Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
1) не проверял, но предположу что "да" 2) как альтернативу можно предложить пропустить соединение через stunnel-msspi (или stunnel - версия с сайта КриптоПро умеет работать с контейнером КриптоПро без преобразования в pem) для расшифровки соединения (на компьютере где расположен клиент), тогда должен подойти любой клиент. Как вариант тогда можно такой же stunnel поставить на сервере и в IIS вообще не нужно настраивать TLS соединение. Минус в том, что если будут открываться дополнительные FTP соединения на другие порты, они могут выпасть из криптотоннеля. Для устранения этого минуса можно с каждой стороны добавить по прокси (в прокси у клиента указать параметр "родительская прокси" на stunnel у клиента, а сам stunnel клиента цеплять к прокси на сервере, прокси к IIS либо stunnel клиента цеплять к stunnel на сервере, а stunnel на сервере к прокси на сервере, IIS без TLS настройки) - скорость станет раз в 10 меньше, но зато все соединения между компьютером клиента и сервером по гост даже с клиентами не поддерживающими гост: эдакая усеченная версия VPN. Важная деталь - прокси ставятся парой, так как протокол обращения к родительскому прокси отличается от обычного соединения и второй прокси возвращает протокол к исходному. 3) да По поводу ошибки самого IIS желательно проверить как установлены сертификаты и контейнер. Полагаю, Вы это и так знаете, но на всякий случай повторю на какие детали обратить внимание: 1. Само собой разумеется, что сам сертификат должен быть в хранилище Личные с проставленной ссылкой на контейнер. 2. Если IIS запускается под каким-то специальным пользователем или системой, то у этого пользователя или системы должен быть доступ к контейнеру закрытого ключа и от имени этого пользователя должна строится верная цепочка сертификатов (обычно достигается установкой двух сертификатов УЦ в соответствующие хранилища компьютера, но лучше все же проверить, что цепочка получилась верная). Без верной цепочки программы Майкрософт не будут использовать сертификат, а без контейнера соединение не установится. Можно перестараховаться и установить еще и списки отзыва сертификатов соответствующего УЦ. С тестовыми УЦ КриптоПро достаточно часто бывает ситуация, что выпускают сертификат на одном УЦ, а сертификаты ставят другого. Обратите внимание, что тестовых УЦ Криптопро несколько. 3. Для использования гост в службах (IIS в том числе) должен быть установлен компонент "Криптопровайдер уровня ядра" в КриптоПро 4.0. Требуется перезагрузка после установки компонента, чтобы компонент определился во всех службах. 4. Возможны проблемы когда на контейнер установлен пароль, а при использовании из службы проблематично отобразить интерактивное окно криптопро с запросом пароля. Обычно это решается либо снятием пароля либо запоминанием пароля либо флагом SILENT. Вот с флагом могут быть проблемы относительно совместимости с продуктами Майкрософт. Передача пароля тоже насколько помню не совсем стандартная, так что для теста удобнее всего убрать пароль. Отредактировано пользователем 20 марта 2019 г. 13:10:33(UTC)
| Причина: Не указана
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.03.2019(UTC) Сообщений: 12 Откуда: Москва
|
Автор: two_oceans 1) не проверял, но предположу что "да" 2) как альтернативу можно предложить пропустить соединение через stunnel-msspi (или stunnel - версия с сайта КриптоПро умеет работать с контейнером КриптоПро без преобразования в pem) для расшифровки соединения (на компьютере где расположен клиент), тогда должен подойти любой клиент. Как вариант тогда можно такой же stunnel поставить на сервере и в IIS вообще не нужно настраивать TLS соединение. Минус в том, что если будут открываться дополнительные FTP соединения на другие порты, они могут выпасть из криптотоннеля.
