Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13   Откуда: г. Пермь Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
|
Автор: maxdm  В первой версии патча для шифрования пирожков будет использоваться первый попавшийся RSA сертификат из хранилище My локального компьютера. Переписывать функции целиком пока не вижу смысла. Так они там все RSA. А пирожки на каком "отрезке" шифруются?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
|
Как все, а ГОСТовый где?
Не понял про "отрезок". |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13 Откуда: г. Пермь Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
|
Автор: maxdm Как все, а ГОСТовый где?
Не понял про "отрезок". ГОСТовский там один и он на месте. Перечень RSA-сертификатов: 1. Самовыданный неким УЦ "Exchange Server" сертификат, необходимый для свзи имеющегося "пограничного транспортного сервера" с CAS/MBX. Они только через эти самовыданные сертификаты умеют шифроваться. 2. Сертификат, выдаваемый через групповую политику локальным Microsoft CA с шаблоном Machine. Сейчас его использование сводится к организации шифрованного RDP до CAS/MBX. Не критично, можно его зачистить и групповую политику для сервера перекрыть. 3. Основной сертификат для IIS, который даже после установки ГОСТовского "отсвечивает" на 444-м порту HTTPS для сайта "Exchange Back End". 4. Сертификат "Microsoft Exchange Server Auth Certificate". Не знаю для чего он (действет до 2020 года). 5. Сертифкат "WMSvc-EXCHANGE2013". Не знаю для чего он (действет до 2025 года). У перечисленных сертификатов и сроки действия разные и только один из них с "нормальным" аттрибутом san:dns. По поводу "отрезка": шифрование пирожков идёт внутри сервера и ни как уже не связано с взаимодействием клиент-сервер? Если клиент будет использовать один из перечисленных выше пяти сертификатов, то ему же надо доерять УЦ, выдавшему его. Поэтому и спроил про "отрезок".
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
|
пирожки шифруются сервером для себя самого и в зашифрованном виде добавляются в запросы клиентам, как обычные кукисы. ничего дополнительно настраивать не нужно. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13 Откуда: г. Пермь Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
|
Автор: maxdm пирожки шифруются сервером для себя самого и в зашифрованном виде добавляются в запросы клиентам, как обычные кукисы. ничего дополнительно настраивать не нужно. Ну тогда пусть первый попавшийся RSA-сертификат хватается. Проверим.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
|
|
|
 1 пользователь поблагодарил Максим Коллегин за этот пост.
|
RGolev оставлено 01.04.2015(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177
Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
|
Автор: RGolev Автор: maxdm Печеньки нужно доломать, займет максимум неделю, осталось выяснить коммерческий интерес этой работы. Для нас (Территориальный фонд обязательного медицинского страхования Пермского края) есть очень даже коммерческий интерес - дальнейшее использование Exchange Server с ГОСТовским шифрованием (HTTPS) и квалифицированной электронной подписью (S/MIME) или переход на "Деловую почту ViPNet". Второй вариант придётся реализовывать с нуля и заставлять покупать больнички Пермского края (работающие в системе обязательного медицинского страхования) как минимум по одному ViPNet-клиенту за 8 т.р. за 1 шт. При том что ViPNet - "не поворотливое" и не гибкое решение. А тут мы можем одновременно работать и с "обычной" почтой и стоит всего 1800 руб. А те, кто ЭП не используют, то вообще на триальной лицензии могут сидеть. Кроме того, Федеральный фонд ОМС произвел аккредитацию только УЦ КриптоПро, а ViPNet у них так и не аккредитованный стоит. Интересно, каким образом потом устраивать экспертизу (S/MIME) с у. квалифицированной электронной подписью. Для реализации этой цели появились сертифицированные средства? P.S. Автор: maxdm Печеньки нужно доломать, займет максимум неделю, осталось выяснить коммерческий интерес этой работы. Пирожки, печеньки. Аж, есть захотелось. :) Что означают эти сленговые слова? Отредактировано пользователем 31 марта 2015 г. 15:41:53(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13 Откуда: г. Пермь Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
|
Автор: maxdm Старый КриптоПро .NET удалять или поверх можно ставить?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,393 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
|
можно и поверх.
cookies - кукисы - печеньки. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2015(UTC) Сообщений: 13 Откуда: г. Пермь Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
|
1. OWA и Exchange Admin Center (/ecp) работают нормально. Единственное, что на сервере CAS/MBX в журнале "Система" сыплются каждые несколько секунд следующие 2 ошибки: Имя журнала: System Источник: Schannel Дата: 31.03.2015 23:15:11 Код события: 36874 Категория задачи:Отсутствует Уровень: Ошибка Пользователь: СИСТЕМА Описание: Получен запрос на подключение TLS 1.0 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой. Имя журнала: System Источник: Schannel Дата: 31.03.2015 23:15:11 Код события: 36888 Категория задачи:Отсутствует Уровень: Ошибка Пользователь: СИСТЕМА Описание: Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40. Состояние ошибки Windows SChannel: 1205. 2. Microsoft Outlook 2007/2010/2013 через "MAPI over HTTPS" работают исправно. Отредактировано пользователем 31 марта 2015 г. 22:24:16(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
