Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы<123>
Настройка КриптоПро TLS в IIS 10 Windows 2016
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline vaceknt  
#11 Оставлено : 27 апреля 2018 г. 17:52:56(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добавил коревой сертификат сервера в доверенный сертификаты компьютера.
IE по прежнему не открывает страницу.

csptest.exe перестал возвращать ошибки:

Код:
C:\Windows\system32>"c:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server МОЙ_ХОСТ -port 443 -v -nosave -file login.aspx
15 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 0x800c
[8] 0x800d
[9] 0x800e
[10] 1.2.840.113549.1.1.1 (RSA)
[11] 1.2.840.113549.1.9.16.3.5 (ESDH)
[12] 0xae06
[13] 1.2.840.10040.4.1 (DSA)
[14] 0x2203
Cipher strengths: 256..256
Supported protocols: 0xa0a80
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 186
Cipher Suites: (c0 2c) (c0 2b) (c0 30) (c0 2f) (00 9f) (00 9e) (c0 24) (c0 23) (c0 28) (c0 27) (c0 0a) (c0 09) (c0 14) (c0 13) (00 39) (00 33) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a) (00 6a) (00 40) (00 38) (00 32) (00 13) (00 05) (00 04)
191 bytes of handshake data sent
1898 bytes of handshake data received
215 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 80, Suite: 32 (TLS_GOST_R_3410_WITH_28147_LEGACY)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GOST R 34.11-94), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2001), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2001), KeyType: 0
SECPKG_ATTR_NAMES: CN=МОЙ_ХОСТ
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: CN=МОЙ_ХОСТ
Valid  : 17.04.2018 13:12:00 - 17.07.2019 13:22:00 (UTC)
Issuer : OGRN=1037700085444, INN=007717107991, STREET="ул. Сущёвский вал, д. 18", S=77 г. Москва, L=Москва, E=info@cryptopro.ru, C=RU, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
PrivKey: 17.04.2018 13:12:00 - 17.07.2019 13:12:00 (UTC)

Protocol: TLS 1.0
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa47
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET /login.aspx HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: МОЙ_ХОСТ
Connection: close


Sending plaintext: 116 bytes
134 bytes of application data sent
13 bytes of (encrypted) application data received
Decrypted data: 0 bytes
Server requested renegotiate!
77 bytes of handshake data sent
4915 bytes of handshake data received
Server requested new credentials!

Trying to create new credential
Issuer  0: DC=com, DC=microsoft, CN=Microsoft Root Certificate Authority
Issuer  1: OU=Copyright (c) 1997 Microsoft Corp., OU=Microsoft Corporation, CN=Microsoft Root Authority
Issuer  2: C=US, S=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2011
Issuer  3: OGRN=1037700085444, INN=007717107991, STREET="ул. Сущёвский вал, д. 18", S=77 г. Москва, L=Москва, E=info@cryptopro.ru, C=RU, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Issuer  4: C=US, O="VeriSign, Inc.", OU=VeriSign Trust Network, OU="(c) 2006 VeriSign, Inc. - For authorized use only", CN=VeriSign Class 3 Public Primary Certification Authority - G5
Issuer  5: C=US, S=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
Issuer  6: E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Issuer  7: C=US, O=GeoTrust Inc., CN=GeoTrust Global CA
Issuer  8: O=Digital Signature Trust Co., CN=DST Root CA X3
Issuer  9: OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign
Issuer 10: C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
Issuer 11: C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
Issuer 12: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root CA
Issuer 13: C=US, O="thawte, Inc.", OU=Certification Services Division, OU="(c) 2006 thawte, Inc. - For authorized use only", CN=thawte Primary Root CA
Issuer 14: OU=GlobalSign Root CA - R2, O=GlobalSign, CN=GlobalSign
Issuer 15: C=US, O="VeriSign, Inc.", OU=Class 3 Public Primary Certification Authority
Issuer 16: C=PL, O=Unizeto Sp. z o.o., CN=Certum CA
Issuer 17: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert High Assurance EV Root CA
Issuer 18: C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority
Issuer 19: C=US, O="VeriSign, Inc.", OU=VeriSign Trust Network, OU="(c) 2008 VeriSign, Inc. - For authorized use only", CN=VeriSign Universal Root Certification Authority
Issuer 20: C=US, O="The Go Daddy Group, Inc.", OU=Go Daddy Class 2 Certification Authority
Issuer 21: C=PL, O=Unizeto Technologies S.A., OU=Certum Certification Authority, CN=Certum Trusted Network CA
Issuer 22: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Assured ID Root CA
Issuer 23: C=SE, O=AddTrust AB, OU=AddTrust External TTP Network, CN=AddTrust External CA Root
Issuers: 24, Length: 3027 bytes

