Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline MaryF  
#1 Оставлено : 2 февраля 2012 г. 19:56:43(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

После смены компьютера и переустановки системы (перешли с win2000 на server2003) не получается подключиться к ЦР. (на старом компьютере и win2000 все работало с теми же компонентами и сертификатами)
https://(name)/ra/ra.wsdl не открывается
https://(name)/ra/ra.asp - тоже, причем сертификат прив. пользователя даже не запрашивает
сам ЦР доступен, корневой сертификат и СОС установлены и актуальны
КриптоПро версии 3.0
подозреваю, что дело в настройках explorera, но вроде все что можно уже разрешили в настройках безопасности, но результата нет
может подскажете в чем может быть дело?
Offline rozhkov  
#2 Оставлено : 2 февраля 2012 г. 20:19:11(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

1. Ошибки на ЦР.
2. С ЦР на самого себя открывается по https или нет, как вариант можно сделать iisreset.
3. На АРМ Администратора ЦР проверьте цепочку сертификатов, доступность СОС (они само собой должны быть актуальными).
4. на АРМ Администратора в IE, настройка сети, желательно что бы не было никаких галочек.
Offline MaryF  
#3 Оставлено : 2 февраля 2012 г. 20:50:52(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

ЦР мне недоступен
комп с старой системой (2000) сохранился и если его подключить, то ra.wsdl открывается, соединение устанавливается
цепочка в порядке, все действительны, СОС актуальны
насчет настройки сети в ИЕ - какие галочки имеются ввиду? их там мягко говоря несколько
Offline MaryF  
#4 Оставлено : 3 февраля 2012 г. 12:40:05(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

неужели больше ничего не поделать?
Offline rozhkov  
#5 Оставлено : 3 февраля 2012 г. 15:52:47(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

MaryF написал:
ЦР мне недоступен
комп с старой системой (2000) сохранился и если его подключить, то ra.wsdl открывается, соединение устанавливается
цепочка в порядке, все действительны, СОС актуальны
насчет настройки сети в ИЕ - какие галочки имеются ввиду? их там мягко говоря несколько


А на котором не работает открывается wsdl или нет?
Пользователь rozhkov прикрепил следующие файлы:
11111.PNG (36kb) загружен 323 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline MaryF  
#6 Оставлено : 3 февраля 2012 г. 16:40:07(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

настройка локальной сети выглядит именно так
на новом, где не работает - не открывается ничего кроме http://(имя)/mmc.gif

когда пытаюсь зайти на .../ra.asp не запрашивает даже сертификат, просто через долгое время отваливается по таймауту

Отредактировано пользователем 3 февраля 2012 г. 16:42:31(UTC)  | Причина: Не указана

Offline rozhkov  
#7 Оставлено : 6 февраля 2012 г. 12:21:10(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

А ra.wsdl по тайм ауту не открывается или сразу отваливается?
Offline MaryF  
#8 Оставлено : 6 февраля 2012 г. 13:19:55(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

по тайм-ауту и очень долго пытается, более 15 минут, не засекала конкретно
Offline rozhkov  
#9 Оставлено : 6 февраля 2012 г. 15:18:24(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

А имя ЦР резолтится в IP-адрес?
СОС локально актуальные установлены, по точке CDP от сертификата веб-сервера СОС доступны или нет?
Offline MaryF  
#10 Оставлено : 6 февраля 2012 г. 15:35:41(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

имя добавлено в hosts, пинг проходит корректно по имени
СОС актуальные, загружаем руками
Offline rozhkov  
#11 Оставлено : 6 февраля 2012 г. 17:43:11(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

"c:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server server_name -port 443 -v -v > c:\tls.txt
server_name это то что у Вас тут https://(name)/ra/ra.wsdl (name)
Выложите файл tls.txt
Offline MaryF  
#12 Оставлено : 6 февраля 2012 г. 18:08:33(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

до окончания работы команды не дожидаюсь, штатно завершения видимо ждать очень долго
сразу после запуска:

CSP (Type:71) v3.0.3293 KC2 Release OS:Windows CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.0.3293 KC2 Release OS:Windows CPU:IA32 FastCode:READY,ENABLED.
csptest -tlsc -server ra -port 443 -v -v
90 bytes of handshake data sent
0000 80 58 01 03 01 00 3f 00:00 00 10 00 00 81 00 00 .X....?.........
0010 80 00 00 32 00 00 04 00:00 05 00 00 0a 01 00 80 ...2............
0020 07 00 c0 03 00 80 00 00:09 06 00 40 00 00 64 00 ...........@..d.
0030 00 62 00 00 03 00 00 06:02 00 80 04 00 80 00 00 .b..............
0040 13 00 00 12 00 00 63 00:00 ff b1 65 53 f1 f7 9d ......c....eS...
0050 84 23 dd 02 01 c2 b2 fb:3a 9c .#......:.


