Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline Sukhov  
#21 Оставлено : 15 декабря 2009 г. 19:02:03(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Место: Москва

Челпанов А. написал:

1. Клиент ГОСТ сервер RSA и наоборот работать не будет, только RSA-RSA, ГОСТ-ГОСТ.
2. Проверьте что сертификат сервера сгенерирован и установлен в LocalMachine а не в current user,
3. Аналогично, что Root сертификат на сервре установлен в LocalMachine, а не в current user,
4. Проверьте, что на клиенте (и при двух сторонней аутентификации и на сервере то же) установлен CRL или есть доступ к CDP.
5. Некоторые приложения любят проверять, что CN сертификата сервера соответствует имени сервера.
6. Проверьте, что в серверном сертификате KeyUsage - "Проверка подлинности сертификата сервера".


1. Спасибо, буду знать.
2.
а. Сори за тёмность :) но как его установить в LocalMachine? До этого когда я генерировал RSA я получал pfx и через оснастку mmc
мог установить его в любое хранилище. Теперь при генерации с сайта, гостовский сразу пишется на токен/реестр (не важно).
Через "Панель управления" - "крипто про" - "сервис" я могу его публичную часть закинуть в хранилище пользователя, но
не LocalMachine :(. Экспортировать как pfx тоже не получается, даже есть при генерации пометить как экспортируемый, но
я так понимаю это и правильно? Если я вставляю с хранилище пользователя, потом экспортирую не полный а только публичный
и вставляю в хранилище машины, то он теряет связь с закрытым.
3. Сделано.
4. Проверка на отзыв отключена с обоих сторон.
5. Не проверяет.
6. Да. Есть. Выбирал при генерации на сайте и проверил по факту в готовом ключе.

пункты 4-5 не проверяются, когда генерировал RSA там была забита белеберда и никакой проверки в CRL (список отзывая, или я напутал?)

по поводу LocalMachine, при RSA все было в хранилище пользователя и работало, т.к. запускал как консольное приложение.
или для гостовских какие то особые требования по поводу LocalMachine
Offline Челпанов А.  
#22 Оставлено : 15 декабря 2009 г. 19:10:41(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Цитата:
а. но как его установить в LocalMachine?

Вариант 1. При генерации сразу установить галачку "Использовать локальное хранилище компьютера для сертификата".
Вариант 2. Через контрольную панель КриптоПро/Сервис/Просмотреть сертификаты в контейнере/Выбрать/Далее/Установить...
Цитата:
по поводу LocalMachine, при RSA все было в хранилище пользователя и работало, т.к. запускал как консольное приложение.
или для гостовских какие то особые требования по поводу LocalMachine

Сервер как консольное приложение? Тогда скорее всего не в LocalMachine дело.

Что за приложение и чем оно пользуется? SSL, Https, WCF?
С уважением, Александр.
Offline Sukhov  
#23 Оставлено : 15 декабря 2009 г. 19:39:18(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Место: Москва

Челпанов А. написал:

Вариант 1. При генерации сразу установить галачку "Использовать локальное хранилище компьютера для сертификата".
Вариант 2. Через контрольную панель КриптоПро/Сервис/Просмотреть сертификаты в контейнере/Выбрать/Далее/Установить...

1. по этому пути он без лишних вопросов радостно сообщает что установил в личные текущего пользователя.
2. получилось.
Запустил - не в этом причина.


Челпанов А. написал:

Сервер как консольное приложение? Тогда скорее всего не в LocalMachine дело.
Что за приложение и чем оно пользуется? SSL, Https, WCF?

Ну вообще то это набор винсервисов, но для отладки запускается и в консоли.

Полный код не дали, но в общих словах все академически: TcpClient/TcpListener

Код:

            try
            {
                    client = new TcpClient(infHostTo, infPortTo);
                    sslStream = new SslStream(
                        client.GetStream(),
                        false,
                        new RemoteCertificateValidationCallback(ValidateServerCertificate),
                        null
                        );
                    X509CertificateCollection col = new X509CertificateCollection();
                    col.Add(CerClient);
                    try
                   {
                          sslStream.AuthenticateAsClient(infHostTo, col, SslProtocols.Tls, false);


Код:

            SslStream sslS = new SslStream(client.GetStream(), false);
            try
            {
                sslS.AuthenticateAsServer(serverCertificate, false, SslProtocols.Tls, true);



ошибку выдает серверная сторона

RSA радует, так что думаю дело не в коде, но как я мог запутаться
в двух сертификатах тоже понять не могу :(
Offline Челпанов А.  
#24 Оставлено : 16 декабря 2009 г. 10:14:55(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Могу предложить запустить аналогичный пример из состава Sharpei SDK (или дописать, то что Вы начали). Может HRESULT будет, да и проверится можно в коде дело или в сертификатах.
С уважением, Александр.
Offline Челпанов А.  
#25 Оставлено : 16 декабря 2009 г. 13:06:14(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
Ошибка (с зависанием окна демо версии) исправлена в версии 1.0.3636.2
Подробное описание изменений как обычно в этой ветке форума
С уважением, Александр.
Offline Sukhov  
#26 Оставлено : 16 декабря 2009 г. 13:23:33(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Место: Москва

Нашел примеры из вашего SDK, прошу прощения Anxious .
Собрал.
Запросил новый серверный сертификат на тестовом УЦ.
Поместил в локальное хранилище, публичный выгрузил на диск.
Запустил, и получил туже
"Не удается установить связь с локальным администратором безопасности"
И де я тормоЗ? Даю ISO/RSA работает :(.


