работает! | ||||
| ||||
| Спасибо за ответ! Но клиент и сервер у нас не абстрактный: клиент - это рабочая станция, которая соединяется с сервером по удаленному доступу или, в будущем, через Интернет. Скорее всего это будет работа по FTP и HTTP. Хотелось бы не использовать платные FTP-серверы и клиенты, использующие SSL, а реализовать с использованием имеющегося КриптоПро/CSP/TLS и двустороннюю аутентификацию клиента и сервера, и шифрование трафика между ними. Уточните, возможно ли такое. С уважением, Илья | ||||
| ||||
| Если вы сами пишете приложение, то можете воспользоваться интерфейсом SSPI. Через него реализуется протокол TLS. Примеры есть на нашем сайте и в MSDN. Если клиент будет браузерный, то можно пользовать https. При пользовании SOAP тоже можно пользовать https. | ||||
Ilya