Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline wanderer  
#1 Оставлено : 13 февраля 2008 г. 18:53:24(UTC)
wanderer

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.02.2008(UTC)
Сообщений: 6
Откуда: Moscow

В старом форуме было описано как установить сертификат сервера (гост) на ISA 2000 и 2004. Для обеспечения SSL от клиента до ISA и доступа к ферме web серверов.

Столкнулся с проблемой при ISA 2006 и cryptopro CSP 3.0 с SP3. Делаю все как описано :
(Для установления защищенного соединения между веб-клиентом и сервером ISA 2000 (с 2004 по аналогии) необходимо:
1. Установить КриптоПро CSP и КриптоПро TLS, активировав лицензию.
2. выпустить сертификат открытого ключа, который будет использоваться для серверной аутентификации по протоколу TLS.
Требования к сертификату:
- имя сертификата (Common name) должно совпадать с именем публикуемого веб-сервера прикладной системы. Например: pif.nikoil.ru
- область использования ключа должна содержать «Аутентификация Сервера»
Данный сертификат должен быть установлен на сервер ISA со связкой с ключом подписи (секретным ключом). При этом, ключ подписи может быть помещен в машинный реестр.
3. После установки сертификата серверной аутентификации ISA, таким же образом установите сертификат центра сертификации в раздел «Доверенные корневые центры сертификации» хранилища локального компьютера.
4.
После установки сертификатов открытых ключей, необходимо установить и настроить Слушателя для внешнего IP адреса сервера (IP адрес сетевого интерфейса, доступного из внешней сети).
5. Для настройки защищенного соединения по протоколу TLS с двухсторонней аутентификации сервера ISA необходимо:
· В окне добавления Слушателя или в окне редактировании свойств Слушателя, указать на использование сертификата сервера при аутентификации с веб-клиентом
· Выбрать сертификат сервера, который будет использоваться для аутентификации
6. Для публикации веб-сервера во внешнюю сеть необходимо:
· Получить и установить на публикуемый веб-сервер сертификат открытого ключа, который будет использоваться для серверной аутентификации.
o Требования к сертификату:
§ Имя сертификата (Common name) должно совпадать с доменным именем веб-сервера, указываемого для редиректа поступающих запросов (закладка Action окна свойств правила веб публикации). Например: epif.big.nikoil.ru
§ область использования ключа должна содержать «Аутентификация Сервера»
· Установить сертификат веб-сервера на сервере ISA, в хранилище локального компьютера (Local Computer certificate stor), раздел «Доверенные корневые центры сертификации»
· Настроить веб-сервер для поддержки SSL соединения
· Создать и настроить правила публикации на сервере ISA.)

Кроме
1. активировав лицензию. (пока не приехала)
2. выпустить сертификат открытого ключа, который будет использоваться для серверной аутентификации по протоколу TLS. (выпуск на MS CA с переносом и инсталяцией контейнеров на eToken Pro)

ISA не показывает установленный сертификат В окне добавления Слушателя. Хотя видит его. Но считает нелеквидным.
То же самое проделанное без cryptopro CSP - работает. Т.е. сертификат сочтен ликвидным.
При детальном рассмотрении сертификатов - кроме алгоритма и всего что с ним связано - отличий нет.
Список причин нелеквидности MS TechNet изучен вдоль и поперек.

Вопрос - кто нибудь с этим сталкивался? Знает как это лечиться?




Отредактировано пользователем 13 февраля 2008 г. 18:55:27(UTC)  | Причина: Не указана

Offline Евгений А. Быков  
#2 Оставлено : 14 февраля 2008 г. 17:05:38(UTC)
Евгений А. Быков

Статус: Участник

Группы: Участники
Зарегистрирован: 14.02.2008(UTC)
Сообщений: 18
Откуда: Екатеринбург

По поводу связи ISA и публикуемого веб-сервера сказать ничего не могу, у меня там нешифрованное соединение и на веб-сервер я сертификат не ставлю. По поводу ISA. Ей нужен доступ к ветке реестра HKLM\SOFTWARE\Crypto Pro\Settings\Keys - пользователю Network Service на эту ветку нужно дать полные права. Иначе ISA не сможет использовать хранящийся в реестре закрытый ключ.
Offline wanderer  
#3 Оставлено : 14 февраля 2008 г. 19:53:35(UTC)
wanderer

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.02.2008(UTC)
Сообщений: 6
Откуда: Moscow

Евгений - вы не поняли сути вопроса.
Берем MS СА, генерим сертификат используя IIS (запрос оттуда).
Переносим пару на ISA.
Устанавливаем.
Работает

