Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline spider  
#1 Оставлено : 20 июля 2018 г. 17:51:13(UTC)
spider

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.02.2011(UTC)
Сообщений: 49
Мужчина
Российская Федерация
Откуда: E-burg

Сказал «Спасибо»: 4 раз
Поблагодарили: 2 раз в 2 постах
Всем привет!
У нас есть отдельная Windows-служба (запущенная с параметром "Вход в систему" == "С системной учетной записью") которая обращается к внешнему серверу с помощью SSL/TLS по ГОСТу. На нашем сервере с службой установлен КриптоПро 3.6 (Версия ядра: 3.6.5463 КС1, Версия продукта: 3.6.7491), на внешнем сервере установлен КриптоПро 4.0 (Версия продукта: 4.0.9944, Версия ядра: 4.0.9017 КС1). При попытке установить шифрованное соединение возникает ошибка:
Цитата:

19.07.2018 20:02:10 ERROR Failed to get async request state
===========================================
System.Net.WebException: Запрос был прерван: Не удалось создать защищенный канал SSL/TLS.

в System.Net.HttpWebRequest.GetResponse()
в Xrm.Common.Core.Services.RestClient.Send(String method, String relativeUrl, Byte[] requestText, Dictionary`2 headers) в C:\BuildAgent\work\b1059cf3a61717cd\XRM.UC\Common\Common.Core\Services\RestClient.cs:строка 364
===========================================
Xrm.Common.Core.Services.ServiceUnreachableException: Failed to connect to: https://blablabla:9903/Blabla/v2.0/AsyncRequest



При этом в журнале событий создаются записи вида:
Цитата:


Возникло следующее неустранимое предупреждение: 40. Внутреннее состояние ошибки: 107.

Получен запрос на подключение TLS 1.2 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой.



На стороне внешнего сервера проделаны инструкции для КриптоПро 4.0 из https://support.cryptopr...ekhod-n-gost-r-3410-2012 и выставлены следующие галочки: 1234.png (17kb) загружен 14 раз(а).
На нашей стороне в КриптоПро 3.6 выставлены следующие галочки: 1235.png (10kb) загружен 13 раз(а).

При этом есть другие способы обращения к этому же сервису с этим же сертификатом от учетной записи машины (например ручные запросы через GUI приложения), в этом случае запросы отправляются от пула IIS и отрабатывают на ура. Из IE с локальной учеткой пользователя тоже все работает на ура.
Воспроизводится на наших тестовых контурах и с КриптоПро версий 3.9. При этом если поставить на наш сервер КриптоПро версии 4.0 все начинает работать отлично.

Сразу предвосхищю вопросы: Почему КриптоПро версии 3.6 и такой старой ревизии ? Ибо те пользователи которые ходят у нас в GUI системы не все ещё имеют последние сборки КриптоПро 3.6 c поддержкой RFC 5746. Конечно мы об этом клиенту несколько раз говорили, но воз и ныне там. А сейчас вот возникла вдруг проблема обозначенная выше.

Есть у кого-то идеи как решить обозначенную выше проблему ? Заранее спасибо.
Offline Максим Коллегин  
#2 Оставлено : 20 июля 2018 г. 19:57:52(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,069
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
А csptestом пробовали подключаться?
Желательно указать протокол TLS 1.0.
Сервер похоже отвечает TLS 1.2
Знания в базе знаний, поддержка в техподдержке
Offline spider  
#3 Оставлено : 23 июля 2018 г. 7:08:53(UTC)
spider

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.02.2011(UTC)
Сообщений: 49
Мужчина
Российская Федерация
Откуда: E-burg

Сказал «Спасибо»: 4 раз
Поблагодарили: 2 раз в 2 постах
Если все правильно сделал то получается так:
Цитата:
csptest -tlsc -server blabla.bla -port 9903 -proto 4 -verbose -file /blabla/v2.0?wsdl -nosave -nocheck


Результат:

Цитата:

