| ||||
| ||||
| Клиент жаловался, что не может зайти на сайт с двухсторонней аутентификацией - ошибка, что сайт недоступен. Клиент проверял, что сертификат клиента и сертификат ЦС видны в соотв. хранилищах в IE и действительны. Сертификат клиент ставил с флэшки в качестве ключевого носителя. Также добавляли http и https-ссылки на сайт - в доверенные. Для чистоты эксперимента я на сайте сделал тестовую страничку, выдающую просто текст "ОК". Клиент на нее попытался зайти, при этом появляется диалог выбора сертификата, но там ни одного сертификата нет. Есть идеи - почему? КриптоПро 3.0 Build 3293a с регистрацией + поставили WinLogon в качестве патча, добавлялись считыватели (реестр, флэшка), после чего советовал перегрузиться. Windows XP Proffessional SP1, немецкий язык. IE 6 SP2. Клиент проверял еще на одной машине - с Direct dsl connection без Firewall'а и антивируса - с теми же результатам. В общении с клиентом прошло уже 3 итерации. Есть идеи, что еще можно посмотреть у клиента? Спасибо | ||||
| Ответы: | ||||
| ||||
| Добавочка: заходить по https на другие сайты, не требующие КриптоПро, клиент мог. Вообще у клиента раньше все работало, но однажды "что-то случилось" и перестало работать | ||||
| ||||
| Для проверки, что у клиента вообще работает TLS на ГОСТах (хотя бы с односторонней аутентификацией) - пусть попробует зайти на страницу https://cpca.cryptopro.ru/ping.txt Если эта страница откроется (пусть даже и с предупреждением о невозможности проверить сертификат сервера), то надо смотреть на сертификат клиента. В частности, подписан ли он тем же самым сертификатом центра, которым подписан сертификат Вашего сервера. Это можно проверить, сравнив значения полей "Идентификатор ключа центра" на вкладке "Состав" стандартного окна просмотра сертификатов. Еще вариант - что сам сертификат клиента установлен неправильно, например, у него нет привязки к закрытому ключу. | ||||
| ||||
| Клиент не может зайти даже на https://cpca.cryptopro.ru/ping.txt написано - невозможно отобразить страницу на немецком (у клиента немецкая Windows, подробнее писал в первом письме). Причем когда возникли проблемы - начинали ведь с того, что переустанавливали КриптоПро (тогда была, кажется, 2.0, установили 3.0). P.S. Личного сертификата у клиента, похоже, уже нет. И зайти в регистрацию нашего сайта, чтобы получить новый, он не может (в регистрации - только односторонняя аутентификация). При регистрации показывается список серификатов (пустой), клиент нажимает Отмена, потом - невозможно отобразить страницу. Сертификат центра сертификации нашего сайта клиент себе загружал и потом находил в хранилище, в корневых ЦС. Что можно еще посмотреть? | ||||
| ||||
| Проверьте у себя на веб-сервере, что на странице регистрации действительно односторонняя аутентификация. Если у клиента появляется окно с запросом выбрать сертификат (пусть даже и из пустого списка) - значит, кто-то у него этот сертификат все-таки просит. Можно предположить еще вариант, что на Вашем УЦ когда-то происходила смена корневого сертификата, и, например, Ваш клиент сейчас установил себе новый корневой сертификат, а сертификат веб-сервера подписан старым. В таких случаях страницы тоже не отображаются. Соответственно, нужно установить у клиента все корневые сертификаты УЦ. Проверить на местом файрволе, что его вообще выпускают за пределы его локальной сети, проверить, что соединение по https идет в обход прокси. Если тут везде все будет чисто, можно попробовать еще раз переставить CSP, поставить тоже 3.0, но с третьим сервис-паком, как у нас сейчас лежит на сайте. После установки обязательно перезагрузиться. | ||||
| ||||
| > Проверьте у себя на веб-сервере, что на странице регистрации > действительно односторонняя аутентификация. Если у клиента появляется окно с > запросом выбрать сертификат (пусть даже и из пустого списка) - значит, > кто-то у него этот сертификат все-таки просит. Для всего сайта в IIS - односторонняя аутентификация (Ignore client certificate), но для одного из подкаталогов сайта - задана двухсторонняя (Accept client certificate). Скрипт регистрации лежит в другом каталоге. Раньше окно со списком сертификатов не показывалось, но с переходом на КриптоПро 3.0 на сервере - стало показываться. Впрочем, там можно нажать Отмена и дальше в раздел регистрации пустит (всех клиентов, кроме данного немецкого с проблемой). > Можно предположить еще вариант, что на Вашем УЦ когда-то происходила смена корневого > сертификата, и, например, Ваш клиент сейчас установил себе новый корневой сертификат, > а сертификат веб-сервера подписан старым. В таких случаях страницы тоже не отображаются. > Соответственно, нужно установить у клиента все корневые сертификаты УЦ. Так и есть. У клиента установлены все корневые сертификатц УЦ - и старый, и новый. (Я неоднократно просил это проверить, найти их в списках сертификатов..) > Проверить на местом файрволе, что его вообще выпускают за пределы его локальной сети, > проверить, что соединение по https идет в обход прокси. Как писал, клиент пробовал с машины без файрволлов и пробовал зайти на сторонний https-сайт (RSA), зайти получалось. Но на сайт с Крипто-Про, ВКЛЮЧАЯ ВАШ ТЕСТОВЫЙ - не получалось. > Если тут везде все будет чисто, можно попробовать еще раз переставить CSP, поставить тоже 3.0, > но с третьим сервис-паком, как у нас сейчас лежит на сайте. После установки обязательно перезагрузиться. СДЕЛАЛИ, НЕ ПОМОГЛО, включая вход на ваш тестовый сайт https://cpca.cryptopro.ru/ping.txt "К сожалению это не помогло. Клиент по-прежнему не может зайти по тестовым ссылкам. Их беспокоит, что мы не можем определить причину проблемы. Что можно им посоветовать?" Может, какие-то логи отладочные где-то включить и Вам прислать? | ||||
Влад