Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Demonix  
#1 Оставлено : 15 апреля 2008 г. 20:42:22(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Кросспост с форума Technet:

========
У нас следующая проблема:

На сервере существует несколько вебсайтов (веб приложения) доступных только по https с обязательным предъявлением клиентского сертификата.Сайты принадлежат разным компаниям, имеют разные серверные сертификаты, выданные разными УЦ.
Корневые сертификаты этих УЦ установлены в хранилище корневых ЦС компьютера и пользователь, имеющий сертификат одного из УЦ может зайти в приложение другой компании.

В IIS 6 эта проблема решалась созданием отдельного CTL'а, для каждого сайта. Если пользователь попытается зайти туда, куда ему не положено, то ему выдается ошибка 403.16.
В IIS 7 возможность настройки CTL убрали.

Мы несколько дней рылись в инете, но так и не нашли реально работающей замены.

Здесь сказано, что за ssl теперь полностью отвечает http.sys и преведены ссылки на нужные объекты.
Тут сказано, как можно использовать режим совместимости с IIS 6 для настройки CTL.
Это все не помогло..

Также есть возможность настройки http.sys через утилиту netsh (через контекст http). После создания сайта с https привязкой по https, эта привязка удалялась командой
Код:
netsh http delete sslcert ipport=192.168.7.119:443 


И затем создавалась новая:
Код:
netsh http add sslcert ipport=192.168.7.119:443 sslctlidentifier=UCSKBKontur2007 sslctlstorename=CA certhash=7b0012a9e6868fdc96f2187648c36b548d5ccc75 appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=MY clientcertnegotiation=enable


clientcertnegotiation ставил разный, sslctlidentifier - указанный в makectl.exe идентификатор. Также пробовал копировать ctl с win2003, сгенерированный IIS 6, и указывал его идентификатор (GUID) - бестолку.

Есть ли шансы добиться нужного мне поведения?

==========

Сегодня выстроили аналогичную схему, но на RSAшных сертификатах. Работает как часы: если пользователь зашел с сертификатом, которого нет в CTL - возвращается ошибка 403.16, как и должно быть. Настройки производили через netsh.

Версия Крипто Про - 3.6.4808 х64 КС1.
Как это обойти? Если никак, и проблема в КриптоПро - стоит ли ждать исправления и когда примерно?
Offline Максим Коллегин  
#2 Оставлено : 15 апреля 2008 г. 22:01:31(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Посмотрю.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#3 Оставлено : 15 апреля 2008 г. 23:49:41(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Нашел, похоже, что нужно дополнительно реализовать - в скором времени будет поддерживаться CTL и в ГОСТ TLS.
В принципе, кроме проверки клиентских сертификатов по CTL можно сделать и фильтрацию списка CA, посылаемых клиенту для выбора сертификата. Не уверен, что это сделано у MS. Интересно?

Отредактировано пользователем 16 апреля 2008 г. 0:05:48(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Demonix  
#4 Оставлено : 16 апреля 2008 г. 12:17:51(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Спасибо, не думал, что так быстро все получится :)

Запись в блоге про то, что Certificate Trust List not being honored by IIS 5.0/6.0/7.0 я тоже видел, правда не вчитывался особо. Я так понял, что фильтрация когда то была (в IIS 5), но потом MS, закрывая дырки, объвленные в бюллетене безопасности MS04-011, сделала то, что мы имеем сейчас.

Даже и не знаю, стоит ли делать фильтрацию вывдаваемых сертификатов, в принципе, достаточно просто проверки по CTL.
Кто знает, вдруг дырка снова откроется :) Вроде как даже эксплойт есть: http://www.securiteam.com/exploits/5UP0H1FCKY.html . Можно проверить, но не уверен, что это то самое.
А может, можно реализовать на уровне настройки....


Кстати, нет ли у вас примеров/исходников, как собрать CTL самому?
Offline Максим Коллегин  
#5 Оставлено : 16 апреля 2008 г. 13:07:24(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Нет, с CTL раньше не работал, но оснастка сертификатов в 2008 вполне позволяет их редактировать.
Не подскажете, что означает appid={4dc3e181-e14b-4a21-b022-59fc669b0914}, в смысле где взять "правильный" гуид или можно использовать любой?
Знания в базе знаний, поддержка в техподдержке
Offline Demonix  
#6 Оставлено : 16 апреля 2008 г. 17:26:37(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Просто хочтеся заиметь инструмент, облегчающий настройку CTL. В частности, автоматизировать метод "Создать CTL, посмотреть идентификатор CTL, запомнить его, настроить https привязку с использованием этого идентификатора" :) Если открыть ctl то там нигде явно не указан его идентификатор (по крайней мере я не нашел), может его можно выдернуть программно?

appid - это, похоже, просто любой гуид. Я лично брал такой же, какой установил сам IIS. В рамках одного сервера для всех привязок создаваемых через IIS - он одинаковый. Если его изменить - вроде как ничего не падает..
Offline Максим Коллегин  
#7 Оставлено : 16 апреля 2008 г. 19:01:43(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
По поводу идентификатора - при открытии CTL он виден, правда в бинарном виде :)
List identifier: 62 00 6f 00 78 00 00 00 //L"box"
И программно соответственно доступен тоже.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#8 Оставлено : 17 апреля 2008 г. 5:15:32(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Вроде получилось.
Public build будет доступен после прохождения внутреннего тестирования. Если есть желание получить раньше - пишите в ПМ.
Да, и хотелось выразить огромный респект за пост, так как выяснилось, что IIS7 делегировал ВСЮ проверку клиентских сертификатов SSPI, хотя в предыдущих версиях проверял все сам. Shhh
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.