C:\Program Files\Crypto Pro\CSP\csptest.exe -tlsc -server blabla.bla -port 9903 -proto 4 -verbose -file /blabla/v2.0?wsdl -nosave -nocheck
12 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 1.2.840.113549.1.1.1 (RSA)
[8] 1.2.840.113549.1.9.16.3.5 (ESDH)
[9] 0xae06
[10] 1.2.840.10040.4.1 (DSA)
[11] 0x2203
Cipher strengths: 256..256
Supported protocols: 0x80
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 113
Cipher Suites: (00 81) (00 2f) (00 35) (00 05) (00 0a) (c0 13) (c0 14) (c0 09) (c0 0a) (00 32) (00 38) (00 13) (00 04)
118 bytes of handshake data sent
6224 bytes of handshake data received
210 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Proto: 80, Suite: 81 (TLS_GOST_R_3410_01_WITH_28147_CNT_IMIT)
SECPKG_ATTR_NAMES: ОГРН=1106658022272, ИНН=006658374736, C=RU, S=66 Свердловская область, L=Екатеринбург, O="МКУ ""Центр муниципальных услуг""", STREET="ул. Крауля, д. 61", CN=blabla.bla
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: ОГРН=1106658022272, ИНН=006658374736, C=RU, S=66 Свердловская область, L=Екатеринбург, O="МКУ ""blablabla""", STREET="ул. Крауля, д. 61", CN=blabla.bla
Valid : 12.09.2017 05:44:50 - 12.09.2018 05:44:50 (UTC)
Issuer : ОГРН=1116672011334, STREET="ул. Московская, д. 11, офис 113", ИНН=006672340270, C=RU, L=Екатеринбург, S=66 Свердловская область, E=uralca@uralca.ru, O="ЗАО ""УЦ Урала""", CN=URAL CA QUALIFIED05
CA subject: ОГРН=1116672011334, STREET="ул. Московская, д. 11, офис 113", ИНН=006672340270, C=RU, L=Екатеринбург, S=66 Свердловская область, E=uralca@uralca.ru, O="ЗАО ""УЦ Урала""", CN=URAL CA QUALIFIED05
CA issuer : ИНН=007710474375, ОГРН=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ

CA subject: ИНН=007710474375, ОГРН=1047702026701, E=dit@minsvyaz.ru, STREET=125375 г. Москва ул. Тверская д.7, O=Минкомсвязь России, L=Москва, S=77 г. Москва, C=RU, CN=УЦ 1 ИС ГУЦ
CA issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, ОГРН=1047702026701, ИНН=007710474375, CN=Головной удостоверяющий центр


Protocol: TLS 1.0
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa25
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16379

HTTP request: GET /blabla/v2.0?wsdl HTTP/1.1

User-Agent: Webclient

Accept:*/*
blabla.blabla.bla

Connection: close




Sending plaintext: 118 bytes
127 bytes of application data sent
7538 bytes of (encrypted) application data received
Decrypted data: 7529 bytes
No data in socket: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK

Sending Close Notify
11 bytes of handshake data sent
1 connections, 7529 bytes in 0.040 seconds;
Total: SYS: 0,047 sec USR: 0,000 sec UTC: 0,055 sec
[ErrorCode: 0x00000000]


Т.е. из под пользователя все отлично отработало с TLS 1.0
Offline Максим Коллегин  
#4 Оставлено : 23 июля 2018 г. 11:55:38(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,069
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
А в службе какая версия TLS?
Знания в базе знаний, поддержка в техподдержке
Offline spider  
#5 Оставлено : 24 июля 2018 г. 11:20:02(UTC)
spider

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.02.2011(UTC)
Сообщений: 49
Мужчина
Российская Федерация
Откуда: E-burg

Сказал «Спасибо»: 4 раз
Поблагодарили: 2 раз в 2 постах
Никакой не был указан. Указали явно

Цитата:
ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls; // (TLS 1.0)


После чего заработало. Ничем это не чревато ?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.