Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline RGolev  
#1 Оставлено : 27 марта 2015 г. 20:34:04(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Добрый день!

В наличии Microsoft Exchange Server 2013 CU8 с установленным на нем СКЗИ "КриптоПро CSP" 3.9 (лицензионный). У почтовика есть веб-интерфейс для работы с почтой - Outlook Web Access (версия среды CLR .NET v4.0). При попытке подменить в IIS Windows-сертификаты на ГОСТовские начальная страница и OWA открываются, но после ввода логина и пароля выскакивает ";) что то пошло не так", а в журнале "Приложение" в огромном количестве фиксируются следующие ошибки:

Имя журнала: Application
Источник: MSExchange Front End HTTP Proxy
Дата: 25.03.2015 23:45:08
Код события: 1003
Категория задачи:Core
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Описание:
[Owa] An internal server error occurred. The unhandled exception was: System.NotSupportedException: Алгоритм ключа сертификата не поддерживается.
в System.Security.Cryptography.X509Certificates.X509Certificate2.get_PrivateKey()
в Microsoft.Exchange.HttpProxy.FbaModule.ParseCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaModule.OnBeginRequestInternal(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.ProxyModule.<>c__DisplayClass8.<OnBeginRequest>b__7()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)

В Exchange Server 2010 (версия среды CLR .NET v2.0) с которого мигрировала наша компания HTTPS по ГОСТовским сертификатам отлично работал. А сейчас вылетает ошибка "алгоритм ключа сертификата не поддерживаетеся".

На форуме Microsoft предложили дополнительно на сервер поставить КриптоПро .NET. Поставил, перезагрузился. Теперь после ввода имени пользователя и пароля в OWA появляется страница со следующим содержимым:
Ошибка сервера в приложении '/owa'.


Ссылка на объект не указывает на экземпляр объекта.
Описание: Необработанное исключение при выполнении текущего веб-запроса. Изучите трассировку стека для получения дополнительных сведений о данной ошибке и о вызвавшем ее фрагменте кода.

Сведения об исключении: System.NullReferenceException: Ссылка на объект не указывает на экземпляр объекта.

Ошибка источника:

Необработанное исключение при выполнении текущего веб-запроса. Информацию о происхождении и месте возникновения исключения можно получить, используя следующую трассировку стека исключений.

Трассировка стека:


[NullReferenceException: Ссылка на объект не указывает на экземпляр объекта.]
Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication) +671
Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer) +2507
Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy() +19
Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate() +402
Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon) +1879
Microsoft.Exchange.HttpProxy.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e() +689
Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate) +40
Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler) +376
Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method) +126

[AggregateException: Произошла одна или несколько ошибок.]
Microsoft.Exchange.HttpProxy.ProxyRequestHandler.EndProcessRequest(IAsyncResult result) +1062
System.Web.CallHandlerExecutionStep.OnAsyncHandlerCompletion(IAsyncResult ar) +282



Информация о версии: Платформа Microsoft .NET Framework, версия:4.0.30319; ASP.NET, версия:4.0.30319.34212


При этом в журнале "Система" регистрируются в огромном количестве следующие 2 события:
Имя журнала: System
Источник: Schannel
Дата: 26.03.2015 23:42:15
Код события: 36874
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:
Пользователь: СИСТЕМА
Описание:
Получен запрос на подключение TLS 1.0 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой.


Имя журнала: System
Источник: Schannel
Дата: 26.03.2015 23:42:15
Код события: 36888
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:
Пользователь: СИСТЕМА
Описание:
Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40. Состояние ошибки Windows SChannel: 1205.


