Статус: Участник
Группы: Участники
Зарегистрирован: 22.03.2012(UTC)
Сообщений: 12
Откуда: /dev/nul
|
Доброго дня, коллеги. Не получается настроить КриптоПРО на работу с IIS 7. Исходные данные: Заказали КриптоПРО CSP 3.6 с серверной лицензией для организации гостированного трафикообмена по HTTPS. Заказали изготовление сертификата сервера для доменного имени (sec.chemsrv.ru). Сертификат изготовили по распределенной схеме в УЦ КриптоПРО. Устанавливаю сертификат по следующей инструкции: http://www.ssl.ua/info/howto/install/iis7Сертификат "вроде бы" добавляется и видится в менеджере ИИС...  Пробую указать привязку - сертификат не найден в списке возможных для привязки. Открываю страницу с сертификатами - как показано ранее - сертификат отсутствует в списке. Установил заново, обновляю страницу (F5) - сертификат исчезает. В чем может быть проблема? CSP v 3.6.5359 КС1 PV 3.6.7027 CSP+TLS-сервер лицензии активные. upd1Экспортировал сертификат с закрытым ключом с машины, на которой осуществлял работу с УЦ, в формате PFX. Импорт в IIS прошел успешно. - Появилась ошибка "не удается найти указанный файл" при изменении привязки. Установил сертификат вручную с автоматическим выбором хранилища - пропала ошибка "не удается найти указанный файл", возникла ошибка "внутренняя ошибка", при этом, eventlog пишет Код:Имя журнала: Application
Источник: cpsspap
Дата: 12.04.2012 14:00:12
Код события: 300
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: devsrv
Описание:
КриптоПро TLS. Ошибка 0x80090015 при обращении к CSP: Неправильный открытый ключ поставщика.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="cpsspap" />
<EventID Qualifiers="49764">300</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2012-04-12T10:00:12.000000000Z" />
<EventRecordID>2842988</EventRecordID>
<Channel>Application</Channel>
<Computer>devsrv</Computer>
<Security />
</System>
<EventData>
<Data>Неправильный открытый ключ поставщика.</Data>
<Data>0x80090015</Data>
</EventData>
</Event>
Отредактировано пользователем 12 апреля 2012 г. 17:07:36(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Экспорт из pfx в последнем билде еще не очень хорошо работает. А контейнер установился в хранилище LocalMachine? Машину перезагружали после установки CSP? Отредактировано пользователем 12 апреля 2012 г. 17:24:08(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.03.2012(UTC)
Сообщений: 12
Откуда: /dev/nul
|
Перезагружал. Да, в этот контейнер.
Методом проб и ошибок нашел ошибку - после импорта из pfx импортировал вручную личный сертификат из *.cer в автоподобранный контейнер с помощью оснастки CSP - заработало.
НО.
Не работает механизм TLS ни в одном браузере, кроме Internet Explorer.
Chrome ругается на Ошибка 149 (net::ERR_SSL_BAD_PEER_PUBLIC_KEY): Неизвестная ошибка.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Кроме IE на Windows поддерживается safari и chrome c ключом --use-system-ssl.
Firefox - нужно использовать нашу сборку. Opera - никогда.
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.03.2012(UTC)
Сообщений: 12
Откуда: /dev/nul
|
О как... Спасибо.
А есть ли где-то официальные данные по этому пункту? И второй вопрос, где скачать "нашу сборку" Firefox?
Как я понял из этого, что ФФ, что Опера использует свой движок для SSL?
Создаем защищенную АС, необходимо сослаться либо на требования ГОСТов/стандартов, либо на законы, либо на официальную инструкцию к криптосредству.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
В формуляре на СКЗИ указан только IE.
Firefox - в центре загрузки нашего сайта. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.03.2012(UTC)
Сообщений: 12
Откуда: /dev/nul
|
Читаю формуляр ЖТЯИ.00050-02 30 01 №358К-01-8261. Нет такого пункта :( И, собственно, вопрос уже от руководства последовал мне - попросили указать конкретный пункт в формуляре / на сайте, где указано, что CSP не работает по дефолту нигде, кроме IE, а также где указаны требования к запуску сафарей с хромом с ключами. Дилемма, как быть? Отредактировано пользователем 12 апреля 2012 г. 18:49:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
КриптоПро CSP Версия 3.6 ЖТЯИ.00050-01 90 01 Цитата:8.4. Использование протокола TLS в прикладном ПО
Модуль поддержки сетевой аутентификации позволяет на базе КриптоПро CSP реализовать защищенный сетевой протокол в соответствии с рекомендациями RFC 2246 "The TLS Protocol. Version 1.0" и проектом рекомендаций "Алгоритмы ГОСТ для Transport Layer Security (TLS)". Модуль обеспечивает двустороннюю и одностороннюю аутентификацию приложений при их взаимодействии по сети с использованием алгоритма ЭЦП и сертификатов открытых ключей, а так же шифрование данных, передаваемых в сетевом соединении.
Кроме использования протокола TLS в интерфейсе Internet Explorer, прикладное программное обеспечение может использовать протокол TLS для аутентификации и защиты данных, передаваемых по собственным протоколам на основе TCP/IP и HTTPS.
Про Сафари нигде не написано - само:) Для Chrome - нашли клиенты. Отредактировано пользователем 12 апреля 2012 г. 20:54:00(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 22.03.2012(UTC)
Сообщений: 12
Откуда: /dev/nul
|
У меня пункт 8.4 - это "гарантийный срок изделия" = )
В общем, как я понимаю, именно к моему изделию с моим номером формуляра требования по браузеру нигде не прописаны? :(
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381   Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Описание реализации смотрите.
Поиск "Использование протокола TLS"
вуаля |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
