logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Винтик  
#1 Оставлено : 8 октября 2018 г. 20:08:18(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 276

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 7 раз в 6 постах
ОС Win-7 x32

Т.к. ICQ не так уже применяется, но всё же и также думаю может
и другим процессам мешать.
Выход пока не нашёл почему так, но времено или отключать у Випента
или Использовать устаревший КриптоПро.
Хотя думаю есть решение что то где то прописать, но где не выяснил.

1)
ICQ 10.0.12372.0
CSPSetup_4_0_9944_R3_с
=
Связь есть.

2)
ICQ 10.0.12372.0
CSPSetup_4_0_9944_R3_с
ViPNet_CSP_RUS_4.2.8.51670_cert (+ TLS "2012", TLS 1.2)
=
Произошла ошибка, попробуйте позже

3)
ICQ 10.0.12372.0
CSPSetup_4_0_9944_R3_с
ViPNet_CSP_RUS_4.2.8.51670_cert
=
Произошла ошибка, попробуйте позже

4)
ICQ 10.0.12372.0
ViPNet_CSP_RUS_4.2.8.51670_cert (вкл API, потом все TLS)
=
Связь есть.

5)
ICQ 10.0.12372.0
ViPNet_CSP_RUS_4.2.8.51670_cert (+ TLS "2012", TLS 1.2)
CSPSetup_4_0_9944_R3_с (установка по умолчанию)
=
Произошла ошибка, попробуйте позже

6)
ICQ 10.0.12372.0
ViPNet_CSP_RUS_4.2.8.51670_cert (+ TLS "2012", TLS 1.2)
CSPSetup_4_0_9958_R4
=
Произошла ошибка, попробуйте позже

7)
ICQ 10.0.12372.0
ViPNet_CSP_RUS_4.2.8.51670_cert (+ TLS "2012", TLS 1.2)
CSPSetup_4_0_9842_R2_с (была серт, устарела, нет пересчёта КС и много нового чего)
=
Связь есть !!!?

8)
ICQ 10.0.12372.0
ViPNet_CSP_RUS_4.2.8.51670_cert (+ TLS "2012", TLS 1.2)
CSPSetup_4_0_9953_R4
=
Произошла ошибка, попробуйте позже

9)
ICQ 10.0.12372.0
ViPNet_CSP_RUS_4.2.10.51612 (+ TLS "2012", TLS 1.2)
CSPSetup_4_0_9953_R4
=
Произошла ошибка, попробуйте позже

10)
ICQ 10.0.12372.0
ViPNet_CSP_RUS_4.2.10.51612 (Удаление компонентов поддержки TLS/SSL)
CSPSetup_4_0_9953_R4 (и другие)
=
Связь есть. !
Offline two_oceans  
#2 Оставлено : 9 октября 2018 г. 3:16:16(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 184
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 40 раз в 40 постах
Цитата:
ICQ не так уже применяется, но всё же и также думаю может и другим процессам мешать.
Давно ICQ не пользовался если честно, но насколько помню когда пользовался ICQ активно использовала компоненты IE для работы, так что скорее всего ошибка должна проявляться и в самом IE тоже. Похоже на конфликт в обеспечении TLS в IE.

Про разницу в версиях КриптоПро Вы не расписали какие именно компоненты устанавливались. По умолчанию обычно ставится поддержка TLS в IE, но есть еще и поддержка на уровне ядра. Есть разница от их включения/выключения? 4.0.9842 в варианте 7 как устанавливалась? Новые версии VipNet пока не смотрел по компонентам.

Скорее всего правильный вариант - оставить поддержку TLS только в одном криптопровайдере (как показывают варианты 1,4,10). Для полноты бы еще проверить вариант с отключением TLS в КриптоПро и включенной в VipNet.

Ну и сгруппировать в табличку совместимости: колонки vipnet не установлен, vipnet без таких-то компонентов, со всеми компонентами, строки аналогично криптопро не установлен, криптопро без таких-то компонентов, криптопро со всеми компонентами, я в ячейках уже градация по версии (так как фундаментально это все подверсии випнета 4.2 и подверсии криптопро 4.0).
Offline Винтик  
#3 Оставлено : 9 октября 2018 г. 6:32:50(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 276

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 7 раз в 6 постах
Автор: two_oceans Перейти к цитате
Цитата:
ICQ не так уже применяется, но всё же и также думаю может и другим процессам мешать.
Давно ICQ не пользовался если честно, но насколько помню когда пользовался ICQ активно использовала компоненты IE для работы, так что скорее всего ошибка должна проявляться и в самом IE тоже. Похоже на конфликт в обеспечении TLS в IE.

