Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.04.2008(UTC) Сообщений: 38  Откуда: Екатеринбург. СКБ Контур Сказал «Спасибо»: 1 раз
|
Невозможно установить сертификат Крипто ПРО (из компонентов выбраны Основные и Драйврная библиотека): Выбираю сертификат (хранится в реестре, локально):  Вылетает ошибка:  Если снова нажать OK, то появляется другая ошибка:  При всём при этом самозаверенный сертификат работает без проблем. Стоит Win Vista Business (x32), КриптоПРО CSP 3.6.4808 KC1.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
|
Посмотрите EventLog. Скорее всего сертификат УЦ не установлен в Root локального компьютера. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.04.2008(UTC) Сообщений: 38 Откуда: Екатеринбург. СКБ Контур Сказал «Спасибо»: 1 раз
|
Нет, сертификаты установлены в доверенные хранилища. Всё работает кроме IIS. Вот всё что есть касательно событий: Код:Имя журнала: Application
Подача: cpsspap
Дата: 15.04.2008 12:49:34
Код события: 301
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: ls.kontur
Описание:
КриптоПро TLS. Серверная лицензия искажена
Не уверен по поводу "серверной лицензии". У меня стоит только CSP. Раньше в связке Win XP + IIS 5.1 + CryptoPro 3.0 всё работало замечательно. Ксати, во время установки запрашивается серийный номер только для CSP, а лицензия для Revocation Provider устанавливается триальная (и никаких сообщений или указаний на это не видел и вообще не понятно, зачем он нужен?)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
|
Без лицензии на TLS работать не будет. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.04.2008(UTC) Сообщений: 38 Откуда: Екатеринбург. СКБ Контур Сказал «Спасибо»: 1 раз
|
Ok, в оснастке КриптоПро PKI для CSP указан тип лицензии "только клиентский". Странно, что для разработки дали только клиентскую лицензию  . Будем просить новую... Зато узнал, что ещё стоит OCSP Client и лицензия на него уже истекла. Ещё один компонент, про который не упоминается при установке  (и как он, кстати, соотносится с Revocation Porvider???) Отредактировано пользователем 15 апреля 2008 г. 18:24:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.04.2008(UTC) Сообщений: 38 Откуда: Екатеринбург. СКБ Контур Сказал «Спасибо»: 1 раз
|
Ещё один вопрос.
Так вот, если добавить в IIS биндинг для HTTPS и указать в качестве сертификата сервера обычный (выпущеный самой IIS), то всё работает как положено.
Если же выбрать сертификат крипто про, то появляется такой баг: после первоначального запуска службы IIS (после перезагрузки, например) при обращении клиента по HTTPS не устанавливается соединение (клиенту возвращается ошибка Connection reset by server), при этом на стороне сервера никакой активности не наблюдается (ни в логах IIS, ни в системных журналах). Если после этого удалить биндинг и создать заного, то всё тут же начинает работать.
PS: только что поставил последний билд (4856), после чего клиентские сертификаты перестали приниматься (в журнале есть записи вида "КриптоПро TLS. Ошибка 0x80090327 при проверке сертификата сервера: При обработке сертификата произошла неизвестная ошибка.") При этом сертификат УЦ и все промежуточные помещены в локальные хранилища доверенных сертификатов.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
|
Ключ сервера в контейнере локальной машины? IIS7 довольно рано поднимает https.
В старых билдах сертификаты клиента не проверялись. Не строится цепочка для клиентского сертификата - причину сказать не могу. Сообщение в новых сборках будет исправлено. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.04.2008(UTC) Сообщений: 38 Откуда: Екатеринбург. СКБ Контур Сказал «Спасибо»: 1 раз
|
Да, ключ сервера хранится локально.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.04.2008(UTC) Сообщений: 38 Откуда: Екатеринбург. СКБ Контур Сказал «Спасибо»: 1 раз
|
Вот что выдаёт netsh http show sslcert: Код:
Привязки сертификатов SSL:
-------------------------
IP:порт : 0.0.0.0:443
Хэш сертификата : ed70f5a5dccabcef11293f1d8171b229bc807e43
Код приложения : {4dc3e181-e14b-4a21-b022-59fc669b0914}
Имя хранилища сертификатов : MY
Проверять отзыв сертификата клиента : Enabled
Проверка отзыва с использованием только кэшированного сертификата клиента : Disabled
Проверка использования : Enabled
Время свежести отзыва : 0
Время ожидания извлечения URL-адреса : 0
Идентификатор CTL : (null)
Имя хранилища CTL : (null)
Использование сопоставлений DS : Disabled
Согласование сертификата клиента : Disabled
Причём сразу после загрузки (пока ничего не работает) и после удаления/пересоздания биндинга (когда всё начинает работать) сообщение одно и то же. Ещё забыл сказать, что после пересоздания биндинга можно останавливать службу IIS и запускать снова - всё будет работать. Проблема возникает именно сразу после загрузки (и один раз была после того, как к серверу не было обращений с неделю :-), но это воспроизвести сложнее). Отредактировано пользователем 14 мая 2008 г. 17:04:29(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
