Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Mishel  
#1 Оставлено : 10 сентября 2010 г. 19:45:04(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Добрый день, нам необходимо развернуть VPN на ГОСТ-шифровании, нашел на сайте описание продукта КриптоПроIPSec, скачал демо-версию..
к сожалению развернуть VPN не получилось...КриптоПро IPSec установли на шлюзе и удаленной машине. При попытке подключения по L2TP выдавалась ошибка 786 при настройках аутентификации по сертификату (отсутствует допустимый сертификат) и 789 если пытались использовать предварительный ключ...Я подозреваю что дело в сертификатах.
Насколько я понял для каждой машины необходимы как минимум 2 сертификата - 1 пользовательский в пользовательском хранилище для аутентификации, второй IPSec - в хранилище компьютера.
Для генерации сертификатов я использовал изолированный корневой MS CA с установленным КриптоПро 3.6 R2, при генерации выбирал следующие типы сертификатов для клиентской машины - сертификат подлинности клиента и сертификат IPSec, для шлюза - сертификат подлинности сервера и сертификат IPSec.
Настройку RRas и ISA осуществлял по документации. Возможно надо было использовать корпоративный тип CA?
Может быть ещё необходимо сделать какие-нибудь локальные настройки на машине?
Offline gvi  
#2 Оставлено : 11 сентября 2010 г. 12:38:51(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Добрый день! Сначало нужно включить режим без IPSEC PPTP убеждаемся что пара пароль/ пользователь проходит, соединение есть. Сертификат должен быть ГОСТ!, только для компьютера, шаблон IPSEC в СА копируется и замещает основной. НЕ забывайте список остозванных сертификатов, корневой сертификат. Логичней и правильней делать подчиненный СА - подчинен он нашему УЦ(КриптоПро). Этот шлюз в домене? RRAS трогать не надо им управляет ISA, настройки только в ISA. Нужно посмотреть какие пакеты живут в момент соединения, что происходит.
Offline Mishel  
#3 Оставлено : 13 сентября 2010 г. 13:22:39(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Соединение по паролю через PPTP есть. Насчет шаблонов...я устанавливал корневой изолированый CA, у него нет шаблонов...просто при генерации сертификатов выбирается тип сертификата и используемый провайдер, какие я выбирал значения я указывал...Криптопровайдера естественно выбирал КриптоПро..Корневой сертифкат установлен в хранилище корневых доверенныц центров...Список отозванных сертификатов на клиентской машине не был установлен, я установил, хотя отозванных сертификатов все равно не было..После этого ситуация изменилась - теперь выдается сообщение с кодом 691 - имя пользователя или пароль недопустимы в домене, а на шлюзе в журнале приложений создается сообщение Источник: cpsspap Код:300 КриптоПро TLS. Ошибка 0x8009200b при обращении к CSP: Не удается найти сертификат и закрытый ключ для расшифровки...это в случае попытки аутентификации по сертификатам...когда ставлю предварительный ключ - ошибка прежняя 789.
Шлюз в домене...может дело в том, что создаваемые сертификаты не публикуются в AD и не привязываются к учетным записям пользователей и машин?

Отредактировано пользователем 13 сентября 2010 г. 13:23:48(UTC)  | Причина: Не указана

Offline gvi  
#4 Оставлено : 13 сентября 2010 г. 15:40:55(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Хорошо попробуйте PSK вместо сертификата Net,Windows,6QU8B602DA6T3RH4KCYN5ADD7N24DG51YHH4HM112RYW4U4R0X24T1F4. По настройке СА ссылка http://www.cryptopro.ru/.../products/csp/faq.htm#6, править шаблон обязательно
Offline Mishel  
#5 Оставлено : 13 сентября 2010 г. 17:46:48(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

