Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline Максим Коллегин  
#11 Оставлено : 10 сентября 2020 г. 21:52:26(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А в какое хранилище ставите? Компьютер, личное?
Пришлите вывод мастера тестирования контейнера, выбрав его по сертификату и выбрав радио «компьютер».

А по поводу Strong -- это проблема в клиенте (IE), исправлено в текущей версии CSP5R2.

Отредактировано пользователем 10 сентября 2020 г. 22:08:03(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#12 Оставлено : 10 сентября 2020 г. 22:46:25(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
А в какое хранилище ставите? Компьютер, личное?


Компьютер конечно.

Автор: Максим Коллегин Перейти к цитате

Пришлите вывод мастера тестирования контейнера, выбрав его по сертификату и выбрав радио «компьютер».


Только увы в понедельник.


Автор: Максим Коллегин Перейти к цитате

А по поводу Strong -- это проблема в клиенте (IE), исправлено в текущей версии CSP5R2.


Супер, спасибо, попробую!



Offline alex tregubov  
#13 Оставлено : 14 сентября 2020 г. 11:18:25(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
А пин-код не установлен на контейнер?


Так, продолжаем.

Пин код сейчас проверил (хотя и путем удаления), ответ -- пин код был установлен. Сейчас перезапросил сертификат с запуском IE от админа и без пин кода. Сертификат выдался и установился в computer/personal (при запросе отметил опцию "Использовать локальное хранилище компьютера для сертификата")

Итог -- ошибка "непринятия" IIS сертификата ушла. Ошибка IE с версиями TLS осталась. CSP пока не менял ибо целевая задача использовать именно сертифицированный.

Если еще нужно то вот журнал проверки:


Код:
Check container succeed        	no errors were detected
Private key container          	computer's
  name                         	2ee09c63c-a4fb-fe6c-0330-38eaa0df093
  unique name                  	REGISTRY\\2ee09c63c-a4fb-fe6c-0330-38eaa0df093
  FQCN                         	\\.\REGISTRY\2ee09c63c-a4fb-fe6c-0330-38eaa0df093
  container integrity check    	succeed
Exchange key                   	available
  Public key length            	512 bits
  public key export            	succeed
  public key compute           	succeed
  public key import            	succeed
  signing                      	succeed
  verifying                    	succeed
  exchange key agreement       	succeed
  key export                   	allowed
  algorithm                    	GOST R 34.10-2012 DH 256 bit
                               	GOST R 34.10 256 bit, default exchange parameters
                               	GOST R 34.11-2012 256 bit
                               	GOST 28147-89, cipher parameters TC26 Z
  certificate in container     	match private key
  certificate in store         	My
                               	  E=test@test.lan, CN=test, OU=Test, O=Test, L=Moscow, S=Moscow, C=RU
                               	      REGISTRY\\2ee09c63c-a4fb-fe6c-0330-38eaa0df093; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000020; dwKeySpec: AT_KEYEXCHANGE#1
  certificate name             	test
  subject                      	E=test@test.lan, CN=test, OU=Test, O=Test, L=Moscow, S=Moscow, C=RU
  issuer                       	OGRN=1234567890123, INN=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
  valid from                   	Monday, 14 September, 2020 11:16:11 AM
  valid to                     	Monday, 14 December, 2020 11:26:11 AM
  serial number                	7C00 0133 738F 1052 BC2E 985F 1900 0100 0133 73
Private key usage period       	Tuesday, 14 December, 2021 11:16:11 AM
Exchange key usage             	is permitted before end of validity of the key.
Signature key                  	not available
Symmetric key                  	not available
  keys loading                 	succeed
Container version              	2
ControlKeyTimeValidity value   	1
Container extensions           	
  noncritical                  	CryptoPro CSP private keys extension. Exchange key usage period
  valid to                     	Tuesday, 14 December, 2021 11:26:01 AM



UPD. Сейчас снес CSP 5.0, поставил 4.0. (удалено)

Разобрался, забыл отключить reverse proxy, все в итоге заработало.

Получается что если нужно сертифицированное решение с ГОСТ TLS, то лучше использовать 4.0 версию?

Отредактировано пользователем 14 сентября 2020 г. 14:57:30(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#14 Оставлено : 14 сентября 2020 г. 15:35:27(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Или не использовать “Strong”. Никакой реальной необходимости в таком сертификате нет, учитывая, что и выдающий CA на таком сертификате будет сложно найти.
Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#15 Оставлено : 14 сентября 2020 г. 16:03:32(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
Или не использовать “Strong”. Никакой реальной необходимости в таком сертификате нет, учитывая, что и выдающий CA на таком сертификате будет сложно найти.


