Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы123>
Настройка КриптоПро TLS в IIS 10 Windows 2016
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline vaceknt  
#1 Оставлено : 27 апреля 2018 г. 14:49:00(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый день.

Возникли проблемы с настройкой TLS в IIS 10.


Получил тестовый сертификат (https://www.cryptopro.ru/ui/Register/RegCreateCertRequest.asp) :
п.1
Общее имя = имя сайта
п.2
Шаблон сертификата = Сертификат сервера
CSP = Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider
Размер = 512
Алгоритм хэш = GOST R 34.11-94

Сохранил в реестр, пароль - пустой.

С помощью КриптоПро - Сервис - копирование контейнера закрытого ключа, перенес сертификат в Local Computer - Personal

В IIS добавил Binding:
Host name = Общее имя (из сертификата)
SSL certificate = Полученный сертификат

Если выставить в IIS настройки SSL: Require SSL: Да + Client certificates: Ignore, то сайт открывается, если же
Client certificates = Accept, то в IE пишет "This page can’t be displayed"

Что необходимо сделать, чтобы при открытии сайта запрашивался сертификат, как на тестовой странице: https://www.cryptopro.ru:4444/test/tls-cli.asp
Вверх
Offline Андрей Емельянов  
#2 Оставлено : 27 апреля 2018 г. 15:10:26(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Добрый день.
При настройке можно воспользоваться документацией к КриптоПро CSP "..Инструкция по использованию. Windows.pdf"
4. Описание использования, настроек и управления ключами модуля сетевой аутентификации КриптоПро TLS

Комплект документации доступен на сайте:
https://www.cryptopro.ru...files/docs/csp40/doc.zip
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Вверх
Offline Максим Коллегин  
#3 Оставлено : 27 апреля 2018 г. 15:12:02(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,433
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 38 раз
Поблагодарили: 737 раз в 634 постах
А клиентский сертификат подходящий есть?
Скорее всего выбирается не тот. Посмотрите в настройки IE про автовыбор сертификата клиента.
Знания в базе знаний, поддержка в центре поддержки
Вверх
WWW
Offline vaceknt  
#4 Оставлено : 27 апреля 2018 г. 15:34:42(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: Максим Коллегин Перейти к цитате
А клиентский сертификат подходящий есть?
Скорее всего выбирается не тот. Посмотрите в настройки IE про автовыбор сертификата клиента.


Да, клиентский сертификат есть, используя его я могу зайти на тестовую страницу https://www.cryptopro.ru:4444/test/tls-cli.asp

Меня больше всего смущает, что, если
В параметрах SSL проставьте флажок «Требовать SSL» (Require SSL) и укажите для сертификатов
клиента «Требовать» (Require) - не работает и пишет
This page can’t be displayed

•Make sure the web address https://tls4.otc.ru is correct.
•Look for the page with your search engine.
•Refresh the page in a few minutes.
Вверх
Offline vaceknt  
#5 Оставлено : 27 апреля 2018 г. 15:36:57(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: Андрей Емельянов Перейти к цитате
Добрый день.
При настройке можно воспользоваться документацией к КриптоПро CSP "..Инструкция по использованию. Windows.pdf"
4. Описание использования, настроек и управления ключами модуля сетевой аутентификации КриптоПро TLS

Комплект документации доступен на сайте:
https://www.cryptopro.ru...files/docs/csp40/doc.zip


Повторил действия согласно инструкции, результат такой-же. Если требовать клиентский серткификат - браузер не может установить соединение с сервером.
PS проверяю все на одной машине, т.е. открываю страницу IIS в браузере IE на той же машине.
Вверх
Offline vaceknt  
#6 Оставлено : 27 апреля 2018 г. 16:12:43(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
> А клиентский сертификат подходящий есть?
Да. проверял его на тестовой странице: https://www.cryptopro.ru:4444/test/tls-cli.asp
Вверх
Offline Андрей Емельянов  
#7 Оставлено : 27 апреля 2018 г. 16:25:25(UTC)
Андрей Емельянов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 11.03.2013(UTC)
Сообщений: 805
Мужчина
Российская Федерация
Откуда: Оттуда

