Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline apa  
#1 Оставлено : 26 апреля 2011 г. 21:20:04(UTC)
apa

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2011(UTC)
Сообщений: 6
Мужчина
Откуда: Зеленоград

Ситуация следующая:
На контроллере домена был организован доступ к каталогу по LDAPS с использованием RSA-сертификата. Для настройки аутентификации пользователей в домене по ГОСТ-сертификатам (с использованием токена) на сервер был установлен КриптоПро CSP (3.6.6497) и ГОСТ-сертификат. Аутентификация настроена, но при этом вылезла неприятная проблема: LDAPS не работает.
При обращении клиента к серверу по 636 порту и попытке установить защищённое соединение проходит только этап Client Hello, после чего сервер обрывает соединение (проверено снифером). Интересно то, что при удалении ГОСТ-сертификата контроллера домена работа по LDAPS снова восстанавливается.
Обычный LDAP по 389 порту работает в любом случае.

Чем может быть вызвано такое поведение системы? Возможно ли вообще подобное сосуществование ГОСТ и RSA?

Как можно решить подобную проблему?
Offline Максим Коллегин  
#2 Оставлено : 26 апреля 2011 г. 22:29:30(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,394
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
клиент LDAPS какой? Скорее всего он поднимается на этом ГОСТовом сертификате.
Знания в базе знаний, поддержка в техподдержке
Offline apa  
#3 Оставлено : 27 апреля 2011 г. 14:44:09(UTC)
apa

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2011(UTC)
Сообщений: 6
Мужчина
Откуда: Зеленоград

В качестве клиента выступает Oracle Identity Manager. О ГОСТе он точно ничего не знает, поэтому использовался RSA сертификат.
Softerra LDAP Administrator показал аналогичные результаты при использовании SSL - отваливается после Client Hello.
Утилитка ViewDirCert от Novell - аналогично.
Offline Максим Коллегин  
#4 Оставлено : 27 апреля 2011 г. 17:58:18(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,394
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
А ldp работает? С машины, на которой стоит КриптоПро CSP.
Знания в базе знаний, поддержка в техподдержке
Offline apa  
#5 Оставлено : 27 апреля 2011 г. 18:41:36(UTC)
apa

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2011(UTC)
Сообщений: 6
Мужчина
Откуда: Зеленоград

LDP отваливается аналогично при SSL соединении (по обычному LDAP нормально соединяется).
Пробовал с самого контроллера и с рабочей станции, на которой КриптоПро CSP.

В лог выкидывает

ld = ldap_sslinit("192.168.111.5", 636, 1);
Error <0x0> = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, LDAP_VERSION3);
Error <0x51> = ldap_connect(hLdap, NULL);
Server error: empty
Error <0x51>: Fail to connect to 192.168.111.5.
Offline Максим Коллегин  
#6 Оставлено : 27 апреля 2011 г. 21:33:47(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,394
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
А в eventlog ничего нет? Журнал приложений на контроллере.
Знания в базе знаний, поддержка в техподдержке
Offline apa  
#7 Оставлено : 27 апреля 2011 г. 21:53:07(UTC)
apa

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2011(UTC)
Сообщений: 6
Мужчина
Откуда: Зеленоград

В журнале пусто и на контроллере, и на рабочей станции.
Прям складывается впечатление, что так оно и должно быть. )
Offline Максим Коллегин  
#8 Оставлено : 27 апреля 2011 г. 21:58:58(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,394
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Если интересно, могу предоставить в ближайшие дни сборку, в которой использование сертификата по умолчанию будет опциональным для серверного TLS.
Знания в базе знаний, поддержка в техподдержке
Offline apa  
#9 Оставлено : 28 апреля 2011 г. 13:12:50(UTC)
apa

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2011(UTC)
Сообщений: 6
Мужчина
Откуда: Зеленоград

Спасибо. Будет интересно попробовать.
Offline apa  
#10 Оставлено : 4 мая 2011 г. 13:11:06(UTC)
apa

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2011(UTC)
Сообщений: 6
Мужчина
Откуда: Зеленоград

С новой сборкой всё заработало: если не устанавливать флаг "Использовать сертификат компьютера по умолчанию", успешно проходит как аутентификация в домене по ГОСТовому сертификату, так и взаимодействие с каталогом по RSA-сертификату.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.