Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline alex tregubov  
#1 Оставлено : 10 сентября 2020 г. 15:19:24(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Всем добрый день!

Так как форум не дает искать просто по TLS, вынужден сделать отдельную тему.

Дано -- IIS 10 на Win2016. Задача поднять ГОСТ https.

Создаю самоподписанный сертификат через certreq -new test.txt test.cer

[NewRequest]
Subject="CN=test,O=Test,L=Moscow,S=Moscow,C=RU"
ProviderName="Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider"
ProviderType=81
; Generate Exchange key
KeySpec=1
; the private key can be exported
Exportable = TRUE
; Key Usage: DIGITAL SIGNATURE, NON REPUDIATION, KEY ENCIPHERMENT (e0)
KeyUsage=0xe0
; install keys under machine
MachineKeySet=true
; Generate self-signed certificate
RequestType=Cert
SMIME=FALSE
ValidityPeriod=Years
ValidityPeriodUnits=2
; EKU: Server Authentication
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2


Сертификат создается успешно. Кладу полученный сертификат в корневые (для браузера в дальнейшем) и в web hosting. IIS подхватывает сертификат без каких либо проблем. На всякий случай рестартую все.

Беру IE. Ставлю CADES Plugin, тестирование на https://www.cryptopro.ru/products/cades/plugin прохожу успешно.

Захожу на localhost. Итог: This page can’t be displayed

Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings and try connecting to https://localhost again. If this error persists, it is possible that this site uses an unsupported protocol. Please contact the site administrator.

Локалхост добавлен в доверенные, в настройках IE разрешены все протоколы. В журналах ничего подозрительного.



Вопрос. Что я делаю не так?



p.s. кстати сертификат, выданный с тестового УЦ, IIS отказывается принимать категорически с очень интересной записью в event log: CryptoPro TLS. Creating server credentials. Error 0x80090015 opening CSP key container 3d547cad5-12ee-8b97-71c3-ca05aed9f3c: Provider's public key is invalid.. Process: System. При этом mmc показывает что все сертификаты ОК, УЦ в доверенных корневых и т.п.


ОБНОВЛНИЕ:

После "упрощения" CSP и уточнения политик использования, все заработало:


[NewRequest]
Subject="CN=rnfi,E=rnfi@test.lan,O=Test,L=Moscow,S=Moscow,C=RU"
ProviderName="Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
ProviderType=80
; Generate Exchange key
KeySpec=1
; the private key can be exported
Exportable = TRUE
; Key Usage: Digital Signature, Non-Repudiation, Key Encipherment, Data Encipherment (f0)
KeyUsage=0xf0
; install keys under machine account
MachineKeySet=true
; Generate self-signed certificate
RequestType=Cert
SMIME=FALSE
ValidityPeriod=Years
ValidityPeriodUnits=2
; EKU: Server Authentication only!
[EnhancedKeyUsageExtension]
; Server authentication
OID=1.3.6.1.5.5.7.3.1


Но пока непонятно почему со Strong не работает.

Отредактировано пользователем 10 сентября 2020 г. 18:09:11(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#2 Оставлено : 10 сентября 2020 г. 19:35:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А что значит "Упрощения"?
Strong не работает с таким же запросом по (Key Usage)?
(0x80090015) NTE_BAD_PUBLIC_KEY означает, что сертификат не соответствует ключу - что пишет масте в cpanel при тестировании контейнера?
Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#3 Оставлено : 10 сентября 2020 г. 19:48:46(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
А что значит "Упрощения"?
Strong не работает с таким же запросом по (Key Usage)?


Нет, со Strong сертификат выдается, IIS его принимает, но вот IE отказывается устанавливать соединение в принципе.

А с обычным провадейром, который без Strong -- пожалуйста.

Автор: Максим Коллегин Перейти к цитате

(0x80090015) NTE_BAD_PUBLIC_KEY означает, что сертификат не соответствует ключу - что пишет масте в cpanel при тестировании контейнера?


Ничего не пишет. Все проверки проходят отлично. Собственно ровно это и ставит в тупик.


Offline Максим Коллегин  
#4 Оставлено : 10 сентября 2020 г. 20:57:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А пин-код не установлен на контейнер?
И какая версия CSP5?

Отредактировано пользователем 10 сентября 2020 г. 20:58:37(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#5 Оставлено : 10 сентября 2020 г. 21:16:10(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Вообще ни с какими пин кодами не не заморачивался, однако при создании сертификата CSP дважды спрашивает пароль. Надо будет попробовать проверить внимательно. При этом в дальнейшем такой сертификат без проблем подхватывается IIS.

Версия 5.0.11455КС1, тип сервер.

Но меня по прежнему ставит в тупик тот факт что невозможно подцепить сертификат выданный тестовым УЦ Крипто про. Он кстати сам упорно ставить в personal пользователя а не компа, потом приходится экспортировать в pfx и перекладывать в учетку компьютера. Может где то тут кто то порылся...
Offline Максим Коллегин  
#6 Оставлено : 10 сентября 2020 г. 21:28:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А как перекладываете? Вообще можно сразу создать сертификат в хранилище компьютера, если запустить IE под администратором и поставить соотвествующий чекбокс.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#7 Оставлено : 10 сентября 2020 г. 21:29:52(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
И CSP я бы рекомендовал использовать последний CSP5R2
Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#8 Оставлено : 10 сентября 2020 г. 21:34:59(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Перекладываю экспортом в pfx и последующим импортом в нужное хранилище. Ессно с закрытым ключом.

Про запуск IE апод админом мысль, спасибо, попробую.

CSP вроде свежий, в понедельник скачивал...
Offline Максим Коллегин  
#9 Оставлено : 10 сентября 2020 г. 21:38:21(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Цитата:


Перекладываю экспортом в pfx и последующим импортом в нужное хранилище. Ессно с закрытым ключом.

Это можно сделать десятком способов, можно подробнее?
Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#10 Оставлено : 10 сентября 2020 г. 21:43:45(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате

Это можно сделать десятком способов, можно подробнее?



mmc, сертификаты, находим нужный, правый клик, экспорт, формат pfx, включить закрытый ключ, задаем пароль и имя файла, все.

Ставим правым кликом, установить, выбираем нужное хранилище, пароль, готово.

Я только такой способ знаю.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.