Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline alex tregubov  
#1 Оставлено : 10 сентября 2020 г. 15:19:24(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Всем добрый день!

Так как форум не дает искать просто по TLS, вынужден сделать отдельную тему.

Дано -- IIS 10 на Win2016. Задача поднять ГОСТ https.

Создаю самоподписанный сертификат через certreq -new test.txt test.cer

[NewRequest]
Subject="CN=test,O=Test,L=Moscow,S=Moscow,C=RU"
ProviderName="Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider"
ProviderType=81
; Generate Exchange key
KeySpec=1
; the private key can be exported
Exportable = TRUE
; Key Usage: DIGITAL SIGNATURE, NON REPUDIATION, KEY ENCIPHERMENT (e0)
KeyUsage=0xe0
; install keys under machine
MachineKeySet=true
; Generate self-signed certificate
RequestType=Cert
SMIME=FALSE
ValidityPeriod=Years
ValidityPeriodUnits=2
; EKU: Server Authentication
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2


Сертификат создается успешно. Кладу полученный сертификат в корневые (для браузера в дальнейшем) и в web hosting. IIS подхватывает сертификат без каких либо проблем. На всякий случай рестартую все.

Беру IE. Ставлю CADES Plugin, тестирование на https://www.cryptopro.ru/products/cades/plugin прохожу успешно.

Захожу на localhost. Итог: This page can’t be displayed

Turn on TLS 1.0, TLS 1.1, and TLS 1.2 in Advanced settings and try connecting to https://localhost again. If this error persists, it is possible that this site uses an unsupported protocol. Please contact the site administrator.

Локалхост добавлен в доверенные, в настройках IE разрешены все протоколы. В журналах ничего подозрительного.



Вопрос. Что я делаю не так?



p.s. кстати сертификат, выданный с тестового УЦ, IIS отказывается принимать категорически с очень интересной записью в event log: CryptoPro TLS. Creating server credentials. Error 0x80090015 opening CSP key container 3d547cad5-12ee-8b97-71c3-ca05aed9f3c: Provider's public key is invalid.. Process: System. При этом mmc показывает что все сертификаты ОК, УЦ в доверенных корневых и т.п.


ОБНОВЛНИЕ:

После "упрощения" CSP и уточнения политик использования, все заработало:


[NewRequest]
Subject="CN=rnfi,E=rnfi@test.lan,O=Test,L=Moscow,S=Moscow,C=RU"
ProviderName="Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider"
ProviderType=80
; Generate Exchange key
KeySpec=1
; the private key can be exported
Exportable = TRUE
; Key Usage: Digital Signature, Non-Repudiation, Key Encipherment, Data Encipherment (f0)
KeyUsage=0xf0
; install keys under machine account
MachineKeySet=true
; Generate self-signed certificate
RequestType=Cert
SMIME=FALSE
ValidityPeriod=Years
ValidityPeriodUnits=2
; EKU: Server Authentication only!
[EnhancedKeyUsageExtension]
; Server authentication
OID=1.3.6.1.5.5.7.3.1


Но пока непонятно почему со Strong не работает.

Отредактировано пользователем 10 сентября 2020 г. 18:09:11(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#2 Оставлено : 10 сентября 2020 г. 19:35:05(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
А что значит "Упрощения"?
Strong не работает с таким же запросом по (Key Usage)?
(0x80090015) NTE_BAD_PUBLIC_KEY означает, что сертификат не соответствует ключу - что пишет масте в cpanel при тестировании контейнера?
Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#3 Оставлено : 10 сентября 2020 г. 19:48:46(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
А что значит "Упрощения"?
Strong не работает с таким же запросом по (Key Usage)?


Нет, со Strong сертификат выдается, IIS его принимает, но вот IE отказывается устанавливать соединение в принципе.

А с обычным провадейром, который без Strong -- пожалуйста.

Автор: Максим Коллегин Перейти к цитате

(0x80090015) NTE_BAD_PUBLIC_KEY означает, что сертификат не соответствует ключу - что пишет масте в cpanel при тестировании контейнера?