и мигает курсор, ничего болше не происходит и не пишет, минут 20 ждала, полагаю дольше ждать смысла нет
останавливала по Ctrl-C

Отредактировано пользователем 6 февраля 2012 г. 18:12:07(UTC)  | Причина: Не указана

Offline rozhkov  
#13 Оставлено : 6 февраля 2012 г. 18:57:32(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Что за ошибки на сервере? От него ответа нету.
Offline MaryF  
#14 Оставлено : 6 февраля 2012 г. 19:47:01(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

доступа к серверу, к сожалению, у меня нет :(
сегодня уже не смогу, а завтра попробую выполнить ту же команду на старом АРМе, который подключается, может там будет какая-то подсказка
Offline rozhkov  
#15 Оставлено : 6 февраля 2012 г. 20:39:51(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Если ломается на этапе ответа от сервера, то либо в журнале ошибки смотрите какие, либо до него просто не доходят пакеты.
Просто по http открывается главная страница IIS?
Offline MaryF  
#16 Оставлено : 6 февраля 2012 г. 20:52:35(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

на старом компьютере - открывался (там IE 5.0 win2000)
а новом с новой системой - нет..
на новой системе открывается только http://(name)/mmc.gif

ошибки в журнале смотреть на ЦР?
Offline MaryF  
#17 Оставлено : 7 февраля 2012 г. 8:51:15(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

это результат той же команды, но со старого компьютера, где связь проходит

имеет ли значение, что handshake на новом, где ответа нет от сервера, - 90 байт
а на старом, где соединение есть - 78 байт?




CSP (Type:71) v3.0.3293 KC2 Release OS:Windows CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.0.3293 KC2 Release OS:Windows CPU:IA32 FastCode:READY,ENABLED.
csptest -tlsc -server ra -port 443 -v -v
78 bytes of handshake data sent
0000 80 4c 01 03 01 00 33 00:00 00 10 00 00 04 00 00 .L....3.........
0010 05 00 00 0a 01 00 80 07:00 c0 03 00 80 00 00 09 ................
0020 06 00 40 00 00 64 00 00:62 00 00 03 00 00 06 02 ..@..d..b.......
0030 00 80 04 00 80 00 00 13:00 00 12 00 00 63 c8 0b .............c..
0040 6a e8 9a 7f b9 76 e6 97:bc 98 53 e1 f6 b8 j....v....S...

2441 bytes of handshake data received
0000 16 03 01 09 84 02 00 00:46 03 01 4f 30 8e e7 d3 ........F..O0...
0010 72 aa 6e 95 af 96 95 a2:16 a4 6f 38 be aa 57 0a r.n.......o8..W.
0020 cb 7d 77 4a 45 21 fe 0d:f0 a1 b4 20 0c af d8 a8 .}wJE!..... ....
0030 57 c0 d7 e9 f6 b5 ac 24:20 7f b2 7a 64 bf d2 9c W......$ ..zd...
0040 57 d6 ec af cb 96 83 af:68 29 25 a3 00 31 00 0b W.......h)%..1..
0050 00 09 32 00 09 2f 00 03:b7 30 82 03 b3 30 82 03 ..2../...0...0..
0060 60 a0 03 02 01 02 02 0a:29 54 aa 25 00 00 00 00 `.......)T.%....
0070 02 c9 30 0a 06 06 2a 85:03 02 02 03 05 00 30 82 ..0...*.......0.
0080 01 17 31 26 30 24 06 09:2a 86 48 86 f7 0d 01 09 ..1&0$..*.H.....
0090 01 16 17 41 68 6f 72 73:6f 76 40 6d 61 69 6c 2e ...Ahorsov@mail.
-------------(часть вырезала для компактности)-------
0910 74 6f 6d 73 2e 72 75 2f:43 52 4c 2f 25 43 41 5f toms.ru/CRL/%CA_
0920 4e 41 4d 45 25 25 43 45:52 54 5f 53 55 46 46 49 NAME%%CERT_SUFFI
0930 58 25 2e 63 72 6c 30 0a:06 06 2a 85 03 02 02 03 X%.crl0...*.....
0940 05 00 03 41 00 b7 68 ac:81 22 1d 14 1e c6 e5 bd ...A..h.."......
0950 2a 36 99 4f 66 f6 eb ed:0b 6c 40 e7 66 4c e3 7b *6.Of....l@.fL.{
0960 54 89 d0 6c 7d 87 da 1b:27 7d 34 74 42 26 97 7f T..l}...'}4tB&..
0970 ce a1 2c 0b 8d da bd 4a:1a 95 50 1a 90 6e b8 21 ..,....J..P..n.!
0980 8c ba a0 a7 82 0e 00 00:00 .........

