Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 4.0
»
Не работает HTTPS после обновления КриптоПро с 3.6 до 4.0 на сервере с IIS 7.5
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.10.2019(UTC) Сообщений: 4  Откуда: г. Москва
|
Добрый день!
Есть сервер с ОС Windows 2008 R2, на котором работает web-сервер на базе IIS 7.5.
В настоящее время на сервере установлен КриптоПро 3.6.7777 и сертификат сервера (ГОСТ 2001).
Пользователи подключаются к порталу по HTTPS, у каждого пользователя есть сертификат того же УЦ.
У пользователей КриптоПро 4.0.9963.
В такой конфигурации всё работает.
Планируем переход на ГОСТ 2012. Решил для начала только обновить КриптоПро до версии 4.0.9963.
После обновления пользователи не могут подключиться - ошибка 403.
При открытии портала IE запрашивает сертификат пользователя, ПИН-код, после ввода ПИН-кода - ошибка 403.
Пробовал включать/отключать в настройках IE SSL 2.0/3.0, TLS 1.0/1.1/1.2. Но это никак не повлияло.
Потом решил удалить с сервера КриптоПро 4.0.9963 и вернуть 3.6.7777 - опять всё заработало.
Ставишь КриптоПро 4.0.9963 - ошибка 403...
Единственное, в чем точно есть нюанс, это то, что опыты проводятся на клоне рабочей машины, но с другим именем, т. е. при открытии портала появляется предупреждение, что имя в сертификате не совпадает с именем сервера. Нажимаю "Продолжить открытие..." и с 3.6 всё работает. Возможно, в версии 4.0 какие-то более жесткие ограничения и ошибка связана с этим, но вроде так быть не должно...
Подскажите, пожалуйста, в чём может быть проблема?
Уже всю голову сломал.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,727  Сказал «Спасибо»: 574 раз
Поблагодарили: 2303 раз в 1804 постах
|
Автор: Андрей А. 
Единственное, в чем точно есть нюанс, это то, что опыты проводятся на клоне рабочей машины, но с другим именем, т. е. при открытии портала появляется предупреждение, что имя в сертификате не совпадает с именем сервера. Нажимаю "Продолжить открытие..." и с 3.6 всё работает. Возможно, в версии 4.0 какие-то более жесткие ограничения и ошибка связана с этим, но вроде так быть не должно... Здравствуйте. У себя для проверки - измените hosts, указав IP сервера с клоном и проверьте поведение. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,727 Сказал «Спасибо»: 574 раз
Поблагодарили: 2303 раз в 1804 постах
|
Настройки TLS одинаковые, когда 3.6 и 4.0? Также можно включить журнал Crypto api в ос и посмотреть детализацию |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,727 Сказал «Спасибо»: 574 раз
Поблагодарили: 2303 раз в 1804 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.10.2019(UTC) Сообщений: 4 Откуда: г. Москва
|
Автор: Андрей Писарев У себя для проверки - измените hosts, указав IP сервера с клоном и проверьте поведение. Это проверил. Не имеет значения. Всё равно не работает. Автор: Андрей Писарев Настройки TLS одинаковые, когда 3.6 и 4.0? Также можно включить журнал Crypto api в ос и посмотреть детализацию Настройки одинаковые, если про вкладку "Настройки TLS". Только после установки 4.0 по умолчанию установлена галочка "Поддерживать RFC 5746". Пробовал снимать ее, перезагружать, но это тоже никак не влияет. Остальные галочки сняты, кроме раздела "Клиент" - установлена "Не использовать устаревшие cipher...", но она одна и раньше была включена. Автор: Андрей Писарев Сейчас почитаю, о результатах сообщу. Спасибо.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.10.2019(UTC) Сообщений: 4 Откуда: г. Москва
|
Автор: Андрей Писарев Спасибо за совет! Получил две ошибки. Как я понял из текста ошибки, выполняется попытка проверить действительность сертификата. Но УЦ у нас для локальных задач, списки отзыва не используем. Ранее такой вариант работал. Если дело в этом, то можно ли как-то отключить проверку действительности сертификатов, в том числе по списку отзыва? Ошибка 1:
- System
- Provider
[Name] Microsoft-Windows-CAPI2
[Guid] {6bfca4a8-b209-78dc-a7c7-b23d3e5216fb}
EventID 42
Version 0
Level 2
Task 42
Opcode 0
Keywords 0x4000000000000005
- TimeCreated
[SystemTime] 2019-10-31T09:16:15.019730300Z
EventRecordID 805
Correlation
- Execution
[ProcessID] 636
[ThreadID] 4008
Channel Microsoft-Windows-CAPI2/Operational
Computer Test.my.local
- Security
[UserID] S-1-5-18
- UserData
- CertRejectedRevocationInfo
- SubjectCertificate
[fileRef] 52FE1B1E3F.cer
[subjectName] ААА
- IssuerCertificate
[fileRef] BDE4D85698.cer
[subjectName] Корневой
- CertificateRevocationList
[location] Store
[fileRef] D85503A83A.crl
[issuerName] Корневой
- Action
[name] CheckTimeValidity
- EventAuxInfo
[ProcessName] lsass.exe
[impersonateToken] S-1-5-18
- CorrelationAuxInfo
[TaskId] {6DE76CA2-B05F-4497-91EE-7C84FF1C0BCC}
[SeqNumber] 3
Ошибка 2:
- System
- Provider
[Name] Microsoft-Windows-CAPI2
[Guid] {6bfca4a8-b209-78dc-a7c7-b23d3e5216fb}
EventID 41
Version 0
Level 2
Task 41
Opcode 2
Keywords 0x4000000000000005
- TimeCreated
[SystemTime] 2019-10-31T09:16:15.050980300Z
EventRecordID 806
Correlation
- Execution
[ProcessID] 636
[ThreadID] 4008
Channel Microsoft-Windows-CAPI2/Operational
Computer Test.my.local
- Security
[UserID] S-1-5-18
- UserData
- CertVerifyRevocation
- EventAuxInfo
[ProcessName] lsass.exe
[impersonateToken] S-1-5-18
- CorrelationAuxInfo
[TaskId] {6DE76CA2-B05F-4497-91EE-7C84FF1C0BCC}
[SeqNumber] 4
- Result The revocation function was unable to check revocation for the certificate.
[value] 80092012
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,727 Сказал «Спасибо»: 574 раз
Поблагодарили: 2303 раз в 1804 постах
|
В КриптоПРО CSP\Настройки TLS ?  Snimok ehkrana ot 2019-10-31 13-44-46.png (24kb) загружен 21 раз(а). |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.10.2019(UTC) Сообщений: 4 Откуда: г. Москва
|
Автор: Андрей Писарев В КриптоПРО CSP\Настройки TLS ? Snimok ehkrana ot 2019-10-31 13-44-46.png (24kb) загружен 21 раз(а). Огромное спасибо! Это же, вроде, очевидно :) Но я как-то не акцентировался на настройках, т. к. они полностью соответствовали настройкам, которые были в 3.6. И сейчас реально на работающем сервере (где 3.6) стоит только одна галочка "Не использовать устаревшие..." в разделе "Клиент", а в разделе "Сервер" нет ни одной галочки и всё работает. Теперь буду пробовать сертификаты по ГОСТ 2012. Ещё раз спасибо, Андрей!
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 4.0
»
Не работает HTTPS после обновления КриптоПро с 3.6 до 4.0 на сервере с IIS 7.5
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
