Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SlipKo  
#1 Оставлено : 12 мая 2020 г. 13:14:48(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Добрый день!

Провожу стендирование решения с использованием стороннего УЦ (в качестве такового выступает локальный CA на Win2012 + CryptoPro 4). Сделал по инструкции requestы, выдал в УЦ на их основании серты и установил их на все ноды стенда (1 MGMT, 1 Gate (пока), 1 АРМ администратора). При попытке привязать сертификат АРМа администратора в ng-certcfg процесс проходит успешно, службы перезапускаются, но после этого Show certificate выдает сообщение, что сертификата нет и попытка зайти на MGMT node с АРМа завершается 400ым сообщением nginx: no required ssl certificate was sent.

P.S. Тестирую сертифицированную версию, скачанную с офф сайта.
Offline Павел Заика  
#2 Оставлено : 13 мая 2020 г. 13:21:40(UTC)
Павел Заика

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.06.2019(UTC)
Сообщений: 17
Мужчина
Российская Федерация

Добрый день!

попытка зайти на MGMT node с АРМа завершается 400ым сообщением nginx: no required ssl certificate was sent.
Какой браузер используете?
Что вводите в адресной строке?
Сертификат администратора установлен в личные пользователя с привязкой к закрытому ключу?
Техническую поддержку оказываем тут.
Наша база знаний
Offline SlipKo  
#3 Оставлено : 13 мая 2020 г. 14:38:00(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Здравствуйте!

1. Использовал Яндекс Браузер и IE
2. https://ngate-mgmt:8000
Сделал для ноды управления имя ngate-mgmt, с этим именем выдал сертификат, его же прописал в hosts на Win машине администратора.
В логах вижу:
2020/05/13 13:21:58 [emerg] 6924#0: *6 SSPI_do_handshake() failed while SSPI handshaking, client: 192.168.0.2, server: 192.168.0.1:8000
2020/05/13 13:21:58 [error] 6924#0: *7 AcceptSecurityContext failed: 0x80090326 while SSPI handshaking, client: 192.168.0.2, server: 192.168.0.1:8000
3. Сертификат установлен.

Пока ждал ответа не сидел сложа руки: попробовал переделать все на внутреннем УЦ ngate. Для этого заново поднял ngate-mgmt и ngate-1 (нода кластера). Проблема с 400 кодом осталась.

Замечание: в документации весьма слабо описаны требования к настройке сетевых интерфейсов. Нет понимания как можно комбинировать роли интерфейсов и можно ли это делать.
1. Не понятно какая роль должна быть на интерфейсе устройства управления который смотрит в сторону шлюзов.
2. Можно ли healthcheck сделать на интерфейсе управления или внутреннем интерфейсе.

Отредактировано пользователем 13 мая 2020 г. 15:15:49(UTC)  | Причина: Не указана

Offline Павел Заика  
#4 Оставлено : 13 мая 2020 г. 16:45:29(UTC)
Павел Заика

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.06.2019(UTC)
Сообщений: 17
Мужчина
Российская Федерация

На ПК администратора запустите КриптоПро CSP и выполните тестирование контейнера ЗК ключа администратора.
Результат тестирования сохраните в файл и прикрепите к сообщению.
Техническую поддержку оказываем тут.
Наша база знаний
Offline SlipKo  
#5 Оставлено : 13 мая 2020 г. 17:06:29(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Автор: Павел Заика Перейти к цитате
На ПК администратора запустите КриптоПро CSP и выполните тестирование контейнера ЗК ключа администратора.
Результат тестирования сохраните в файл и прикрепите к сообщению.


testirovanie KZK.txt (3kb) загружен 5 раз(а).
Offline Андрей Куликов  
#6 Оставлено : 13 мая 2020 г. 20:01:26(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 108
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
Автор: SlipKo Перейти к цитате
Проблема с 400 кодом осталась.

400-й код и отсутствие запроса на сертификат админа в бразуере говорит о том что у вас скорее всего корневой не установлен в Trusted Root.

Offline SlipKo  
#7 Оставлено : 14 мая 2020 г. 10:32:44(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Автор: Андрей Куликов Перейти к цитате
Автор: SlipKo Перейти к цитате
Проблема с 400 кодом осталась.