Со стронгом понятно, но 5.0 сертифицированный и на обычном заводиться не желает :(

А 4-й норм работает.

Правда допускаю что проблема может быть в том, что я проверяю TLS на localhost с тем же серверным CSP что и используется в IIS, но с 4-м то работает...
Offline Максим Коллегин  
#16 Оставлено : 14 сентября 2020 г. 16:27:22(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Странно, я проверял в пятницу, локально работало. Что в eventlog?
И что пишет csptest -tlsc -server localhost -v?

Отредактировано пользователем 14 сентября 2020 г. 16:28:49(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#17 Оставлено : 14 сентября 2020 г. 16:52:48(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 13
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Сейчас накатил 5.0 поверх 4.0. Блин. Работает. Но при том вы же сами чуть выше говорили что это баг 5.0 и нужно использовать R2...


Код:

C:\Program Files (x86)\Crypto Pro\CSP>csptest -tlsc -server test -v
15 algorithms supported:
     Aglid  Class  OID
[00] 0x660e 0x6000
[01] 0x6610 0x6000
[02] 0x6801 0x6000 1.2.840.113549.3.4 (rc4)
[03] 0x6603 0x6000 1.2.840.113549.3.7 (3des)
[04] 0x6601 0x6000 1.3.14.3.2.7 (des)
[05] 0x8003 0x8000 1.2.840.113549.2.5 (md5)
[06] 0x8004 0x8000 1.3.14.3.2.26 (sha1)
[07] 0x800c 0x8000
[08] 0x800d 0x8000
[09] 0x800e 0x8000
[10] 0x2400 0x2000 1.2.840.113549.1.1.1 (RSA)
[11] 0xaa02 0xa000 1.2.840.113549.1.9.16.3.5 (ESDH)
[12] 0xae06 0xa000
[13] 0x2200 0x2000 1.2.840.10040.4.1 (DSA)
[14] 0x2203 0x2000
Cipher strengths: 256..256
Supported protocols: 0xa0a80:
    Transport Layer Security 1.0 client side
    Transport Layer Security 1.1 client side
    Transport Layer Security 1.2 client side
    Datagram Transport Layer Security client side
    Datagram Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 177
SessionId: (empty)
Cipher Suites: (c0 2c) (c0 2b) (c0 30) (c0 2f) (00 9f) (00 9e) (c0 24) (c0 23) (c0 28) (c0 27) (c0 0a) (c0 09) (c0 14) (c0 13) (00 39) (00 33) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a) (00 6a) (00 40) (00 38) (00 32) (00 13) (00 05) (00 04) (ff 85) (00 81)
182 bytes of handshake data sent
1292 bytes of handshake data received
215 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_SESSION_INFO: Reuse: 0, SessionId: 26302e22ded472fed97685f3d40c5ea0081a102670f73f339613132c933fe48f
SECPKG_ATTR_CONNECTION_INFO: Protocol: 800
SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2012 256), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2012 256), KeyType: 0
SECPKG_ATTR_NAMES: E=test@test.lan, CN=test, OU=Test, O=Test, L=Moscow, S=Moscow, C=RU
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: E=test@test.lan, CN=test, OU=Test, O=Test, L=Moscow, S=Moscow, C=RU
Valid  : 14.09.2020 08:16:11 - 14.12.2020 08:26:11 (UTC)
Issuer : OGRN=1234567890123, INN=001234567890, STREET=.   . 18, C=RU, S=. , L=, O=" ""-""", CN="   ""-"""

Protocol: TLS 1.2
Cipher: 0x661e
Cipher strength: 256
Hash: 0x8021
Hash strength: 256
Key exchange: 0xaa47
Key exchange strength: 512
Supported signatures: (ee ee) (ef ef) (ed ed)

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET / HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: test
Connection: close


Sending plaintext: 84 bytes
102 bytes of application data sent
956 bytes of (encrypted) application data received
Decrypted data: 947 bytes
No data in socket: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
Sending Close Notify
11 bytes of handshake data sent
1 connections, 947 bytes in 0.313 seconds;
Total: SYS: 0.109 sec USR: 0.047 sec UTC: 0.406 sec
[ErrorCode: 0x00000000]

C:\Program Files (x86)\Crypto Pro\CSP>


Завтра все удалю, и CSP и все сертификаты и попробую заново...
Offline Максим Коллегин  
#18 Оставлено : 14 сентября 2020 г. 17:06:11(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Ошибка в клиенте при работе навстречу с сервером на длинном ключе ( Strong ).
На 512 бит ключе ошибки нет.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
alex tregubov оставлено 14.09.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.