Сказал «Спасибо»: 4 раз
Поблагодарили: 148 раз в 144 постах
Укажите версию ОС.
Запустите cmd от того же пользователя, что и браузер IE, приложите вывод:
Версия провайдера:
Код:
"c:\Program Files\Crypto Pro\CSP\csptest.exe" -oid -general

Проверка модуля tls:
Код:
"c:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server <server_name> -port <port> -v -nosave
Техническую поддержку оказываем тут
Наша база знаний
Наша страничка в Instagram
Вверх
thanks 1 пользователь поблагодарил Андрей Емельянов за этот пост.
vaceknt оставлено 28.04.2018(UTC)
Offline vaceknt  
#8 Оставлено : 27 апреля 2018 г. 16:44:16(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Windows Server 2016 Stanard (x64)

Код:
C:\Windows\system32>"c:\Program Files\Crypto Pro\CSP\csptest.exe" -oid -general
CSP (Type:80) v4.0.9007 KC1 Release Ver:4.0.9758 OS:Windows CPU:AMD64 FastCode:READY:AVX.
CryptAcquireContext succeeded.HCRYPTPROV: 10023024
Total: SYS: 0,016 sec USR: 0,047 sec UTC: 0,053 sec
[ErrorCode: 0x00000000]


Код:
C:\Windows\system32>"c:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server МОЙ_ХОСТ -port 443 -v -nosave -file login.aspx
15 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 0x800c
[8] 0x800d
[9] 0x800e
[10] 1.2.840.113549.1.1.1 (RSA)
[11] 1.2.840.113549.1.9.16.3.5 (ESDH)
[12] 0xae06
[13] 1.2.840.10040.4.1 (DSA)
[14] 0x2203
Cipher strengths: 256..256
Supported protocols: 0xa0a80
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 186
Cipher Suites: (c0 2c) (c0 2b) (c0 30) (c0 2f) (00 9f) (00 9e) (c0 24) (c0 23) (c0 28) (c0 27) (c0 0a) (c0 09) (c0 14) (c0 13) (00 39) (00 33) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a) (00 6a) (00 40) (00 38) (00 32) (00 13) (00 05) (00 04)
191 bytes of handshake data sent
1898 bytes of handshake data received
215 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 80, Suite: 32 (TLS_GOST_R_3410_WITH_28147_LEGACY)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GOST R 34.11-94), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2001), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2001), KeyType: 0
SECPKG_ATTR_NAMES: CN=МОЙ_ХОСТ
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: CN=sМОЙ_ХОСТ
Valid  : 17.04.2018 13:12:00 - 17.07.2019 13:22:00 (UTC)
Issuer : OGRN=1037700085444, INN=007717107991, STREET="ул. Сущёвский вал, д. 18", S=77 г. Москва, L=Москва, E=info@cryptopro.ru, C=RU, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
PrivKey: 17.04.2018 13:12:00 - 17.07.2019 13:12:00 (UTC)

Protocol: TLS 1.0
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa47
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET /login.aspx HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: МОЙ_ХОСТ
Connection: close


Sending plaintext: 116 bytes
134 bytes of application data sent
13 bytes of (encrypted) application data received
Decrypted data: 0 bytes
Server requested renegotiate!
77 bytes of handshake data sent
4581 bytes of handshake data received
Server requested new credentials!

