Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline RGolev  
#11 Оставлено : 31 марта 2015 г. 12:16:09(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Автор: maxdm Перейти к цитате
В первой версии патча для шифрования пирожков будет использоваться первый попавшийся RSA сертификат из хранилище My локального компьютера. Переписывать функции целиком пока не вижу смысла.

Так они там все RSA. А пирожки на каком "отрезке" шифруются?
Offline Максим Коллегин  
#12 Оставлено : 31 марта 2015 г. 12:32:36(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Как все, а ГОСТовый где?
Не понял про "отрезок".
Знания в базе знаний, поддержка в техподдержке
Offline RGolev  
#13 Оставлено : 31 марта 2015 г. 12:53:04(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Автор: maxdm Перейти к цитате
Как все, а ГОСТовый где?
Не понял про "отрезок".

ГОСТовский там один и он на месте.

Перечень RSA-сертификатов:
1. Самовыданный неким УЦ "Exchange Server" сертификат, необходимый для свзи имеющегося "пограничного транспортного сервера" с CAS/MBX. Они только через эти самовыданные сертификаты умеют шифроваться.
2. Сертификат, выдаваемый через групповую политику локальным Microsoft CA с шаблоном Machine. Сейчас его использование сводится к организации шифрованного RDP до CAS/MBX. Не критично, можно его зачистить и групповую политику для сервера перекрыть.
3. Основной сертификат для IIS, который даже после установки ГОСТовского "отсвечивает" на 444-м порту HTTPS для сайта "Exchange Back End".
4. Сертификат "Microsoft Exchange Server Auth Certificate". Не знаю для чего он (действет до 2020 года).
5. Сертифкат "WMSvc-EXCHANGE2013". Не знаю для чего он (действет до 2025 года).

У перечисленных сертификатов и сроки действия разные и только один из них с "нормальным" аттрибутом san:dns.

По поводу "отрезка": шифрование пирожков идёт внутри сервера и ни как уже не связано с взаимодействием клиент-сервер? Если клиент будет использовать один из перечисленных выше пяти сертификатов, то ему же надо доерять УЦ, выдавшему его. Поэтому и спроил про "отрезок".
Offline Максим Коллегин  
#14 Оставлено : 31 марта 2015 г. 15:12:45(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
пирожки шифруются сервером для себя самого и в зашифрованном виде добавляются в запросы клиентам, как обычные кукисы. ничего дополнительно настраивать не нужно.
Знания в базе знаний, поддержка в техподдержке
Offline RGolev  
#15 Оставлено : 31 марта 2015 г. 15:20:36(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Автор: maxdm Перейти к цитате
пирожки шифруются сервером для себя самого и в зашифрованном виде добавляются в запросы клиентам, как обычные кукисы. ничего дополнительно настраивать не нужно.

Ну тогда пусть первый попавшийся RSA-сертификат хватается. Проверим.
Offline Максим Коллегин  
#16 Оставлено : 31 марта 2015 г. 15:28:36(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Вот alpha версия. Вообще не тестировалась, жалко наш боевой Exchange.
https://cloud.mail.ru/pu...d17f449300d/NETSetup.exe
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
RGolev оставлено 01.04.2015(UTC)
Offline MCR  
#17 Оставлено : 31 марта 2015 г. 15:36:48(UTC)
MCR

Статус: Активный участник

Группы: Участники
Зарегистрирован: 06.03.2012(UTC)
Сообщений: 177

Сказал(а) «Спасибо»: 57 раз
Поблагодарили: 11 раз в 8 постах
Автор: RGolev Перейти к цитате
Автор: maxdm Перейти к цитате
Печеньки нужно доломать, займет максимум неделю, осталось выяснить коммерческий интерес этой работы.

Для нас (Территориальный фонд обязательного медицинского страхования Пермского края) есть очень даже коммерческий интерес - дальнейшее использование Exchange Server с ГОСТовским шифрованием (HTTPS) и квалифицированной электронной подписью (S/MIME) или переход на "Деловую почту ViPNet". Второй вариант придётся реализовывать с нуля и заставлять покупать больнички Пермского края (работающие в системе обязательного медицинского страхования) как минимум по одному ViPNet-клиенту за 8 т.р. за 1 шт. При том что ViPNet - "не поворотливое" и не гибкое решение. А тут мы можем одновременно работать и с "обычной" почтой и стоит всего 1800 руб. А те, кто ЭП не используют, то вообще на триальной лицензии могут сидеть.
Кроме того, Федеральный фонд ОМС произвел аккредитацию только УЦ КриптоПро, а ViPNet у них так и не аккредитованный стоит.


Интересно, каким образом потом устраивать экспертизу (S/MIME) с у. квалифицированной электронной подписью. Для реализации этой цели появились сертифицированные средства?

P.S.
Автор: maxdm Перейти к цитате
Печеньки нужно доломать, займет максимум неделю, осталось выяснить коммерческий интерес этой работы.

Пирожки, печеньки. Аж, есть захотелось. :)

Что означают эти сленговые слова?

Отредактировано пользователем 31 марта 2015 г. 15:41:53(UTC)  | Причина: Не указана

Offline RGolev  
#18 Оставлено : 31 марта 2015 г. 15:44:51(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
Автор: maxdm Перейти к цитате
Вот alpha версия. Вообще не тестировалась, жалко наш боевой Exchange.
https://cloud.mail.ru/pu...d17f449300d/NETSetup.exe

Старый КриптоПро .NET удалять или поверх можно ставить?
Offline Максим Коллегин  
#19 Оставлено : 31 марта 2015 г. 16:50:34(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
можно и поверх.
cookies - кукисы - печеньки.
Знания в базе знаний, поддержка в техподдержке
Offline RGolev  
#20 Оставлено : 31 марта 2015 г. 21:31:44(UTC)
RGolev

Статус: Участник

Группы: Участники
Зарегистрирован: 27.03.2015(UTC)
Сообщений: 13
Мужчина
Российская Федерация
Откуда: г. Пермь

Сказал «Спасибо»: 1 раз
Поблагодарили: 2 раз в 1 постах
1. OWA и Exchange Admin Center (/ecp) работают нормально. Единственное, что на сервере CAS/MBX в журнале "Система" сыплются каждые несколько секунд следующие 2 ошибки:
Имя журнала: System
Источник: Schannel
Дата: 31.03.2015 23:15:11
Код события: 36874
Категория задачи:Отсутствует
Уровень: Ошибка
Пользователь: СИСТЕМА
Описание:
Получен запрос на подключение TLS 1.0 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой.


Имя журнала: System
Источник: Schannel
Дата: 31.03.2015 23:15:11
Код события: 36888
Категория задачи:Отсутствует
Уровень: Ошибка
Пользователь: СИСТЕМА
Описание:
Оповещение о неустранимой ошибке было создано и отправлено удаленной конечной точке. Это может привести к разрыву соединения. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 40. Состояние ошибки Windows SChannel: 1205.


2. Microsoft Outlook 2007/2010/2013 через "MAPI over HTTPS" работают исправно.

Отредактировано пользователем 31 марта 2015 г. 22:24:16(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.