Для устранения этого минуса можно с каждой стороны добавить по прокси (в прокси у клиента указать параметр "родительская прокси" на stunnel у клиента, а сам stunnel клиента цеплять к прокси на сервере, прокси к IIS либо stunnel клиента цеплять к stunnel на сервере, а stunnel на сервере к прокси на сервере, IIS без TLS настройки) - скорость станет раз в 10 меньше, но зато все соединения между компьютером клиента и сервером по гост даже с клиентами не поддерживающими гост: эдакая усеченная версия VPN. Важная деталь - прокси ставятся парой, так как протокол обращения к родительскому прокси отличается от обычного соединения и второй прокси возвращает протокол к исходному. 3) да
По поводу ошибки самого IIS желательно проверить как установлены сертификаты и контейнер. Полагаю, Вы это и так знаете, но на всякий случай повторю на какие детали обратить внимание: 1. Само собой разумеется, что сам сертификат должен быть в хранилище Личные с проставленной ссылкой на контейнер. 2. Если IIS запускается под каким-то специальным пользователем или системой, то у этого пользователя или системы должен быть доступ к контейнеру закрытого ключа и от имени этого пользователя должна строится верная цепочка сертификатов (обычно достигается установкой двух сертификатов УЦ в соответствующие хранилища компьютера, но лучше все же проверить, что цепочка получилась верная). Без верной цепочки программы Майкрософт не будут использовать сертификат, а без контейнера соединение не установится. Можно перестараховаться и установить еще и списки отзыва сертификатов соответствующего УЦ. С тестовыми УЦ КриптоПро достаточно часто бывает ситуация, что выпускают сертификат на одном УЦ, а сертификаты ставят другого. Обратите внимание, что тестовых УЦ Криптопро несколько.
3. Для использования гост в службах (IIS в том числе) должен быть установлен компонент "Криптопровайдер уровня ядра" в КриптоПро 4.0. Требуется перезагрузка после установки компонента, чтобы компонент определился во всех службах.
4. Возможны проблемы когда на контейнер установлен пароль, а при использовании из службы проблематично отобразить интерактивное окно криптопро с запросом пароля. Обычно это решается либо снятием пароля либо запоминанием пароля либо флагом SILENT. Вот с флагом могут быть проблемы относительно совместимости с продуктами Майкрософт. Передача пароля тоже насколько помню не совсем стандартная, так что для теста удобнее всего убрать пароль. Благодарю Вас за ответы. По поводу рекомендаций: stunnel - хорошая штука, но слишком сложная для восприятия обычного пользователя. Представляете, как будет производиться настройка stunnel тётеньки бухгалтера в возрасте 50+, даже если в руках у неё будет подробная инструкция? По поводу ошибки: 2) Странно, что https работает 3) Криптопровайдер уровня ядра - изначально был установлен 4) контейнер без пароля ох, печаль тоска =(
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.03.2019(UTC) Сообщений: 12 Откуда: Москва
|
Автор: Женя Лавочник Автор: two_oceans 1) не проверял, но предположу что "да" 2) как альтернативу можно предложить пропустить соединение через stunnel-msspi (или stunnel - версия с сайта КриптоПро умеет работать с контейнером КриптоПро без преобразования в pem) для расшифровки соединения (на компьютере где расположен клиент), тогда должен подойти любой клиент. Как вариант тогда можно такой же stunnel поставить на сервере и в IIS вообще не нужно настраивать TLS соединение. Минус в том, что если будут открываться дополнительные FTP соединения на другие порты, они могут выпасть из криптотоннеля.