Client certificate:
Subject: CN=Акашкин Василий Федорович, T=Федорович, G=Василий, SN=Акашкин
Valid  : 27.04.2018 07:30:00 - 27.07.2018 07:40:00 (UTC)
Issuer : OGRN=1037700085444, INN=007717107991, STREET="ул. Сущёвский вал, д. 18", S=77 г. Москва, L=Москва, E=info@cryptopro.ru, C=RU, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
PrivKey: 27.04.2018 07:30:00 - 27.07.2018 07:30:00 (UTC)

new schannel credential created
6 algorithms supported:
[0] 1.2.643.2.2.21 (GOST 28147-89)
[1] 1.2.643.2.2.3 (GOST R 34.11/34.10-2001)
[2] 1.2.643.7.1.1.2.2 (GOST R 34.11-2012 256 bit)
[3] 0x801f
[4] 0x2e1e
[5] 1.2.643.2.2.19 (GOST R 34.10-2001)
Cipher strengths: 256..256
Supported protocols: 0x80
dwProtocolMask: 0x800a0aaa
2226 bytes of handshake data sent
35 bytes of handshake data received
Handshake was successful
16402 bytes of (encrypted) application data received
Decrypted data: 16384 bytes
Extra data: 9 bytes
16393 bytes of (encrypted) application data received
Decrypted data: 16384 bytes
Extra data: 9 bytes
7841 bytes of (encrypted) application data received
Decrypted data: 7841 bytes
No data in socket: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
Sending Close Notify
11 bytes of handshake data sent
1 connections, 40609 bytes in 1.419 seconds;
Total: SYS: 0,188 sec USR: 0,141 sec UTC: 1,498 sec
[ErrorCode: 0x00000000]
Вверх
Offline Максим Коллегин  
#12 Оставлено : 27 апреля 2018 г. 17:54:31(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,433
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 38 раз
Поблагодарили: 737 раз в 634 постах
А как сделан клиентский сертификат? Какие в нём расширения?
Знания в базе знаний, поддержка в центре поддержки
Вверх
WWW
Offline vaceknt  
#13 Оставлено : 27 апреля 2018 г. 17:58:33(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Клиентский сертификат получен в том же тестовом УЦ.
В приложении файл сертификата. cert.zip (2kb) загружен 4 раз(а).

Информация о сертификате:
Protects e-mail messages
Proves your identity to a remote computer
Electronic signature tool KC1
Electronic signature tool KC2
Registration Authority user, HTTP, TLS clien

Отредактировано пользователем 27 апреля 2018 г. 17:59:28(UTC)  | Причина: Не указана
Вверх
Offline Максим Коллегин  
#14 Оставлено : 27 апреля 2018 г. 18:33:26(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,433
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 38 раз
Поблагодарили: 737 раз в 634 постах
Возможно какие-то сложности с правами\защищенным режимом IE?
Используется Edge или IE?
Ну и КриптоПро CSP у вас допотопный - установите последнюю версию CSP 4.0.9944
Знания в базе знаний, поддержка в центре поддержки
Вверх
WWW
Offline vaceknt  
#15 Оставлено : 27 апреля 2018 г. 18:52:48(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
>Возможно какие-то сложности с правами\защищенным режимом IE?
Тогда я не понимаю, почему тестовая страница работает в IE, а мой сайт в том же IE не может установить соединение.

