Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
certificate_authorities в запросе клиентского сертификата
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,513   Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Чтобы войти на сервер по сертификату - сервер должен доверять этому сертификату и мочь проверить сертификат на отзыв. Какая при этом строится цепочка на вашей машине - не важно. Тема не об этом, поэтому на правах топикстартера прошу переместить обсуждение невозможности войти на портал финмониторинга в другую тему.
В данной теме обсуждается другой вопрос - поведение IE при наличии нескольких цепочек и возможность это поведение изменить.
Пока конкретного ответа на свои вопросы я не получил.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,513 Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
Автор: Demonix  Чтобы войти на сервер по сертификату - сервер должен доверять этому сертификату и мочь проверить сертификат на отзыв. Какая при этом строится цепочка на вашей машине - не важно. Тема не об этом, поэтому на правах топикстартера прошу переместить обсуждение невозможности войти на портал финмониторинга в другую тему.
В данной теме обсуждается другой вопрос - поведение IE при наличии нескольких цепочек и возможность это поведение изменить.
Пока конкретного ответа на свои вопросы я не получил. Действительно так? На клиенте как раз и важно.
Дабы не утруждать перечитыванием первой страницы:
имеются сертификаты в доверенных корневых: Корневой моего УЦ и ГУЦ
имеются сертификаты в промежуточных: УЦ 1ИС и кросс-сертификат для моего УЦ
Конкретно у меня цепочка строится так: Корневой моего УЦ\Мой сертификат.
Попасть на сайт, обозначенный участником pharaon, я не могу. Диалога выбора сертификата нет - доступ запрещен.
Удаляю корневой моего УЦ, перезапускаю IE, захожу на сайт и возникает диалог выбора сертификата.
Цепочка строится: УЦ 1ИС\УЦ 1 ИС\Кросс-сертификат\Мой сертификат.
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Цитата:Действительно так? Действительно. Построение цепочки на вашем локальном компьютере не влияет на доверие к вашему сертификату на сервере. То, что IE не предъявляет сертификат - не значит, что сервер ему не доверяет. Если IE предъявляет сертификат - это не значит, что сервер ему доверяет. Видимо, вы действительно не особо утруждали себя чтением первой страницы. Я 3 месяца описываю причины такого поведения IE и спрашиваю сотрудников КриптоПро почему IE себя так ведет.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,513 Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
Автор: Demonix Цитата:Действительно так? Действительно. Построение цепочки на вашем локальном компьютере не влияет на доверие к вашему сертификату на сервере. То, что IE не предъявляет сертификат - не значит, что сервер ему не доверяет. Если IE предъявляет сертификат - это не значит, что сервер ему доверяет. Видимо, вы действительно не особо утруждали себя чтением первой страницы. Я 3 месяца описываю причины такого поведения IE и спрашиваю сотрудников КриптоПро почему IE себя так ведет. Прежде чем говорить о проверке доверия на сервере или клиенте необходимо построить цепочку. Цепочка строится на стороне клиента. Мне тоже не понятно, почему IE игнорирует промежуточные и строит цепочку сразу к корневому (оптимизация такая?), к которому нет доверия у сервера. P.S. С другим криптопровайдером ViPNet CSP - аналогичная ситуация.Если есть корневой - доступ к сайту невозможен, удаляю, цепочка начинает строится до ГУЦ и доступ к сайту есть. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Провел эксперимент на RSA пожоще, чем в первый раз. Имеем: Корень MainRoot. На нем выпущен серверный сертификат. Три корня ClientRoot1, ClientRoot2, ClientRoot3. На каждом выпущено по одному клиентскому. Также для всех трех выпущены кроссы на MainRoot. Клиент и сервер - одна машина. MainRoot стоит в хранилище компьютера в ROOT. Корни ClientRoot1, ClientRoot2, ClientRoot3 стоят в хранилище пользователя в ROOT. Кроссы стоят в хранилище пользователя, в CA. Заходим через IE - видим список из трех сертификатов на выбор. То есть, была вероятность как минимум для одного из трех сертификатов (то есть, довольно высокая в целом вероятность) построить не ту цепочку и не отобразить сертификат, но IE все сделал правильно. Меня пока все больше беспокоит мысль, что КриптоПро делает что то неправильно. Ниже скриншоты. На одном - содержимое хранилищ, на втором - окно выбора сертификатов. Если кто-то хочет повторить эксперимент, я также приложил все сертификаты с ключами. На все ключи пароль - 123. Кстати, справедливости ради, хочу заметить, что в Windows 2012 в параметрах schannel по умолчанию отключена отправка списка доверенных сертификатов клиенту (ранее была по умолчанию включена). С одной стороны, не каждый полезет ее включать и проблема будет не столь актуальна. Но с другой - не скоро все перейдут на Win 2012. Отредактировано пользователем 17 октября 2013 г. 22:20:05(UTC)
| Причина: Не указана Вложение(я):  xca.rar (16kb) загружен 3 раз(а).Пользователь Demonix прикрепил следующие файлы: certifcates_stores.png (174kb) загружен 6 раз(а). certificate_choose.png (121kb) загружен 6 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
 1 пользователь поблагодарил Demonix за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,513 Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
Поэкспериментируйте еще и с ViPNet CSP, если есть возможности и время.
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Андрей * Поэкспериментируйте еще и с ViPNet CSP, если есть возможности и время.
Экспериментирую на своей рабочей машине, поэтому возможности нет. Да и времени особо тоже нет. Да и, Випнет меня не особо интересует.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,513 Сказал «Спасибо»: 554 раз
Поблагодарили: 2252 раз в 1757 постах
|
Автор: Demonix Автор: Андрей * Поэкспериментируйте еще и с ViPNet CSP, если есть возможности и время.
Экспериментирую на своей рабочей машине, поэтому возможности нет. Да и времени особо тоже нет. Да и, Випнет меня не особо интересует. Хорошо, перечитал первую страницу, увидел отредактированные посты и от КриптоПРО... |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,399 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
КП не участвует в построении цепочек. Отправку корневых можно отключить в нашей контрольной панели уже несколько лет. Неожиданно, правда?) |
|
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
certificate_authorities в запросе клиентского сертификата
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