400-й код и отсутствие запроса на сертификат админа в бразуере говорит о том что у вас скорее всего корневой не установлен в Trusted Root.



Ну тогда бы при клике на замочек в браузере я не видел и такой картинки.
1.png (8kb) загружен 8 раз(а).

Отредактировано пользователем 14 мая 2020 г. 10:33:38(UTC)  | Причина: Не указана

Offline Павел Заика  
#8 Оставлено : 14 мая 2020 г. 16:22:48(UTC)
Павел Заика

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.06.2019(UTC)
Сообщений: 17
Мужчина
Российская Федерация

Используйте csptest для проверки:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server <servername> -port 8000 -u <CN_from_admin_cert> -v


Приложите результат выполнения команды полностью.
Техническую поддержку оказываем тут.
Наша база знаний
Offline SlipKo  
#9 Оставлено : 14 мая 2020 г. 17:43:31(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Автор: Павел Заика Перейти к цитате
Используйте csptest для проверки:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server <servername> -port 8000 -u <CN_from_admin_cert> -v


Приложите результат выполнения команды полностью.


C:\Program Files\Crypto Pro\CSP>csptest.exe -tlsc -server ngate-mgmt -port 8000
-u arm -v
An error occurred in running the program.
tmain.c:1650:CertFindCertificateInStore
Error number 0x80092004 (-2146885628).
Объект или свойство не найдено.


**** Error 0x80092004 returned by CertFindCertificateInStore
An error occurred in running the program.
WebClient.c:607:Error creating credentials.
Error number 0x8009030e (-2146893042).
В пакете безопасности отсутствуют учетные данные

Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,031 sec
[ErrorCode: 0x8009030e]


Прикладываю серт и изображение оснастки сертификатов. 2.png (35kb) загружен 7 раз(а). arm.cer (1kb) загружен 1 раз(а).

Отредактировано пользователем 14 мая 2020 г. 17:44:12(UTC)  | Причина: Не указана

Offline Андрей Куликов  
#10 Оставлено : 14 мая 2020 г. 21:25:29(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 108
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
Поставьте сертификат текущему пользователю в хранилище.
Сейчас он у вас в хранилище локального компьютера.

Отредактировано пользователем 14 мая 2020 г. 21:26:48(UTC)  | Причина: Не указана

Offline SlipKo  
#11 Оставлено : 15 мая 2020 г. 11:00:25(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Автор: Андрей Куликов Перейти к цитате
Поставьте сертификат текущему пользователю в хранилище.
Сейчас он у вас в хранилище локального компьютера.


C:\Program Files\Crypto Pro\CSP>csptest.exe -tlsc -server ngate-mgmt -port 8000 -u arm -v
#0:
Subject: CN=arm, C=RU, O=SlipKo, OU=Serv
Valid : 13.05.2020 09:54:12 - 13.05.2023 09:54:12 (UTC)
Issuer : CN=nGate Management Console, C=RU, O=SlipKo, OU=nGate MC Certificate Au
thority


Client certificate:
Subject: CN=arm, C=RU, O=SlipKo, OU=Serv
Valid : 13.05.2020 09:54:12 - 13.05.2023 09:54:12 (UTC)
Issuer : CN=nGate Management Console, C=RU, O=SlipKo, OU=nGate MC Certificate Au
thority

Error 0x80092012 ((unknown)) returned by CertVerifyCertificateChainPolicy!
Error 0x80092012 authenticating client credentials
An error occurred in running the program.
WebClient.c:607:Error creating credentials.
Error number 0x80092012 (-2146885614).
Функция отзыва не смогла произвести проверку отзыва для сертификата.

Total: SYS: 0,047 sec USR: 0,016 sec UTC: 0,108 sec
[ErrorCode: 0x80092012]


Скопировал контейнер закрытого ключа из "Компьютера" в "Пользователя" и установил сертификат в "Текущего пользователя" с привязкой закрытого ключа.

Также в процессе публикации конфигурации возникает ошибка.
3.png (61kb) загружен 4 раз(а).

Отредактировано пользователем 15 мая 2020 г. 17:20:37(UTC)  | Причина: Исправил вывод команды

Offline Андрей Куликов  
#12 Оставлено : 15 мая 2020 г. 13:57:00(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 108
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 5 раз в 4 постах
Автор: SlipKo Перейти к цитате

Также в процессе публикации конфигурации возникает ошибка.

