logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline AnrDaemon  
#1 Оставлено : 8 октября 2018 г. 21:05:51(UTC)
AnrDaemon

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 9

Свежеустановленная Windows 7 32-bit
Свежеустановленная CryptoPro CSP 3.6R4
В панели управления лицензия видна. Всё выглядит мирно.
Пробую пройти проверку совместимости на https://service.nalog.ru/regin/ - фейл на #3.
Пробую открыть https://www.cryptopro.ru:4444/test/tls-cli.asp - выдаёт сначала ошибку сертификата, а когда подтверждаю открытие - "Не удаётся подключиться".
Куда бежать, что смотреть?

Отредактировано пользователем 9 октября 2018 г. 1:40:52(UTC)  | Причина: Не указана

Offline two_oceans  
#2 Оставлено : 9 октября 2018 г. 5:18:05(UTC)
two_oceans

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 93
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 27 раз в 27 постах
Для начала, если у Вас нет сертификата ГОСТ с определенными требованиями, то ошибка вылетит на шаге 4, где нужен сертификат пользователя. Также шаг 4 невозможно пройти при включенной проверке HTTPS соединений в антивирусе.

На шаге 3 там не совсем честное отображение информации, так как фактически выполняется две проверки: 1) использование TLS вообще (с зарубежными алгоритмами без сертификата пользователя) и 2) использование TLS c ГОСТ-2001 без сертификата пользователя. При проверке скрипт пытается фоново загрузить кусочек данных по XMLHTTP с использованием HTTPS адреса. Для устранения ошибок соответственно нужны немного разные действия в зависимости какая проверка завершилась неудачно, но сайт показывает результат одним пунктом. На шаге 4 также происходит загрузка данных с ГОСТ-2001, но уже с предъявлением сертификата пользователя.

Первая проверка шага 3 может быть неудачной из-за проверки антивируса или блокировки портов провайдером (редко, но встречается) или неправильно установленного XMLHTTP (на свежей системе может быть только если сборка кривая) или не установленного корневого сертификата (заметьте что в этой проверке речь о сертификате не-ГОСТ!). Если на Win7 ставились обновления сертификатов (2013 года - KB931125, KB2917500 или их заменяющие), то скорее всего нужный сертификат не-ГОСТ установлен. На свежей системе их может и не быть, а при фоновой загрузке никто не нажмет "все равно перейти" и проверка провалится. Также рекомендуется обновить IE до 11 версии, в свежеустановленной системе как правило устаревшая IE 8, в которой еще не оценена важность компонента XMLHTTP. Попробуйте отключить проверку HTTPS соединений в антивирусе или добавить *.nalog.ru в исключения проверки.

Вторая проверка шага 3 то же самое, но уже с использованием сертификата сайта по ГОСТ. Для прохождения шага нужно установить корневые сертификаты, так как при фоновой загрузке никто не нажмет "все равно перейти" и проверка провалится. Для сертификата налоговой есть варианты - установить сертификат ГУЦ и сертификат ФНС выданный ГУЦ либо установить корневой сертификат ФНС. Также может потребоваться добавить сайт в надежные узлы IE.
Offline AnrDaemon  
#3 Оставлено : 9 октября 2018 г. 8:23:37(UTC)
AnrDaemon

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 9

Система чистая, никаких антивирусов и вообще практически ничего кроме обновлений, архиватора, RSAT и CryptoPro не стоит.
Критические обновления стоят все. IE11. Извините, что не сказал сразу.
Прокси не используется.

А почему второй адрес тогда не работает?
Offline AnrDaemon  
#4 Оставлено : 9 октября 2018 г. 8:31:21(UTC)
AnrDaemon

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 9

Автор: two_oceans Перейти к цитате
если у Вас нет сертификата ГОСТ с определенными требованиями, то ошибка вылетит на шаге 4

До 4 пока что просто не доходит :)
Offline AnrDaemon  
#5 Оставлено : 9 октября 2018 г. 10:28:23(UTC)
AnrDaemon

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 9

Такое ощущение, что gsn.service.nalog.ru просто тупит не по-детски.
Вытащил ссылку из нетлога, пытаюсь открыть в отдельном окне - долго и упорно чего-то ждёт.
Offline AnrDaemon  
#6 Оставлено : 9 октября 2018 г. 12:33:40(UTC)
AnrDaemon

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 9

Да, вот сейчас проверил - со свистом все проверки на nalog.ru прошли. Видимо, действительно сайт тупил, либо затыки у провайдера.

