Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Demonix  
#1 Оставлено : 13 августа 2010 г. 13:59:20(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Есть такая проблема - клиент ставит КриптоПро 3.6 (XP SP3). Нормально работает не перезагружаясь.
После перезагрузки - невозможно зайти через браузер на страницу с ГОСТовским https (проверяли на https://demo-extern.kontur.ru/ - тут сертификат предлагается выбрать, но это не обязательно - пустит и без сертификата).

У нас есть приложение, которое для соединения с сервером использует Winhttp (для соединения нужен клиентский сертификат). Последний при попытке соединиться выдает ошибку 12186 (0x2f9a), как я понял, это ERROR_WINHTTP_CLIENT_CERT_NO_ACCESS_PRIVATE_KEY.
При этом через csptest -tlsc соединяется нормально (и с предъявлением сертификата и без него).

Также есть 2 лога procmon'а (пытались найти в них что-нибудь связанное с запретом доступа - не нашли):
Один - заход на сервер, когда все работает. Второй - заход на сервер, после перезагрузки, когда все перестает работать.
Если они нужны - могу прислать ссылку на support@.

На всякий случай, в приложении к посту вывод csptest -tlsc.

Помню еще эту ветку: http://www.cryptopro.ru/...ro/forum/view.asp?q=6210
Клиент говорит, что вирусов нет.

Что посоветуете?
Вложение(я):
test.rar (51kb) загружен 39 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Татьяна  
#2 Оставлено : 13 августа 2010 г. 15:53:27(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
По логу csptest сказать что-то сложно(там-то всё работает).

Появляются ли в процессе работы Вашего приложения какие-то окна(с запросом носителя, пина..)? Работа происходит локально за этим компьютером или через удаленный рабочий стол/терминальный сервер? Если csptest нормально работает с двухсторонней аутентификацией, то ссылка на закрытый ключ, прописанная в виндовом хранилище сертификатов, должна быть корректной. Ваше приложение берет информацию оттуда или есть какие-то отдельные настройки для указания размещения ключа?

По поводу темы на форуме -- в этом случае у пользователя все ГОСТовые сертификаты при просмотре считались бы недействительными. Если такого не наблюдается, то этот вариант можно отбросить.
Татьяна
ООО Крипто-Про
Offline Demonix  
#3 Оставлено : 13 августа 2010 г. 17:02:50(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Да, сертификаты отображаются действительными.
По привязку к ключу завтра ответит разработчик, но вручную местоположение ключа точно не указывается - указывается сертификат.

Замечу, что не работает и сам IE (мы еще проверим, как у них заходит на https://cpca.cryptopro.ru). Про терминальный сервер и окна уточню, но мы пробовали копировать ключ в реестр - все так же: при переустановке КП до перезагрузки работает, после - нет.
Offline Максим Коллегин  
#4 Оставлено : 13 августа 2010 г. 17:25:07(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,095
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 19 раз
Поблагодарили: 613 раз в 546 постах
Стоп. Гостовый TLS работает после установки CSP без перезагрузки?
Знания в базе знаний, поддержка в техподдержке
Offline Demonix  
#5 Оставлено : 13 августа 2010 г. 17:41:31(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
То, что гостовый - точно.
Что сразу после установки - меня тоже это смутило, но про то, что перестает работать именно после второй перезагрузки, а не после первой они не говорили. Может так влияет то, что они переставляют КриптоПро на машине, где он уже стоит? (уточняем подробности)..
Offline Максим Коллегин  
#6 Оставлено : 13 августа 2010 г. 18:39:12(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,095
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 19 раз
Поблагодарили: 613 раз в 546 постах
При перестановке лучше все-таки два раза перезагружаться (после удаления и после установки). Наш TLS работать без перезагрузки не может (это весьма нетривиальная задача :)), возможно стоял другой российский криптопровайдер?
Знания в базе знаний, поддержка в техподдержке
Offline art_z  
#7 Оставлено : 16 августа 2010 г. 15:24:59(UTC)
art_z

Статус: Участник

Группы: Участники
Зарегистрирован: 28.01.2008(UTC)
Сообщений: 14
Российская Федерация

Demonix написал:
По привязку к ключу завтра ответит разработчик, но вручную местоположение ключа точно не указывается - указывается сертификат.


Мы используем MS SOAP Toolkit 3.0 для соединения с сервером. На вход ему подается содержимое сертификата. Есть предположение, что SOAP Toolkit использует CN из переданного сертификата для поиска в хранилищах. Большее пока сказать не могу.
Offline Demonix  
#8 Оставлено : 19 августа 2010 г. 15:00:05(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Вот как клиент описывает, что он делает:
Удаляем крипто-про. Перегружаемся. Чистим следы утилитой. Перегружаемся. Ставим крипто-про. Перегружаемся. Ставим сертификат пользователя. Заходим, работаем. Следующая перезагрузка - не заходим.


Про ПИНы и терминал:
Запросы пина появляются только при первом использовании после переустановки. После этого ставится галка "Сохранить пароль" и больше запросов не возникает. Работаем локально.

на https://cpca.cryptopro.ru тоже не заходит.

Клиент готов предоставить возможность поработать через teamviewer. Если хотите посмотреть лично - давайте спишемся в ПМ, договоримся, когда организовать сеанс.

Отредактировано пользователем 19 августа 2010 г. 15:01:33(UTC)  | Причина: Не указана

Offline Demonix  
#9 Оставлено : 14 сентября 2010 г. 12:50:26(UTC)
Demonix

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 152
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Добрый день!
На сколько я понял, проблема решена обновлением КриптоПро и манипуляциями с профилем.
Не расскажете в двух словах, что это было?
Offline Dmitriy  
#10 Оставлено : 13 декабря 2010 г. 17:54:34(UTC)
Dmitriy

Статус: Участник

Группы: Участники
Зарегистрирован: 13.03.2008(UTC)
Сообщений: 24
Откуда: Russia

Есть похожий случай. Подскажите, пожалуйста, решение проблемы, если оно было найдено.
Offline Максим Коллегин  
#11 Оставлено : 13 декабря 2010 г. 21:16:20(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,095
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 19 раз
Поблагодарили: 613 раз в 546 постах
доменная политика
буду благодарен, если кто-нибудь напишет какая именно.

Отредактировано пользователем 13 декабря 2010 г. 21:16:56(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Dmitriy  
#12 Оставлено : 30 декабря 2010 г. 15:36:51(UTC)
Dmitriy

Статус: Участник

Группы: Участники
Зарегистрирован: 13.03.2008(UTC)
Сообщений: 24
Откуда: Russia

Из подозрительных была задействована политика "Член домена: всегда требовать цифровую подпись или шифрование потока данных безопасного канала".
Предложил изменить значение параметра 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages', заменив 'schannel' на 'cpssl' и попробовать отключить политику.
По моим советам поковырялись - помогло, но что именно - сказать не могут. Возможно, дело как раз в этой политике.

Отредактировано пользователем 30 декабря 2010 г. 15:37:26(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.