Atom Лента - Форум КриптоПро - Тема:TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях) - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:TLSsodnovremennymispol'zovaniemGOSTiRSAvIIS(vnovostjakh)-10:1Copyright 2024 Форум КриптоПро2024-03-28T16:30:49Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.rumoremorehttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=34050&name=moremoremoremorehttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=34050&name=moremoreМаксим Коллегинhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=3&name=Максим КоллегинЕвгений Пономаренкоhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=22787&name=Евгений Пономаренкоmoremorehttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=34050&name=moremoreМаксим Коллегинhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=3&name=Максим Коллегинlab2https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=52022&name=lab2lab2https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=52022&name=lab2Максим Коллегинhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=3&name=Максим КоллегинВаренухаhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=29829&name=Варенухаlab2https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=52022&name=lab2YetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid111217:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=111210#post111210"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: moremore <a href="/forum2/default.aspx?g=posts&m=111200#post111200"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?</div></div><br /><br />Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS.<br /></div></div><br /><br />Спасибо, разобрался.<br />Дополню, что в команде лучше всего и для RSA и для ГОСТ указывать отпечатки сертификатов (у меня приняло их только без пробелов между символами), а не CN. Возможно для csptest нужно чтобы в CN только имя домена присутствовало. А в ГОСТ-сертификате, если будет квал сертификат, в CN будет имя владельца, а там и пробелы и кавычки могут быть.<br /><br /></td></tr></table>2020-01-10T08:27:31+03:002020-01-10T08:27:31+03:00moremore<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=111210#post111210"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: moremore <a href="/forum2/default.aspx?g=posts&m=111200#post111200"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?</div></div><br /><br />Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS.<br /></div></div><br /><br />Спасибо, разобрался.<br />Дополню, что в команде лучше всего и для RSA и для ГОСТ указывать отпечатки сертификатов (у меня приняло их только без пробелов между символами), а не CN. Возможно для csptest нужно чтобы в CN только имя домена присутствовало. А в ГОСТ-сертификате, если будет квал сертификат, в CN будет имя владельца, а там и пробелы и кавычки могут быть.<br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid111210:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: moremore <a href="/forum2/default.aspx?g=posts&m=111200#post111200"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?</div></div><br /><br />Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS.<br /><br /><br /><div class="quote"><span class="quotetitle">Автор: Евгений Пономаренко <a href="/forum2/default.aspx?g=posts&m=111202#post111202"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Мне представляется, там не все так просто. то что выше, это в идеальном мире,но-<br />апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает. <br />Видимо, происходит примерно так-<br />в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ.<br />или я ошибаюсь?</div></div><br /><br />Не совсем так. Сюиту всегда выбирает сервер. Другое дело, что TLS сервер, созданный с помощью КриптоПро CSP, без указанной выше настройки будет всегда выбирать legacy ГОСТ-сюиту, независимо от того, что прислал сервер. </td></tr></table>2020-01-09T23:31:55+03:002020-01-09T23:31:55+03:00Максим Коллегин<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: moremore <a href="/forum2/default.aspx?g=posts&m=111200#post111200"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?</div></div><br /><br />Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS.<br /><br /><br /><div class="quote"><span class="quotetitle">Автор: Евгений Пономаренко <a href="/forum2/default.aspx?g=posts&m=111202#post111202"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Мне представляется, там не все так просто. то что выше, это в идеальном мире,но-<br />апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает. <br />Видимо, происходит примерно так-<br />в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ.<br />или я ошибаюсь?</div></div><br /><br />Не совсем так. Сюиту всегда выбирает сервер. Другое дело, что TLS сервер, созданный с помощью КриптоПро CSP, без указанной выше настройки будет всегда выбирать legacy ГОСТ-сюиту, независимо от того, что прислал сервер. </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid111202:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Мне представляется, там не все так просто. то что выше, это в идеальном мире,но-<br />апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает. <br />Видимо, происходит примерно так-<br />в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ.<br />или я ошибаюсь?</td></tr></table>2020-01-09T15:27:39+03:002020-01-09T15:27:39+03:00Евгений Пономаренко<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Мне представляется, там не все так просто. то что выше, это в идеальном мире,но-<br />апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает. <br />Видимо, происходит примерно так-<br />в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ.<br />или я ошибаюсь?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid111200:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?