Остаётся вопрос, почему не работает https://www.cryptopro.ru:4444/test/tls-cli.asp
Offline Александр Лавник  
#7 Оставлено : 9 октября 2018 г. 12:49:23(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 529
Мужчина
Российская Федерация

Сказал «Спасибо»: 6 раз
Поблагодарили: 113 раз в 108 постах
Автор: AnrDaemon Перейти к цитате
Да, вот сейчас проверил - со свистом все проверки на nalog.ru прошли. Видимо, действительно сайт тупил, либо затыки у провайдера.

Остаётся вопрос, почему не работает https://www.cryptopro.ru:4444/test/tls-cli.asp

Добрый день.

Что значит не работает?

У Вас есть установленный в хранилище Личное действующий квалифицированный сертификат или сертификат, полученный в этом тестовом удостоверяющем центре?
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#8 Оставлено : 10 октября 2018 г. 8:26:03(UTC)
two_oceans

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 93
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 27 раз в 27 постах
Попробовал из интереса https://www.cryptopro.ru:4444/test/tls-cli.asp, у меня тоже не открылся в IE 11 (win7 x32, криптопро csp уже не по теме 4.0.9944 и присутствует код безопасности csp) - сначала недоверенный сертификат сайта, продолжить, выбор сертификата появляется, выбираю сертификат аккредитованного УЦ (гост-2001, закрытый ключ в формате криптопро), потом ошибка соединения. Предполагаю из-за того, что не установлен корневой сертификат для сертификата сейта или адрес не добавлен в доверенные узлы. При этом в егиссо, ЕСИА и электронный бюджет заходит с этим же сертификатом в том же браузере того же пользователя (они добавлены в доверенные узлы и их корневые сертификаты установлены). Антивирус настроен не проверять HTTPS.

Отредактировано пользователем 10 октября 2018 г. 8:27:07(UTC)  | Причина: Не указана

Offline AnrDaemon  
#9 Оставлено : 11 октября 2018 г. 20:54:17(UTC)
AnrDaemon

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 9

Автор: Александр Лавник Перейти к цитате
У Вас есть установленный в хранилище Личное действующий квалифицированный сертификат или сертификат, полученный в этом тестовом удостоверяющем центре?

Нет, естественно.
Я не бухгалтер и не генеральный директор, я специалист техподдержки предприятия.
Прежде чем дёргать начальство с ключами, мне надо убедиться, что программное обеспечение функционирует нормально.
Offline Андрей Писарев  
#10 Оставлено : 11 октября 2018 г. 21:06:22(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,718
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1007 раз в 817 постах
Автор: AnrDaemon Перейти к цитате
Автор: Александр Лавник Перейти к цитате
У Вас есть установленный в хранилище Личное действующий квалифицированный сертификат или сертификат, полученный в этом тестовом удостоверяющем центре?

Нет, естественно.
Я не бухгалтер и не генеральный директор, я специалист техподдержки предприятия.
Прежде чем дёргать начальство с ключами, мне надо убедиться, что программное обеспечение функционирует нормально.


Здравствуйте.

Чтобы работало соединение с клиентской аутентификацией по сертификату - сертификат нужен.

Snimok ehkrana ot 2018-10-12 01-04-56.png (25kb) загружен 3 раз(а).
Offline AnrDaemon  
#11 Оставлено : 12 октября 2018 г. 9:44:00(UTC)
AnrDaemon

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 9

Да, спасибо, я понял, что нужен сертификат.
Где найти ссылку, по которой можно проверить соединение с GOST'овскими шифрами без сертификата?
Какая-нибудь страничка статуса IIS, на которой будет явно видно, какие шифры использованы при подключении к ней. Это возможно?
Offline Андрей Писарев  
#12 Оставлено : 12 октября 2018 г. 11:57:56(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 7,718
Мужчина
Российская Федерация

Сказал «Спасибо»: 264 раз
Поблагодарили: 1007 раз в 817 постах
Автор: AnrDaemon Перейти к цитате
Да, спасибо, я понял, что нужен сертификат.
Где найти ссылку, по которой можно проверить соединение с GOST'овскими шифрами без сертификата?
Какая-нибудь страничка статуса IIS, на которой будет явно видно, какие шифры использованы при подключении к ней. Это возможно?



Да, например, страница УЦ cpca.cryptopro.ru


Snimok ehkrana ot 2018-10-12 15-54-10.png (48kb) загружен 9 раз(а).

Должен быть установлен из этого файла: корневой сертификат (срок действия до 09.09.2030)
или нажать в браузере игнорирование ошибки.
Offline AnrDaemon  
#13 Оставлено : 13 октября 2018 г. 17:34:28(UTC)
AnrDaemon

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 9

Спасибо.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.