PSK я уже пробовал, и какая была ошибка тоже уже писал...указал ваш предварительный ключ - не помогло...ссылку на настроку CA не понял...повторяю использую корневой ИЗОЛИРОВАННЫЙ CA там вообще НЕТ шаблонов...CA редактировал, КриптоПРО у меня светится в списке доступных провайдеров на веб-странице...про при генерации выбирал тип сертификата IPSec и указывал из списка доступных провайдеров КриптоПро...Имеет ли значение имя, которое я указываю в сертификате - может оно должно точно совпадать с именем машины и учетной записи (в том числе и имя домена)?
Вы мне скажите точно - какие сертификаты надо генерить? Пользовательские для аутентификации и IPSec для шифрования, так?
Offline gvi  
#6 Оставлено : 13 сентября 2010 г. 20:25:59(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Давайте по порядку сначала: как бы 3 этапа PPTP работает, далее PSK он ограничен по времени, Вы можете его сами создать с помощью утилиты Net,Windows,6QU8B602DA6T3RH4KCYN5ADD7N24 - рабочий, далее сертификат. Какие ОС Вы используете?
Offline gvi  
#7 Оставлено : 13 сентября 2010 г. 20:30:36(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

По СА сертификат должен ставится в хранилище компьютера, Вы должны выбрать соответствующую галку на Веб страничке
Offline Mishel  
#8 Оставлено : 13 сентября 2010 г. 21:00:24(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Ну давайте по порядку...Использую Windows2003 std R2 SP2 на шлюзе и Windows XP SP3 на клиентской машине, с PSK не понял...какая разница какой он, ну да ладно я взял какой вы сейчас прописали, не работает...Ошибка 789 - ошибка на уровне безопасности при согласовании с удаленным компьютером

По сертификатам вы мне можете ответить конкретно - какие, сколько и где должны быть на каждой машине?

Отредактировано пользователем 13 сентября 2010 г. 21:15:16(UTC)  | Причина: Не указана

Offline gvi  
#9 Оставлено : 13 сентября 2010 г. 21:16:08(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Напишите на support@cryptopro.ru вышлем исправленную версию
Вложение(я):
Doc11.docx (58kb) загружен 108 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Mishel  
#10 Оставлено : 13 сентября 2010 г. 21:18:56(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

когда пытаюсь установить соединение по PPTP с аутентификацией по сертификатам выдается ошибка 691, а когда ставлю по паролю chap v2 все нормально...потому и думаю что дело в сертификатах...
Offline gvi  
#11 Оставлено : 13 сентября 2010 г. 21:29:06(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

Вы в Москве?
Offline Mishel  
#12 Оставлено : 14 сентября 2010 г. 12:27:42(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

К сожалению сейчас нет..сейчас попробую все заново только с корпоративным CA, погенерю сертификаты на основе шаблонов по вашей документации...о результатах сообщу

На ящик я вам писал, но новую версию IPSec мне пока не выслали

Отредактировано пользователем 14 сентября 2010 г. 12:28:48(UTC)  | Причина: Не указана

Offline gvi  
#13 Оставлено : 14 сентября 2010 г. 14:01:12(UTC)
gvi

Статус: Активный участник

Группы: Участники
Зарегистрирован: 04.08.2009(UTC)
Сообщений: 215
Откуда: Msk

новую сборку выслали пробуйте по пунктам
Offline Mishel  
#14 Оставлено : 14 сентября 2010 г. 20:58:08(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

всё поднял, настроил CA как корпоративный, сделал шаблон для IPSEC...вот только в доке сказано что для КриптоПро надо устанавливать носитель - реестр, а датчик случайных величин - КриптоПро исходный материал, где можно взять доку как генерить этот исходный материал?

пробовал ставить биометрический датчик - при попытке генерации IPSEC сертификата выдается ошибка - Неудача при выпролнении запроса сертификата. Поставщик не смог выполнить действие, поскольку контекст был получен как "тихий".

По PPTP при атутентификации через CHAP2 все работает...осталось сгенерить сертификаты..жду ответа
Offline IvanZzz  
#15 Оставлено : 15 сентября 2010 г. 16:10:47(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Про генерацию гаммы можно почитать в комплекте документации на КриптоПро CSP 3.6 в инструкции "АРМ выработки внешней гаммы".

