Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline 13xforever  
#1 Оставлено : 21 апреля 2009 г. 17:14:30(UTC)
13xforever

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.04.2008(UTC)
Сообщений: 38
Мужчина
Откуда: Екатеринбург. СКБ Контур

Сказал «Спасибо»: 1 раз
Проявлялась в том, что при запросе по https, не было ответа от сервера, при этом соединение не рвалось. Ошибок нигде залогировано не было. В чём проблема не очень понятно.
Откат к предыдущей сборке (3.6.5236) решает проблему.
Кроме того, в панели управления у надписи "запустить с правами администратора" пропал значок UAC.
Сертификаты пришлось переустанавливать, ибо не работало. Т.е. удалить контейнеры с закрытыми ключами и сами сертификаты из хранилищ, после чего вернуть закрытые ключи и установить сертификаты. Причём, если не удалять хранилища и если сертификат уже стоял, то выдавалась ошибка (keyset is not defined), а не предлагалось связать его с этим самым хранилищем.
Offline Максим Коллегин  
#2 Оставлено : 21 апреля 2009 г. 17:44:54(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Можно подробнее про ssl: какой клиент, сервер, настройки сервера, используемые сертификаты?
помогало ли отключение UAC?

Отредактировано пользователем 21 апреля 2009 г. 17:47:02(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#3 Оставлено : 21 апреля 2009 г. 18:12:55(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
По поводу переустановки сертификата: если ставить из мастера просмотра сертификата - то сертификат в хранилище не перезапишется (Особенность ОС).
Если мастером установки личного сертификата - то перезапишется с вопросом.
Необходимость переустановки сертификата связана скорее всего с тем, что сертификаты были связаны с провайдером "Crypto-Pro GOST R 34.10-2001 KC1 CSP", который не добавлялся в релиз-кандидате.

Отредактировано пользователем 21 апреля 2009 г. 18:19:24(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#4 Оставлено : 21 апреля 2009 г. 19:01:26(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Проблему с SSL воспроизвести не удается.
Знания в базе знаний, поддержка в техподдержке
Offline 13xforever  
#5 Оставлено : 22 апреля 2009 г. 1:16:50(UTC)
13xforever

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.04.2008(UTC)
Сообщений: 38
Мужчина
Откуда: Екатеринбург. СКБ Контур

Сказал «Спасибо»: 1 раз
Win7 build 7000, 64-бита, IIS 7.5, ASP.NET 3.5.1
UAC включен, завтра попробую отключить, но с 5236 билдом всё работает и так.
В IIS со стандартными настройками добавляю биндинг для SSL (0.0.0.0:443), выбираю серверный сертификат крипто про (ГОСТ Р 34.10-2001). На веб-сайт и все приложения устанавливается опция Accept.
Отключена проверка отзыва сертификата клиента (хотя, после пересоздания биндинга она сбрасывается, так что и так и так не работает).
Offline 13xforever  
#6 Оставлено : 22 апреля 2009 г. 1:19:39(UTC)
13xforever

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.04.2008(UTC)
Сообщений: 38
Мужчина
Откуда: Екатеринбург. СКБ Контур

Сказал «Спасибо»: 1 раз
maxdm написал:
Необходимость переустановки сертификата связана скорее всего с тем, что сертификаты были связаны с провайдером "Crypto-Pro GOST R 34.10-2001 KC1 CSP", который не добавлялся в релиз-кандидате.


...который не добавлялся в релиз-кандидате... Eh? вот здесь можно поподробней? У нас вроде все сертификаты его используют и по крайней мере клиентский CSP работает нормально.
Offline Максим Коллегин  
#7 Оставлено : 22 апреля 2009 г. 1:38:09(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
Доступен только провайдер Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider.
Попробуйте создать все сертификаты сразу с ним. ( и для IIS необходимо ставить библиотеку уровня ядра )
Совместимость с 3.0 в новых билдах будет исправлена. Если будет приличная сборка - завтра могу выслать.
Знания в базе знаний, поддержка в техподдержке
Offline 13xforever  
#8 Оставлено : 22 апреля 2009 г. 14:05:07(UTC)
13xforever

Статус: Активный участник

Группы: Участники
Зарегистрирован: 15.04.2008(UTC)
Сообщений: 38
Мужчина
Откуда: Екатеринбург. СКБ Контур

Сказал «Спасибо»: 1 раз
Драйверную библиотеку уровня ядра, естественно, ставили.
Совместимость с Крипто Про 3.0 в последнее время не ставлю, вроде, работает и без неё.

Сегодня в системных логах нашёл вот такую строчку, помеченную как ошибка:
Windows Installer removed the product. Product Name: КриптоПро CSP. Product Version: 3.6.5329. Product Language: 1049. Manufacturer: Компания Крипто-Про. Removal success or error status: 1602.
Но удалял я его несколько раз, а ошибка есть только одна, так что не знаю, критично это или нет.

Отключение UAC, как и ожидалось, ничего не даёт. К сожалению, у меня одного стоит Win7, так что проверить больше нет на ком.
Offline Demonix  
#9 Оставлено : 27 апреля 2009 г. 3:24:24(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Тоже пробовал билд 5329 на Win7 build 7068 x86, а также на Win7 build 7100 x64: ни там ни там SSL в IIS не работает (при открытии веб узла - "Невозможно отобразить страницу").
IIS был настроен так, чтобы не требовать сертификат, а просто организовавывать защищенное соединение.

С билдом 5347 заработало Win7 build 7100 x64. На Win7 build 7068 x86 не проверял, т.к. не было 32-разрядной версии КриптоПро.
Offline Максим Коллегин  
#10 Оставлено : 27 апреля 2009 г. 11:11:55(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,392
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
http://www.cryptopro.ru/...?g=posts&m=6517#6517
Цитата:
Known Issues:
MS изменили системные хэдеры, нигде их неопубликовав, - возможна нестабильная работа SSL

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.