В журнале "Приложение":
Имя журнала: Application
Источник: MSExchange Front End HTTP Proxy
Дата: 26.03.2015 23:44:56
Код события: 1003
Категория задачи:Core
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Описание:
[Owa] An internal server error occurred. The unhandled exception was: System.NullReferenceException: Ссылка на объект не указывает на экземпляр объекта.
в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)


Имя журнала: Application
Источник: ASP.NET 4.0.30319.0
Дата: 26.03.2015 23:44:56
Код события: 1309
Категория задачи:Web Event
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Описание:
Event code: 3005
Event message: Возникло необработанное исключение.
Event time: 26.03.2015 23:44:56
Event time (UTC): 26.03.2015 18:44:56
Event ID: 7fab21f1396b4e839d44494ef2061f00
Event sequence: 132
Event occurrence: 117
Event detail code: 0

Application information:
Application domain: /LM/W3SVC/1/ROOT/owa-3-130718689387844346
Trust level: Full
Application Virtual Path: /owa
Application Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\
Machine name: XXXXXXXX

Process information:
Process ID: 2684
Process name: w3wp.exe
Account name: NT AUTHORITY\СИСТЕМА

Exception information:
Exception type: NullReferenceException
Exception message: Ссылка на объект не указывает на экземпляр объекта.
в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)
в Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method)



Request information:
Request URL: https://localhost:443/OWA/auth.owa
Request path: /OWA/auth.owa
User host address: 127.0.0.1
User: POFOMS\HealthMailbox6183c25
Is authenticated: True
Authentication Type: Basic
Thread account name: NT AUTHORITY\СИСТЕМА

Thread information:
Thread ID: 64
Thread account name: NT AUTHORITY\СИСТЕМА
Is impersonating: False
Stack trace: в Microsoft.Exchange.HttpProxy.FbaModule.SetCadataCookies(HttpApplication httpApplication)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.HandleFbaFormPost(BackEndServer backEndServer)
в Microsoft.Exchange.HttpProxy.FbaFormPostProxyRequestHandler.ShouldContinueProxy()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.BeginProxyRequestOrRecalculate()
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.InternalOnCalculateTargetBackEndCompleted(TargetCalculationCallbackBeacon beacon)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.<>c__DisplayClass3f.<OnCalculateTargetBackEndCompleted>b__3e()
в Microsoft.Exchange.Common.IL.ILUtil.DoTryFilterCatch(TryDelegate tryDelegate, FilterDelegate filterDelegate, CatchDelegate catchDelegate)
в Microsoft.Exchange.HttpProxy.Diagnostics.SendWatsonReportOnUnhandledException(MethodDelegate methodDelegate, LastChanceExceptionHandler exceptionHandler)
в Microsoft.Exchange.HttpProxy.ProxyRequestHandler.CallThreadEntranceMethod(MethodDelegate method)


На форуме Microsoft утверждают, что "виновато" программное обеспечение КриптоПро и что в КриптоПро есть некие настройки, изменив которые все (HTTPS в OWA по ГОСТовскому сертификату) чудесным образом заработает. Так ли это? И если это так, то что и где следует мне настроить?
Offline Максим Коллегин  
#2 Оставлено : 27 марта 2015 г. 20:58:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
В рамках КриптоПро .NET проводились работы по обеспечению совместимости с Exchange. Но для настройки сертификата нужно использовать средства Exchange.
Если есть реальный интерес - можно продолжить исследование: SetCadataCookies пока не исправлены.
Знания в базе знаний, поддержка в техподдержке
Offline RGolev  
#3 Оставлено : 28 марта 2015 г. 20:43:45(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Автор: maxdm Перейти к цитате
В рамках КриптоПро .NET проводились работы по обеспечению совместимости с Exchange. Но для настройки сертификата нужно использовать средства Exchange.
Если есть реальный интерес - можно продолжить исследование: SetCadataCookies пока не исправлены.

После установки на сервер КриптоПро .NET в Центре администрирования Exchange (/ecp) действительно появился серверный ГОСТовский сертификат (раньше его просто не было). Состояние у него было "Недействительный", т.к. Exchange почему то CRL не смог подхватить. Скачал CRL с УЦ руками и поставил в оснастку Сертификаты (Локальный компьютер) в соответствующий раздел. После ручной установки CRL в Центре администрирования Exchange сертификат изменил статус на "Действительный"(!). Затем я его там же назначил для службы IIS.

