Статус: Новичок
Группы: Участники
Зарегистрирован: 31.03.2011(UTC)
Сообщений: 6
Откуда: Russian Federation
|
Добрый день.
Подскажите есть ли какое-либо описание что именно требуется для публикации внутреннего сайта (HTTPS), используя CryptoPro?
В данный момент ситуация следующая:
1. На CA (Win 2008 R2) и ISA Server 2006 SP1 Ent (Win 2003) установлен клиент CryptoPro 3.6.5402 (ядро КС1 3.6.5355)
2. Выдан сертификат для компьютера ISA (Server Authentication), считыватель - реестр, пароль не устанавливался.
3. При выборе сертификата для LIstener, выданный сертификат показывается как валидный.
4. После попытки применения конфигурации в логах появляются 2 сообщения:
* CryptoPro TLS. Error 0x80090016 calling CSP: Keyset does not exist
* The ISA Server configuration agent was unable to upload the configuration to the ISA Server services...
5. После замены сертификата на другой (не CryptoPro), ошибки не появляются и конфигурация нормально применяется.
PS: Публикация с использованием встроенных крипто-провайдеров по той же схеме производилась успешно и многократно.
Спасибо.
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
ISA работает под служебной учётной записью NETWORK SERVICE.
Если ключевой контейнер, соответствующий сертификату веб-сервера, находится в реестре, то нужно дать права на ветку реестра с ключами для этой учётки.
Это HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Keys
Права нужны на чтение-запись.
Если ключевой контейнер не в реестре, а на съёмном носителе (например, на USB flash) - то изменений не требуется.
И второе.
Не рекомендуется ставить пароль на этот ключевой контейнер.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.03.2011(UTC)
Сообщений: 6
Откуда: Russian Federation
|
Добрый день,
С правами на эту ветку я экспериментировал и давал полные права для Network Service. Кроме того пароль я ставил везде пустой. Но ни то ни другое не помогло.
Интересно что когда я также добавил Network Service в аналогичную ветку реестра пользователя (т.е. свою), то ошибка стала следующей:
CryptoPro TLS. Server license corrupted.
На сервере у нас стоит только клиентская лицензий КриптоПро CSP версии 3.6.5402. Остальные истекли и мы не стали их продлевать, т.к. продавец сказал что и так будет работать. Или все-таки это не так?
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
Для ПО, которое выполняет роль TLS-сервера (т.е. принимает зашифрованный трафик от клиентов) нужна серверная лицензия на КриптоПро CSP.
В вашем случае, скорее всего, используется один из вариантов:
1. клиент по https обращается к ISA на настроенный слушатель этого трафика (ip-адрес и порт), а ISA перенаправляет этот трафик на внутренний веб-сервер без шифрования (по http)
2. клиент по https обращается к ISA на настроенный слушатель этого трафика (ip-адрес и порт), а ISA перенаправляет этот трафик на внутренний веб-сервер c шифрованием (по https) без своего сертификата
3. клиент по https обращается к ISA на настроенный слушатель этого трафика (ip-адрес и порт), а ISA перенаправляет этот трафик на внутренний веб-сервер c шифрованием (по https) с предъявлением своего сертификата аутентификации клиента
Просьба конкретизировать.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.03.2011(UTC)
Сообщений: 6
Откуда: Russian Federation
|
Василий Дементьев написал:Для ПО, которое выполняет роль TLS-сервера (т.е. принимает зашифрованный трафик от клиентов) нужна серверная лицензия на КриптоПро CSP.
В вашем случае, скорее всего, используется один из вариантов:
1. клиент по https обращается к ISA на настроенный слушатель этого трафика (ip-адрес и порт), а ISA перенаправляет этот трафик на внутренний веб-сервер без шифрования (по http)
2. клиент по https обращается к ISA на настроенный слушатель этого трафика (ip-адрес и порт), а ISA перенаправляет этот трафик на внутренний веб-сервер c шифрованием (по https) без своего сертификата
3. клиент по https обращается к ISA на настроенный слушатель этого трафика (ip-адрес и порт), а ISA перенаправляет этот трафик на внутренний веб-сервер c шифрованием (по https) с предъявлением своего сертификата аутентификации клиента
Просьба конкретизировать. Вариант №1: должно шифроваться только внешнее соединение с клиентом, трафик между ISA и веб-сервером идет без шифрования по http.
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
Отлично, теперь понятнее.
Если права на ветку реестра с ключами для Network Service даны, то проверьте:
1) Что контейнер правда есть в хранилище компьютера. Панель CSP - Сервис - Просмотреть сертификаты в контейнере - переключите на "компьютера" - Обзор
2) Что этот сертификат имеет назначение "Проверка подлинности сервера"
3) Что в хранилище локального компьютера "Доверенные корневые центры сертификации" имеется сертификат ЦС, на котором получен сертификат веб-сервера (если это не подчинённый ЦС)
Если всё нормально - рекомендую переустановить сертификат для исключения ошибок:
сохраните сертификат сервера в файл (cer без закрытого ключа)
Панель CSP - Сервис - Установить личный сертификат - укажите файл сертификата - перед указанием имени контейнера переключите на "компьютера" - Обзор - укажите контейнер и затем имя хранилища - Личные.
Ну и, как уже писал - в этом случае нужна серверная лицензия на КриптоПро CSP
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.03.2011(UTC)
Сообщений: 6
Откуда: Russian Federation
|
Спасибо, Василий.
Я обязательно проверю указанные пункты.
По серверной лицензии: Вам не сложно мне "тыкнуть пальцем" на сайте какую именно лицензию нам требуется приобрести, т.к. явно информацию по функционалу и стоимости серверной лицензии на CSP я не нашел.
Спасибо.
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
На нашем сайте на странице: "КриптоПро CSP" версии 3.6 Windows 2000/XP/2003 (ia32), Windows XP/2003 (x64, ia64), Windows Vista (ia32, x64) Лицензия на право пользования СКЗИ КриптоПро CSP на одном сервере (включает право пользования КриптоПро TLS) 20000 р. Могу дать для теста временную лицензию - перешлю по email.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.03.2011(UTC)
Сообщений: 6
Откуда: Russian Federation
|
Василий Дементьев написал:
Могу дать для теста временную лицензию - перешлю по email.
Это было бы замечательно, буду ждать. Спасибо.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.03.2011(UTC)
Сообщений: 6
Откуда: Russian Federation
|
Василий, спасибо за помощь.
После установки присланной вами лицензии все заработало даже без переустановки сертификата.
Если я правильно понял про лицензии: на ISA мне следует купить одну серверную лицензию, а на внешние клиенты (т.е. браузеры) по одной клиентской. И обновлять все лицензии каждый год.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