Про разницу в версиях КриптоПро Вы не расписали какие именно компоненты устанавливались. По умолчанию обычно ставится поддержка TLS в IE, но есть еще и поддержка на уровне ядра. Есть разница от их включения/выключения? 4.0.9842 в варианте 7 как устанавливалась? Новые версии VipNet пока не смотрел по компонентам.

Скорее всего правильный вариант - оставить поддержку TLS только в одном криптопровайдере (как показывают варианты 1,4,10). Для полноты бы еще проверить вариант с отключением TLS в КриптоПро и включенной в VipNet.

Ну и сгруппировать в табличку совместимости: колонки vipnet не установлен, vipnet без таких-то компонентов, со всеми компонентами, строки аналогично криптопро не установлен, криптопро без таких-то компонентов, криптопро со всеми компонентами, я в ячейках уже градация по версии (так как фундаментально это все подверсии випнета 4.2 и подверсии криптопро 4.0).


Спасибо за оперативность.
Т.к. временно решается установкой R2 которая как ни странно работает, вопрос закрыл.

Про "ядро" в КриптоПро думал, один раз на XP даже выручало, но в остальном всё в штатном.
Один раз в 9-м примере пробовал на уровне ядра, но потом убрал т.к. всё равно не заработало.
В КриптоПро отключал (галочкой) тоже не чего не работает.
Думал ещё что разные плагины "самописные" могли влиять, потому на дэмостенде чистом делал.

Отключение не помогают (галочаками) помогло 100% именно удаление из Випнета.
Но это можно применять где не надо использовать Випнет для этого, на одном рабочем
месте где стоит ВипнетКлиент (не помню какой версии) такое удаление его вывело из строя,
хотя изначально он не ставит обычно эти компоненты для своей работы и в итоге оставил их,
но в данном примере с Клиентом уже сложно что то чистить было, потому применил R2 в том варианте.

ICQ то не главная проблема - не работает и ладно, есть квип который работает или онлайн...
тут в целом есть опасение, что и другие компоненты могут так себя повести.

Явно пока видно, что R3 или R4
Offline Птаха  
#4 Оставлено : 10 октября 2018 г. 12:48:50(UTC)
Птаха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.06.2013(UTC)
Сообщений: 137
Откуда: ООО Компания Тензор

Сказал(а) «Спасибо»: 29 раз
У меня есть связанный вопрос .. косвенно с этим. Есть четкая инструкция в пользовательской документации VipNet CSP по настройке совместной установки. Фактически, настройка все равно подразумевает, что используется одна СКЗИ, но между ними теоретически можно переключаться. Но для этого получается, нужна возможность вкл/выкл модуль "Совместимость с продуктами Microsoft" в КриптоПро CSP. В других беседах на этом форуме визу упоминание об удалении модуля, но не понимаю, как это сделать в интерфейсе.
Такой возможности нет? Только при установке решаем, включать его или нет?
Offline Винтик  
#5 Оставлено : 10 октября 2018 г. 15:20:50(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 276

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 7 раз в 6 постах
У Випнета есть отдельно - не ставить и всё, в КоптоПро я что то не заметил такого, может где то пропустил.

Плохо что столько лет уже идёт "вражда" и не как не придут к соглашению как совместно безболезненно уживаться.
А где то же ещё Лиси и д.р. нужны, хорошо тут массово только с двумя пока только делемы. (нашими двумя, макрософт это сам по себе враг №1)
Offline Птаха  
#6 Оставлено : 10 октября 2018 г. 15:48:26(UTC)
Птаха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.06.2013(UTC)
Сообщений: 137
Откуда: ООО Компания Тензор

Сказал(а) «Спасибо»: 29 раз
Автор: Винтик Перейти к цитате
У Випнета есть отдельно - не ставить и всё, в КоптоПро я что то не заметил такого, может где то пропустил.

Плохо что столько лет уже идёт "вражда" и не как не придут к соглашению как совместно безболезненно уживаться.
А где то же ещё Лиси и д.р. нужны, хорошо тут массово только с двумя пока только делемы. (нашими двумя, макрософт это сам по себе враг №1)


Я об этом и говорю, что по VipNet CSP все понятно - у них есть настройка в интерфейсе, а для модуля в КриптоПРо в интерфейсе или хотя бы какого-то способа отключения без переустановки я не нашла, а хотелось бы.

Это реально становится нужным, например, в свете наличия площадок типа ФИС ФРДО, которые однозначно требуют от клиента работы под VipNet CSP, при этом у многих один ПК, где им надо работать и с другим ПО и ресурсами, где надо использовать КриптоПРО CSP..
Offline Винтик  
#7 Оставлено : 11 октября 2018 г. 1:03:09(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 276

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 7 раз в 6 постах
Автор: Птаха Перейти к цитате
....