И тут самое интересное - OWA открылся в HTTPS с ГОСТовским сертификатом не только на начальной странице, но и открылся сам почтовый ящик. На радостях попытался открыть Центр администрирования Exchange, но опять появилась та же страничка с ошибкой. После этого и в OWA уже не попасть было. Т.е. сработало(!), но ровно на 1 логин.

Потом опять вручную в IIS вернул виндовый сертификат (через "привязки").

Поэтому теперь оочень хочется расширить успех с 1 раза до бесконечности :-)

Что там надо с "печеньками" то делать?
Offline Максим Коллегин  
#4 Оставлено : 29 марта 2015 г. 15:49:08(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Печеньки нужно доломать, займет максимум неделю, осталось выяснить коммерческий интерес этой работы.
Знания в базе знаний, поддержка в техподдержке
Offline RGolev  
#5 Оставлено : 30 марта 2015 г. 8:53:47(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Автор: maxdm Перейти к цитате
Печеньки нужно доломать, займет максимум неделю, осталось выяснить коммерческий интерес этой работы.

Для нас (Территориальный фонд обязательного медицинского страхования Пермского края) есть очень даже коммерческий интерес - дальнейшее использование Exchange Server с ГОСТовским шифрованием (HTTPS) и квалифицированной электронной подписью (S/MIME) или переход на "Деловую почту ViPNet". Второй вариант придётся реализовывать с нуля и заставлять покупать больнички Пермского края (работающие в системе обязательного медицинского страхования) как минимум по одному ViPNet-клиенту за 8 т.р. за 1 шт. При том что ViPNet - "не поворотливое" и не гибкое решение. А тут мы можем одновременно работать и с "обычной" почтой и стоит всего 1800 руб. А те, кто ЭП не используют, то вообще на триальной лицензии могут сидеть.
Кроме того, Федеральный фонд ОМС произвел аккредитацию только УЦ КриптоПро, а ViPNet у них так и не аккредитованный стоит.
thanks 2 пользователей поблагодарили RGolev за этот пост.
Андрей * оставлено 30.03.2015(UTC), MCR оставлено 31.03.2015(UTC)
Offline Андрей Писарев  
#6 Оставлено : 30 марта 2015 г. 9:12:48(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,323
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Автор: RGolev Перейти к цитате

Кроме того, Федеральный фонд ОМС произвел аккредитацию только УЦ КриптоПро, а ViPNet у них так и не аккредитованный стоит.


Техническую поддержку оказываем тут
Наша база знаний
Offline Максим Коллегин  
#7 Оставлено : 30 марта 2015 г. 10:17:28(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Вопрос лишь в необходимости https именно на сервере OWA.
Можно же опубликовать http-сайт по https через TMG или иной шлюз.
Но если Вы готовы помочь протестировать поддержку ГОСТ в Exchange - мы подготовим новую сборку.
Знания в базе знаний, поддержка в техподдержке
Offline RGolev  
#8 Оставлено : 30 марта 2015 г. 13:19:44(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Автор: maxdm Перейти к цитате
Вопрос лишь в необходимости https именно на сервере OWA.
Можно же опубликовать http-сайт по https через TMG или иной шлюз.
Но если Вы готовы помочь протестировать поддержку ГОСТ в Exchange - мы подготовим новую сборку.


У нас 2 подключения используется - либо HTTPS (OWA), либо "MAPI over HTTPS" (Outlook 2007/2010/2013). Интересует работоспособность обоих вариантов.

TMG - круто, но это доп. "костыль". Хотелось бы в "нативном" виде.

Да, готов принять участие в тестировании.
Offline Максим Коллегин  
#9 Оставлено : 30 марта 2015 г. 13:55:48(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Второе должно работать уже сейчас.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#10 Оставлено : 31 марта 2015 г. 12:02:25(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
В первой версии патча для шифрования пирожков будет использоваться первый попавшийся RSA сертификат из хранилище My локального компьютера. Переписывать функции целиком пока не вижу смысла.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.