Сгенерируйте ключи защиты сессий и ключа синхронизации с помощью утилиты ng-certcfg

Offline SlipKo  
#13 Оставлено : 15 мая 2020 г. 15:01:13(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Автор: Андрей Куликов Перейти к цитате
Автор: SlipKo Перейти к цитате

Также в процессе публикации конфигурации возникает ошибка.

Сгенерируйте ключи защиты сессий и ключа синхронизации с помощью утилиты ng-certcfg



Действительно - упустил данный момент. Спасибо!
Offline SlipKo  
#14 Оставлено : 18 июня 2020 г. 13:19:56(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Добрый день!

Снова вернулся к тестированию.

Проблема следующая: есть клиентский АРМ на базе ОС Windows. Установлен CryptoPro, Chromium GOST, сертификаты УЦ и пользовательский. Доступ к web-ресурсу работает нормально.
На этом же АРМе поднял nGate Client для построения VPN, однако сертификаты в клиенте не отображаются. Если выдать запрос из клиента и отправить в УЦ, то выданный УЦ сертификат в любом из форматов (base64,der,p7b) импортироваться через nGate клиент отказывается.

Вывод с ngate client:
Jun 18 13:58:01.838 Critical Can't install certificate. Unsupported format or wrong file. Both PEM_read_bio_X509() and d2i_X509_bio() failed to parse contents.
Jun 18 13:59:31.201 Debug New certificate PublicKey is: 044081ff803d50d04e0e1de009a75c8013b0ec2abe1e0df9c0229348c339cb281e680461cf54bd2c92274808e100851dcb943fe689392a441db6a22a510df5711678
Jun 18 13:59:31.232 Critical The first call to CryptExportPublickKeyInfo() failed (80090022).
Jun 18 13:59:31.232 Critical The probable cause is that
Jun 18 13:59:31.232 Critical there is no key pair present in the key container.
Jun 18 14:00:00.279 Debug New certificate PublicKey is: 044081ff803d50d04e0e1de009a75c8013b0ec2abe1e0df9c0229348c339cb281e680461cf54bd2c92274808e100851dcb943fe689392a441db6a22a510df5711678
Jun 18 14:00:00.451 Critical The first call to CryptExportPublickKeyInfo() failed (80090022).
Jun 18 14:00:00.451 Critical The probable cause is that
Jun 18 14:00:00.451 Critical there is no key pair present in the key container.

Вопроса собственно 2:
1. Почему клиент не хочет видеть уже существующий сертификат в хранилище Личное (кстати серт есть как в пользовательском хранилище, так и в хранилище локального компа естественно с привязкой к закрытому ключу)?
2. Если поведение клиента по первому вопросу нормальное, то как импортировать сертификат в nGate Client?
Offline Павел Заика  
#15 Оставлено : 23 июня 2020 г. 10:49:45(UTC)
Павел Заика

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.06.2019(UTC)
Сообщений: 17
Мужчина
Российская Федерация

Добрый день!
Сохраните сертификат в файл и установите его как личный с привязкой к закрытому ключу использую КриптоПро CSP вкладка "Сервис".
Техническую поддержку оказываем тут.
Наша база знаний
Offline SlipKo  
#16 Оставлено : 23 июня 2020 г. 13:23:39(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 9
Российская Федерация
Откуда: Москва

Автор: Павел Заика Перейти к цитате
Добрый день!
Сохраните сертификат в файл и установите его как личный с привязкой к закрытому ключу использую КриптоПро CSP вкладка "Сервис".


Добрый день!

Сделал как написали, но сертификат так и не появился в nGate Cliente.
Offline Павел Заика  
#17 Оставлено : 25 июня 2020 г. 10:30:27(UTC)
Павел Заика

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.06.2019(UTC)
Сообщений: 17
Мужчина
Российская Федерация

При попытке подключения к VPN сертификат отображается?
Если у сертификата длинная цепочка (есть промежуточный УЦ) попробуйте промежуточный сертификат добавить в клиенте в корневые.
Техническую поддержку оказываем тут.
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.