Лицензия в порядке?
Можно включить еще более расширенный trace ssl - будет писать в eventlog.

Windows Registry Editor Version 5.00

Windows Registry Editor Version 5.00

Quote:
[HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Cryptography\CurrentVersion\debug]
"cpsspap"=dword:000000ff
"cpsspap_fmt"=dword:000000ff

это включите тоже.

просто в логе не было событий из этого лога.

А можно еще вопросик? Правда, на этот раз, он, похоже не сильно связан с КриптоПро (серверный сертификат - RSA). Но csptest тоже не работает.
Вот лог:

CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Windows CPU:IA32 FastCode:READY,ENABLED.
c:\Program Files\Crypto Pro\CSP\csptest -tlsc -server auth.kontur.ru -v -v
8 algorithms supported:
[0] 1.2.840.113549.3.4 (rc4)
[1] 1.2.840.113549.3.7 (3des)
[2] 1.2.840.113549.3.2 (rc2)
[3] 1.3.14.3.2.7 (des)
[4] 1.2.840.113549.2.5 (md5)
[5] 1.3.14.3.2.26 (sha1)
[6] 1.2.840.113549.1.1.1 (RSA)
[7] 1.2.840.113549.1.9.16.3.5 (ESDH)
Cipher strengths: 256..256
Supported protocols: 0x800000a8
No SetCredentialsAttributes
ClientHello: RecordLayer: SSL, Len: 70
Cipher Suites: (81 00 00) (80 00 00) (32 00 00) (09 00 00) (40 00 06) (64 00 00) (62 00 00) (03 00 00) (06 00 00) (80 00 02) (80 00 04) (13 00 00) (12 00 00) (63 00 00) (ff 00 00)
72 bytes of handshake data sent
0000 80 46 01 03 01 00 2d 00:00 00 10 00 00 81 00 00 .F....-.........
0010 80 00 00 32 00 00 09 06:00 40 00 00 64 00 00 62 ...2.....@..d..b
0020 00 00 03 00 00 06 02 00:80 04 00 80 00 00 13 00 ................
0030 00 12 00 00 63 00 00 ff:12 d8 21 7d 34 c8 87 8f ....c.....!}4...
0040 af ec dc fd ae f2 f5 95: ........

**** Server unexpectedly disconnected
An error occurred in running the program.
.\WebClient.c:409:Error performing handshake.
Error number 0x80090304 (2148074244).
Не удается установить связь с локальным администратором безопасности

Total: SYS: 0,063 sec USR: 0,063 sec UTC: 0,437 sec
[ErrorCode: 0x80090304]


В ие - невозможно отобразить страницу (ошибка - ERROR_INTERNET_SECURITY_CHANNEL_ERROR).
Сервер - винда 2008r2+IIS. Клиент - винда XP.

Еще есть nix сервер с nginx'ом. Там тот же сертификат, но все работает.
Полный лог csptest - в аттаче.
Там интересно вот что:

Protocol: TLS1
Cipher: DES
Cipher strength: 56
Hash: SHA
Hash strength: 160
Key exchange: RSA
Key exchange strength: 2048

В то время как у меня на XP:
Protocol: TLS 1.0
Cipher: Triple DES
Cipher strength: 168
Hash: SHA
Hash strength: 160
Key exchange: RSA
Key exchange strength: 2048

Ну и, собственно, набор Cipher Suites отличается. У неработающего клиента отсутствуют (10 00 00) (04 00 00) (05 00 00) (0a 00 00) (80 00 01) (c0 00 07) (80 00 03) и присутствуют (63 00 00) (ff 00 00)
Если я правильно понимаю, то, например, (63 00 00) - это TLS_DHE_DSS_EXPORT1024_WITH_DES_CBC_SHA и она отключена по умолчанию.

Нашел, как можно включить/отключить некоторые ciphersuites через реестр (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\), но на клиенте в этой ветке все параметры - по умолчанию. А так же через групповые политики (http://msdn.microsoft.com/en-us/library/bb870930(VS.85).aspx), но в XP таких политик нет.

Что может таким образом влиять на установление ssl соединения?


p.s. Почему Cipher Suites в XP отображаются как 3 байта, а в семерке - как 2 байта?

Отредактировано пользователем 9 августа 2011 г. 14:28:07(UTC)  | Причина: Не указана

kerberos
msv1_0
wdigest
cpssl