Всем добрый день!
Так как форум не дает искать просто по TLS, вынужден сделать отдельную тему.
Дано -- IIS 10 на Win2016. Задача поднять ГОСТ https.
Создаю самоподписанный сертификат через certreq -new test.txt test.cer
[NewRequest]
Subject="CN=test,O=Test,L=Moscow,S=Moscow,C=RU"
ProviderName="Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider"
ProviderType=81
; Generate Exchange key
KeySpec=1
; the private key can be exported
Exportable = TRUE
; Key Usage: DIGITAL SIGNATURE, NON REPUDIATION, KEY ENCIPHERMENT (e0)
KeyUsage=0xe0
; install keys under machine
MachineKeySet=true
; Generate self-signed certificate
RequestType=Cert
SMIME=FALSE
ValidityPeriod=Years
ValidityPeriodUnits=2
; EKU: Server Authentication
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
Сертификат создается успешно. Кладу полученный сертификат в корневые (для браузера в дальнейшем) и в web hosting. IIS подхватывает сертификат без каких либо проблем. На всякий случай рестартую все.
Беру IE. Ставлю CADES Plugin, тестирование на
https://www.cryptopro.ru/products/cades/plugin прохожу успешно.
Захожу на localhost. Итог: This page can’t be displayed
Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings and try connecting to https://localhost again. If this error persists, it is possible that this site uses an unsupported protocol. Please contact the site administrator.
Локалхост добавлен в доверенные, в настройках IE разрешены все протоколы. В журналах ничего подозрительного.
Вопрос. Что я делаю не так?
p.s. кстати сертификат, выданный с тестового УЦ, IIS отказывается принимать категорически с очень интересной записью в event log: CryptoPro TLS. Creating server credentials. Error 0x80090015 opening CSP key container 3d547cad5-12ee-8b97-71c3-ca05aed9f3c: Provider's public key is invalid.. Process: System. При этом mmc показывает что все сертификаты ОК, УЦ в доверенных корневых и т.п.
ОБНОВЛНИЕ:
После "упрощения" CSP и уточнения политик использования, все заработало:
[NewRequest]
Subject="CN=rnfi,E=rnfi@test.lan,O=Test,L=Moscow,S=Moscow,C=RU"
ProviderName="Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
ProviderType=80
; Generate Exchange key
KeySpec=1
; the private key can be exported
Exportable = TRUE
; Key Usage: Digital Signature, Non-Repudiation, Key Encipherment, Data Encipherment (f0)
KeyUsage=0xf0
; install keys under machine account
MachineKeySet=true
; Generate self-signed certificate
RequestType=Cert
SMIME=FALSE
ValidityPeriod=Years
ValidityPeriodUnits=2
; EKU: Server Authentication only!
[EnhancedKeyUsageExtension]
; Server authentication
OID=1.3.6.1.5.5.7.3.1
Но пока непонятно почему со Strong не работает.
Отредактировано пользователем 10 сентября 2020 г. 18:09:11(UTC)
| Причина: Не указана