logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline lab2  
#1 Оставлено : 1 марта 2019 г. 12:23:52(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Добрый день.

В новостях, можете чуть подробней ?
Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS".
Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя...

Как это работает?

maxdm:
Функционал доступен, начиная с CSP 4.0.9961/5.0.11294.
Предполагается, что зарубежный сертификат и ГОСТ-сертификат находятся в хранилище личные локального компьюетера со ссылками на закрытые ключи.
В IIS\TMG привязывается ГОСТ-сертификат обычными средствами, но предварительно для ГОСТ сертификата нужно установить особое свойство:
Код:
#define CP_CERT_SHADOW_CERT_PROP_ID 0x0000FF00
с помощью утилиты csptest
Код:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -property -shadow "3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13" -cert ГОСТ_CN -machine

Код:
"3d cc 7f 77 04 ed 62 7d e7 73 46 3e df a2 ea aa 49 a1 1d 13"
- sha1 отпечаток зарубежного сертификата.

и запредить использование legacy сюит на сервере
\config\Parameters\tls_server_disable_legacy_cipher_suites = 1

Отредактировано модератором 20 марта 2019 г. 19:02:30(UTC)  | Причина: Не указана

Offline Варенуха  
#2 Оставлено : 4 марта 2019 г. 10:58:01(UTC)
Варенуха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.04.2013(UTC)
Сообщений: 246
Гондурас

Сказал(а) «Спасибо»: 28 раз
Поблагодарили: 26 раз в 18 постах
Автор: lab2 Перейти к цитате
Добрый день.

В новостях, можете чуть подробней ?
Например, для случая "КриптоПро CSP 4.0 R4 совместно с Microsoft IIS".
Несколько ssl-серфтикатов на один ip:port работает через механизм SNI в старших версия IIS, но там, кажется, нельзя привязать два сертификата на одно разрешаемое имя...

Как это работает?



Присоединяюсь к вопросу. Где можно найти мануал по настройке IIS?
Offline Максим Коллегин  
#3 Оставлено : 4 марта 2019 г. 17:11:48(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,886
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 577 раз в 519 постах
Настройка не очень user-friendly, попробую описать в первом посте.
Знания в базе знаний, поддержка в техподдержке
Offline lab2  
#4 Оставлено : 4 марта 2019 г. 22:37:36(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Ok, ясно, попробуем.
Спасибо!
Offline lab2  
#5 Оставлено : 20 марта 2019 г. 10:37:06(UTC)
lab2

Статус: Участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
все забываю отчитаться - технология работает, если все сделать аккуратно )

Интересно, конечно, в общих чертах, узнать как это устроено изнутри
В частности, интересно как (на основании чего) передается сертификат (список сертификатов ?) сервера клиенту
Offline Максим Коллегин  
#6 Оставлено : 20 марта 2019 г. 19:00:41(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,886
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 577 раз в 519 постах
Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
lab2 оставлено 22.03.2019(UTC)
Offline moremore  
#7 Оставлено : 9 января 2020 г. 13:17:07(UTC)
moremore

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2014(UTC)
Сообщений: 70

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 9 раз в 8 постах
Автор: Максим Коллегин Перейти к цитате
Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA


Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?
Offline Евгений Пономаренко  
#8 Оставлено : 9 января 2020 г. 15:27:39(UTC)
Евгений Пономаренко

Статус: Активный участник

Группы: Участники
Зарегистрирован: 03.05.2012(UTC)
Сообщений: 170
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 45 раз
Поблагодарили: 23 раз в 19 постах
Автор: Максим Коллегин Перейти к цитате
Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA


Мне представляется, там не все так просто. то что выше, это в идеальном мире,но-
апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает.
Видимо, происходит примерно так-
в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ.
или я ошибаюсь?
Offline Максим Коллегин  
#9 Оставлено : 9 января 2020 г. 23:31:55(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,886
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 577 раз в 519 постах
Автор: moremore Перейти к цитате
Автор: Максим Коллегин Перейти к цитате
Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA


Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?


Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS.


Автор: Евгений Пономаренко Перейти к цитате
Автор: Максим Коллегин Перейти к цитате
Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA


Мне представляется, там не все так просто. то что выше, это в идеальном мире,но-
апдейты win время от времени убивают gost ciphersuite в Client Hello, но ГОСТ работать не перестает.
Видимо, происходит примерно так-
в ответ на Client Hello, даже не содержащее нужных сьют, начинается хэндшейк, с предложением от сервера обоих вариантов. и если клиент (ie) соглашается, то все работает по ГОСТ.
или я ошибаюсь?


Не совсем так. Сюиту всегда выбирает сервер. Другое дело, что TLS сервер, созданный с помощью КриптоПро CSP, без указанной выше настройки будет всегда выбирать legacy ГОСТ-сюиту, независимо от того, что прислал сервер.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
moremore оставлено 10.01.2020(UTC)
Offline moremore  
#10 Оставлено : 10 января 2020 г. 8:27:31(UTC)
moremore

Статус: Активный участник

Группы: Участники
Зарегистрирован: 16.07.2014(UTC)
Сообщений: 70

Сказал(а) «Спасибо»: 10 раз
Поблагодарили: 9 раз в 8 постах
Автор: Максим Коллегин Перейти к цитате
Автор: moremore Перейти к цитате
Автор: Максим Коллегин Перейти к цитате
Если в двух словах: клиент присылает список ciphersuite в Client Hello. Если среди них есть ГОСТ - используется ГОСТ-сертификат. Иначе RSA


Добрый день. А в каком конфиге нужно прописать "tls_server_disable_legacy_cipher_suites = 1"?


Можно в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters), можно в cpanel на вкладке TLS.


Спасибо, разобрался.
Дополню, что в команде лучше всего и для RSA и для ГОСТ указывать отпечатки сертификатов (у меня приняло их только без пробелов между символами), а не CN. Возможно для csptest нужно чтобы в CN только имя домена присутствовало. А в ГОСТ-сертификате, если будет квал сертификат, в CN будет имя владельца, а там и пробелы и кавычки могут быть.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.