| 06.09.2007 14:42:20 | проблема организации TLS | | Ответов: 13 |
|
 Татьяна М. | | |
|
Организовали тестовую систему, в которую включены:сервер, 3 рабочие станции (РС). Для организации TLS на сервере установлены:
1)КриптоПро CSP KC2 3.0 3293 тип лицензии CSP+TLS+Driver, лицензия истекает через 20 дней
2)сертификат и закрытый ключ, сертификат соответствует требованиям организации TLS.
Задача: организовать безопасное соединение с односторонней аутентификацией в рамках разработанного приложения между сервером и РС с использованием российских стандартов. Приложение стартует на РС.
Со всех РС идет соединении по https с сервером средствами Internet Explorer.
Приложение на разных РС работает по-разному.
На РС с установкой CSP 2.0 и истекшей лицензией TLS делается попытка установить SSL, далее передача идет по открытому каналу.
На РС с установкой CSP 3.0 без TLS передача сразу идет по открытому каналу. На РС с установкой CSP KC2 3.0 3293 тип лицензии CSP+TLS+Driver аналогично SSL не организуется.
Что должно быть установлено на клиенте для организации SSL c одностронней аутентификацией?
|
| |
Ответы:
|
| 06.09.2007 14:59:34 | Kirill Sobolev |
|
| Того, что у Вас установлено, вполне достаточно. Для клиента лицензия на TLS не нужна. Вопрос - а на сервере для соотвествующих вебузлов или каталогов включено "Требуется безопасный канал (SSL)"? |
|
| 06.09.2007 15:21:04 | Татьяна М. |
|
| Эта опция обязательна? У меня не отмечено требование, но отмечено "принимать сертификаты клиентов". Дело в том, что к папке возможно обращение как по открытому каналу, так и по SSL. |
|
| 06.09.2007 15:33:38 | Kirill Sobolev |
|
| Для организации защищенного соединения - обязательна. Одновременно организовать и открытый, и защищенный каналы к одному и тому же файлу не получится. "Требовать сертификаты клиентов" - это для двухсторонней аутентификации. |
|
| 06.09.2007 15:54:28 | Татьяна М. |
|
| Не согласна с Вами. Дело в том, что сначала на сервере стоял сертификат, полученный средствами Microsoft. И все работало, т.е. опция SSL не отмечена, отмечено "принимать сертификаты клиентов" - есть сертификат - хорошо, а нету, то это не считается ошибкой. И к одному файлу была возможность обращения по обоим каналам при односторонней аутентификации. После смены сертификата на сертификат КриптоПро безопасное соединение перестало устанавливаться. Поэтому первая мысль была по требованиям к ПО клиента. |
|
| 06.09.2007 16:16:53 | Kirill Sobolev |
|
| Да, Вы правы, это я ошибся - можно оба типа сразу. Может быть нет списка отозванных сертификатов? |
|
| 06.09.2007 16:31:05 | Татьяна М. |
|
Списка действительно на сервере нет, но я предполагала, что обращение к нему будет непосредственно через сайт соответствующего сертификату УЦ.
Попробую проверить работу с установкой списка на сервере. Список я скачаю, но где указать на него? |
|
| 06.09.2007 16:42:49 | Kirill Sobolev |
|
| Его надо просто установить в LM/CA, IIS сам найдет. |
|
| 07.09.2007 12:20:16 | Татьяна М. |
|
Список установила, но почему-то его не вижу через mmc.
Но все равно это проблему не решило, а срок действия установленного для тестирования КриптоПро уменьшается ... |
|
| 07.09.2007 13:29:36 | Kirill Sobolev |
|
| А где видите? Оснастка MMC настроена на учетную запись локального компьютера? |
|
| 07.09.2007 14:15:17 | Татьяна М. |
|
| Все нашлось. Было в личных, перетащила на LC |
|
| 07.09.2007 14:25:28 | Татьяна М. |
|
| Может, я не туда перетащила? Перетащила через mmc(русифицировано) сертификаты(локальный компьютер)-промежуточные центры сертификации - список отзыва сертификатов |
|
| 07.09.2007 14:39:48 | Kirill Sobolev |
|
| Нет, все правильно. LM - промежуточные ЦС. А вообще на этих машинах гостовый TLS работает, для какого-нибудь стороннего ресурса, например https://ats.cryptopro.ru/? |
|
| 07.09.2007 14:59:41 | Татьяна М. |
|
| Наверно, это проблема приложения. Для организации TLS используется openssl |
|
