Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Патрик  
#1 Оставлено : 5 июля 2024 г. 15:57:37(UTC)
Андрей Патрик

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 6
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Может кто сталкивался, имел подобный опыт.
Имеем виртуальный windows server 2022, на нём КриптоПро CSP 5.0.13000 (серверная лицензия). При попытке с сервера создать TLS (SSL) соединение до ресурсов НБКИ (https://ssp.nbki.ru/qbch/), которые требуют использования ГОСТ шифров TLS_GOSTR341001_WITH_28147_CNT_IMIT (0x0081) или TLS_GOSTR341112_256_WITH_28147_CNT_IMIT (0xFF85) получаем ошибку "ssl3_get_client_hello:no shared cipher -- Too restrictive SSLCipherSuite". Если через wireshark посмотреть, что передается, то видно, что наша сторона предлагает на выбор 18 шифров, ГОСТовых среди них нет:

Если сделать тоже самое например на Server 2008R2 + КриптоПро CSP 4.0, то там сразу предлагаются нужные шифры (самые верхние в списке) и всё работает.

По рекомендациям удалял КриптоПро 5, переустанавливал, утилиту cspclean использовал.
Но такое ощущение, что всё равно КриптоПро CSP 5.0.13000 встает на Windows Server 2022 почему-то криво и нужные шифры не устанавливаются, или что-то такое.
Политик GPO на отключение шифров нет.

Может кто-нибудь сталкивался с подобным?
Offline Андрей *  
#2 Оставлено : 5 июля 2024 г. 16:41:58(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Здравствуйте.

Приложите файлом (.txt) ветку из реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Патрик  
#3 Оставлено : 5 июля 2024 г. 16:52:22(UTC)
Андрей Патрик

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 6
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Доброго вечера, вот ветка HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters

Parameters.txt (7kb) загружен 3 раз(а).
Offline Андрей *  
#4 Оставлено : 5 июля 2024 г. 17:08:51(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Приложите в таком же варианте эти ветки:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002 - тут должно быть пусто

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002 - тут должно быть много GOST в Functions
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Патрик  
#5 Оставлено : 5 июля 2024 г. 17:13:32(UTC)
Андрей Патрик

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 6
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Вот, пожалуйста.
00010002.txt (4kb) загружен 3 раз(а).
local-00010002.txt (10kb) загружен 2 раз(а).
Offline Андрей *  
#6 Оставлено : 5 июля 2024 г. 17:43:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
как вариант:
забэкапить ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
очистить параметр, перезагрузить сервер, проверить tls.

Техническую поддержку оказываем тут
Наша база знаний
thanks 2 пользователей поблагодарили Андрей * за этот пост.
nickm оставлено 05.07.2024(UTC), Андрей Патрик оставлено 05.07.2024(UTC)
Offline Андрей Патрик  
#7 Оставлено : 5 июля 2024 г. 20:21:38(UTC)
Андрей Патрик

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 6
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Ну что могу сказать, сразу спойлер - всё заработало!
Удалил как вы посоветовали параметр из раздела, рестарт сервера.
После через powershell запросил список шифров
Код:
Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

ГОСТовые добавились к списку, до этого их не было:


Так же перестала регистрироваться бесконечная ошибка (каждые 30 секунд) Schannel в логах windows\system:
"A fatal error occurred while creating a TLS client credential. The internal error state is 10013.
The SSPI client process is SYSTEM (PID: 4)."

Ну само собой Credit Registry успешно отправило запрос в НБКИ и получила ответ.

Какой будет вердикт, что это была за проблема такая, для истории так сказать, может ещё кому пригодится?
Может есть смысл ещё что-то сделать, типа переустановить КриптоПро ?
Offline Андрей *  
#8 Оставлено : 5 июля 2024 г. 20:35:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: Андрей Патрик Перейти к цитате
Ну что могу сказать, сразу спойлер - всё заработало!
Удалил как вы посоветовали параметр из раздела, рестарт сервера.
После через powershell запросил список шифров
Код:
Get-TlsCipherSuite | Format-Table -Property CipherSuite, Name

ГОСТовые добавились к списку, до этого их не было:


Так же перестала регистрироваться бесконечная ошибка (каждые 30 секунд) Schannel в логах windows\system:
"A fatal error occurred while creating a TLS client credential. The internal error state is 10013.
The SSPI client process is SYSTEM (PID: 4)."

Ну само собой Credit Registry успешно отправило запрос в НБКИ и получила ответ.

Какой будет вердикт, что это была за проблема такая, для истории так сказать, может ещё кому пригодится?
Может есть смысл ещё что-то сделать, типа переустановить КриптоПро ?



локальные политики\софт?

либо удалять данные, либо вписывать алгоритмы.

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Андрей Патрик оставлено 05.07.2024(UTC)
Offline Андрей Патрик  
#9 Оставлено : 5 июля 2024 г. 20:48:37(UTC)
Андрей Патрик

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2024(UTC)
Сообщений: 6
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 4 раз
Локальные политики точно нет.
Софт тоже маловероятно, серверу всего полгода, там Kaspersky Security Center 13 (сервер), 1С Предприятие 8 (сервер), ПП "Дельта" от ЦБ и CreditRegistry (на чем и случился затык).

А вам Андрей огромное человеческое спасибо! Три дня с поддержками НБКИ и CreditRegistry голову ломали Brick wall
Offline Андрей *  
#10 Оставлено : 5 июля 2024 г. 23:33:19(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,340
Мужчина
Российская Федерация

Сказал «Спасибо»: 550 раз
Поблагодарили: 2212 раз в 1727 постах
Автор: Андрей Патрик Перейти к цитате
Локальные политики точно нет.
Софт тоже маловероятно, серверу всего полгода, там Kaspersky Security Center 13 (сервер), 1С Предприятие 8 (сервер), ПП "Дельта" от ЦБ и CreditRegistry (на чем и случился затык).

А вам Андрей огромное человеческое спасибо! Три дня с поддержками НБКИ и CreditRegistry голову ломали Brick wall


Цитата:

Key Name: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002
Last Write Time: 11.12.2023 - 15:24


Здесь видим, что давно были вписаны эти алгоритмы (или изначально или утилита какая).

Name: Functions
Type: REG_SZ
Data:

Отредактировано пользователем 5 июля 2024 г. 23:46:02(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей * за этот пост.
Андрей Патрик оставлено 08.07.2024(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.