Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы«<89101112>
Опции
К последнему сообщению К первому непрочитанному
Offline LeXa4894  
#91 Оставлено : 8 октября 2013 г. 13:53:35(UTC)
LeXa4894

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2013(UTC)
Сообщений: 3
Мужчина
Российская Федерация
Откуда: Zelenograd

Сказал «Спасибо»: 1 раз
Добрый день. Какие сертификаты необходимы для работы продукта и в каком хранилище они должны лежать?

Пробовались сертификаты тестового центра для соединения 2-х клиентов и клиента с тестовым сайтом.
Сертификаты запрашивались через веб-интерфейс с типами "Сертификат проверки подлинности клиента" и "Сертификат IPSec".
CSP "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider" с алгоритмом хеширования "GOST R 34.11-94"
На клиентах установлено КриптоПро CSP 3.6.7491
Получившиеся сертификаты были установлены в "Текущий пользователь - Личные - Реестр" и сертификат тестового центра КриптоПро в "Локальный компьютер - Доверенные корневые центры сертификации - Реестр"
IPSec на PSK работает корректно в случает соединения двух клиентов. На сертификатах останавливается обмен IKE после прихода 4-го пакета первой фазы, по логу функция p1_SetMyCertProv не вызывается.
Версия CryptoPro IPSec 1.0.1006

Отредактировано пользователем 8 октября 2013 г. 14:03:15(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#92 Оставлено : 8 октября 2013 г. 14:23:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: LeXa4894 Перейти к цитате
Какие сертификаты необходимы для работы продукта и в каком хранилище они должны лежать?

Ответ уже есть в этой теме.

Памятка о сертификатах IPsec в Windows:
  • Сертификаты идентифицируют компьютер, но не пользователя;
  • Поиск только в локальном хранилище сертификатов компьютера;
  • Должны обладать свойством 1.3.6.1.5.5.8.2.2 (в веб-интерфейсе это "Сертификат IPSec").

Также напоминаем, что аутентификация пользователя проходит после установки канала IPsec и не входит в компетенцию протокола IPsec. Поэтому способ аутентификации канала (PSK vs. сертификаты) не влияет на способ аутентификации пользователя, это разные по смыслу вещи.
Знания в базе знаний, поддержка в техподдержке
Offline LeXa4894  
#93 Оставлено : 8 октября 2013 г. 15:12:19(UTC)
LeXa4894

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2013(UTC)
Сообщений: 3
Мужчина
Российская Федерация
Откуда: Zelenograd

Сказал «Спасибо»: 1 раз
Создал сертификат на тестовом центре, поместил его в "Локальный компьютер - Личные - Реестр"
Свойством "IKE-посредник IP-безопасности (1.3.6.1.5.5.8.2.2)" данный сертификат обладает.
Сертификат Test Center CRYPTO-PRO добавлен в "Локальный компьютер - Доверенные корневые центры сертификации - Реестр"
Процесс подключения к 193.37.157.89 останавливается после приема 4-го пакета:
(16:02:19.526) logger_func: IKE.API - p1_CreateSK sid=01226620.
(16:02:19.526) CPAgreeSkeyid: /SUCCESS/
(16:02:19.526) Detour_GenerateSKEYIDs - ok
(16:02:23.104) CPInfoThread: SA statistic:
(16:02:23.104) CPInfoThread: 1 (RCs) 1 (MMs), 0 (QMs), 0 (SPIs)


При попытке соединения двух клиентов(без дополнительной аутентификации)
(16:08:49.874) logger_func: IKE.API - p1_CreateSK sid=01226620.
(16:08:49.874) CPAgreeSkeyid: /SUCCESS/
(16:08:49.874) Detour_GenerateSKEYIDs - ok
(16:08:53.108) CPInfoThread: SA statistic:
(16:08:53.108) CPInfoThread: 1 (RCs) 1 (MMs), 0 (QMs), 0 (SPIs)

Из-за чего может происходить такая остановка на инициаторе по приему 4-го пакета?
Offline Дмитрий Пичулин  
#94 Оставлено : 8 октября 2013 г. 16:07:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: LeXa4894 Перейти к цитате
Из-за чего может происходить такая остановка на инициаторе по приему 4-го пакета?

Похоже, что у вас не проходит этап проверки сертификата по CRL.

Если на ваших тестовых машинах недоступен CRL-сервер, указанный в сертификате, то поведение после 4-ого пакета может сильно зависеть от параметра StrongCRLCheck (подробнее: http://housecomputer.ru/..._and_certificates.html).
Знания в базе знаний, поддержка в техподдержке
Offline LeXa4894  
#95 Оставлено : 8 октября 2013 г. 17:35:49(UTC)
LeXa4894

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.10.2013(UTC)
Сообщений: 3
Мужчина
Российская Федерация
Откуда: Zelenograd

Сказал «Спасибо»: 1 раз
Win XP.
Такого параметра в реестре нет, по-умолчанию действие эквивалентно 1 в этом параметре, т.е. при недоступности CRL ответ зависит от самого сертификата.
В сертификате тестового центра нет точек распространения CRL.

Попробую поднять свой CA, посмотрю, останется ли проблема.

