Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Jin  
#1 Оставлено : 26 февраля 2010 г. 19:43:33(UTC)
Jin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.12.2009(UTC)
Сообщений: 119
Откуда: Moscow

Добрый День.
заранее извиняюсь если пишу не в ту ветку форума..

Есть задача настроить протокол SSL в IIS .

не углубляясь в детали, пришол в тупик из-за проблемы - для того чтобы IIS использовал сертификат с закрытым ключём, ему надо его импортировать
через pfx файл, однако при помощи стандартной оснастки mmc->Certificates не могу экспортировать ГОСТОВСКИЙ сертификат ( гостовским ключём) в файл pfx. т.е. экспорт происходит файл не появляется.

Как решить проблему, может быть есть ругой способ указать IIS'у сертификат ( не через файл pfx) ?

Offline Татьяна  
#2 Оставлено : 26 февраля 2010 г. 20:09:01(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Установите сертификат в хранилище компьютера с привязкой к закрытому ключу.
Для этого воспользуйтесь "крипто про - сервис - установить личный сертификат". Укажите мастеру файл сертификата, затем ключ(перед поиском ключей необходимо поставить переключатель на "компьютера"), затем хранилище "личные".

После этого сертификат появится в окне выбора сертификатов в настройках IIS.
Татьяна
ООО Крипто-Про
Offline Jin  
#3 Оставлено : 26 февраля 2010 г. 20:43:17(UTC)
Jin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.12.2009(UTC)
Сообщений: 119
Откуда: Moscow

конкретнее...
сертификат надо откуда взять? можно ли с сайта www.cryptopro.ru\certsrv -> Сформировать ключи -> Сертификат проверки подлинности сервера -> установка в личное хранилище сертификатов
Так?

Вы говорите что надо установить в личное хранилище с привязкой к закрытому ключу , но разве выше описанный способ не подходит?
в лючом случае сделал так, как вы сказали, однако в настройках IIS он не появился (

т.е. он не появился в : Веэ узел -> Свойства -> Безопастность каталога -> Кнопка сертификат -> Мастер ертификатов -> Назначение сущействующего сертификата.

В окне появляются только те сертификаты которые были назначенны раньше. т.е. не с гостовским алгоритмом, поскольку их у меня получилось импортировать из файла pfx
Offline Писинин Алексей  
#4 Оставлено : 26 февраля 2010 г. 21:35:41(UTC)
Писинин Алексей

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 348
Мужчина
Откуда: ООО "Крипто-Про"

Если используется тестовый центр, то, при создании запроса, необходимо поставить галочку "Использовать локальное хранилище компьютера для сертификата".
Offline Jin  
#5 Оставлено : 27 февраля 2010 г. 15:51:14(UTC)
Jin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.12.2009(UTC)
Сообщений: 119
Откуда: Moscow

Ок, всё круто. просто супер. Сертификат ПОЯВИЛСЯ !!!) Ура...
SSL заработал, только пока на Стандартных алгоритмов Microsoft , а с гостовским сертификатом работать не хочет (((
Почему??

В браузере Google Chrom вылетает следующая ошибка:
Ошибка 107 (net::ERR_SSL_PROTOCOL_ERROR): Неизвестная ошибка.

Отредактировано пользователем 27 февраля 2010 г. 15:56:28(UTC)  | Причина: Не указана

Offline gvi  
#6 Оставлено : 27 февраля 2010 г. 15:55:53(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

3.0 не совсем кооректно работает с TLS рекомендуется 3.6 или поставить без лицензии Winlogon на 3
Offline Jin  
#7 Оставлено : 27 февраля 2010 г. 16:23:35(UTC)
Jin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.12.2009(UTC)
Сообщений: 119
Откуда: Moscow

Установил 3.6 KC 1 , всё равно не заработало. Указываю сертификат с RSA' шным ключём. всё работает, с ГОСТОВСКИМ, нет.

Может быть надо отдельно поставить TLS?
Offline Писинин Алексей  
#8 Оставлено : 27 февраля 2010 г. 16:26:04(UTC)
Писинин Алексей

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 348
Мужчина
Откуда: ООО "Крипто-Про"

Цитата:
В браузере Google Chrom вылетает следующая ошибка:
Ошибка 107 (net::ERR_SSL_PROTOCOL_ERROR): Неизвестная ошибка.

Полная функциональность ТLS на ГОСТе обеспечивается только при использовании IE.
Offline Jin  
#9 Оставлено : 27 февраля 2010 г. 17:39:19(UTC)
Jin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 07.12.2009(UTC)
Сообщений: 119
Откуда: Moscow

Ok, использую IE 8.0.6001.18702IC
стойкость шифра 256 разрядов.

IE не может отображить страницу, во вкладке Сервис->Свойства Обозревателя->Дополнительно->Безопастность
Включенно : SSL 2.0, SSL 3.0 , TLS 1.0.

Почему что не работает. ((
В чём может быть проблемма, может IIS старый? версия 6.0

Отредактировано пользователем 27 февраля 2010 г. 18:46:09(UTC)  | Причина: Не указана

Offline Писинин Алексей  
#10 Оставлено : 27 февраля 2010 г. 19:01:02(UTC)
Писинин Алексей

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 348
Мужчина
Откуда: ООО "Крипто-Про"

Давайте еще раз сначала.
1. С тестового центра получаете 2 сертификата - серверный и клиентский.
2. В IIS выбираете сертификат сервера, и в настройках безопасности для определенной страницы выбираете "Требовать сертификаты клиентов"
3. На сервере КриптоПро CSP должен иметь тип лицензии "TLS сервер", на клиенте - "клиентская".

Отредактировано пользователем 27 февраля 2010 г. 19:01:59(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (7)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.