Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,899   Сказал «Спасибо»: 594 раз
Поблагодарили: 2327 раз в 1825 постах
|
vlad_sa написал:Андрей * написал:Например сайт:
cryptopro.ru
Имя: cryptopro.ru
У меня же не ISA сервер, где идет публикация Web-сервера... У меня локальная машина в сети (домен)... Стоит IIS. В нем публикую виртуальные каталоги... Вот поэтому и спрашиваю, что написать? <комп>/<каталог> ? Причем здесь ISA? Пусть локальная сеть и локальный ПК с именем MyComputer Введи имя MyComputerи все, получается сертификат на машину с IIS, устанавливается как указано ранее, а не на имя <комп>/<каталог> |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2011(UTC)
Сообщений: 52
|
rozhkov написал:Например, http://www.cryptopro.ru/certsrv/certcarc.asp скачиваете корневой, правой кнопкой мыши "Установить сертификат" при выборе хранилища поставьте галочку "Показать физические хранилища" и выберите "Доверенные корневые центры сертификации" - "Локальный компьютер", если Вы на компьютере имеете права администратора, то возможность выбора локально компьютера будет, если не имеете, то не будет. После формируете сертификат "Проверка подлинности сервера", выбираете именно такой шаблон. Далее Вам надо будет переустановить этот сертификат в хранилище локального компьютера, т.к. по умолчанию он установится под пользователя. PS: если формируете в реестр, то поставьте галочку "Пометить ключи как экспортируемые". CN (общее имя) должно совпадать с тем, как Вы будете к IIS обращаться, иначе будет предупреждение что имя по которому обращаетесь не совпадает с тем которое в сертификате, и трафик шифроваться не будет. Все таки невыходит каменный цветок... Прошу помощи... Что неправильно делаю? Что имею: 1. Личный сертификат с "Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)", которым и подписываю текст... 2. Сформировал сертификат с "Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)" который скопировал в "Сертификаты (локальный компьютер) - Доверенные корневые центры сертификации". При создании сертификата в поле Имя: <имя своего компьютера> 3. Запускаю Web-приложение, которое локально (в среде VisualStudio2010) - работает, я его оформил в виртуальную папку... И вот при запуске в браузере: http://<мой комп>/<вирт папка> высвечивается текст который собираюсь подписывать, НО НЕ ИДЕТ ДАЛЬШЕ РАБОТА... Не отображается окно КриптоПро с запросом пароля... Самое главное дискету крутит (в ней ключ), а не вызывает КРИПТОПРО CSP. И еще вопрос: А какова будет технология работы Web-приложения, если приложение распологать на настоящем Web-сервере... Пусть у меня есть web-страничка на которой будет иметься текст для подписи. КриптоПро установлено на сервере... Страничка отображается у клиента... Нажимает кнопку "Подписать". Вот здесь немного непонятно... 1. Либо у клиента тоже стоит КриптоПро и браузер вызывает его у клиента, осуществляется подпись с запросом пароля и подписанный текст уходит на сервер.. 2. Либо КриптоПро установленный на сервере как-то вызывает клиента и заставляет его подписать информацию и подписанная информация отправляется на сервер... Что-то тут у меня каша в голове...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2011(UTC)
Сообщений: 52
|
И еще... Вот из топика: Как организовать дешёвый и бесплатный для клиентов защищенный доступ к веб-сайту? (Юрий Маслов)Постановка задача: - Имеется веб-сервер организации. - Требуется шифровать данные (например, персональные данные), передаваемые между клиентом и сервером и использованием сертифицированных ФСБ шифровальных средств. - Требуется обеспечить, что бы клиенту при этом ничего покупать не требовалось. Решение: 1. 1.1. Если веб-сервер организации построен на основе MS IIS, то на него устанавливается СКЗИ "КриптоПро CSP" версии 3.6 с дистрибутива СКЗИ "КриптоПро CSP" версии 3.6 R2 с лицензией на право использования СКЗИ "КриптоПро CSP" версии 3.6 на одном сервере MS Windows (20000 рублей). 1.2. Если веб-сервер организации построен на основе Apache, то на него устанавливается СКЗИ "КриптоПро CSP" версии 3.6 с дистрибутива СКЗИ "КриптоПро CSP" версии 3.6 R2 с лицензией на право использования СКЗИ "КриптоПро CSP" версии 3.6 на одном сервере UNIX (25000 рублей) и модуль TrustedTLS (сайт производителя www.trusted.ru). 2. Если требуется класс защиты КС2, то оснащаете веб-сервер электронным замком типа ПАК "Соболь". 3. Формируете ключ и сертификат открытого ключа для веб-сервера. Сертификат должен иметь в расширении EKU область использования "Проверка подлинности сервера" (1.3.6.1.5.5.7.3.1) и в имени владельца сертификата атрибут CommonName должен содержать DNS-имя сервера. 4. Настраиваете веб-сервер на доступ к веб-сайту (или его разделам и страницам) по протоколу SSL с игнорированием сертификата клиента. 5. Клиент устанавливают у себя на компьютеры СКЗИ "КриптоПро CSP" версии 3.6 R2 (например, скачав с сайта производителя), не приобретая лицензий на право использования. Всё! При доступе по протоколу HTTPS на веб-сайт клиент аутентифицирует сервер, и все передаваемые данные будут шифроваться сертифицированным СКЗИ. Хочу пока у себя локально сделать... Как я понял это тоже самое... Но невыходит...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,899 Сказал «Спасибо»: 594 раз
Поблагодарили: 2327 раз в 1825 постах
|
Цитата:Вот здесь немного непонятно...
1. Либо у клиента тоже стоит КриптоПро и браузер вызывает его у клиента, осуществляется подпись с запросом пароля и подписанный текст уходит на сервер..
2. Либо КриптоПро установленный на сервере как-то вызывает клиента и заставляет его подписать информацию и подписанная информация отправляется на сервер...
Что-то тут у меня каша в голове... 1 - у клиента должен быть CSP 2 - как клиент сможет подписать без наличия на своем ПК CSP? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
|
Прочитайте инструкцию, она Вам должна помочь. Вложение(я):  1.doc (691kb) загружен 21 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,899 Сказал «Спасибо»: 594 раз
Поблагодарили: 2327 раз в 1825 постах
|
rozhkov написал:Прочитайте инструкцию, она Вам должна помочь. Error: Resource has been moved or is unavailable. Please contact the forum admin. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2011(UTC)
Сообщений: 52
|
rozhkov написал:Прочитайте инструкцию, она Вам должна помочь. Тоже Error: Resource has been moved or is unavailable. Please contact the forum admin. Выложи правильно...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,899 Сказал «Спасибо»: 594 раз
Поблагодарили: 2327 раз в 1825 постах
|
vlad_sa,
по списку задач определился все таки что нужно в итоге?
так?
1. Настроить работу IIS по https - проверить работу с клиентского ПК (с установленным CSP)
2. Реализовать подписание данных на стороне клиента с использованием клиентского сертификата
3. Отправка на сервер...
4. Возможно далее - проверка ЭЦП на сервере...
5. ... Получение данных и ЭЦП (http\https) клиентом №2
6. ... Проверка ЭЦП клиентом №2 |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 05.08.2011(UTC)
Сообщений: 52
|
Андрей * написал:vlad_sa,
по списку задач определился все таки что нужно в итоге?
так?
1. Настроить работу IIS по https - проверить работу с клиентского ПК (с установленным CSP)
2. Реализовать подписание данных на стороне клиента с использованием клиентского сертификата
3. Отправка на сервер...
4. Возможно далее - проверка ЭЦП на сервере...
5. ... Получение данных и ЭЦП (http\https) клиентом №2
6. ... Проверка ЭЦП клиентом №2 Если даже начинать с п.1, то настроить IIS по https - можно только на серверной ОС, у меня же WinXP SP3... Или я чего-то непонимаю?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,899 Сказал «Спасибо»: 594 раз
Поблагодарили: 2327 раз в 1825 постах
|
Цитата:настроить IIS по https - можно и на ХР поиск совсем забанили? msdn |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
