Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
IIS + КриптоПроTLS – как настроить
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline andrey314  
#1 Оставлено : 25 мая 2011 г. 17:20:50(UTC)
andrey314

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.05.2011(UTC)
Сообщений: 5
Здравствуйте!

Не получается настроить IIS + КриптоПроTLS, а именно:
Не могу найти документацию описывающую этот процесс. Лучшее что нашел это TLS_description.pdf раздел 4, но там про ISA, к тому же весьма старый ISA.

Есть сервер Win2003 с IIS 6.0. , установлен CSP 3.6 Trial
Задача установить и продемонстрировать начальству работоспособность связки IIS+CryptoProTLS. Только однократная демонстрация работы ГОСТ-протокола. Достаточно ли для этого Trial-версии CSP, или “нужна серверная лицензия CSP” ?

Хотелось бы узнать список действий вида 1) генерируем серверный сертификат таким-то способом 2) 3)
Самое непонятное – это каким именно способом попросить IIS загрузить dll-ку с гостовским алгоритмом, взамен стандратного. В каком окошке делается эта настройка ? Вот это http://www.cryptopro.ru/...o-csp-na-stranitse-ms-ca актуально для моего случая?

Спасибо
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline rozhkov  
#2 Оставлено : 25 мая 2011 г. 17:55:39(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
1. http://www.cryptopro.ru/certsrv/ тут получаете сертификат проверки подлинности сервера (это наш тестовый УЦ), устанавливаете его в привязкой к закрытому ключу в хранилище локального компьютера, в хранилище локального компьютера в доверенные корневые центры сертификации помещаете корневой сертификат этого УЦ. На IIS выбираете ГОСТовый сертификат и все работает (настройка ГОСТового SSL ничем отличается от настройки не ГОСТового, разница только в самом сертификате сервера).
2. Вам этого не нужно делать.
3. Нет.

PS: для того что бы IIS у Вас корректно работает во вкладке безопасность поставьте галочку "Использовать службу хранения ключей" после этого перезагрузка обязательна. На машины с которой будете заходить должно быть установлено КриптоПро CSP.
Вверх
Offline andrey314  
#3 Оставлено : 25 мая 2011 г. 21:45:41(UTC)
andrey314

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.05.2011(UTC)
Сообщений: 5
Всё получилось, спасибо.

Думаю самостоятельно разобраться мне бы не удалось (невозможно самому догадаться про галочку "Использовать службу хранения ключей"). Кстати галочка находится не в IIS(как можно подумать), а в окне CSP.
Вверх
Offline andrey314  
#4 Оставлено : 1 ноября 2011 г. 21:26:08(UTC)
andrey314

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.05.2011(UTC)
Сообщений: 5
Здравствуйте.

В продолжение темы.

http://imageshack.us/pho...-images/62/81419788.gif/

Вот скриншот серверного сертификата, который я пытался сделать Гостов-ским по приведенным выше инстукциям.
Там написано Signature Algorithm = ГОСТ, и это хорошо.
Но ниже там написано Public Key 1024bit RSA, и это плохо (?).

RSA это то, от чего мы хотели уйти. Корректно ли желание иметь там тоже надпись "ГОСТ", и если да, то как это сделать? Сервер IIS.

Спасибо
Вверх
Offline rozhkov  
#5 Оставлено : 1 ноября 2011 г. 21:53:44(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
Судя по скриншоту у нас на тестовом УЦ получали, тогда как решение проблемы выбрать криптопровайдер Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Пользователь rozhkov прикрепил следующие файлы:
Безымянный.png (10kb) загружен 441 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Вверх
Offline andrey314  
#6 Оставлено : 1 ноября 2011 г. 23:11:43(UTC)
andrey314

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.05.2011(UTC)
Сообщений: 5
А как из этой точки http://www.cryptopro.ru/certsrv/ попасть в точку, которая у вас на картинке?

Сейчас я умею делать следующее: создать запрос на сертификат средствами IIS (certreq.txt), и на странице http://www.cryptopro.ru/certsrv/certrqxt.asp получить готовый сертификат.


Кстити, на странице http://www.cryptopro.ru/certsrv/ есть ссылка "Криптопровайдер можно получить здесь.", так она никуда не ведёт, т.е "битая".


Спасибо

Отредактировано пользователем 1 ноября 2011 г. 23:19:27(UTC)  | Причина: Не указана
Вверх
Offline Андрей Писарев  
#7 Оставлено : 1 ноября 2011 г. 23:43:57(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,518
Мужчина
Российская Федерация

Сказал «Спасибо»: 555 раз
Поблагодарили: 2252 раз в 1757 постах
andrey314 написал:
Кстити, на странице http://www.cryptopro.ru/certsrv/ есть ссылка "Криптопровайдер можно получить здесь.", так она никуда не ведёт, т.е "битая".

правильная ссылка
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Андрей Писарев  
#8 Оставлено : 1 ноября 2011 г. 23:47:35(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,518
Мужчина
Российская Федерация

Сказал «Спасибо»: 555 раз
Поблагодарили: 2252 раз в 1757 постах
Цитата:
А как из этой точки http://www.cryptopro.ru/certsrv/ попасть в точку, которая у вас на картинке?


перейти по ссылкам:
1) Выберите пункт из меню и нажмите кнопку "Дальше"
пункт - Сформировать ключи и отправить запрос на сертификат

2) Создать и выдать запрос к этому ЦС.

прямая ссылка


p.s. открывать в IE
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline rozhkov  
#9 Оставлено : 2 ноября 2011 г. 13:31:20(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
andrey314 написал:
Сейчас я умею делать следующее: создать запрос на сертификат средствами IIS (certreq.txt), и на странице http://www.cryptopro.ru/certsrv/certrqxt.asp получить готовый сертификат.
сибо

Вот поэтому и RSA, т.к. сам IIS только их и может запрашивать, ГОСТ-овый запросить через него не получится.
Ссылка на криптопровайдер наверно на старый сайт ведет где можно было загрузить.
Вверх
Offline andrey314  
#10 Оставлено : 2 ноября 2011 г. 14:36:36(UTC)
andrey314

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.05.2011(UTC)
Сообщений: 5
Цитата:
p.s. открывать в IE


гениально! Я до дыр затёр сайт, но в Опере и файрфоксе!

Вообще интересно, в опере, в файрфоксе и в ИЕ - три разных результата для опции "Сформировать ключи и отправить запрос на сертификат". И нигде нет надписи что вы зашли не тем браузером. И ладно бы сайт под оперой вообще ничего не давал делать, а то он даёт сформировать сертификат, но только под RSA.

Отредактировано пользователем 2 ноября 2011 г. 14:45:08(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET