Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline AnrDaemon  
#1 Оставлено : 9 октября 2018 г. 0:05:51(UTC)
AnrDaemon

Статус: Участник

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Свежеустановленная Windows 7 32-bit
Свежеустановленная CryptoPro CSP 3.6R4
В панели управления лицензия видна. Всё выглядит мирно.
Пробую пройти проверку совместимости на https://service.nalog.ru/regin/ - фейл на #3.
Пробую открыть https://www.cryptopro.ru:4444/test/tls-cli.asp - выдаёт сначала ошибку сертификата, а когда подтверждаю открытие - "Не удаётся подключиться".
Куда бежать, что смотреть?

Отредактировано пользователем 9 октября 2018 г. 4:40:52(UTC)  | Причина: Не указана

Offline two_oceans  
#2 Оставлено : 9 октября 2018 г. 8:18:05(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Для начала, если у Вас нет сертификата ГОСТ с определенными требованиями, то ошибка вылетит на шаге 4, где нужен сертификат пользователя. Также шаг 4 невозможно пройти при включенной проверке HTTPS соединений в антивирусе.

На шаге 3 там не совсем честное отображение информации, так как фактически выполняется две проверки: 1) использование TLS вообще (с зарубежными алгоритмами без сертификата пользователя) и 2) использование TLS c ГОСТ-2001 без сертификата пользователя. При проверке скрипт пытается фоново загрузить кусочек данных по XMLHTTP с использованием HTTPS адреса. Для устранения ошибок соответственно нужны немного разные действия в зависимости какая проверка завершилась неудачно, но сайт показывает результат одним пунктом. На шаге 4 также происходит загрузка данных с ГОСТ-2001, но уже с предъявлением сертификата пользователя.

Первая проверка шага 3 может быть неудачной из-за проверки антивируса или блокировки портов провайдером (редко, но встречается) или неправильно установленного XMLHTTP (на свежей системе может быть только если сборка кривая) или не установленного корневого сертификата (заметьте что в этой проверке речь о сертификате не-ГОСТ!). Если на Win7 ставились обновления сертификатов (2013 года - KB931125, KB2917500 или их заменяющие), то скорее всего нужный сертификат не-ГОСТ установлен. На свежей системе их может и не быть, а при фоновой загрузке никто не нажмет "все равно перейти" и проверка провалится. Также рекомендуется обновить IE до 11 версии, в свежеустановленной системе как правило устаревшая IE 8, в которой еще не оценена важность компонента XMLHTTP. Попробуйте отключить проверку HTTPS соединений в антивирусе или добавить *.nalog.ru в исключения проверки.

Вторая проверка шага 3 то же самое, но уже с использованием сертификата сайта по ГОСТ. Для прохождения шага нужно установить корневые сертификаты, так как при фоновой загрузке никто не нажмет "все равно перейти" и проверка провалится. Для сертификата налоговой есть варианты - установить сертификат ГУЦ и сертификат ФНС выданный ГУЦ либо установить корневой сертификат ФНС. Также может потребоваться добавить сайт в надежные узлы IE.
Offline AnrDaemon  
#3 Оставлено : 9 октября 2018 г. 11:23:37(UTC)
AnrDaemon

Статус: Участник

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Система чистая, никаких антивирусов и вообще практически ничего кроме обновлений, архиватора, RSAT и CryptoPro не стоит.
Критические обновления стоят все. IE11. Извините, что не сказал сразу.
Прокси не используется.

А почему второй адрес тогда не работает?
Offline AnrDaemon  
#4 Оставлено : 9 октября 2018 г. 11:31:21(UTC)
AnrDaemon

Статус: Участник

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: two_oceans Перейти к цитате
если у Вас нет сертификата ГОСТ с определенными требованиями, то ошибка вылетит на шаге 4

До 4 пока что просто не доходит :)
Offline AnrDaemon  
#5 Оставлено : 9 октября 2018 г. 13:28:23(UTC)
AnrDaemon

Статус: Участник

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Такое ощущение, что gsn.service.nalog.ru просто тупит не по-детски.
Вытащил ссылку из нетлога, пытаюсь открыть в отдельном окне - долго и упорно чего-то ждёт.
Offline AnrDaemon  
#6 Оставлено : 9 октября 2018 г. 15:33:40(UTC)
AnrDaemon

Статус: Участник

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Да, вот сейчас проверил - со свистом все проверки на nalog.ru прошли. Видимо, действительно сайт тупил, либо затыки у провайдера.

Остаётся вопрос, почему не работает https://www.cryptopro.ru:4444/test/tls-cli.asp
Offline Александр Лавник  
#7 Оставлено : 9 октября 2018 г. 15:49:23(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,375
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: AnrDaemon Перейти к цитате
Да, вот сейчас проверил - со свистом все проверки на nalog.ru прошли. Видимо, действительно сайт тупил, либо затыки у провайдера.

Остаётся вопрос, почему не работает https://www.cryptopro.ru:4444/test/tls-cli.asp

Добрый день.

Что значит не работает?

У Вас есть установленный в хранилище Личное действующий квалифицированный сертификат или сертификат, полученный в этом тестовом удостоверяющем центре?
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#8 Оставлено : 10 октября 2018 г. 11:26:03(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Попробовал из интереса https://www.cryptopro.ru:4444/test/tls-cli.asp, у меня тоже не открылся в IE 11 (win7 x32, криптопро csp уже не по теме 4.0.9944 и присутствует код безопасности csp) - сначала недоверенный сертификат сайта, продолжить, выбор сертификата появляется, выбираю сертификат аккредитованного УЦ (гост-2001, закрытый ключ в формате криптопро), потом ошибка соединения. Предполагаю из-за того, что не установлен корневой сертификат для сертификата сейта или адрес не добавлен в доверенные узлы. При этом в егиссо, ЕСИА и электронный бюджет заходит с этим же сертификатом в том же браузере того же пользователя (они добавлены в доверенные узлы и их корневые сертификаты установлены). Антивирус настроен не проверять HTTPS.

Отредактировано пользователем 10 октября 2018 г. 11:27:07(UTC)  | Причина: Не указана

Offline AnrDaemon  
#9 Оставлено : 11 октября 2018 г. 23:54:17(UTC)
AnrDaemon

Статус: Участник

Группы: Участники
Зарегистрирован: 08.10.2018(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: Александр Лавник Перейти к цитате
У Вас есть установленный в хранилище Личное действующий квалифицированный сертификат или сертификат, полученный в этом тестовом удостоверяющем центре?

Нет, естественно.
Я не бухгалтер и не генеральный директор, я специалист техподдержки предприятия.
Прежде чем дёргать начальство с ключами, мне надо убедиться, что программное обеспечение функционирует нормально.
Offline Андрей Писарев  
#10 Оставлено : 12 октября 2018 г. 0:06:22(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,625
Мужчина
Российская Федерация

Сказал «Спасибо»: 492 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: AnrDaemon Перейти к цитате
Автор: Александр Лавник Перейти к цитате
У Вас есть установленный в хранилище Личное действующий квалифицированный сертификат или сертификат, полученный в этом тестовом удостоверяющем центре?

Нет, естественно.
Я не бухгалтер и не генеральный директор, я специалист техподдержки предприятия.
Прежде чем дёргать начальство с ключами, мне надо убедиться, что программное обеспечение функционирует нормально.


Здравствуйте.

Чтобы работало соединение с клиентской аутентификацией по сертификату - сертификат нужен.

Snimok ehkrana ot 2018-10-12 01-04-56.png (25kb) загружен 5 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.