Статус: Новичок
Группы: Участники
Зарегистрирован: 16.10.2012(UTC)
Сообщений: 4
Откуда: Самара
|
Здравствуйте. Имеется домен и много ПК с Win XP sp3. На части из них установлены различные версии КриптоПро. Недавно был настроен Single Sign On для удобства входа на терминальные сервера. Поменялись в ключа в реестре. в ключ HKLM\System\CurrentControlSet\Control\Lsa\Security Packages kerberos msv1_0 schannel wdigest добавилось значение tspkg в ключ HKLM\System\CurrentControlSet\Control\SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll добавилось значение credssp.dll После этого на тех ПК, где был установлен КриптоПро пользователи перестали заходить на многие из сайтов по https (не на все, осталась небольшая часть работающих). И вопрос: Что же делать? смотрел 2 темы http://www.cryptopro.ru/...aspx?g=posts&m=11888http://www.cryptopro.ru/...&g=posts&m=11022Ну и кроме констатации факта неработоспособности каких либо решений не увидел. Что делать? Single Sign On нужен.
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381   Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
С КриптоПро CSP 3.6.7279 (Guarana) от 10.10.2012 воспроизводится? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.10.2012(UTC)
Сообщений: 4
Откуда: Самара
|
Небольшой прогресс наметился.
После некоторых танцев с бубном выяснил, что в ключе HKLM\System\CurrentControlSet\Control\Lsa\Security Packages
важен даже порядок записей!
Например, после того, как политиками стал прописывать туда вот такое:
kerberos
msv1_0
wdigest
cpssl
tspkg
pku2u
schannel
стало работать. по крайней мере https на все, что пока требуется работает, криптопрошное работает. Еще б понять, что это значит. Но все равно уже проще.
Теперь по вашему вопросу: это заработало и с непоследними сборками КриптоПро 3.6. Последнюю не ставил.
Сейчас буду проверять с 3.0. Потому что на 1 ПК с 3.0 это не помогло. Что совсем не радует, так как вместо 3.0 нельзя же поставить версию 3.6 ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
В 3.0 другие настройки. (в КС2 такие же) Цитата:Для работы tls в КриптоПро CSP 3.0 КС1 в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders должен присутствовать cpssp.dll
Для работы 3.0 КС2 и 3.6 в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages должен быть cpssl и отсутствовать schannel |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.10.2012(UTC)
Сообщений: 4
Откуда: Самара
|
maxdm написал:В 3.0 другие настройки. (в КС2 такие же) Цитата:Для работы tls в КриптоПро CSP 3.0 КС1 в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders должен присутствовать cpssp.dll
Для работы 3.0 КС2 и 3.6 в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages должен быть cpssl и отсутствовать schannel Тут 2 замечания. 1. В криптоПро полагают что эта ситуация нормальная и это очень удобно для большой организации и автоматизации политик через АД ? Может чтото надо переделать и выпустить версии правильные? Какова официальная политика компании по такому вопросу? 2. Именно вышеуказанное сообщение мне и помогло решение найти, но насколько вы видите по моему предыдущему сообщению, schannel присутствует и стоит последним. и все работает!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Хм. все необходимые настройки делает наш установщик, все что делаете Вы сами - на свой страх и риск и мы за это не отвечаем. Что нужно переделать?
Для "больших" организаций сделан "костыль" при котором все будет работать и без cpssl в LSA в последних версиях КриптоПро CSP 3.6 R3 |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.10.2012(UTC)
Сообщений: 4
Откуда: Самара
|
Все, что мы делаем сами - это включаем технологию Single Sign On. Стандартная инструкция Майкрософта для удобства пользователей. И надо, чтобы ваш установщик не ломал работу ОС и других программ. Если в новой версии все хорошо... Но мы же не можем все свои старые криптоПро заменить новым, указав старые лицензии? Отредактировано пользователем 17 октября 2012 г. 19:48:07(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Padawan
Группы: Администраторы
Зарегистрирован: 02.12.2010(UTC) Сообщений: 1,381 Откуда: Москва Сказала «Спасибо»: 11 раз
Поблагодарили: 69 раз в 47 постах
|
Цитата:Но мы же не можем все свои старые криптоПро заменить новым, указав старые лицензии? только если в рамках версии 3.6 |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Я не могу понять в чем проблема - нужно дописать два ssp - ДОПИШИТЕ. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
