Предъявление сертификата пользователя при работе с HTTPS ресурсами на одном...

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Предъявление сертификата пользователя при работе с HTTPS ресурсами на одном wildcard сертификате

Опции

Предыдущая тема Следующая тема

Гулаков Алексей		#1 Оставлено : 6 мая 2020 г. 18:30:41(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.05.2020(UTC) Сообщений: 4 Откуда: Москва		Добрый день! Подскажите пожалуйста, куда копать. Пытаемся настроить работу пользователей с порталом, имеющим несколько поддоменов, по ГОСТовому HTTPS. У пользователей установлен КриптоПро CSP 4.0, в качестве TLS сервера используется Континент TLS Сервер. На TLS-сервере настроено 3 ресурса: https://sub.portal.company.ru - портал https://vc.sub.portal.company.ru - поддомен 1 https://mm.sub.portal.company.ru - поддомен 2 , все на одном wildcard сертификате, каждый в режиме аутентификации пользователей по сертификату. Хотим добиться чтобы пользователь мог использовать все 3 ресурса, предъявив свой сертификат только один раз, wildcard сертификат на TLS сервере настроили рассчитывая что будет такое поведение. Но сейчас запрос на выбор сертификата выводится пользователю для каждого ресурса, т.е. 3 раза (пробовали IE, ЯндексБраузер). Проконсультировались с поставщиком TLS сервера, получили рекомендации разбирать данную проблему со стороны TLS-клиента, т.к. такое поведение задаётся на на стороне клиента, а не сервера. Подскажите, почему в описанном сценарии сертификат пользователя запрашивается три раза вместо одного? Можно ли решить это настройками КриптоПро 4.0 CSP или другими настройками на пользовательском АРМ? Содержимое wildcard сертификата: В Subject: CN = .portal.company.ru В subjectAltName: DNS-имя=.portal.company.ru


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Андрей *		#2 Оставлено : 6 мая 2020 г. 19:19:24(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,699 Сказал «Спасибо»: 573 раз Поблагодарили: 2303 раз в 1804 постах		Автор: Гулаков Алексей Подскажите, почему в описанном сценарии сертификат пользователя запрашивается три раза вместо одного? Потому что ... 3 разных сервера и 3 разных TLS-соединения? Почему должно быть "одно" соединение?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#3 Оставлено : 6 мая 2020 г. 21:51:30(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 720 раз в 624 постах		Сходу кажется, что исходная задача нереализуема со стороны клиента, да и со стороны сервера будут проблемы. Как заставить браузер использовать одно и то же https соединение? Лучше разложить саб-порталы по виртуальным директориям.
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Гулаков Алексей		#4 Оставлено : 7 мая 2020 г. 0:59:36(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.05.2020(UTC) Сообщений: 4 Откуда: Москва		Автор: Андрей * Автор: Гулаков Алексей Подскажите, почему в описанном сценарии сертификат пользователя запрашивается три раза вместо одного? Потому что ... 3 разных сервера и 3 разных TLS-соединения? Почему должно быть "одно" соединение? Если 3 разных сервера работают на одном wildcard сертификате, вроде ничего не мешает использовать для них одно TLS соединение? Ведь Серверный ключ для всех серверов один и тот же.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Гулаков Алексей		#5 Оставлено : 7 мая 2020 г. 1:04:00(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.05.2020(UTC) Сообщений: 4 Откуда: Москва		Автор: Максим Коллегин Сходу кажется, что исходная задача нереализуема со стороны клиента, да и со стороны сервера будут проблемы. Как заставить браузер использовать одно и то же https соединение? Лучше разложить саб-порталы по виртуальным директориям. Вы имеете в виду вместо поддоменов: https://sub.portal.company.ru https://vc.sub.portal.company.ru https://mm.sub.portal.company.ru использовать адреса: https://sub.portal.company.ru https://sub.portal.company.ru/vc https://sub.portal.company.ru/mm ? Мы такой схемы как раз хотели избежать, и использовать поддомены. Но если затея с поддоменами гиблая, то наверное придётся вернуться к такому варианту. Отредактировано пользователем 7 мая 2020 г. 1:06:09(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#6 Оставлено : 7 мая 2020 г. 5:08:12(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,405 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 720 раз в 624 постах		Автор: Гулаков Алексей [Вы имеете в виду вместо поддоменов: https://sub.portal.company.ru https://vc.sub.portal.company.ru https://mm.sub.portal.company.ru использовать адреса: https://sub.portal.company.ru https://sub.portal.company.ru/vc https://sub.portal.company.ru/mm ? Да
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Куликов		#7 Оставлено : 7 мая 2020 г. 5:40:30(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 17.10.2010(UTC) Сообщений: 140 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз Поблагодарили: 10 раз в 9 постах		Автор: Гулаков Алексей Содержимое wildcard сертификата: В Subject: CN = .portal.company.ru В subjectAltName: DNS-имя=.portal.company.ru Звёздочка в домене мачится только на один уровень. Т.е. только на sub.portal.company.ru, но не на ignore.sub.portal.company.ru.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Гулаков Алексей		#8 Оставлено : 8 мая 2020 г. 11:19:58(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 06.05.2020(UTC) Сообщений: 4 Откуда: Москва		Автор: Андрей Куликов Автор: Гулаков Алексей Содержимое wildcard сертификата: В Subject: CN = .portal.company.ru В subjectAltName: DNS-имя=.portal.company.ru Звёздочка в домене мачится только на один уровень. Т.е. только на sub.portal.company.ru, но не на ignore.sub.portal.company.ru. Попробовали зарегистрировать второй ресурс sub2.portal.company.ru, на том же wildcard сертификате. Поведение такое же, каждый из ресурсов - https://sub.portal.company.ru - https://sub2.portal.company.ru запрашивает сертификат пользователя.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close