Что бы не возникало окна выбора считывателя нужно либо оставить в списке считывателей один, либо настроить на вкладке Winlogon считыватель по умолчанию(после генерации вернуть значение "Не установлен").

Отредактировано пользователем 15 сентября 2010 г. 16:11:38(UTC)  | Причина: Не указана

Offline Mishel  
#16 Оставлено : 15 сентября 2010 г. 16:53:52(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

1. Вопрос с сертификатом удалось обойти, я нашёл Соболь, с ним сертификат сгенерился нормально...но для шлюза, который является членом домена, где установлен CA, а как сгенерить IPSEC сертификат для удаленной машины, она ведь не является членом локального домена?
В документации эта процедура описана через оснастку, но она срабатывает только для машин в домене...

2. И ещё в доке по КриптоПро IPSec в разделе 4.2 есть уопминание о настройках политики IPSEC, но они не приведедны - там надо ещё что-нить указывать?

Отредактировано пользователем 15 сентября 2010 г. 16:55:27(UTC)  | Причина: Не указана

Offline Mishel  
#17 Оставлено : 15 сентября 2010 г. 22:32:04(UTC)
Mishel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.09.2010(UTC)
Сообщений: 36

Значит с этими проблемами я разобрался сам...для генерации сертификатов машинам, которые не входят в домен надо использовать другой шаблон...делать копию с шаблона автономный IPSEC и её аналогично редактить...

Теперь следующая ситуация - аутентификация по пользовательским сертификатам на основе стандартного шаблона (с криптопровайдером Microsoft) прошла успешно - канал L2TP установился, но в свойствах его пишется что используется DES...

Сгенерил сертификаты пользователей также с ГОСТовским шифрованием...для этого сделал копию шаблона Пользователь и сменил криптопровайдера...сертификаты генерятся все хорошо, НО...при попытке использовать такой сертификат на клиентской стороне система ругается что не найден подходящий сертификат, и на серверной стороне в настройках RRAS аналогичный сертификат также не возможно установить как сертификат аутентификации сервера...уверен что дело в локальных настройках использования IPSEC...там где-то необходимо указать возможность использования для аутентификации сертификатов с КриптоПро алгортмами. В групповой политике есть раздел где настраивается IP безопасность и там можно указывать различные алгоритмы шифрования, в том числе и алгоритмы КриптоПро, скажите надо ли редактировать данную политику?

Отредактировано пользователем 16 сентября 2010 г. 13:20:36(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#18 Оставлено : 16 сентября 2010 г. 19:26:48(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
1. Крайне рекомендуется обновить дистрибутив (http://cryptopro.ru/cryptopro/products/ipsec/install.htm).
2. Для отладки пользоваться утилитой "cp_ipsec_info.exe", поставляемой с продуктом, находящейся \Program Files\Crypto Pro\IPsec\ (для x64, \Program Files (x86)\Crypto Pro\IPsec\).
3. К сожалению, даже при успешной работе IPsec на алгоритмах ГОСТ, отладочные и другие утилиты ОС будут воспринимать установленные соединения как DES, если не обращать на это внимание, то вся остальная информация (количество сессий, зашифровано данных и другая статистика) является достоверной.

Итого: успешно установленное соединение заканчивается созданием 2-х SPI сессий, минимальную статистику по которым будет выдавать утилита "cp_ipsec_info.exe" раз в 10 секунд, если хотя бы одна из сессий еще существует.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#19 Оставлено : 16 сентября 2010 г. 19:31:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Строка генерации сертификата для конечной машины выглядит приблизительно так:
cryptcp.exe -creatcert -provtype 75 -silent -dn "E=name@server.ru, CN=name" -cont \\.\REGISTRY\name -certusage 1.3.6.1.5.5.8.2.2 -km -du -both -ca http://ca/certsrv
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#20 Оставлено : 16 сентября 2010 г. 19:34:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Также, при возникновении ошибок, ведущих к невозможности установки соединения между peer-ами, рекомендуется присылать лог программы "cp_ipsec_info.exe", думаю, 10-15 строк до возникновения первой ошибки будет достаточным.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.