Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2007(UTC)
Сообщений: 30
Откуда: Москва
|
Два сервера - тестовый и рабочий, с разными, конечно, адресами. На обоих стоит центр сертификации с одинаковым секретным ключом и сертификатом.
На рабочем ЦС почищены были ссылки распространения CRL и сертификатов ЦС (AIA) [после чего сертификат ЦС был переиздан, чтобы в него и изданные на нем сертификаты не попадали данные ссылки]. Но на тестовом сервере AIA забыл почистить.
Пользователь заходит на рабочий сайт по https с двухсторонней аутентификацией - все хорошо. Заходит на тестовый тем же сертификатом - "невозможно отобразить страницу, проверьте DNS...", даже список выбора сертификатов перед этим не появляется. При этом пользователь может зайти на оба сайта по http и по https с односторонней аутентификацией (только сервера).
Я сам (локальная сеть) могу заходить на оба сайта с двухсторонней аутентификацией. Как и некоторые другие пользователи той же организации со своих компьютеров (по крайней мере, сейчас).
Заметил проблему с AIA, почистил, переиздал сертификат пользователю; он почистил у себя временные файлы, кэш SSL, удалил все ненужные сертификаты (с помощью mmc), удалил сертификаты нашего ЦС (старый-просроченный и новый), перезагрузился, поставил свежий сертификат ЦС заново. Все равно может авторизоваться на рабочем сайте, но не может на тестовом с той же ошибкой.
В чем может быть дело и как поразбираться с проблемой? Может, все-таки где-то закэшировались AIA у клиента?
Заранее спасибо
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Давайте рассуждать логически: если работает односторонняя аутентификация, но не работает двухстороняя, значит сервер не может доверять клиентскому сертификату. Такое может произойти по трем причинам:
-истек или не наступил срок действия клиентского сертификата
-не удается проследить цепочку до доверенного корневого центра сертификации
-сертификат отозван или нет возможности проверить его на отзыв.
Если предположить, что дата на сервере выставлена верно, первое можно исключить. Тогда возникают вопросы:
Если вы переиздали корневой сертификат тестового сервера, издали пользователю новый сертификат на тестовом сервере, с какой стати этот сертификат должен быть принят рабочим сервером? Установлен ли новый корневой сертификат тестового сервера в хранилище доверенных корневых центров сертификации на рабочем?
Какая точка распространения списка отзыва указана в клиентском сертификате и указана ли она вообще? Попробуйте взять с тестового сервера CRL и поставить его на рабочем сервере в хранилище промежуточных центров сертификации локального компьютера(именно локального компьютера, это важно).
Почему Вы связываете свою проблему именно с AIA?
|
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2007(UTC)
Сообщений: 30
Откуда: Москва
|
Как писал, сертификаты, секретные ключи ЦС на серверах одинаковые. (Забыл указать - используем стандартный ЦС Microsoft в Win2003.) Я могу зайти на оба сервера, с двухсторонней аутентификацией, одним и тем же своим сертификатом [пользователь может зайти на рабочий, но не может на тестовый с двухсторонней аутентификацией, но на тестовый может с односторонней].
В сертификате ЦС не указано точек распространения CRL и не указано AIA.
При разворачивании (переносе) ЦС на тестовый сервер - я забыл в его настройках почистить AIA, в результате сертификаты, выпускаемые этим ЦС, содержали неработающие вовне нашей локальной сети адреса AIA. В частности, сертификат веб-сервера, изданный для имени узла тестового сервера, содержал нерабочие ссылки AIA.
Пользователь зашел - односторонняя аутентификация работает, двухсторонняя нет.
Потом я почистил AIA [сертификат ЦС, конечно, не перегенерял], переделал сертификат веб-сервера (он стал без AIA), пользователь сделал себе новый сертификат на тестовом сервере, без AIA, почистил кэши и т.п. (подробнее см. предыдущее письмо). Зайти с двухсторонней аутентификацией на рабочий сервер он может, на тестовый нет. С односторонней может и туда, и туда.
Ошибка - "невозможно отобразить страницу, проверьте DNS...". В логах Windows сообщений, детализирующих ошибку, нет.
Как продиагностировать причину ошибки, что у SSL не сложилось?
P.S. WinLogon (в качестве патча к 3.0) везде стоит, даты правильные.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
Уточните о каком именно сервере идет речь: это просто абстрактный веб-сервер, принимающий сертификаты выпущенные Вашим УЦ или это веб сервер ЦР?
В последнем случае кроме действительности сертификата проверяется его наличие в базе ЦР, если его нету доступ не предоставляется. |
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 21.12.2007(UTC)
Сообщений: 30
Откуда: Москва
|
Просто "абстрактный" под IIS... (ЦС/ЦР КриптоПро тут не использовался, только Microsoft'овский)
Проблема решилась.
Я совсем забыл / не придал значения... Когда не работало с 3.0, клиент поставил КриптоПро 3.6, и уже потом я заметил и почистил AIA в ЦС, обновил сертификат веб-сервера, в котором теперь не было недействующих ссылок AIA, но у клиента не заработало (работало с рабочим сайтом, но не работало с тестовым, повторяющим рабочий, хотя у меня вход работал на оба).
Далее клиент снес 3.6 и поставил снова 3.0 - и заработало. Я предположил, что при этом что-то почистилось в кэшах (или 3.6 как-то дополнительно кэширует AIA...)
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
