Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Mishel  
#1 Оставлено : 10 сентября 2010 г. 19:45:04(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день, нам необходимо развернуть VPN на ГОСТ-шифровании, нашел на сайте описание продукта КриптоПроIPSec, скачал демо-версию..
к сожалению развернуть VPN не получилось...КриптоПро IPSec установли на шлюзе и удаленной машине. При попытке подключения по L2TP выдавалась ошибка 786 при настройках аутентификации по сертификату (отсутствует допустимый сертификат) и 789 если пытались использовать предварительный ключ...Я подозреваю что дело в сертификатах.
Насколько я понял для каждой машины необходимы как минимум 2 сертификата - 1 пользовательский в пользовательском хранилище для аутентификации, второй IPSec - в хранилище компьютера.
Для генерации сертификатов я использовал изолированный корневой MS CA с установленным КриптоПро 3.6 R2, при генерации выбирал следующие типы сертификатов для клиентской машины - сертификат подлинности клиента и сертификат IPSec, для шлюза - сертификат подлинности сервера и сертификат IPSec.
Настройку RRas и ISA осуществлял по документации. Возможно надо было использовать корпоративный тип CA?
Может быть ещё необходимо сделать какие-нибудь локальные настройки на машине?
Offline gvi  
#2 Оставлено : 11 сентября 2010 г. 12:38:51(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Добрый день! Сначало нужно включить режим без IPSEC PPTP убеждаемся что пара пароль/ пользователь проходит, соединение есть. Сертификат должен быть ГОСТ!, только для компьютера, шаблон IPSEC в СА копируется и замещает основной. НЕ забывайте список остозванных сертификатов, корневой сертификат. Логичней и правильней делать подчиненный СА - подчинен он нашему УЦ(КриптоПро). Этот шлюз в домене? RRAS трогать не надо им управляет ISA, настройки только в ISA. Нужно посмотреть какие пакеты живут в момент соединения, что происходит.
Offline Mishel  
#3 Оставлено : 13 сентября 2010 г. 13:22:39(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Соединение по паролю через PPTP есть. Насчет шаблонов...я устанавливал корневой изолированый CA, у него нет шаблонов...просто при генерации сертификатов выбирается тип сертификата и используемый провайдер, какие я выбирал значения я указывал...Криптопровайдера естественно выбирал КриптоПро..Корневой сертифкат установлен в хранилище корневых доверенныц центров...Список отозванных сертификатов на клиентской машине не был установлен, я установил, хотя отозванных сертификатов все равно не было..После этого ситуация изменилась - теперь выдается сообщение с кодом 691 - имя пользователя или пароль недопустимы в домене, а на шлюзе в журнале приложений создается сообщение Источник: cpsspap Код:300 КриптоПро TLS. Ошибка 0x8009200b при обращении к CSP: Не удается найти сертификат и закрытый ключ для расшифровки...это в случае попытки аутентификации по сертификатам...когда ставлю предварительный ключ - ошибка прежняя 789.
Шлюз в домене...может дело в том, что создаваемые сертификаты не публикуются в AD и не привязываются к учетным записям пользователей и машин?

Отредактировано пользователем 13 сентября 2010 г. 13:23:48(UTC)  | Причина: Не указана

Offline gvi  
#4 Оставлено : 13 сентября 2010 г. 15:40:55(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Хорошо попробуйте PSK вместо сертификата Net,Windows,6QU8B602DA6T3RH4KCYN5ADD7N24DG51YHH4HM112RYW4U4R0X24T1F4. По настройке СА ссылка http://www.cryptopro.ru/.../products/csp/faq.htm#6, править шаблон обязательно
Offline Mishel  
#5 Оставлено : 13 сентября 2010 г. 17:46:48(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

PSK я уже пробовал, и какая была ошибка тоже уже писал...указал ваш предварительный ключ - не помогло...ссылку на настроку CA не понял...повторяю использую корневой ИЗОЛИРОВАННЫЙ CA там вообще НЕТ шаблонов...CA редактировал, КриптоПРО у меня светится в списке доступных провайдеров на веб-странице...про при генерации выбирал тип сертификата IPSec и указывал из списка доступных провайдеров КриптоПро...Имеет ли значение имя, которое я указываю в сертификате - может оно должно точно совпадать с именем машины и учетной записи (в том числе и имя домена)?
Вы мне скажите точно - какие сертификаты надо генерить? Пользовательские для аутентификации и IPSec для шифрования, так?
Offline gvi  
#6 Оставлено : 13 сентября 2010 г. 20:25:59(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Давайте по порядку сначала: как бы 3 этапа PPTP работает, далее PSK он ограничен по времени, Вы можете его сами создать с помощью утилиты Net,Windows,6QU8B602DA6T3RH4KCYN5ADD7N24 - рабочий, далее сертификат. Какие ОС Вы используете?
Offline gvi  
#7 Оставлено : 13 сентября 2010 г. 20:30:36(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

По СА сертификат должен ставится в хранилище компьютера, Вы должны выбрать соответствующую галку на Веб страничке
Offline Mishel  
#8 Оставлено : 13 сентября 2010 г. 21:00:24(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Ну давайте по порядку...Использую Windows2003 std R2 SP2 на шлюзе и Windows XP SP3 на клиентской машине, с PSK не понял...какая разница какой он, ну да ладно я взял какой вы сейчас прописали, не работает...Ошибка 789 - ошибка на уровне безопасности при согласовании с удаленным компьютером

По сертификатам вы мне можете ответить конкретно - какие, сколько и где должны быть на каждой машине?

Отредактировано пользователем 13 сентября 2010 г. 21:15:16(UTC)  | Причина: Не указана

Offline gvi  
#9 Оставлено : 13 сентября 2010 г. 21:16:08(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Напишите на support@cryptopro.ru вышлем исправленную версию
Вложение(я):
Doc11.docx (58kb) загружен 108 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Mishel  
#10 Оставлено : 13 сентября 2010 г. 21:18:56(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

когда пытаюсь установить соединение по PPTP с аутентификацией по сертификатам выдается ошибка 691, а когда ставлю по паролю chap v2 все нормально...потому и думаю что дело в сертификатах...
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
12 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.