>Используется Edge или IE?
Использую IE 10.0

>Ну и КриптоПро CSP у вас допотопный - установите последнюю версию CSP 4.0.9944
Подледную версию установить не могу, она не аккредитована ФСБ. Переустановливаю на 4.0.9842
Вверх
Offline Андрей Писарев  
#16 Оставлено : 27 апреля 2018 г. 23:12:13(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 14,112
Мужчина
Российская Федерация

Сказал «Спасибо»: 615 раз
Поблагодарили: 2381 раз в 1873 постах
Автор: vaceknt Перейти к цитате
Автор: Максим Коллегин Перейти к цитате
А клиентский сертификат подходящий есть?
Скорее всего выбирается не тот. Посмотрите в настройки IE про автовыбор сертификата клиента.


Да, клиентский сертификат есть, используя его я могу зайти на тестовую страницу https://www.cryptopro.ru:4444/test/tls-cli.asp

Меня больше всего смущает, что, если
В параметрах SSL проставьте флажок «Требовать SSL» (Require SSL) и укажите для сертификатов
клиента «Требовать» (Require) - не работает и пишет
This page can’t be displayed

•Make sure the web address https://tls4.otc.ru is correct.
•Look for the page with your search engine.
•Refresh the page in a few minutes.


Здравствуйте.

Вы настраивате на этом сервере?
Если Да - на нем сейчас сертификат RSA.

Или это временно\снаружи?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
thanks 1 пользователь поблагодарил Андрей * за этот пост.
vaceknt оставлено 28.04.2018(UTC)
Offline Максим Коллегин  
#17 Оставлено : 27 апреля 2018 г. 23:21:51(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,433
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 38 раз
Поблагодарили: 737 раз в 634 постах
В свойствах SSL IE оставьте только TLS 1.0.
Сертификат клиента предлагает выбрать?
И установите пароль на клиентский контейнер, чтобы понимать, есть обращение к ключу или нет.

Отредактировано пользователем 27 апреля 2018 г. 23:26:13(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в центре поддержки
Вверх
WWW
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
vaceknt оставлено 28.04.2018(UTC)
Offline Андрей Писарев  
#18 Оставлено : 27 апреля 2018 г. 23:57:36(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 14,112
Мужчина
Российская Федерация

Сказал «Спасибо»: 615 раз
Поблагодарили: 2381 раз в 1873 постах
Еще проверьте в IE:

"Дополнительно", раздел "Безопасность", отключить:
"Предупреждать о не соответствии адреса сертификата",
"Проверять аннулирование сертификатов издателей",
"Проверять, не отозван ли сертификат с сервера"

После проверки - восстановите значения.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
thanks 1 пользователь поблагодарил Андрей * за этот пост.
vaceknt оставлено 28.04.2018(UTC)
Offline Андрей Писарев  
#19 Оставлено : 28 апреля 2018 г. 0:05:22(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 14,112
Мужчина
Российская Федерация

Сказал «Спасибо»: 615 раз
Поблагодарили: 2381 раз в 1873 постах
В Личных - 1 тестовый сертификат?
Попробуйте еще один получить, чтобы был диалоге и 2 сертификата
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline vaceknt  
#20 Оставлено : 28 апреля 2018 г. 0:15:19(UTC)
vaceknt

Статус: Участник

Группы: Участники
Зарегистрирован: 27.04.2018(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Автор: Андрей Писарев Перейти к цитате
Автор: vaceknt Перейти к цитате
Автор: Максим Коллегин Перейти к цитате
А клиентский сертификат подходящий есть?
Скорее всего выбирается не тот. Посмотрите в настройки IE про автовыбор сертификата клиента.


Да, клиентский сертификат есть, используя его я могу зайти на тестовую страницу https://www.cryptopro.ru:4444/test/tls-cli.asp

Меня больше всего смущает, что, если
В параметрах SSL проставьте флажок «Требовать SSL» (Require SSL) и укажите для сертификатов
клиента «Требовать» (Require) - не работает и пишет
This page can’t be displayed

•Make sure the web address https://tls4.otc.ru is correct.
•Look for the page with your search engine.
•Refresh the page in a few minutes.


Здравствуйте.

Вы настраивате на этом сервере?
Если Да - на нем сейчас сертификат RSA.

Или это временно\снаружи?


tls4 - это 4-ая попытка поставить нужный сертификат.

У сайта был RSA сертификат binding для доменаА, я добавлял для того же сайта доменБ с binding ГОСТ.
Кроме этого я делал несколько версий, получая данные по инструкции (отсюда появился tls4)
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET