Статус: Новичок
Группы: Участники
Зарегистрирован: 27.02.2008(UTC)
Сообщений: 7
|
Здравствуйте, у нас появились некоторые затруднения с КриптоПро
Имеется машина с установленным КриптоПро. Имеетя Internet Explorer. Загружаем эксплорером страницу с апплетом по SSL с клиентской аутентификацией. Клиентская аутентификация производится по RSA сертификатам (это важно), которые лежат на etoken и закрытые ключи которых выгружать нельзя. В Java Control Panel установлен флаг "Use certificates and keys in browser keystore". При этом в системе установлено несколько гостовых сертификатов, которые в рассматриваемой системе никак не используются, но удалить их нельзя.
Когда мы загружаем саму страницу, всё проходит гладко: выбираем RSA сертифкат из списка сертификатов, предложенных браузером, заходим.
Но когда начинает грузиться апплет (а для этого браузерная JRE открывает новую сессию и, соответственно, проходит все этапы установлки SSL-соединения, включая аутентификацию), происходят странные вещи. А именно: начинают вылезать окна криптопро с просьбой вставить ключи. По одному для каждого гостового сертификата. Соответственно, сколько сертификатов, столько раз жмём "Отмена". После того, как все сертификаты перебраны, появляется долгожданное окно JRE с предложением выбрать один из установленных сертификатов RSA и дальше всё идёт гладко.
Вопрос: как бы избавиться от этих запросов гостовых ключей?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519  Откуда: Крипто-Про
|
ekelhaft написал:Вопрос: как бы избавиться от этих запросов гостовых ключей? Если вопрос поставлен именно так, а не, почему запрашиваются все сертификаты из хранилища. Можно попробовать: 1. удалить привязку к ключам 2. все-таки попробовать удалить сертификаты, которыми вы не пользуетесь можно попробовать: 3. в настройках КриптоПро CSP поставить минимальное время ожидание ответа пользователя (вкладка Дополнительно) 4. посмотреть на веб-сервере нет ли в хранилище "Доверенные корневые цс" корневых сертификатов, которыми подписаны клиентские сертификаты... Отредактировано пользователем 30 июня 2009 г. 19:09:53(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.02.2008(UTC)
Сообщений: 7
|
На сервере абсолютно точно зарегистрирован только корневой сертификат УЦ, который делает RSA сертификаты.
Мы не можем удалять привязки к ключам, удалять сертификаты и менять время ожидания, тк гостовые сертификаты тоже используются на этой машине.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
А на сервере КриптоПро CSP установлен?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 27.02.2008(UTC)
Сообщений: 7
|
Нет, на сервере криптопро нет и в помине
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 720 раз в 624 постах
|
Насколько я понимаю - проблема в JRE - он не фильтрует клиентские сертификаты по списку издателей, предоставляемых сервером.
Можно попробовать ограничить использование ГОСТ - сертификатов (свойства сертификата в оснастке -> разрешить только следующие назначения -> снять крыжик с "проверка подлинности клиента"). Хотя, вполне возможно, что JRE не фильтрует и по назначениям. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