210 bytes of handshake data sent
0000 16 03 01 00 ae 10 00 00:aa 30 81 a7 30 81 a4 30 .........0..0..0
0010 28 04 20 b8 75 03 7d 7a:d2 ab ef 45 6b a9 33 fc (. .u.}z...Ek.3.
0020 91 c4 e5 e0 06 6e 31 57:45 f0 29 f4 b2 40 61 78 .....n1WE.)..@ax
0030 a1 cf dd 04 04 c4 21 0a:7c a0 78 06 07 2a 85 03 ......!.|.x..*..
0040 02 02 1f 01 a0 63 30 1c:06 06 2a 85 03 02 02 13 .....c0...*.....
0050 30 12 06 07 2a 85 03 02:02 24 00 06 07 2a 85 03 0...*....$...*..
0060 02 02 1e 01 03 43 00 04:40 53 81 3a 6e c5 17 d9 .....C..@S.:n...
0070 a9 3a 52 48 f7 e7 87 49:33 3d 50 c4 2e 5d 29 b8 .:RH...I3=P..]).
0080 f9 69 08 dc 6c d7 26 e8:17 83 e8 e2 3c 8c f9 3a .i..l.&.....<..:
0090 07 4a a7 5f fe 6f 11 70:b0 ff 77 20 f7 5d 30 8f .J._.o.p..w .]0.
00a0 ab 1b 31 cc 26 c8 0e df:af 04 08 b0 09 9d a2 22 ..1.&.........."
00b0 b2 4a 64 14 03 01 00 01:01 16 03 01 00 14 08 69 .Jd............i
00c0 ec 1c 8e 18 12 c5 bf 05:52 d4 e6 6f 7e 77 2c af ........R..o~w,.
00d0 33 e7 3.

31 bytes of handshake data received
0000 14 03 01 00 01 01 16 03:01 00 14 38 36 d2 1d 8b ...........86...
0010 b9 cf 92 da 2a 5e 1b 2c:f4 2d 39 20 7f be 21 ....*^.,.-9 ..!

HHandshake was successful

Server subject: E=*****, C=RU, S=***, L=***, O=***, OU=***, CN=ra
Server issuer: E=***, C=RU, S=***, L=***, O=***, OU=***, CN=***

Error 0x80092013 ((unknown)) returned by CertVerifyCertificateChainPolicy!
**** Error authenticating server credentials!

Protocol: TLS1
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa1f
Key exchange strength: 1024

Header: 5, Trailer: 4, MaxMessage: 16379

HTTP request: GET /default.htm HTTP/1.0

User-Agent: Webclient

Accept:*/*




Sending plaintext: 64 bytes
0000 47 45 54 20 2f 64 65 66:61 75 6c 74 2e 68 74 6d GET /default.htm
0010 20 48 54 54 50 2f 31 2e:30 0d 0a 55 73 65 72 2d HTTP/1.0..User-
0020 41 67 65 6e 74 3a 20 57:65 62 63 6c 69 65 6e 74 Agent: Webclient
0030 0d 0a 41 63 63 65 70 74:3a 2a 2f 2a 0d 0a 0d 0a ..Accept:*/*....

73 bytes of application data sent
0000 17 03 01 00 44 d5 fc 64:ce 19 ad 9a da ea 69 9f ....D..d......i.
0010 77 d0 f4 7b de 70 ab 41:32 41 6a f0 a4 c9 21 63 w..{.p.A2Aj...!c
0020 66 1b 5e 02 04 44 0a e3:e6 a7 e7 56 39 2a c0 62 f.^..D.....V9*.b
0030 d1 3f 00 84 4b 3c 3e d9:62 3f d6 a4 28 ed da 68 .?..K<>.b?..(..h
0040 a4 28 68 ee 9c e1 cd ea:31 .(h.....1

4178 bytes of (encrypted) application data received
0000 17 03 01 0f e0 a4 b1 db:ad 36 0d a6 61 85 4b 88 .........6..a.K.
0010 50 44 67 c2 66 d7 62 cf:9d ed 86 4c 4d 49 14 1b PDg.f.b....LMI..
0020 82 09 2d 9a eb 04 dc eb:9b e0 f6 28 55 e5 1e a1 ..-........(U...
-------------(часть вырезала для компактности)-------
1020 76 60 55 b8 01 90 cf 7f:13 b5 f9 61 a3 74 00 b0 v`U........a.t..
1030 9a 83 d0 b0 af 72 31 b0:2c 24 4c f1 5b 2d 6b 32 .....r1.,$L.[-k2
1040 1d 89 bd 05 e7 a8 dc 3f:00 b9 50 9b 14 22 07 58 .......?..P..".X
1050 4e de N.