Ничего не пишет. Все проверки проходят отлично. Собственно ровно это и ставит в тупик.


Offline Максим Коллегин  
#4 Оставлено : 10 сентября 2020 г. 20:57:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
А пин-код не установлен на контейнер?
И какая версия CSP5?

Отредактировано пользователем 10 сентября 2020 г. 20:58:37(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#5 Оставлено : 10 сентября 2020 г. 21:16:10(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Вообще ни с какими пин кодами не не заморачивался, однако при создании сертификата CSP дважды спрашивает пароль. Надо будет попробовать проверить внимательно. При этом в дальнейшем такой сертификат без проблем подхватывается IIS.

Версия 5.0.11455КС1, тип сервер.

Но меня по прежнему ставит в тупик тот факт что невозможно подцепить сертификат выданный тестовым УЦ Крипто про. Он кстати сам упорно ставить в personal пользователя а не компа, потом приходится экспортировать в pfx и перекладывать в учетку компьютера. Может где то тут кто то порылся...
Offline Максим Коллегин  
#6 Оставлено : 10 сентября 2020 г. 21:28:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
А как перекладываете? Вообще можно сразу создать сертификат в хранилище компьютера, если запустить IE под администратором и поставить соотвествующий чекбокс.
Знания в базе знаний, поддержка в техподдержке
Offline Максим Коллегин  
#7 Оставлено : 10 сентября 2020 г. 21:29:52(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
И CSP я бы рекомендовал использовать последний CSP5R2
Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#8 Оставлено : 10 сентября 2020 г. 21:34:59(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Перекладываю экспортом в pfx и последующим импортом в нужное хранилище. Ессно с закрытым ключом.

Про запуск IE апод админом мысль, спасибо, попробую.

CSP вроде свежий, в понедельник скачивал...
Offline Максим Коллегин  
#9 Оставлено : 10 сентября 2020 г. 21:38:21(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
Цитата:


Перекладываю экспортом в pfx и последующим импортом в нужное хранилище. Ессно с закрытым ключом.

Это можно сделать десятком способов, можно подробнее?
Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#10 Оставлено : 10 сентября 2020 г. 21:43:45(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате

Это можно сделать десятком способов, можно подробнее?



mmc, сертификаты, находим нужный, правый клик, экспорт, формат pfx, включить закрытый ключ, задаем пароль и имя файла, все.

Ставим правым кликом, установить, выбираем нужное хранилище, пароль, готово.

Я только такой способ знаю.
Offline Максим Коллегин  
#11 Оставлено : 10 сентября 2020 г. 21:52:26(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
А в какое хранилище ставите? Компьютер, личное?
Пришлите вывод мастера тестирования контейнера, выбрав его по сертификату и выбрав радио «компьютер».

А по поводу Strong -- это проблема в клиенте (IE), исправлено в текущей версии CSP5R2.

Отредактировано пользователем 10 сентября 2020 г. 22:08:03(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#12 Оставлено : 10 сентября 2020 г. 22:46:25(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
А в какое хранилище ставите? Компьютер, личное?


Компьютер конечно.

Автор: Максим Коллегин Перейти к цитате

Пришлите вывод мастера тестирования контейнера, выбрав его по сертификату и выбрав радио «компьютер».


Только увы в понедельник.


Автор: Максим Коллегин Перейти к цитате

А по поводу Strong -- это проблема в клиенте (IE), исправлено в текущей версии CSP5R2.


Супер, спасибо, попробую!



Offline alex tregubov  
#13 Оставлено : 14 сентября 2020 г. 11:18:25(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
А пин-код не установлен на контейнер?


Так, продолжаем.

Пин код сейчас проверил (хотя и путем удаления), ответ -- пин код был установлен. Сейчас перезапросил сертификат с запуском IE от админа и без пин кода. Сертификат выдался и установился в computer/personal (при запросе отметил опцию "Использовать локальное хранилище компьютера для сертификата")

Итог -- ошибка "непринятия" IIS сертификата ушла. Ошибка IE с версиями TLS осталась. CSP пока не менял ибо целевая задача использовать именно сертифицированный.

