Добрый день коллеги.

Столкнулся с одной проблемой.
История такова:
Есть сервер windows 2008 R2 Sp1 с последними обновлениями. На нем установлен TMG 2010 SP2 и опубликовано веб приложение для внешних пользователей. Для SSL сессии используется сертификат от Thawte. Пользователи проходят аутентификацию через etoken по сертификатам, выданным самоподписанным центром сертификации.

Так как юзера гоняют персональные данные, решено использовать для SSL сессии сертификат Крипто ПРО и заменить существующий от Thawte.

Сделано следующее:
1) На клиентской и серверной машине установлено в доверенные центры сертификации сепочки от Крипто ПРО, скачанные с сайта cpca.cryptopro.ru. Все сертификаты доверенны как клиентом, так и сервером.
2) На машине с forefront TMG установлен Крипто ПРО 3.6R2 (3.6.6497). Тип лицензии: "Клиентская и TLS-сервер".
3) Запрошен и установлен с УЦ Крипто ПРО сертификат с SKU "Server Authentication".
4) Данный сертификат установлен в тип контейнера "Реестр" в хранилище компьютера.
5) Я вижу этот контейнер в разделе: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Keys\название_контейнера и даю ему и ниженаходящимся объектам полные права для учетной записи Network Service.
6) На сервере запустили службу Interactive service detection
7) Скопировал сертификат в хранилище компьютера через утилиту Крипто ПРО (Service -> Copy). Выбрал хранилище компьютера.
8) Сервер перезагрузили.

Сделал копию рабочего listener-а, но указал использовать сертификат Крипто ПРО. Я его выбрал из списка (TMG говорит, что сертификат корректно установлен).
Вот тут обнаруживаю проблему, что аутентификация по сертификатам не работает. Юзерам выдается окошко о выборе сертификата и после выбора сертификата не доходит даже до

ввода пароля на etoken. IE коиента выдает ошибку, что страница не может быть отображена без какого либо кода ошибки. На TMG в это время вижу корректно закрытую SSL

сессию. На сервере и на клиенте не выдается никаких ошибок, хотя я ожидал появления ошибок на сервере типа Schannel.


Игрался с галочками SSL2.0, SSL 3.0, TLS 1.0 т.д.на клиенте, но ничего не помогло. Пробовал также играться с настройками SSL и TLS протоколов на TMG сервере, но тоже

безрезультатно (они настраиваются в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\)
Если в свойствах крипто ПРО-шного listener-а меняю SSL Client Certificate Authentication на любой другой тип, все работает корректно.
Также все работает корректно, если выбираю сертификат от Thawte.

Помогите, пожалуйста, настроить listener, чтобы на Крипто ПРО-шной SSL сессии можно было аутентифицироваться по сертификатам.

Отредактировано пользователем 29 января 2013 г. 12:36:15(UTC)  | Причина: добавлена доп информация в заголовок

Да, конечно. На клиенте установлен CSP той же версии, что и на сервере.
TMG 2010 позволяет использовать отдельный сертификат для SSL и отдельный для аутентификации. Уточните, пожалуйста, про какие ГОСТ сертификаты вы говорите: про сертификат аутентификации или SSL сертификат?

Мы успешно использовали самоподписанный УЦ для аутентификации клиентов, но для SSL доступа на listner-е установлен публичный сертификат от thawte. При смене сертификата SSL на крипто ПРО - это перестает работать.
Можете подсказать еще в каком направлении надо копать?

Но почему тогда аутентификация проходит в случае серверного сертификата от Thawte и клиентских, выданных самоподписанным УЦ?

Наверное, вы правы. Так как вы здесь местный гуру, вряд ли кто-нибудь еще поможет. Спасибо Вам за содействие!