Я об этом и говорю, что по VipNet CSP все понятно - у них есть настройка в интерфейсе, а для модуля в КриптоПро в интерфейсе или хотя бы какого-то способа отключения без переустановки я не нашла, а хотелось бы.

Это реально становится нужным, например, в свете наличия площадок типа ФИС ФРДО, которые однозначно требуют от клиента работы под VipNet CSP, при этом у многих один ПК, где им надо работать и с другим ПО и ресурсами, где надо использовать КриптоПро CSP..


У меня благо все кто в ФРДО КЭП получают на Випнете и думать о проблемах не надо.
Были те кто на КриптоПро (и по другим проектам и в "своей" сети), но там тоже проблем не видел т.к. Випнет Клиент там ставлю и он как то сам не ставит эти компоненты, или отключаю галочками и проблем нет (пока не было).

В КриптоПро есть такая галочка в настройках TLS, но в данном примере теме она не сильно помогла, а в итоге понял что и в Випнете отключение их
не помогает, получается они вовсе как то не правильно отключаются и не решают всех проблем.

Отредактировано пользователем 11 октября 2018 г. 1:05:14(UTC)  | Причина: поправка опечатка

Offline two_oceans  
#8 Оставлено : 11 октября 2018 г. 1:50:49(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 184
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 40 раз в 40 постах
Автор: Птаха Перейти к цитате
для модуля в КриптоПРо в интерфейсе или хотя бы какого-то способа отключения без переустановки я не нашла, а хотелось бы.
Запустить установщик для изменения состава модулей КриптоПро несложно, беда в том что при установке/удалении модуля требуется перезагрузка, а это значит закрытие всех открытых приложений. У всегда открыто много окон приложений, поэтому перезагрузка как острый нож. На слабых компьютерах перезагрузка может затянуться и выходит игра на нервах. Очень бы помогло отключение функционала в интерфейсе "на лету" или с перезапуском некоторых служб вместо полной перезагрузки.

В целом, я где-то читал, что випнетовский ключ без проблем экспортируется, так что наверно еще есть выход перевести все ключи в формат криптопро и оставить на компьютере один криптопровайдер. Остается случай когда нужен именно Випнет клиент.
Offline Птаха  
#9 Оставлено : 11 октября 2018 г. 10:58:56(UTC)
Птаха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.06.2013(UTC)
Сообщений: 137
Откуда: ООО Компания Тензор

Сказал(а) «Спасибо»: 29 раз
Автор: two_oceans Перейти к цитате
Остается случай когда нужен именно Випнет клиент.

Меня, собственно, интересуют только они. Во всех других случаях мы своих клиентов переводим на один криптопровайдер.

Offline Винтик  
#10 Оставлено : 11 октября 2018 г. 15:21:16(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 276

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 7 раз в 6 постах
Автор: two_oceans Перейти к цитате
....
В целом, я где-то читал, что випнетовский ключ без проблем экспортируется, так что наверно еще есть выход перевести все ключи в формат криптопро и оставить на компьютере один криптопровайдер. Остается случай когда нужен именно Випнет клиент.


Интересно, первый раз слышу, как так можно легко контейнер випнет превратить в КриптоПро?
Но если есть такое то может есть и обратное - тогда вопче бы было прикольно, конвертируй туда сюда и обратно и горя не знай с совместимостью.

Offline two_oceans  
#11 Оставлено : 12 октября 2018 г. 3:33:38(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 184
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 40 раз в 40 постах
Цитата:
Интересно, первый раз слышу, как так можно легко контейнер випнет превратить в КриптоПро?
Точную последовательность я уже не помню, поэтому насчет "легкости" утверждать не берусь. Речь шла об стандартном экспорте сертификата с закрытым ключом из хранилища "Личные" в формат p12/pfx, потом импорте обратно. Предположительно при стандартном импорте будет сложность в плане замены типа и наименования криптопровайдера перед импортом или при импорте (так как тип провайдера разный и скорее всего без изменения его подхватит снова випнет, а не криптопро). Поэтому наверно специальной утилитой p12utility (p12tocp) от КриптоПро будет проще напрямую преобразовать p12 в контейнер криптопро чем как-то заменять тип в p12 потом пользоваться стандартным импортом.

Цитата:
Но если есть такое то может есть и обратное - тогда вопче бы было прикольно, конвертируй туда сюда и обратно и горя не знай с совместимостью.
К сожалению, с обратным есть проблема, так как при стандартном экспорте в p12/pfx КриптоПро CSP кодирует данные таким оидом и алгоритмом, который распознает только КриптоПро и только при стандартном импорте. Причем это политика компании и все предложения поменять за последние 10 лет получают отказ со ссылкой на требования безопасности.
На старых контейнерах гост-2001, созданных в 3.6R2-R3 работала утилита экспорта от еще одного отечественного криптопровайдера, но на новых контейнерах также получается полное безобразие.