Для устранения этого минуса можно с каждой стороны добавить по прокси (в прокси у клиента указать параметр "родительская прокси" на stunnel у клиента, а сам stunnel клиента цеплять к прокси на сервере, прокси к IIS либо stunnel клиента цеплять к stunnel на сервере, а stunnel на сервере к прокси на сервере, IIS без TLS настройки) - скорость станет раз в 10 меньше, но зато все соединения между компьютером клиента и сервером по гост даже с клиентами не поддерживающими гост: эдакая усеченная версия VPN. Важная деталь - прокси ставятся парой, так как протокол обращения к родительскому прокси отличается от обычного соединения и второй прокси возвращает протокол к исходному. 3) да
По поводу ошибки самого IIS желательно проверить как установлены сертификаты и контейнер. Полагаю, Вы это и так знаете, но на всякий случай повторю на какие детали обратить внимание: 1. Само собой разумеется, что сам сертификат должен быть в хранилище Личные с проставленной ссылкой на контейнер. 2. Если IIS запускается под каким-то специальным пользователем или системой, то у этого пользователя или системы должен быть доступ к контейнеру закрытого ключа и от имени этого пользователя должна строится верная цепочка сертификатов (обычно достигается установкой двух сертификатов УЦ в соответствующие хранилища компьютера, но лучше все же проверить, что цепочка получилась верная). Без верной цепочки программы Майкрософт не будут использовать сертификат, а без контейнера соединение не установится. Можно перестараховаться и установить еще и списки отзыва сертификатов соответствующего УЦ. С тестовыми УЦ КриптоПро достаточно часто бывает ситуация, что выпускают сертификат на одном УЦ, а сертификаты ставят другого. Обратите внимание, что тестовых УЦ Криптопро несколько.
3. Для использования гост в службах (IIS в том числе) должен быть установлен компонент "Криптопровайдер уровня ядра" в КриптоПро 4.0. Требуется перезагрузка после установки компонента, чтобы компонент определился во всех службах.
4. Возможны проблемы когда на контейнер установлен пароль, а при использовании из службы проблематично отобразить интерактивное окно криптопро с запросом пароля. Обычно это решается либо снятием пароля либо запоминанием пароля либо флагом SILENT. Вот с флагом могут быть проблемы относительно совместимости с продуктами Майкрософт. Передача пароля тоже насколько помню не совсем стандартная, так что для теста удобнее всего убрать пароль. Благодарю Вас за ответы. По поводу рекомендаций: 1) stunnel - хорошая штука, но слишком сложная для восприятия обычного пользователя. Представляете, как будет производиться настройка stunnel тётеньки бухгалтера в возрасте 50+, даже если в руках у неё будет подробная инструкция? 2) tsl v1.0 тянется в wireshark. Когда пытаюсь установить соединение. По поводу ошибки: 2) Странно, что https работает 3) Криптопровайдер уровня ядра - изначально был установлен 4) контейнер без пароля ох, печаль тоска =(
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,374 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 704 раз в 613 постах
|
TLS 1.2 поддерживается начиная с CSP 4.0 R3 |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,374 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 704 раз в 613 постах
|
Проверил, работает. Сервер IIS Windows 10 1809 Клиент SmartFTP 9 Windows 19H1. FTPS (explicit). Порт по умолчанию (21). Untitled.png (4kb) загружен 8 раз(а).Отредактировано пользователем 20 марта 2019 г. 21:11:59(UTC)
| Причина: Не указана |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.03.2019(UTC) Сообщений: 12 Откуда: Москва
|
Автор: Максим Коллегин TLS 1.2 поддерживается начиная с CSP 4.0 R3 Благодарю. Обновились до R3, начал ходить tls 1.2. Автор: Максим Коллегин Проверил, работает. Сервер IIS Windows 10 1809 Клиент SmartFTP 9 Windows 19H1. FTPS (explicit). Порт по умолчанию (21). Untitled.png (4kb) загружен 8 раз(а). Спасибо за Ваш ответ. То что у Вас получилось это замечательно. Подскажите, а Вы смотрели какой трафик ходит между узлом и сервером в этом подключении? Шифрованный или нет? Отредактировано пользователем 21 марта 2019 г. 12:51:02(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,374 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 704 раз в 613 постах
|
Нет, не смотрел, можете сделать это самостоятельно. Другой трафик на IIS был запрещён. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.03.2019(UTC) Сообщений: 12 Откуда: Москва
|
Автор: Максим Коллегин Нет, не смотрел, можете сделать это самостоятельно. Другой трафик на IIS был запрещён. Спасибо.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 393 раз в 366 постах
|
Цитата:По поводу рекомендаций: stunnel - хорошая штука, но слишком сложная для восприятия обычного пользователя. Представляете, как будет производиться настройка stunnel тётеньки бухгалтера в возрасте 50+, даже если в руках у неё будет подробная инструкция? У меня тоже такие есть. В том числе и помоложе, но когда Контур-Экстерн показывает табличку "нажмите сюда чтобы обновить плагин" они все равно звонят мне перед нажатием. Такие тетеньки и клиентом FTPS не будут заморачиваться - для них проще промапить ftps на букву диска и пусть работают в проводнике. Хотя лично мне технология WebDAV (надстройка над протоколом http(s), позволяющая изменять файлы на сервере, например, на Яндекс.Диске) кажется удобнее чем FTP: соединения идут на один порт + http(s) практически везде разрешен файерволами + http(s) поддерживается практически любыми проксями = проще с файерволами; без проблем проходит по stunnel; поддерживается проводником, легко мапится на букву диска; таймаут до разрыва соединения как правило больше чем у ftp. По stunnel все собираюсь сделать автоматизацию установки (собственно, автоматизировать там почти нечего - распаковать, выполнить регистрацию службы), автоскачивание настроек stunnel и сертификатов (различать настройки допустим по инн, который бухгалтеры вспомнят даже если среди ночи разбудить, и некому номеру компьютера, который легко продиктовать). Сложнее с настройкой прокси - браузеров расплодилось много.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.03.2019(UTC) Сообщений: 12 Откуда: Москва
|
Автор: two_oceans Цитата:По поводу рекомендаций: stunnel - хорошая штука, но слишком сложная для восприятия обычного пользователя. Представляете, как будет производиться настройка stunnel тётеньки бухгалтера в возрасте 50+, даже если в руках у неё будет подробная инструкция? У меня тоже такие есть. В том числе и помоложе, но когда Контур-Экстерн показывает табличку "нажмите сюда чтобы обновить плагин" они все равно звонят мне перед нажатием. Такие тетеньки и клиентом FTPS не будут заморачиваться - для них проще промапить ftps на букву диска и пусть работают в проводнике. Хотя лично мне технология WebDAV (надстройка над протоколом http(s), позволяющая изменять файлы на сервере, например, на Яндекс.Диске) кажется удобнее чем FTP: соединения идут на один порт + http(s) практически везде разрешен файерволами + http(s) поддерживается практически любыми проксями = проще с файерволами; без проблем проходит по stunnel; поддерживается проводником, легко мапится на букву диска; таймаут до разрыва соединения как правило больше чем у ftp. По stunnel все собираюсь сделать автоматизацию установки (собственно, автоматизировать там почти нечего - распаковать, выполнить регистрацию службы), автоскачивание настроек stunnel и сертификатов (различать настройки допустим по инн, который бухгалтеры вспомнят даже если среди ночи разбудить, и некому номеру компьютера, который легко продиктовать). Сложнее с настройкой прокси - браузеров расплодилось много. Понимаю Вас. Проблема действительно в прокси у клиента, который находится где-нибудь во франции, если использовать webdav + под него нужно писать рабочий вебинтерфейс. И сможет ли прокси понять и пропустить этот трафик(конечно это уже демагогия). stunnel для клиента как виртуальный диск не пройдёт через сб, тк как он будет держать постоянное соединение. Не хочу оскорблять чувства верующих, но лично я сторонник ssh+fips, просто задача стояла поднять гост. Данный пост был совсем про другое, но с Вашего позволения кину 2 камня в ваш огород: 1) Старые существующие мануалы на сайте. Много старой документации начала 2000х, нет инструкций про внедрение криптопро. Мой пример, возможно, исключение, а может я не так искал. 2) Сделайте плиз поддержку ssh в cryptopro 5.0. ftps это легаси и я думаю вы прекрасно об этом знаете. В любом случае спасибо за помощь.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close