Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13 Откуда: г. Пермь Сказал «Спасибо»: 1 раз Поблагодарили: 2 раз в 1 постах
|
Добрый день!
В наличии Microsoft Exchange Server 2013 CU8 с установленным на нем СКЗИ "КриптоПро CSP" 3.9 (лицензионный). У почтовика есть веб-интерфейс для работы с почтой - Outlook Web Access (версия среды CLR .NET v4.0). При попытке подменить в IIS Windows-сертификаты на ГОСТовские начальная страница и OWA открываются, но после ввода логина и пароля выскакивает ";) что то пошло не так", а в журнале "Приложение" в огромном количестве фиксируются следующие ошибки:
Имя журнала: Application Источник: MSExchange Front End HTTP Proxy Дата: 25.03.2015 23:45:08 Код события: 1003 Категория задачи:Core Уровень: Ошибка Ключевые слова:Классический Пользователь: Н/Д Описание: [Owa] An internal server error occurred. The unhandled exception was: System.NotSupportedException: Алгоритм ключа сертификата не поддерживается. в System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey() в Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication) в Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication) в Microsoft.Exchange.HttpProxy.ProxyModule.<>c__DisplayClass8.<OnBeginRequest>b__7() в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)
В Exchange Server 2010 (версия среды CLR .NET v2.0) с которого мигрировала наша компания HTTPS по ГОСТовским сертификатам отлично работал. А сейчас вылетает ошибка "алгоритм ключа сертификата не поддерживаетеся".
На форуме Microsoft предложили дополнительно на сервер поставить КриптоПро .NET. Поставил, перезагрузился. Теперь после ввода имени пользователя и пароля в OWA появляется страница со следующим содержимым: Ошибка сервера в приложении '/owa'.
Ссылка на объект не указывает на экземпляр объекта. Описание: Необработанное исключение при выполнении текущего веб-запроса. Изучите трассировку стека для получения дополнительных сведений о данной ошибке и о вызвавшем ее фрагменте кода.
Сведения об исключении: System.NullReferenceException: Ссылка на объект не указывает на экземпляр объекта.
Ошибка источника:
Необработанное исключение при выполнении текущего веб-запроса. Информацию о происхождении и месте возникновения исключения можно получить, используя следующую трассировку стека исключений.
Трассировка стека:
[NullReferenceException: Ссылка на объект не указывает на экземпляр объекта.] Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication) +671 Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer) +2507 Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy() +19 Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate() +402 Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon) +1879 Microsoft.Exchange.HttpProxy.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e() +689 Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate) +40 Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler) +376 Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method) +126
[AggregateException: Произошла одна или несколько ошибок.] Microsoft.Exchange.HttpProxy.ProxyRequestHandler.EndProcessRequest(IAsyncResult result) +1062 System.Web.CallHandlerExecutionStep.OnAsyncHandlerCompletion(IAsyncResult ar) +282
Информация о версии: Платформа Microsoft .NET Framework, версия:4.0.30319; ASP.NET, версия:4.0.30319.34212
При этом в журнале "Система" регистрируются в огромном количестве следующие 2 события: Имя журнала: System Источник: Schannel Дата: 26.03.2015 23:42:15 Код события: 36874 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова: Пользователь: СИСТЕМА Описание: Получен запрос на подключение TLS 1.0 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой.
Имя журнала: System Источник: Schannel Дата: 26.03.2015 23:42:15 Код события: 36888 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова: Пользователь: СИСТЕМА Описание: Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40. Состояние ошибки Windows SChannel: 1205.
В журнале "Приложение": Имя журнала: Application Источник: MSExchange Front End HTTP Proxy Дата: 26.03.2015 23:44:56 Код события: 1003 Категория задачи:Core Уровень: Ошибка Ключевые слова:Классический Пользователь: Н/Д Описание: [Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Ссылка на объект не указывает на экземпляр объекта. в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication) в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer) в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy() в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate() в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon) в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e() в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)
Имя журнала: Application Источник: ASP.NET 4.0.30319.0 Дата: 26.03.2015 23:44:56 Код события: 1309 Категория задачи:Web Event Уровень: Предупреждение Ключевые слова:Классический Пользователь: Н/Д Описание: Event code: 3005 Event message: Возникло необработанное исключение. Event time: 26.03.2015 23:44:56 Event time (UTC): 26.03.2015 18:44:56 Event ID: 7fab21f1396b4e839d44494ef2061f00 Event sequence: 132 Event occurrence: 117 Event detail code: 0 Application information: Application domain: /LM/W3SVC/1/ROOT/owa-3-130718689387844346 Trust level: Full Application Virtual Path: /owa Application Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\ Machine name: XXXXXXXX Process information: Process ID: 2684 Process name: w3wp.exe Account name: NT AUTHORITY\СИСТЕМА Exception information: Exception type: NullReferenceException Exception message: Ссылка на объект не указывает на экземпляр объекта. в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication) в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer) в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy() в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate() в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon) в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e() в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate) в Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler) в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method)
