TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях) Опции  Отправить тему по почте  Отслеживать эту тему  Распечатать тему  Atom-лента темы  RSS-лента темы » Обычный Дерево

Предыдущая тема Следующая тема

lab2		#1 Оставлено : 1 марта 2019 г. 12:23:52(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз Поблагодарили: 2 раз в 1 постах		Добрый день. В новостях, можете чуть подробней ? Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS". Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя... Как это работает? maxdm: Функционал доступен, начиная с CSP 4.0.9961/5.0.11294. Предполагается, что зарубежный сертификат и ГОСТ-сертификат находятся в хранилище личные локального компьюетера со ссылками на закрытые ключи. В IIS\TMG привязывается ГОСТ-сертификат обычными средствами, но предварительно для ГОСТ сертификата нужно установить особое свойство: Код: #define CP_CERT_SHADOW_CERT_PROP_ID 0x0000FF00 с помощью утилиты csptest Код: "C:\Program Files\Crypto Pro\CSP\csptest.exe" -property -shadow "3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13" -cert ГОСТ_CN -machine Код: "3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13" - sha1 отпечаток зарубежного сертификата. и запредить использование legacy сюит на сервере \config\Parameters\tls_server_disable_legacy_cipher_suites = 1 Отредактировано модератором 20 марта 2019 г. 19:02:30(UTC)  | Причина: Не указана
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Варенуха		#2 Оставлено : 4 марта 2019 г. 10:58:01(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 25.04.2013(UTC) Сообщений: 246 Сказал(а) «Спасибо»: 28 раз Поблагодарили: 26 раз в 18 постах		Автор: lab2 Добрый день. В новостях, можете чуть подробней ? Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS". Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя... Как это работает? Присоединяюсь к вопросу. Где можно найти мануал по настройке IIS?
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#3 Оставлено : 4 марта 2019 г. 17:11:48(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 729 раз в 630 постах		Настройка не очень user-friendly, попробую описать в первом посте.
		Знания в базе знаний, поддержка в центре поддержки
		WWW
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

lab2		#4 Оставлено : 4 марта 2019 г. 22:37:36(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз Поблагодарили: 2 раз в 1 постах		Ok, ясно, попробуем. Спасибо!
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

lab2		#5 Оставлено : 20 марта 2019 г. 10:37:06(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз Поблагодарили: 2 раз в 1 постах		все забываю отчитаться - технология работает, если все сделать аккуратно ) Интересно, конечно, в общих чертах, узнать как это устроено изнутри В частности, интересно как (на основании чего) передается сертификат (список сертификатов ?) сервера клиенту
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#6 Оставлено : 20 марта 2019 г. 19:00:41(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 729 раз в 630 постах		Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA
		Знания в базе знаний, поддержка в центре поддержки
		WWW
1 пользователь поблагодарил Максим Коллегин за этот пост.		lab2 оставлено 22.03.2019(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

moremore		#7 Оставлено : 9 января 2020 г. 13:17:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 16.07.2014(UTC) Сообщений: 70 Сказал(а) «Спасибо»: 10 раз Поблагодарили: 9 раз в 8 постах		Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Евгений Пономаренко		#8 Оставлено : 9 января 2020 г. 15:27:39(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 03.05.2012(UTC) Сообщений: 176 Откуда: Екатеринбург Сказал(а) «Спасибо»: 48 раз Поблагодарили: 23 раз в 19 постах		Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Мне представляется, там не все так просто. то что выше, это в идеальном мире,но- апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает. Видимо, происходит примерно так- в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ. или я ошибаюсь?
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#9 Оставлено : 9 января 2020 г. 23:31:55(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,417 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 729 раз в 630 постах		Автор: moremore Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"? Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS. Автор: Евгений Пономаренко Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Мне представляется, там не все так просто. то что выше, это в идеальном мире,но- апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает. Видимо, происходит примерно так- в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ. или я ошибаюсь? Не совсем так. Сюиту всегда выбирает сервер. Другое дело, что TLS сервер, созданный с помощью КриптоПро CSP, без указанной выше настройки будет всегда выбирать legacy ГОСТ-сюиту, независимо от того, что прислал сервер.
		Знания в базе знаний, поддержка в центре поддержки
		WWW
1 пользователь поблагодарил Максим Коллегин за этот пост.		moremore оставлено 10.01.2020(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

moremore		#10 Оставлено : 10 января 2020 г. 8:27:31(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 16.07.2014(UTC) Сообщений: 70 Сказал(а) «Спасибо»: 10 раз Поблагодарили: 9 раз в 8 постах		Автор: Максим Коллегин Автор: moremore Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"? Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS. Спасибо, разобрался. Дополню, что в команде лучше всего и для RSA и для ГОСТ указывать отпечатки сертификатов (у меня приняло их только без пробелов между символами), а не CN. Возможно для csptest нужно чтобы в CN только имя домена присутствовало. А в ГОСТ-сертификате, если будет квал сертификат, в CN будет имя владельца, а там и пробелы и кавычки могут быть.
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента  Atom Лента

Пользователи, просматривающие эту тему

Guest