Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз Поблагодарили: 2 раз в 1 постах
|
Добрый день. В новостях, можете чуть подробней ? Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS". Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя... Как это работает? maxdm: Функционал доступен, начиная с CSP 4.0.9961/5.0.11294. Предполагается, что зарубежный сертификат и ГОСТ-сертификат находятся в хранилище личные локального компьюетера со ссылками на закрытые ключи. В IIS\TMG привязывается ГОСТ-сертификат обычными средствами, но предварительно для ГОСТ сертификата нужно установить особое свойство:
Код:#define CP_CERT_SHADOW_CERT_PROP_ID 0x0000FF00
с помощью утилиты csptest
Код:"C:\Program Files\Crypto Pro\CSP\csptest.exe" -property -shadow "3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13" -cert ГОСТ_CN -machine
Код:"3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13"
- sha1 отпечаток зарубежного сертификата.
и запредить использование legacy сюит на сервере \config\Parameters\tls_server_disable_legacy_cipher_suites = 1
Отредактировано модератором 20 марта 2019 г. 19:02:30(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.04.2013(UTC) Сообщений: 246 Сказал(а) «Спасибо»: 28 раз Поблагодарили: 26 раз в 18 постах
|
Автор: lab2 Добрый день.
В новостях, можете чуть подробней ? Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS". Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя...
Как это работает?
Присоединяюсь к вопросу. Где можно найти мануал по настройке IIS?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
Настройка не очень user-friendly, попробую описать в первом посте. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз Поблагодарили: 2 раз в 1 постах
|
Ok, ясно, попробуем. Спасибо!
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз Поблагодарили: 2 раз в 1 постах
|
все забываю отчитаться - технология работает, если все сделать аккуратно )
Интересно, конечно, в общих чертах, узнать как это устроено изнутри В частности, интересно как (на основании чего) передается сертификат (список сертификатов ?) сервера клиенту
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
lab2 оставлено 22.03.2019(UTC)
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2014(UTC) Сообщений: 70
Сказал(а) «Спасибо»: 10 раз Поблагодарили: 9 раз в 8 постах
|
Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 03.05.2012(UTC) Сообщений: 171 Откуда: Екатеринбург
Сказал(а) «Спасибо»: 46 раз Поблагодарили: 23 раз в 19 постах
|
Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Мне представляется, там не все так просто. то что выше, это в идеальном мире,но- апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает. Видимо, происходит примерно так- в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ. или я ошибаюсь?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
Автор: moremore Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"? Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS. Автор: Евгений Пономаренко Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Мне представляется, там не все так просто. то что выше, это в идеальном мире,но- апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает. Видимо, происходит примерно так- в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ. или я ошибаюсь? Не совсем так. Сюиту всегда выбирает сервер. Другое дело, что TLS сервер, созданный с помощью КриптоПро CSP, без указанной выше настройки будет всегда выбирать legacy ГОСТ-сюиту, независимо от того, что прислал сервер. |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.07.2014(UTC) Сообщений: 70
Сказал(а) «Спасибо»: 10 раз Поблагодарили: 9 раз в 8 постах
|
Автор: Максим Коллегин Автор: moremore Автор: Максим Коллегин Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"? Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS. Спасибо, разобрался. Дополню, что в команде лучше всего и для RSA и для ГОСТ указывать отпечатки сертификатов (у меня приняло их только без пробелов между символами), а не CN. Возможно для csptest нужно чтобы в CN только имя домена присутствовало. А в ГОСТ-сертификате, если будет квал сертификат, в CN будет имя владельца, а там и пробелы и кавычки могут быть.
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close