Trying to create new credential
Issuer  0: DC=com, DC=microsoft, CN=Microsoft Root Certificate Authority
Issuer  1: OU=Copyright (c) 1997 Microsoft Corp., OU=Microsoft Corporation, CN=Microsoft Root Authority
Issuer  2: C=US, S=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2011
Issuer  3: C=US, O="VeriSign, Inc.", OU=VeriSign Trust Network, OU="(c) 2006 VeriSign, Inc. - For authorized use only", CN=VeriSign Class 3 Public Primary Certification Authority - G5
Issuer  4: C=US, S=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
Issuer  5: E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Issuer  6: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
Issuer  7: O=Digital Signature Trust Co., CN=DST Root CA X3
Issuer  8: OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign
Issuer  9: C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
Issuer 10: C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
Issuer 11: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
Issuer 12: C=US, O="thawte, Inc.", OU=Certification Services Division, OU="(c) 2006 thawte, Inc. - For authorized use only", CN=thawte Primary Root CA
Issuer 13: OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
Issuer 14: C=US, O="VeriSign, Inc.", OU=Class 3 Public Primary Certification Authority
Issuer 15: C=PL, O=Unizeto Sp. z o.o., CN=Certum CA
Issuer 16: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA
Issuer 17: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority
Issuer 18: C=US, O="VeriSign, Inc.", OU=VeriSign Trust Network, OU="(c) 2008 VeriSign, Inc. - For authorized use only", CN=VeriSign Universal Root Certification Authority
Issuer 19: C=US, O="The Go Daddy Group, Inc.", OU=Go Daddy Class 2 Certification Authority
Issuer 20: C=PL, O=Unizeto Technologies S.A., OU=Certum Certification Authority, CN=Certum Trusted Network CA
Issuer 21: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA
Issuer 22: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Issuers: 23, Length: 2691 bytes

Can not find client certificate with received issuers, trying server certificate Issuer Name
Issuer  0: OGRN=1037700085444, INN=007717107991, STREET="ул. Сущёвский вал, д. 18", S=77 г. Москва, L=Москва, E=info@cryptopro.ru, C=RU, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Issuers: 1, Length: 336 bytes

Client certificate:
Subject: CN=Акашкин Василий Федорович, T=Федорович, G=Василий, SN=Акашкин
Valid  : 27.04.2018 07:30:00 - 27.07.2018 07:40:00 (UTC)
Issuer : OGRN=1037700085444, INN=007717107991, STREET="ул. Сущёвский вал, д. 18", S=77 г. Москва, L=Москва, E=info@cryptopro.ru, C=RU, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
PrivKey: 27.04.2018 07:30:00 - 27.07.2018 07:30:00 (UTC)

new schannel credential created
6 algorithms supported:
[0] 1.2.643.2.2.21 (GOST 28147-89)
[1] 1.2.643.2.2.3 (GOST R 34.11/34.10-2001)
[2] 1.2.643.7.1.1.2.2 (GOST R 34.11-2012 256 bit)
[3] 0x801f
[4] 0x2e1e
[5] 1.2.643.2.2.19 (GOST R 34.10-2001)
Cipher strengths: 256..256
Supported protocols: 0x80
dwProtocolMask: 0x800a0aaa
2226 bytes of handshake data sent
35 bytes of handshake data received
Handshake was successful
5351 bytes of (encrypted) application data received
Decrypted data: 5342 bytes
No data in socket: OK if file is completely downloaded
Reply status: HTTP/1.1 403 Forbidden
An error occurred in running the program.
WebClient.c:2199:Bad HTTP status.
Error number 0x0 (0).
The operation completed successfully.

HttpsGetFile: 0x00000193
An error occurred in running the program.
WebClient.c:730:Error fetching file from server.
Error number 0x193 (403).
The process is not in background processing mode.

Total: SYS: 0,281 sec USR: 0,141 sec UTC: 37,647 sec
[ErrorCode: 0x00000193][/quote]

Отредактировано пользователем 27 апреля 2018 г. 16:45:20(UTC)  | Причина: Не указана
Вверх
Offline vaceknt  
#9 Оставлено : 27 апреля 2018 г. 16:49:34(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Дополнение: при вызове csptest.exe появилось окно предурпеждения:
Capture.PNG (64kb) загружен 12 раз(а).
Вверх
Offline Максим Коллегин  
#10 Оставлено : 27 апреля 2018 г. 17:33:46(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,433
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 38 раз
Поблагодарили: 737 раз в 634 постах
А IE не будет предлагать выбирать такой сертификат. Корневой сертификат серверного сертификата IIS добавлен в хранилище доверенных КОМПЬЮТЕРА?
Знания в базе знаний, поддержка в центре поддержки
Вверх
WWW
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
vaceknt оставлено 28.04.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET