Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline two_oceans  
#11 Оставлено : 20 марта 2019 г. 12:57:18(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
1) не проверял, но предположу что "да"
2) как альтернативу можно предложить пропустить соединение через stunnel-msspi (или stunnel - версия с сайта КриптоПро умеет работать с контейнером КриптоПро без преобразования в pem) для расшифровки соединения (на компьютере где расположен клиент), тогда должен подойти любой клиент. Как вариант тогда можно такой же stunnel поставить на сервере и в IIS вообще не нужно настраивать TLS соединение. Минус в том, что если будут открываться дополнительные FTP соединения на другие порты, они могут выпасть из криптотоннеля.

Для устранения этого минуса можно с каждой стороны добавить по прокси (в прокси у клиента указать параметр "родительская прокси" на stunnel у клиента, а сам stunnel клиента цеплять к прокси на сервере, прокси к IIS либо stunnel клиента цеплять к stunnel на сервере, а stunnel на сервере к прокси на сервере, IIS без TLS настройки) - скорость станет раз в 10 меньше, но зато все соединения между компьютером клиента и сервером по гост даже с клиентами не поддерживающими гост: эдакая усеченная версия VPN. Важная деталь - прокси ставятся парой, так как протокол обращения к родительскому прокси отличается от обычного соединения и второй прокси возвращает протокол к исходному.
3) да

По поводу ошибки самого IIS желательно проверить как установлены сертификаты и контейнер. Полагаю, Вы это и так знаете, но на всякий случай повторю на какие детали обратить внимание:
1. Само собой разумеется, что сам сертификат должен быть в хранилище Личные с проставленной ссылкой на контейнер.
2. Если IIS запускается под каким-то специальным пользователем или системой, то у этого пользователя или системы должен быть доступ к контейнеру закрытого ключа и от имени этого пользователя должна строится верная цепочка сертификатов (обычно достигается установкой двух сертификатов УЦ в соответствующие хранилища компьютера, но лучше все же проверить, что цепочка получилась верная). Без верной цепочки программы Майкрософт не будут использовать сертификат, а без контейнера соединение не установится. Можно перестараховаться и установить еще и списки отзыва сертификатов соответствующего УЦ. С тестовыми УЦ КриптоПро достаточно часто бывает ситуация, что выпускают сертификат на одном УЦ, а сертификаты ставят другого. Обратите внимание, что тестовых УЦ Криптопро несколько.

3. Для использования гост в службах (IIS в том числе) должен быть установлен компонент "Криптопровайдер уровня ядра" в КриптоПро 4.0. Требуется перезагрузка после установки компонента, чтобы компонент определился во всех службах.

4. Возможны проблемы когда на контейнер установлен пароль, а при использовании из службы проблематично отобразить интерактивное окно криптопро с запросом пароля. Обычно это решается либо снятием пароля либо запоминанием пароля либо флагом SILENT. Вот с флагом могут быть проблемы относительно совместимости с продуктами Майкрософт. Передача пароля тоже насколько помню не совсем стандартная, так что для теста удобнее всего убрать пароль.

Отредактировано пользователем 20 марта 2019 г. 13:10:33(UTC)  | Причина: Не указана

Offline Женя Лавочник  
#12 Оставлено : 20 марта 2019 г. 14:04:25(UTC)
Женя Лавочник

Статус: Участник

Группы: Участники
Зарегистрирован: 19.03.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Автор: two_oceans Перейти к цитате
1) не проверял, но предположу что "да"
2) как альтернативу можно предложить пропустить соединение через stunnel-msspi (или stunnel - версия с сайта КриптоПро умеет работать с контейнером КриптоПро без преобразования в pem) для расшифровки соединения (на компьютере где расположен клиент), тогда должен подойти любой клиент. Как вариант тогда можно такой же stunnel поставить на сервере и в IIS вообще не нужно настраивать TLS соединение. Минус в том, что если будут открываться дополнительные FTP соединения на другие порты, они могут выпасть из криптотоннеля.

Для устранения этого минуса можно с каждой стороны добавить по прокси (в прокси у клиента указать параметр "родительская прокси" на stunnel у клиента, а сам stunnel клиента цеплять к прокси на сервере, прокси к IIS либо stunnel клиента цеплять к stunnel на сервере, а stunnel на сервере к прокси на сервере, IIS без TLS настройки) - скорость станет раз в 10 меньше, но зато все соединения между компьютером клиента и сервером по гост даже с клиентами не поддерживающими гост: эдакая усеченная версия VPN. Важная деталь - прокси ставятся парой, так как протокол обращения к родительскому прокси отличается от обычного соединения и второй прокси возвращает протокол к исходному.
3) да

По поводу ошибки самого IIS желательно проверить как установлены сертификаты и контейнер. Полагаю, Вы это и так знаете, но на всякий случай повторю на какие детали обратить внимание:
1. Само собой разумеется, что сам сертификат должен быть в хранилище Личные с проставленной ссылкой на контейнер.
2. Если IIS запускается под каким-то специальным пользователем или системой, то у этого пользователя или системы должен быть доступ к контейнеру закрытого ключа и от имени этого пользователя должна строится верная цепочка сертификатов (обычно достигается установкой двух сертификатов УЦ в соответствующие хранилища компьютера, но лучше все же проверить, что цепочка получилась верная). Без верной цепочки программы Майкрософт не будут использовать сертификат, а без контейнера соединение не установится. Можно перестараховаться и установить еще и списки отзыва сертификатов соответствующего УЦ. С тестовыми УЦ КриптоПро достаточно часто бывает ситуация, что выпускают сертификат на одном УЦ, а сертификаты ставят другого. Обратите внимание, что тестовых УЦ Криптопро несколько.

3. Для использования гост в службах (IIS в том числе) должен быть установлен компонент "Криптопровайдер уровня ядра" в КриптоПро 4.0. Требуется перезагрузка после установки компонента, чтобы компонент определился во всех службах.

4. Возможны проблемы когда на контейнер установлен пароль, а при использовании из службы проблематично отобразить интерактивное окно криптопро с запросом пароля. Обычно это решается либо снятием пароля либо запоминанием пароля либо флагом SILENT. Вот с флагом могут быть проблемы относительно совместимости с продуктами Майкрософт. Передача пароля тоже насколько помню не совсем стандартная, так что для теста удобнее всего убрать пароль.






Благодарю Вас за ответы.
По поводу рекомендаций:
stunnel - хорошая штука, но слишком сложная для восприятия обычного пользователя. Представляете, как будет производиться настройка stunnel тётеньки бухгалтера в возрасте 50+, даже если в руках у неё будет подробная инструкция?


По поводу ошибки:
2) Странно, что https работает
3) Криптопровайдер уровня ядра - изначально был установлен
4) контейнер без пароля



ох, печаль тоска =(

Offline Женя Лавочник  
#13 Оставлено : 20 марта 2019 г. 14:09:39(UTC)
Женя Лавочник

Статус: Участник

Группы: Участники
Зарегистрирован: 19.03.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Автор: Женя Лавочник Перейти к цитате
Автор: two_oceans Перейти к цитате
1) не проверял, но предположу что "да"
2) как альтернативу можно предложить пропустить соединение через stunnel-msspi (или stunnel - версия с сайта КриптоПро умеет работать с контейнером КриптоПро без преобразования в pem) для расшифровки соединения (на компьютере где расположен клиент), тогда должен подойти любой клиент. Как вариант тогда можно такой же stunnel поставить на сервере и в IIS вообще не нужно настраивать TLS соединение. Минус в том, что если будут открываться дополнительные FTP соединения на другие порты, они могут выпасть из криптотоннеля.

Для устранения этого минуса можно с каждой стороны добавить по прокси (в прокси у клиента указать параметр "родительская прокси" на stunnel у клиента, а сам stunnel клиента цеплять к прокси на сервере, прокси к IIS либо stunnel клиента цеплять к stunnel на сервере, а stunnel на сервере к прокси на сервере, IIS без TLS настройки) - скорость станет раз в 10 меньше, но зато все соединения между компьютером клиента и сервером по гост даже с клиентами не поддерживающими гост: эдакая усеченная версия VPN. Важная деталь - прокси ставятся парой, так как протокол обращения к родительскому прокси отличается от обычного соединения и второй прокси возвращает протокол к исходному.
3) да