Request information: Request URL: https://localhost:443/OWA/auth.owa Request path: /OWA/auth.owa User host address: 127.0.0.1 User: POFOMS\HealthMailbox6183c25 Is authenticated: True Authentication Type: Basic Thread account name: NT AUTHORITY\СИСТЕМА Thread information: Thread ID: 64 Thread account name: NT AUTHORITY\СИСТЕМА Is impersonating: False Stack trace: в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication) в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer) в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy() в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate() в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon) в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e() в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate) в Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler) в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method)
На форуме Microsoft утверждают, что "виновато" программное обеспечение КриптоПро и что в КриптоПро есть некие настройки, изменив которые все (HTTPS в OWA по ГОСТовскому сертификату) чудесным образом заработает. Так ли это? И если это так, то что и где следует мне настроить?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
В рамках КриптоПро .NET проводились работы по обеспечению совместимости с Exchange. Но для настройки сертификата нужно использовать средства Exchange. Если есть реальный интерес - можно продолжить исследование: SetCadataCookies пока не исправлены. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13 Откуда: г. Пермь Сказал «Спасибо»: 1 раз Поблагодарили: 2 раз в 1 постах
|
Автор: maxdm В рамках КриптоПро .NET проводились работы по обеспечению совместимости с Exchange. Но для настройки сертификата нужно использовать средства Exchange. Если есть реальный интерес - можно продолжить исследование: SetCadataCookies пока не исправлены. После установки на сервер КриптоПро .NET в Центре администрирования Exchange (/ecp) действительно появился серверный ГОСТовский сертификат (раньше его просто не было). Состояние у него было "Недействительный", т.к. Exchange почему то CRL не смог подхватить. Скачал CRL с УЦ руками и поставил в оснастку Сертификаты (Локальный компьютер) в соответствующий раздел. После ручной установки CRL в Центре администрирования Exchange сертификат изменил статус на "Действительный"(!). Затем я его там же назначил для службы IIS. И тут самое интересное - OWA открылся в HTTPS с ГОСТовским сертификатом не только на начальной странице, но и открылся сам почтовый ящик. На радостях попытался открыть Центр администрирования Exchange, но опять появилась та же страничка с ошибкой. После этого и в OWA уже не попасть было. Т.е. сработало(!), но ровно на 1 логин. Потом опять вручную в IIS вернул виндовый сертификат (через "привязки"). Поэтому теперь оочень хочется расширить успех с 1 раза до бесконечности :-) Что там надо с "печеньками" то делать?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
Печеньки нужно доломать, займет максимум неделю, осталось выяснить коммерческий интерес этой работы. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13 Откуда: г. Пермь Сказал «Спасибо»: 1 раз Поблагодарили: 2 раз в 1 постах
|
Автор: maxdm Печеньки нужно доломать, займет максимум неделю, осталось выяснить коммерческий интерес этой работы. Для нас (Территориальный фонд обязательного медицинского страхования Пермского края) есть очень даже коммерческий интерес - дальнейшее использование Exchange Server с ГОСТовским шифрованием (HTTPS) и квалифицированной электронной подписью (S/MIME) или переход на "Деловую почту ViPNet". Второй вариант придётся реализовывать с нуля и заставлять покупать больнички Пермского края (работающие в системе обязательного медицинского страхования) как минимум по одному ViPNet-клиенту за 8 т.р. за 1 шт. При том что ViPNet - "не поворотливое" и не гибкое решение. А тут мы можем одновременно работать и с "обычной" почтой и стоит всего 1800 руб. А те, кто ЭП не используют, то вообще на триальной лицензии могут сидеть. Кроме того, Федеральный фонд ОМС произвел аккредитацию только УЦ КриптоПро, а ViPNet у них так и не аккредитованный стоит.
|
2 пользователей поблагодарили RGolev за этот пост.
|
Андрей * оставлено 30.03.2015(UTC), MCR оставлено 31.03.2015(UTC)
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,323 Сказал «Спасибо»: 549 раз Поблагодарили: 2208 раз в 1723 постах
|
Автор: RGolev Кроме того, Федеральный фонд ОМС произвел аккредитацию только УЦ КриптоПро, а ViPNet у них так и не аккредитованный стоит.
p.s. на УЦ КриптоПро можно издавать сертификаты по запросам от клиентов с другими СКЗИ (ViPNet CSP). ... как и на УЦ, использующем ViPNet, можно издавать сертификаты по запросам от клиентов с КриптоПРО CSP
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
Вопрос лишь в необходимости https именно на сервере OWA. Можно же опубликовать http-сайт по https через TMG или иной шлюз. Но если Вы готовы помочь протестировать поддержку ГОСТ в Exchange - мы подготовим новую сборку. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13 Откуда: г. Пермь Сказал «Спасибо»: 1 раз Поблагодарили: 2 раз в 1 постах
|
Автор: maxdm Вопрос лишь в необходимости https именно на сервере OWA. Можно же опубликовать http-сайт по https через TMG или иной шлюз. Но если Вы готовы помочь протестировать поддержку ГОСТ в Exchange - мы подготовим новую сборку. У нас 2 подключения используется - либо HTTPS (OWA), либо "MAPI over HTTPS" (Outlook 2007/2010/2013). Интересует работоспособность обоих вариантов. TMG - круто, но это доп. "костыль". Хотелось бы в "нативном" виде. Да, готов принять участие в тестировании.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
Второе должно работать уже сейчас. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 717 раз в 621 постах
|
В первой версии патча для шифрования пирожков будет использоваться первый попавшийся RSA сертификат из хранилище My локального компьютера. Переписывать функции целиком пока не вижу смысла. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close