Если еще нужно то вот журнал проверки:


Код:
Check container succeed        	no errors were detected
Private key container          	computer's
  name                         	2ee09c63c-a4fb-fe6c-0330-38eaa0df093
  unique name                  	REGISTRY\\2ee09c63c-a4fb-fe6c-0330-38eaa0df093
  FQCN                         	\\.\REGISTRY\2ee09c63c-a4fb-fe6c-0330-38eaa0df093
  container integrity check    	succeed
Exchange key                   	available
  Public key length            	512 bits
  public key export            	succeed
  public key compute           	succeed
  public key import            	succeed
  signing                      	succeed
  verifying                    	succeed
  exchange key agreement       	succeed
  key export                   	allowed
  algorithm                    	GOST R 34.10-2012 DH 256 bit
                               	GOST R 34.10 256 bit, default exchange parameters
                               	GOST R 34.11-2012 256 bit
                               	GOST 28147-89, cipher parameters TC26 Z
  certificate in container     	match private key
  certificate in store         	My
                               	  E=test@test.lan, CN=test, OU=Test, O=Test, L=Moscow, S=Moscow, C=RU
                               	      REGISTRY\\2ee09c63c-a4fb-fe6c-0330-38eaa0df093; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000020; dwKeySpec: AT_KEYEXCHANGE#1
  certificate name             	test
  subject                      	E=test@test.lan, CN=test, OU=Test, O=Test, L=Moscow, S=Moscow, C=RU
  issuer                       	OGRN=1234567890123, INN=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
  valid from                   	Monday, 14 September, 2020 11:16:11 AM
  valid to                     	Monday, 14 December, 2020 11:26:11 AM
  serial number                	7C00 0133 738F 1052 BC2E 985F 1900 0100 0133 73
Private key usage period       	Tuesday, 14 December, 2021 11:16:11 AM
Exchange key usage             	is permitted before end of validity of the key.
Signature key                  	not available
Symmetric key                  	not available
  keys loading                 	succeed
Container version              	2
ControlKeyTimeValidity value   	1
Container extensions           	
  noncritical                  	CryptoPro CSP private keys extension. Exchange key usage period
  valid to                     	Tuesday, 14 December, 2021 11:26:01 AM



UPD. Сейчас снес CSP 5.0, поставил 4.0. (удалено)

Разобрался, забыл отключить reverse proxy, все в итоге заработало.

Получается что если нужно сертифицированное решение с ГОСТ TLS, то лучше использовать 4.0 версию?

Отредактировано пользователем 14 сентября 2020 г. 14:57:30(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#14 Оставлено : 14 сентября 2020 г. 15:35:27(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
Или не использовать “Strong”. Никакой реальной необходимости в таком сертификате нет, учитывая, что и выдающий CA на таком сертификате будет сложно найти.
Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#15 Оставлено : 14 сентября 2020 г. 16:03:32(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Максим Коллегин Перейти к цитате
Или не использовать “Strong”. Никакой реальной необходимости в таком сертификате нет, учитывая, что и выдающий CA на таком сертификате будет сложно найти.


Со стронгом понятно, но 5.0 сертифицированный и на обычном заводиться не желает :(

А 4-й норм работает.

Правда допускаю что проблема может быть в том, что я проверяю TLS на localhost с тем же серверным CSP что и используется в IIS, но с 4-м то работает...
Offline Максим Коллегин  
#16 Оставлено : 14 сентября 2020 г. 16:27:22(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
Странно, я проверял в пятницу, локально работало. Что в eventlog?
И что пишет csptest -tlsc -server localhost -v?

Отредактировано пользователем 14 сентября 2020 г. 16:28:49(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline alex tregubov  
#17 Оставлено : 14 сентября 2020 г. 16:52:48(UTC)
alex tregubov

Статус: Участник

Группы: Участники
Зарегистрирован: 07.09.2020(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Сейчас накатил 5.0 поверх 4.0. Блин. Работает. Но при том вы же сами чуть выше говорили что это баг 5.0 и нужно использовать R2...