По поводу ошибки самого IIS желательно проверить как установлены сертификаты и контейнер. Полагаю, Вы это и так знаете, но на всякий случай повторю на какие детали обратить внимание:
1. Само собой разумеется, что сам сертификат должен быть в хранилище Личные с проставленной ссылкой на контейнер.
2. Если IIS запускается под каким-то специальным пользователем или системой, то у этого пользователя или системы должен быть доступ к контейнеру закрытого ключа и от имени этого пользователя должна строится верная цепочка сертификатов (обычно достигается установкой двух сертификатов УЦ в соответствующие хранилища компьютера, но лучше все же проверить, что цепочка получилась верная). Без верной цепочки программы Майкрософт не будут использовать сертификат, а без контейнера соединение не установится. Можно перестараховаться и установить еще и списки отзыва сертификатов соответствующего УЦ. С тестовыми УЦ КриптоПро достаточно часто бывает ситуация, что выпускают сертификат на одном УЦ, а сертификаты ставят другого. Обратите внимание, что тестовых УЦ Криптопро несколько.

3. Для использования гост в службах (IIS в том числе) должен быть установлен компонент "Криптопровайдер уровня ядра" в КриптоПро 4.0. Требуется перезагрузка после установки компонента, чтобы компонент определился во всех службах.

4. Возможны проблемы когда на контейнер установлен пароль, а при использовании из службы проблематично отобразить интерактивное окно криптопро с запросом пароля. Обычно это решается либо снятием пароля либо запоминанием пароля либо флагом SILENT. Вот с флагом могут быть проблемы относительно совместимости с продуктами Майкрософт. Передача пароля тоже насколько помню не совсем стандартная, так что для теста удобнее всего убрать пароль.






Благодарю Вас за ответы.
По поводу рекомендаций:
1) stunnel - хорошая штука, но слишком сложная для восприятия обычного пользователя. Представляете, как будет производиться настройка stunnel тётеньки бухгалтера в возрасте 50+, даже если в руках у неё будет подробная инструкция?
2) tsl v1.0 тянется в wireshark. Когда пытаюсь установить соединение.


По поводу ошибки:
2) Странно, что https работает
3) Криптопровайдер уровня ядра - изначально был установлен
4) контейнер без пароля



ох, печаль тоска =(



Offline Максим Коллегин  
#14 Оставлено : 20 марта 2019 г. 20:58:43(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
TLS 1.2 поддерживается начиная с CSP 4.0 R3
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#15 Оставлено : 20 марта 2019 г. 21:10:38(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Проверил, работает.
Сервер IIS Windows 10 1809
Клиент SmartFTP 9 Windows 19H1. FTPS (explicit). Порт по умолчанию (21).
Untitled.png (4kb) загружен 8 раз(а).

Отредактировано пользователем 20 марта 2019 г. 21:11:59(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Женя Лавочник  
#16 Оставлено : 21 марта 2019 г. 12:49:25(UTC)
Женя Лавочник

Статус: Участник

Группы: Участники
Зарегистрирован: 19.03.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Автор: Максим Коллегин Перейти к цитате
TLS 1.2 поддерживается начиная с CSP 4.0 R3


Благодарю. Обновились до R3, начал ходить tls 1.2.




Автор: Максим Коллегин Перейти к цитате
Проверил, работает.
Сервер IIS Windows 10 1809
Клиент SmartFTP 9 Windows 19H1. FTPS (explicit). Порт по умолчанию (21).
Untitled.png (4kb) загружен 8 раз(а).




Спасибо за Ваш ответ.

То что у Вас получилось это замечательно. Подскажите, а Вы смотрели какой трафик ходит между узлом и сервером в этом подключении? Шифрованный или нет?

Отредактировано пользователем 21 марта 2019 г. 12:51:02(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#17 Оставлено : 21 марта 2019 г. 13:12:53(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Нет, не смотрел, можете сделать это самостоятельно. Другой трафик на IIS был запрещён.
Знания в базе знаний, поддержка в техподдержке
Offline Женя Лавочник  
#18 Оставлено : 21 марта 2019 г. 14:27:38(UTC)
Женя Лавочник

Статус: Участник

Группы: Участники
Зарегистрирован: 19.03.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Автор: Максим Коллегин Перейти к цитате
Нет, не смотрел, можете сделать это самостоятельно. Другой трафик на IIS был запрещён.


Спасибо.
Offline two_oceans  
#19 Оставлено : 22 марта 2019 г. 6:01:12(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Цитата:
По поводу рекомендаций:
stunnel - хорошая штука, но слишком сложная для восприятия обычного пользователя. Представляете, как будет производиться настройка stunnel тётеньки бухгалтера в возрасте 50+, даже если в руках у неё будет подробная инструкция?
У меня тоже такие есть. В том числе и помоложе, но когда Контур-Экстерн показывает табличку "нажмите сюда чтобы обновить плагин" они все равно звонят мне перед нажатием. Такие тетеньки и клиентом FTPS не будут заморачиваться - для них проще промапить ftps на букву диска и пусть работают в проводнике. Хотя лично мне технология WebDAV (надстройка над протоколом http(s), позволяющая изменять файлы на сервере, например, на Яндекс.Диске) кажется удобнее чем FTP: соединения идут на один порт + http(s) практически везде разрешен файерволами + http(s) поддерживается практически любыми проксями = проще с файерволами; без проблем проходит по stunnel; поддерживается проводником, легко мапится на букву диска; таймаут до разрыва соединения как правило больше чем у ftp.

По stunnel все собираюсь сделать автоматизацию установки (собственно, автоматизировать там почти нечего - распаковать, выполнить регистрацию службы), автоскачивание настроек stunnel и сертификатов (различать настройки допустим по инн, который бухгалтеры вспомнят даже если среди ночи разбудить, и некому номеру компьютера, который легко продиктовать). Сложнее с настройкой прокси - браузеров расплодилось много.
Offline Женя Лавочник  
#20 Оставлено : 22 марта 2019 г. 8:44:39(UTC)
Женя Лавочник

Статус: Участник

Группы: Участники
Зарегистрирован: 19.03.2019(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Автор: two_oceans Перейти к цитате
Цитата:
По поводу рекомендаций:
stunnel - хорошая штука, но слишком сложная для восприятия обычного пользователя. Представляете, как будет производиться настройка stunnel тётеньки бухгалтера в возрасте 50+, даже если в руках у неё будет подробная инструкция?
У меня тоже такие есть. В том числе и помоложе, но когда Контур-Экстерн показывает табличку "нажмите сюда чтобы обновить плагин" они все равно звонят мне перед нажатием. Такие тетеньки и клиентом FTPS не будут заморачиваться - для них проще промапить ftps на букву диска и пусть работают в проводнике. Хотя лично мне технология WebDAV (надстройка над протоколом http(s), позволяющая изменять файлы на сервере, например, на Яндекс.Диске) кажется удобнее чем FTP: соединения идут на один порт + http(s) практически везде разрешен файерволами + http(s) поддерживается практически любыми проксями = проще с файерволами; без проблем проходит по stunnel; поддерживается проводником, легко мапится на букву диска; таймаут до разрыва соединения как правило больше чем у ftp.

По stunnel все собираюсь сделать автоматизацию установки (собственно, автоматизировать там почти нечего - распаковать, выполнить регистрацию службы), автоскачивание настроек stunnel и сертификатов (различать настройки допустим по инн, который бухгалтеры вспомнят даже если среди ночи разбудить, и некому номеру компьютера, который легко продиктовать). Сложнее с настройкой прокси - браузеров расплодилось много.



Понимаю Вас. Проблема действительно в прокси у клиента, который находится где-нибудь во франции, если использовать webdav + под него нужно писать рабочий вебинтерфейс. И сможет ли прокси понять и пропустить этот трафик(конечно это уже демагогия). stunnel для клиента как виртуальный диск не пройдёт через сб, тк как он будет держать постоянное соединение. Не хочу оскорблять чувства верующих, но лично я сторонник ssh+fips, просто задача стояла поднять гост.
Данный пост был совсем про другое, но с Вашего позволения кину 2 камня в ваш огород:
1) Старые существующие мануалы на сайте. Много старой документации начала 2000х, нет инструкций про внедрение криптопро. Мой пример, возможно, исключение, а может я не так искал.
2) Сделайте плиз поддержку ssh в cryptopro 5.0. ftps это легаси и я думаю вы прекрасно об этом знаете.
В любом случае спасибо за помощь.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.