Buffers[1].BufferType = SECBUFFER_DATA
DDecrypted data: 4060 bytes
0000 48 54 54 50 2f 31 2e 31:20 34 30 34 20 ce e1 fa HTTP/1.1 404 ...
0010 e5 ea f2 20 ed e5 20 ed:e0 e9 e4 e5 ed 0d 0a 53 ... .. ........S
0020 65 72 76 65 72 3a 20 4d:69 63 72 6f 73 6f 66 74 erver: Microsoft
0030 2d 49 49 53 2f 35 2e 30:0d 0a 44 61 74 65 3a 20 -IIS/5.0..Date:
0040 54 75 65 2c 20 30 37 20:46 65 62 20 32 30 31 32 Tue, 07 Feb 2012
0050 20 30 32 3a 33 39 3a 34:31 20 47 4d 54 0d 0a 43 02:39:41 GMT..C
-------------(часть вырезала для компактности)-------
0f90 61 74 3d 77 65 62 26 6f:73 3d 26 6f 76 65 72 3d at=web&os=&over=
0fa0 26 68 72 64 3d 26 4f 70:74 31 3d 26 4f 70 74 32 &hrd=&Opt1=&Opt2
0fb0 3d 26 4f 70 74 33 3d 22:20 74 61 72 67 65 74 3d =&Opt3=" target=
0fc0 22 5f 62 6c 61 6e 6b 22:3e c2 e5 e1 2d f3 e7 e5 "_blank">...-...
0fd0 eb 20 ef ee e4 e4 e5 f0:e6 ea e8 20 . .........

Buffers[1].BufferType = SECBUFFER_DATA
Decrypted data: 100 bytes
0000 ea ee f0 ef ee f0 e0 f6:e8 e8 20 cc e0 e9 ea f0 .......... .....
0010 ee f1 ee f4 f2 3c 2f 61:3e 0d 0a 3c 2f 6c 69 3e .....</a>..</li>
0020 0d 0a 3c 2f 75 6c 3e 0d:0a 0d 0a 20 20 20 20 3c ..</ul>.... <
0030 2f 66 6f 6e 74 3e 3c 2f:74 64 3e 0d 0a 20 20 3c /font></td>.. <
0040 2f 74 72 3e 0d 0a 0d 0a:3c 2f 74 61 62 6c 65 3e /tr>....</table>
0050 0d 0a 3c 2f 62 6f 64 79:3e 0d 0a 3c 2f 68 74 6d ..</body>..</htm
0060 6c 3e 0d 0a l>..

Sending Close Notify
11 bytes of handshake data sent
0000 15 03 01 00 06 7c 6f de:b2 7b 9f .....|o..{.

1 connections, 4160 bytes in 6.625 seconds;
Total: SYS: 2.688 sec USR: 0.172 sec UTC: 7.578 sec
[ErrorCode: 0x00000000]
Offline rozhkov  
#18 Оставлено : 7 февраля 2012 г. 11:52:53(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Да, ошибки на ЦР в журнале.
А у Вас случаем различными фаерволами не закрыт доступ к ЦР, возможно он открыт только с определенных компьютеров?
Если установите в "Доверенные корневые центры сертификации" http://cpca.cryptopro.ru/cacer.p7b и попробовать зайти на https://cpca.cryptopro.ru/ получится или нет?
Offline MaryF  
#19 Оставлено : 7 февраля 2012 г. 12:24:04(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

УРА! нашли как побороть :)
трафик идет через Континет, канал дополнительно шифруется и видимо пакет в 90 байт уже не проходит!
уменьшили MTU и все заработало! :)

вот и счастье наступило :)
Offline MaryF  
#20 Оставлено : 7 февраля 2012 г. 12:25:41(UTC)
MaryF

Статус: Участник

Группы: Участники
Зарегистрирован: 02.02.2012(UTC)
Сообщений: 12

rozhkov, большое спасибо за поддержку!

разница в величине пакетов помогла найти правильную мысль :)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.