C:\>server.exe ssdk.cer
Waiting for a client to connect...
Необработанное исключение: System.ComponentModel.Win32Exception: Не удается уста
новить связь с локальным администратором безопасности

Код:

C:\>server.exe ssdk.cer
Waiting for a client to connect...

Необработанное исключение: System.ComponentModel.Win32Exception: Не удается уста
новить связь с локальным администратором безопасности
   в System.Net.SSPIWrapper.AcquireCredentialsHandle(SSPIInterface SecModule, St
ring package, CredentialUse intent, SecureCredential scc)
   в System.Net.Security.SecureChannel.AcquireCredentialsHandle(CredentialUse cr
edUsage, SecureCredential& secureCredential)
   в System.Net.Security.SecureChannel.AcquireServerCredentials(Byte[]& thumbPri
nt)
   в System.Net.Security.SecureChannel.GenerateToken(Byte[] input, Int32 offset,
 Int32 count, Byte[]& output)
   в System.Net.Security.SecureChannel.NextMessage(Byte[] incoming, Int32 offset
, Int32 count)
   в System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, As
yncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.ProcessReceivedBlob(Byte[] buffer, Int32 count
, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes,
 AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolR
equest asyncRequest)
   в System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte
[] buffer, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResu
lt)
   в System.Net.Security.SslStream.AuthenticateAsServer(X509Certificate serverCe
rtificate, Boolean clientCertificateRequired, SslProtocols enabledSslProtocols,
Boolean checkCertificateRevocation)
   в Samples.Ssl.Server.ProcessClient(TcpClient client)
   в Samples.Ssl.Server.RunServer(String certificate)
   в Samples.Ssl.Server.Main(String[] args)

C:\>



C:\>client.exe localhost localhost
Client connected.
Необработанное исключение: System.IO.IOException: Проверка подлинности не пройде
на из-за закрытия транспортного потока удаленной стороной.

Код:

C:\>client.exe localhost localhost
Client connected.

Необработанное исключение: System.IO.IOException: Проверка подлинности не пройде
на из-за закрытия транспортного потока удаленной стороной.
   в System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes,
 AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolR
equest asyncRequest)
   в System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken
 message, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, As
yncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte
[] buffer, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResu
lt)
   в System.Net.Security.SslStream.AuthenticateAsClient(String targetHost, X509C
ertificateCollection clientCertificates, SslProtocols enabledSslProtocols, Boole
an checkCertificateRevocation)
   в System.Net.Security.SslStream.AuthenticateAsClient(String targetHost)
   в Samples.Ssl.Client.RunClient(String machineName, String serverName)
   в Samples.Ssl.Client.Main(String[] args)

C:\>


Отредактировано пользователем 16 декабря 2009 г. 13:24:30(UTC)  | Причина: Не указана

Offline Челпанов А.  
#27 Оставлено : 16 декабря 2009 г. 14:02:39(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
А лицензия на CSP серверная или "Только клиентская".
Посмотреть можно в "Start/Programs/КриптоПро/КриптоПро PKI" "Управление лицензиями/КриптоПро CSP" Тип лицензии
С уважением, Александр.
Offline Sukhov  
#28 Оставлено : 16 декабря 2009 г. 14:15:17(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Место: Москва

Клиентская! А как получить серверную на 30 дней?

Отредактировано пользователем 16 декабря 2009 г. 14:15:54(UTC)  | Причина: Не указана

Offline Челпанов А.  
#29 Оставлено : 16 декабря 2009 г. 14:31:32(UTC)
Челпанов А.

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.12.2007(UTC)
Сообщений: 390
Мужчина
Откуда: КриптоПро

Поблагодарили: 2 раз в 2 постах
В состав CSP входит полная лицензия (клиентская, TLS, драйвер) на 3 месяца. Если не ставить никакую, то она и будет рабочей.
С уважением, Александр.
Offline Sukhov  
#30 Оставлено : 16 декабря 2009 г. 14:37:29(UTC)
Sukhov

Статус: Участник

Группы: Участники
Зарегистрирован: 14.12.2009(UTC)
Сообщений: 17
Место: Москва

Сейчас попробую поставить без лицензии. Посмотрел цену на северную, прилично - Вопрос к менеджерам: если у нас один сервер будет в холодном резерве (выключен),
то нам все равно покупать две лицензии для рабочего и для холодного резерва, который возможно никогда и не будет использован?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.