Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Код HTTP ошибки в IIS7 при работе с отозванным сертификатом
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день!
Заметили такую особенность:
Если попробовать зайти с отозванным сертификатом по HTTPS возвращается ошибка 403.16, однако для такого случая существует код возврата 403.13 (так было и в IIS6).
А 403.16 в IIS6 возвращалось, например, когда корневого сертификата УЦ, выдавшего клиентский серт нет в CTL (когда CTL включен), либо на сервере присутствует корневой сертификат с таким же именем, как у выдавшего клиентский сертификат, но не он.
Есть ли возможность это поправить?
Кстати, в IIS7, при включенной трассировке запросов в лог пишется следующее:
MODULE_SET_RESPONSE_ERROR_STATUS
Warning ModuleName="IIS Web Core", Notification="BEGIN_REQUEST", HttpStatus="403", HttpReason="Forbidden", HttpSubStatus="16", ErrorCode="При обработке сертификата произошла неизвестная ошибка.
(0x80090327)", ConfigExceptionInfo=""
Если необходимо - на почту могу выслать полный лог трассировки этого запроса.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
|
Поведение с RSA и ГОСТ сертификатами различается? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Честно говоря, не проверяли. Проверим..
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Хм, это, конечно, странно, но при использовании отозванных RSAшных сертификатов IIS пускает даже с отозванным сертификатом.
Может crl где-то закешировался.. Чуть позже посмотрим на новой машине, где иис еще не стоял.
А вы у себя можете то же самое посмотреть?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Новый комп увезли, поэтому пришлось разбираться с удалением crl из кэша на своей машине.
Почему-то из кэша он никак не хотел удаляться (вручную чистили C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\, чистили через certutil -urlcache crl delete, запуская от разных пользовтелей, службы останавливали/запускали - ничего не помогало). Помогло только удаляение ssl прявязки через netsh с последующим ее созданием и установкой revocationfreshnesstime= 10 сек. (Но, думаю, сработало бы и без этого) - Думаю кому-нибудь эта информация пригодится.
А по теме - при входе с отозванным RSAшным сертом - возникает ошибка 403.13.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 15.04.2008(UTC) Сообщений: 38 Откуда: Екатеринбург. СКБ Контур Сказал «Спасибо»: 1 раз
|
У нас похожая проблема: есть 2 корневых сертификата с одним именем, но с разными сроками валидности (оба валидны), есть 2 промежуточных центра сертификации (аналогично). Клиентские сертификаты есть с обоими ветками проверки подлинности. При просмотре в проводнике, сертификаты проверяются нормально, считаются валидными. Но если использовать их для валидации при установлении соединения по https (iis 7, vista sp1), выдаётся сообщение 403.16. Нет доступа к Интернет. Все корневые и промежуточные сертификаты установлены для учётной записи компьютера. В логах iis появляются стрички вида: Код:#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken
2008-11-25 13:39:27 fe80::8982:1429:d2ae:f75f%10 GET /mails - 443 - fe80::8982:1429:d2ae:f75f%10 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.0;+SLCC1;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.21022;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30618) 500 0 64 1802
2008-11-25 13:40:21 fe80::8982:1429:d2ae:f75f%10 GET /mails - 443 - fe80::8982:1429:d2ae:f75f%10 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.0;+SLCC1;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.21022;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30618) 403 16 2148074279 30093
В системном журнале никаких записей об ошибках не появляется. При этом на машине с полностью аналогичной конфигурацией, но с Интернетом, всё работает нормально. EDIT: отключили проверку CRL в http.sys, всё заработало. Отредактировано пользователем 25 ноября 2008 г. 20:35:29(UTC)
| Причина: Не указана
|
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Код HTTP ошибки в IIS7 при работе с отозванным сертификатом
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