Для гост-2001 самоделкины написали специальную программу на основе кода openssl, выдергивающую закрытый ключ прямо из контейнера криптопро на флешке. Потом этот ключ можно с помощью openssl совместить с сертификатом в формат p12/pfx и перенести в другие криптопровайдеры гост-2001. Однако в той программе жестко прописаны константы гост-2001, используется старый код реализации гост-2001 из проекта openssl и на контейнерах гост-2012 программа не работает. Учитывая, что в openssl сейчас нет реализации гост вообще и гост-2012 в частности, то похоже новая версия для гост-2012 появится не скоро, если вообще появится.

Итого: простого перевода ключа из контейнеров криптопро нет, только частные решения. Наверно Было бы полезно собрать весь набор утилит для перевода туда и обратно.

Отредактировано пользователем 12 октября 2018 г. 3:53:40(UTC)  | Причина: опечатки

Offline Птаха  
#12 Оставлено : 12 октября 2018 г. 7:09:59(UTC)
Птаха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.06.2013(UTC)
Сообщений: 137
Откуда: ООО Компания Тензор

Сказал(а) «Спасибо»: 29 раз
Мне бы все-таки хотелось услышать ответ представителя разработчика продукта КриптоПРО ))) Относительно возможности временного отключения модуля "нормальным" способом.
Offline basid  
#13 Оставлено : 12 октября 2018 г. 16:21:38(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 686

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 80 раз в 75 постах
csp-components.png (10kb) загружен 7 раз(а).
С (очевидными) побочными эффектами.
Offline Птаха  
#14 Оставлено : 12 октября 2018 г. 16:26:30(UTC)
Птаха

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.06.2013(UTC)
Сообщений: 137
Откуда: ООО Компания Тензор

Сказал(а) «Спасибо»: 29 раз
Автор: basid Перейти к цитате
csp-components.png (10kb) загружен 7 раз(а).
С (очевидными) побочными эффектами.


Это при установке. Мой вопрос о том, как убрать этот модуль или включить без переустановки!
Offline basid  
#15 Оставлено : 13 октября 2018 г. 4:31:49(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 686

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 80 раз в 75 постах
Автор: Птаха Перейти к цитате
Это при установке
Если внимательно посмотреть на аплет "Программы и компоненты", то окажется, что кроме "Удалить" там может быть и "Восстановить" и "Изменить".
Offline two_oceans  
#16 Оставлено : 15 октября 2018 г. 2:28:13(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 184
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 40 раз в 40 постах
Автор: basid Перейти к цитате
Автор: Птаха Перейти к цитате
Это при установке
Если внимательно посмотреть на аплет "Программы и компоненты", то окажется, что кроме "Удалить" там может быть и "Восстановить" и "Изменить".
Как ни смотри, особенно если внимательно, не меняет смысла - все равно это установщик и все равно он требует перезагрузку. Имеется ввиду возможность через панель поставить пару галочек без перезагрузки (хотя возможно с перезапуском некоторых служб).

Offline Винтик  
#17 Оставлено : 15 октября 2018 г. 9:41:24(UTC)
Винтик

Статус: Активный участник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 276

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 7 раз в 6 постах
Ну я бы представил что нет такого и не будет.

Даже на Випнете вроде есть галочки, НО
1) Отключая их ТРЕБУЕТ перезагрузку
а самое обычное
2) Даже отключённые вызывали ошибки и только удалением помогало.
Offline basid  
#18 Оставлено : 15 октября 2018 г. 11:59:13(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 686

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 80 раз в 75 постах
Автор: two_oceans Перейти к цитате
Как ни смотри, особенно если внимательно, не меняет смысла - все равно это установщик и все равно он требует перезагрузку.
У меня - не требует.
Работает ли без перезагрузки - нет, не проверял, но мне это и не нужно.
Цитата:
Имеется ввиду возможность через панель поставить пару галочек без перезагрузки (хотя возможно с перезапуском некоторых служб).
У ViPNet CSP галочка ставится "через панель", но перезагрузку всё равно требует.

А давайте (ещё) в спортлото напишем, чтобы никто не ушёл обиженным ...
Offline Максим Коллегин  
#19 Оставлено : 15 октября 2018 г. 16:13:10(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,272
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 481 раз в 438 постах
Если речь об отключении расширенной совместимости, то для 4.0 можно вызвать так:
Код:
msiexec /i {407E5BA7-6406-40BF-A4DC-3654B8F584C1} REMOVE=cproctrl REBOOT=R
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
Птаха оставлено 16.10.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.