Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline gvi  
#11 Оставлено : 13 сентября 2010 г. 21:29:06(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Вы в Москве?
Offline Mishel  
#12 Оставлено : 14 сентября 2010 г. 12:27:42(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

К сожалению сейчас нет..сейчас попробую все заново только с корпоративным CA, погенерю сертификаты на основе шаблонов по вашей документации...о результатах сообщу

На ящик я вам писал, но новую версию IPSec мне пока не выслали

Отредактировано пользователем 14 сентября 2010 г. 12:28:48(UTC)  | Причина: Не указана

Offline gvi  
#13 Оставлено : 14 сентября 2010 г. 14:01:12(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

новую сборку выслали пробуйте по пунктам
Offline Mishel  
#14 Оставлено : 14 сентября 2010 г. 20:58:08(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

всё поднял, настроил CA как корпоративный, сделал шаблон для IPSEC...вот только в доке сказано что для КриптоПро надо устанавливать носитель - реестр, а датчик случайных величин - КриптоПро исходный материал, где можно взять доку как генерить этот исходный материал?

пробовал ставить биометрический датчик - при попытке генерации IPSEC сертификата выдается ошибка - Неудача при выпролнении запроса сертификата. Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий".

По PPTP при атутентификации через CHAP2 все работает...осталось сгенерить сертификаты..жду ответа
Offline IvanZzz  
#15 Оставлено : 15 сентября 2010 г. 16:10:47(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Про генерацию гаммы можно почитать в комплекте документации на КриптоПро CSP 3.6 в инструкции "АРМ выработки внешней гаммы".

Что бы не возникало окна выбора считывателя нужно либо оставить в списке считывателей один, либо настроить на вкладке Winlogon считыватель по умолчанию(после генерации вернуть значение "Не установлен").

Отредактировано пользователем 15 сентября 2010 г. 16:11:38(UTC)  | Причина: Не указана

Offline Mishel  
#16 Оставлено : 15 сентября 2010 г. 16:53:52(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

1. Вопрос с сертификатом удалось обойти, я нашёл Соболь, с ним сертификат сгенерился нормально...но для шлюза, который является членом домена, где установлен CA, а как сгенерить IPSEC сертификат для удаленной машины, она ведь не является членом локального домена?
В документации эта процедура описана через оснастку, но она срабатывает только для машин в домене...

2. И ещё в доке по КриптоПро IPSec в разделе 4.2 есть уопминание о настройках политики IPSEC, но они не приведедны - там надо ещё что-нить указывать?

Отредактировано пользователем 15 сентября 2010 г. 16:55:27(UTC)  | Причина: Не указана

Offline Mishel  
#17 Оставлено : 15 сентября 2010 г. 22:32:04(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Значит с этими проблемами я разобрался сам...для генерации сертификатов машинам, которые не входят в домен надо использовать другой шаблон...делать копию с шаблона автономный IPSEC и её аналогично редактить...

Теперь следующая ситуация - аутентификация по пользовательским сертификатам на основе стандартного шаблона (с криптопровайдером Microsoft) прошла успешно - канал L2TP установился, но в свойствах его пишется что используется DES...

Сгенерил сертификаты пользователей также с ГОСТовским шифрованием...для этого сделал копию шаблона Пользователь и сменил криптопровайдера...сертификаты генерятся все хорошо, НО...при попытке использовать такой сертификат на клиентской стороне система ругается что не найден подходящий сертификат, и на серверной стороне в настройках RRAS аналогичный сертификат также не возможно установить как сертификат аутентификации сервера...уверен что дело в локальных настройках использования IPSEC...там где-то необходимо указать возможность использования для аутентификации сертификатов с КриптоПро алгортмами. В групповой политике есть раздел где настраивается IP безопасность и там можно указывать различные алгоритмы шифрования, в том числе и алгоритмы КриптоПро, скажите надо ли редактировать данную политику?

Отредактировано пользователем 16 сентября 2010 г. 13:20:36(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#18 Оставлено : 16 сентября 2010 г. 19:26:48(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
1. Крайне рекомендуется обновить дистрибутив (http://cryptopro.ru/cryptopro/products/ipsec/install.htm).
2. Для отладки пользоваться утилитой "cp_ipsec_info.exe", поставляемой с продуктом, находящейся \Program Files\Crypto Pro\IPsec\ (для x64, \Program Files (x86)\Crypto Pro\IPsec\).
3. К сожалению, даже при успешной работе IPsec на алгоритмах ГОСТ, отладочные и другие утилиты ОС будут воспринимать установленные соединения как DES, если не обращать на это внимание, то вся остальная информация (количество сессий, зашифровано данных и другая статистика) является достоверной.

Итого: успешно установленное соединение заканчивается созданием 2-х SPI сессий, минимальную статистику по которым будет выдавать утилита "cp_ipsec_info.exe" раз в 10 секунд, если хотя бы одна из сессий еще существует.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#19 Оставлено : 16 сентября 2010 г. 19:31:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Строка генерации сертификата для конечной машины выглядит приблизительно так:
cryptcp.exe -creatcert -provtype 75 -silent -dn "E=name@server.ru, CN=name" -cont \\.\REGISTRY\name -certusage 1.3.6.1.5.5.8.2.2 -km -du -both -ca http://ca/certsrv
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#20 Оставлено : 16 сентября 2010 г. 19:34:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Также, при возникновении ошибок, ведущих к невозможности установки соединения между peer-ами, рекомендуется присылать лог программы "cp_ipsec_info.exe", думаю, 10-15 строк до возникновения первой ошибки будет достаточным.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
12 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.