</td></tr></table>2020-01-09T13:17:07+03:002020-01-09T13:17:07+03:00moremore<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Максим Коллегин <a href="/forum2/default.aspx?g=posts&m=101480#post101480"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</div></div><br /><br />Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101480:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer_Alt" width="100%"><tr><td>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</td></tr></table>2019-03-20T19:00:41+03:002019-03-20T19:00:41+03:00Максим Коллегин<table class="content postContainer_Alt" width="100%"><tr><td>Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101445:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer" width="100%"><tr><td>все забываю отчитаться - технология работает, если все сделать аккуратно )<br /><br />Интересно, конечно, в общих чертах, узнать как это устроено изнутри<br />В частности, интересно как (на основании чего) передается сертификат (список сертификатов ?) сервера клиенту </td></tr></table>2019-03-20T10:37:06+03:002019-03-20T10:37:06+03:00lab2<table class="content postContainer" width="100%"><tr><td>все забываю отчитаться - технология работает, если все сделать аккуратно )<br /><br />Интересно, конечно, в общих чертах, узнать как это устроено изнутри<br />В частности, интересно как (на основании чего) передается сертификат (список сертификатов ?) сервера клиенту </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101014:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer_Alt" width="100%"><tr><td>Ok, ясно, попробуем.<br />Спасибо!</td></tr></table>2019-03-04T22:37:36+03:002019-03-04T22:37:36+03:00lab2<table class="content postContainer_Alt" width="100%"><tr><td>Ok, ясно, попробуем.<br />Спасибо!</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid101008:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer" width="100%"><tr><td>Настройка не очень user-friendly, попробую описать в первом посте.</td></tr></table>2019-03-04T17:11:48+03:002019-03-04T17:11:48+03:00Максим Коллегин<table class="content postContainer" width="100%"><tr><td>Настройка не очень user-friendly, попробую описать в первом посте.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid100984:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: lab2 <a href="/forum2/default.aspx?g=posts&m=100956#post100956"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день.<br /><br />В новостях, можете чуть подробней ? <br />Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS".<br />Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя...<br /><br />Как это работает?<br /><br /></div></div><br /><br />Присоединяюсь к вопросу. Где можно найти мануал по настройке IIS?<br /></td></tr></table>2019-03-04T10:58:01+03:002019-03-04T10:58:01+03:00Варенуха<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: lab2 <a href="/forum2/default.aspx?g=posts&m=100956#post100956"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день.<br /><br />В новостях, можете чуть подробней ? <br />Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS".<br />Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя...<br /><br />Как это работает?<br /><br /></div></div><br /><br />Присоединяюсь к вопросу. Где можно найти мануал по настройке IIS?<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid100956:1TLS с одновременным использованием ГОСТ и RSA в IIS (в новостях)<table class="content postContainer" width="100%"><tr><td>Добрый день.<br /><br />В новостях, можете чуть подробней ? <br />Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS".<br />Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя...<br /><br />Как это работает?<br /><br /><span style="color:blue">maxdm:<br />Функционал доступен, начиная с CSP 4.0.9961/5.0.11294.<br />Предполагается, что зарубежный сертификат и ГОСТ-сертификат находятся в хранилище личные локального компьюетера со ссылками на закрытые ключи.<br />В IIS\TMG привязывается ГОСТ-сертификат обычными средствами, но предварительно для ГОСТ сертификата нужно установить особое свойство:<br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-text">#define CP_CERT_SHADOW_CERT_PROP_ID 0x0000FF00</code></pre>
</div></div> с помощью утилиты <strong>csptest</strong><br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-text">"C:\Program Files\Crypto Pro\CSP\csptest.exe" -property -shadow "3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13" -cert ГОСТ_CN -machine</code></pre>
</div></div><br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-text">"3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13"</code></pre>
</div></div> - sha1 отпечаток зарубежного сертификата.<br /><br />и запредить использование legacy сюит на сервере<br />\config\Parameters\tls_server_disable_legacy_cipher_suites = 1<br /></span></td></tr></table>2019-03-20T19:02:30+03:002019-03-20T19:02:30+03:00lab2<table class="content postContainer" width="100%"><tr><td>Добрый день.<br /><br />В новостях, можете чуть подробней ? <br />Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS".<br />Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя...<br /><br />Как это работает?<br /><br /><span style="color:blue">maxdm:<br />Функционал доступен, начиная с CSP 4.0.9961/5.0.11294.<br />Предполагается, что зарубежный сертификат и ГОСТ-сертификат находятся в хранилище личные локального компьюетера со ссылками на закрытые ключи.<br />В IIS\TMG привязывается ГОСТ-сертификат обычными средствами, но предварительно для ГОСТ сертификата нужно установить особое свойство:<br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-text">#define CP_CERT_SHADOW_CERT_PROP_ID 0x0000FF00</code></pre>
</div></div> с помощью утилиты <strong>csptest</strong><br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-text">"C:\Program Files\Crypto Pro\CSP\csptest.exe" -property -shadow "3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13" -cert ГОСТ_CN -machine</code></pre>
</div></div><br /><div class="code"><strong>Код:</strong><div class="innercode"><pre class="line-numbers"><code class="language-text">"3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13"</code></pre>
</div></div> - sha1 отпечаток зарубежного сертификата.<br /><br />и запредить использование legacy сюит на сервере<br />\config\Parameters\tls_server_disable_legacy_cipher_suites = 1<br /></span></td></tr></table>