Код:

C:\Program Files (x86)\Crypto Pro\CSP>csptest -tlsc -server test -v
15 algorithms supported:
     Aglid  Class  OID
[00] 0x660e 0x6000
[01] 0x6610 0x6000
[02] 0x6801 0x6000 1.2.840.113549.3.4 (rc4)
[03] 0x6603 0x6000 1.2.840.113549.3.7 (3des)
[04] 0x6601 0x6000 1.3.14.3.2.7 (des)
[05] 0x8003 0x8000 1.2.840.113549.2.5 (md5)
[06] 0x8004 0x8000 1.3.14.3.2.26 (sha1)
[07] 0x800c 0x8000
[08] 0x800d 0x8000
[09] 0x800e 0x8000
[10] 0x2400 0x2000 1.2.840.113549.1.1.1 (RSA)
[11] 0xaa02 0xa000 1.2.840.113549.1.9.16.3.5 (ESDH)
[12] 0xae06 0xa000
[13] 0x2200 0x2000 1.2.840.10040.4.1 (DSA)
[14] 0x2203 0x2000
Cipher strengths: 256..256
Supported protocols: 0xa0a80:
    Transport Layer Security 1.0 client side
    Transport Layer Security 1.1 client side
    Transport Layer Security 1.2 client side
    Datagram Transport Layer Security client side
    Datagram Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 177
SessionId: (empty)
Cipher Suites: (c0 2c) (c0 2b) (c0 30) (c0 2f) (00 9f) (00 9e) (c0 24) (c0 23) (c0 28) (c0 27) (c0 0a) (c0 09) (c0 14) (c0 13) (00 39) (00 33) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a) (00 6a) (00 40) (00 38) (00 32) (00 13) (00 05) (00 04) (ff 85) (00 81)
182 bytes of handshake data sent
1292 bytes of handshake data received
215 bytes of handshake data sent
31 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_SESSION_INFO: Reuse: 0, SessionId: 26302e22ded472fed97685f3d40c5ea0081a102670f73f339613132c933fe48f
SECPKG_ATTR_CONNECTION_INFO: Protocol: 800
SECPKG_ATTR_CIPHER_INFO: Protocol: 800, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2012 256), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2012 256), KeyType: 0
SECPKG_ATTR_NAMES: E=test@test.lan, CN=test, OU=Test, O=Test, L=Moscow, S=Moscow, C=RU
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: E=test@test.lan, CN=test, OU=Test, O=Test, L=Moscow, S=Moscow, C=RU
Valid  : 14.09.2020 08:16:11 - 14.12.2020 08:26:11 (UTC)
Issuer : OGRN=1234567890123, INN=001234567890, STREET=.   . 18, C=RU, S=. , L=, O=" ""-""", CN="   ""-"""

Protocol: TLS 1.2
Cipher: 0x661e
Cipher strength: 256
Hash: 0x8021
Hash strength: 256
Key exchange: 0xaa47
Key exchange strength: 512
Supported signatures: (ee ee) (ef ef) (ed ed)

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET / HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: test
Connection: close


Sending plaintext: 84 bytes
102 bytes of application data sent
956 bytes of (encrypted) application data received
Decrypted data: 947 bytes
No data in socket: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
Sending Close Notify
11 bytes of handshake data sent
1 connections, 947 bytes in 0.313 seconds;
Total: SYS: 0.109 sec USR: 0.047 sec UTC: 0.406 sec
[ErrorCode: 0x00000000]

C:\Program Files (x86)\Crypto Pro\CSP>


Завтра все удалю, и CSP и все сертификаты и попробую заново...
Offline Максим Коллегин  
#18 Оставлено : 14 сентября 2020 г. 17:06:11(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,973
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 586 раз в 527 постах
Ошибка в клиенте при работе навстречу с сервером на длинном ключе ( Strong ).
На 512 бит ключе ошибки нет.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
alex tregubov оставлено 14.09.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.