UPD:
Поднял CA. Продвинулось дальше.
(18:45:31.389) Detour_GenerateSKEYIDs - ok
(18:45:33.295) CPInfoThread: SA statistic:
(18:45:33.295) CPInfoThread: 1 (RCs) 1 (MMs), 0 (QMs), 0 (SPIs)
(18:45:33.639) Detour_ConstructCertSig - cp
(18:45:33.639) CPSetMyCertProv: in
(18:45:33.639) logger_func: IKE.API - p1_SetMyCertProvFn sid=01225488.
(18:45:33.639) CPSetMyCertProv: /SUCCESS/
(18:45:33.639) CPCreateHashMM: in
(18:45:33.639) CPCreateHashMM: --------------------------- p1_AuthIRFn
(18:45:33.639) CPCreateHashMM: P1 = 01225488
(18:45:33.639) CPCreateHashMM: DT_EXTDATA (ID) (35) = 09000000301D311B301906035504030C12746573745F732D74657272615F6970736563
(18:45:33.639) CPCreateHashMM: ---------------------------
(18:45:33.639) logger_func: IKE.API - p1_AuthIRFn:1916 sid=01225488. Err: 0x1.
(18:45:33.639) CPCreateHashMM: /ERROR/
(18:45:33.639) Detour_ConstructCertSig - line: 378
(18:45:33.639) Detour_ConstructCertSig - error

Забыл, что указал пароль ключам. Все работает. Спасибо.

Отредактировано пользователем 8 октября 2013 г. 18:38:04(UTC)  | Причина: обновление поста

Offline Дмитрий Пичулин  
#96 Оставлено : 8 октября 2013 г. 18:37:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: LeXa4894 Перейти к цитате
(18:45:33.639) logger_func: IKE.API - p1_AuthIRFn:1916 sid=01225488. Err: 0x1.

Ошибка на этапе подписи. В данном месте впервые происходит обращение к закрытому ключу. Распространенные варианты ошибок:
  • Отсутствует ключевой носитель;
  • На контейнере установлен пароль.

Пояснение: так как служба IPsec работает на уровне сервиса, никаких взаимодействий с пользователем на этапе установки соединения быть не может. Поэтому нужно убедиться, что носитель присутствует, а пароль находится в кэше (предварительно сохранен) или отсутствует (пустой пароль).
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
LeXa4894 оставлено 08.10.2013(UTC)
Offline Dim  
#97 Оставлено : 6 августа 2014 г. 11:19:13(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Бьюсь уже третий день, помогите.
Ситуация такова надо сделать VPN на базе Крипто Про IPSec. Есть две виртуальные машины, одна Windows 2003 другая Windows XP. На обоих установлено CSP 3.6 R3 и КриптоПро IPSec. Вместо PSK для L2TP хочу использовать сертификат. Создал сертификат на тестовом УЦ КриптоПро, установил его на своих тестовых машинах, работает. Создаю с такими же параметрами сертификат на своем тестовом УЦ, на моем сертификате не работает. Необходимые корневики установлены. Эти машины Интернета не видят, поэтому пришел к выводу что отсутствие CRL не влияет. Но на всякий случай подсовывал CRL своего тестового УЦ, все равно не работает. Уже не знаю куда смотреть.
Offline Дмитрий Пичулин  
#98 Оставлено : 6 августа 2014 г. 11:32:02(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Dim Перейти к цитате
Бьюсь уже третий день, помогите.
Ситуация такова надо сделать VPN на базе Крипто Про IPSec. Есть две виртуальные машины, одна Windows 2003 другая Windows XP. На обоих установлено CSP 3.6 R3 и КриптоПро IPSec. Вместо PSK для L2TP хочу использовать сертификат. Создал сертификат на тестовом УЦ КриптоПро, установил его на своих тестовых машинах, работает. Создаю с такими же параметрами сертификат на своем тестовом УЦ, на моем сертификате не работает. Необходимые корневики установлены. Эти машины Интернета не видят, поэтому пришел к выводу что отсутствие CRL не влияет. Но на всякий случай подсовывал CRL своего тестового УЦ, все равно не работает. Уже не знаю куда смотреть.

1) Какая версия КриптоПро IPsec установлена?
2) Что говорит утилита cp_ipsec_info в части "Сертификаты IKE" (опция доступна в версии 1.0.1224)?
3) Утилита cp_ipsec_info последней версии отдельно во вложении (на всякий случай)
Вложение(я):
cp_ipsec_info.zip (54kb) загружен 4 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#99 Оставлено : 6 августа 2014 г. 11:37:03(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
1. Пробовал версии 1.0.1006 и 1.0.1224. Сейчас на сервере 1.0.1006. На одном клиенте 1.0.1006 а на другом 1.0.1224
2. После обновления списка, появляется мой сертификат.
Offline Дмитрий Пичулин  
#100 Оставлено : 6 августа 2014 г. 11:43:33(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Dim Перейти к цитате
1. Пробовал версии 1.0.1006 и 1.0.1224. Сейчас на сервере 1.0.1006. На одном клиенте 1.0.1006 а на другом 1.0.1224
2. После обновления списка, появляется мой сертификат.

1) Сертификат с галочкой?
2) Вот пример со списком всех сертификатов IKE, однако в нем доступен для реального использования только один (отмечен галочкой).
Пользователь pd прикрепил следующие файлы:
2014-08-06 11-41-02 IKE Certificates.png (9kb) загружен 70 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
12 Страницы«<89101112>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.