Ставим CSP 3.0, ставим MS CA с ГОСТ корневым сертификатом.
Генерим ГОСТ пару (через IIS естественно запрос уже не сделать ибо IIS гост не понимает) руками через web интерфейс (с OID для сервер аутентификации).
Переносим на ISA.
Инсталируем
ISA не считает сертификат ликвидным!!! (пишет НЕТ ЛИКВИДНЫХ УСТАНОВЛЕННЫХ СЕРТИФИКАТОВ)

Теперь вопрос - где грабли?
Сравниваю сертификаты - кроме ГОСТ алгоритма - отличий нет.
Offline Tatianka  
#4 Оставлено : 14 февраля 2008 г. 20:15:04(UTC)
Tatianka

Статус: Администратор

Группы: Участники
Зарегистрирован: 13.12.2007(UTC)
Сообщений: 36
Откуда: far away

Проверьте, что ГОСТовый сертификат установлен в хранилище именно локального компьютера, а не пользователя.
После установки - откройте сам сертификат и проверьте, что он отображается, как действительный (нет ни ошибок в пути сертификации, ни проблем с подписью сертификата), и что в системе присутствует ссылка на соответствующий сертификату закрытый ключ.
Offline wanderer  
#5 Оставлено : 14 февраля 2008 г. 20:23:02(UTC)
wanderer

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.02.2008(UTC)
Сообщений: 6
Откуда: Moscow

Все проверял 5-ть раз - все верно.
Генерировал различные запросы (OID руками писал, имена менял, перечитал весь течнет в поисках списка причин неликвидности сертификата) не могу понять в чем дело?

Ответьте просто - у кого-нибудь работает на ISA 2006 CSP 3.0?

Да... еще. Если я ставлю ликвидный сертификат (без гост) то ISA показывает его, а также все неликвидные (все гостовые что я устанавливал она там показывает). Нонсенс.

Отредактировано пользователем 14 февраля 2008 г. 20:26:26(UTC)  | Причина: Не указана

Offline Tatianka  
#6 Оставлено : 14 февраля 2008 г. 21:05:48(UTC)
Tatianka

Статус: Администратор

Группы: Участники
Зарегистрирован: 13.12.2007(UTC)
Сообщений: 36
Откуда: far away

У меня работал :)
Offline wanderer  
#7 Оставлено : 15 февраля 2008 г. 14:05:22(UTC)
wanderer

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.02.2008(UTC)
Сообщений: 6
Откуда: Moscow

Возможно мне тогда подскажите какая процедура получения пары для ISA (IIS). Возможно я не заметил какую либо тонкость
Offline Tatianka  
#8 Оставлено : 15 февраля 2008 г. 16:45:35(UTC)
Tatianka

Статус: Администратор

Группы: Участники
Зарегистрирован: 13.12.2007(UTC)
Сообщений: 36
Откуда: far away

Если у Вас с машины ISA сервера есть доступ к машине со службой сертификации, то проще всего запросить сертификат через веб-интерфейс службы сертификации. Назначение сертификата - проверка подлинности сервера. Имя в сертификате должно совпадать с именем сервера, кроме этого необходимо поставить флажок "Использовать локальное хранилище компьютера для сертификата".
После того, как сертификат будет выпущен и установлен (проверьте также, что установлены все корневые сертификаты Вашей службы сертификации, тоже в хранилище локального компьютера) - можно настраивать его для использования на ISA сервере.

Если сертификат невозможно запросить локально - можно принести ключи на съемном носителе с другого компьютера, тогда сертификат надо устанавливать через панель КриптоПро CSP, вкладка Сервис, кнопка "Установить личный сертификат". При установке нужно указать, что контейнер принадлежит локальному компьютеру. Как и в предыдущем случае, убедитесь, что все корневые сертификаты установлены туда, где они должны располагаться.
Offline wanderer  
#9 Оставлено : 17 февраля 2008 г. 23:14:19(UTC)
wanderer

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.02.2008(UTC)
Сообщений: 6
Откуда: Moscow

В общем то так все и делал. Путь верный. Проблему нашел - она была в самой ISA. Что то там случилось с кластером. На другом кластере ISA настроил за 2 минуты. Правда при подключении пользователя в Event ошибки падают про невозможность найти ключ корневого сертификата или недостаточность прав и еще какие то про TLS и КриптоПро - но это уже мелочи. Тоже непонятно - но тут по крайней мере можно ковыряться.
Offline wanderer  
#10 Оставлено : 26 февраля 2008 г. 16:27:49(UTC)
wanderer

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.02.2008(UTC)
Сообщений: 6
Откуда: Moscow

Нда уж. Все настроил, все заработало. При одном условии. Закрытый ключ в контейнере в реестре без пароля... версия что КС1 что КС2 - не играет роли... Токены смарт-карты не работают. По запросу ISA - не может криптопровайдер отдать доступ к контейнеру (Пароль, PIN-код).

А еще имеет место веселая бага на клиенте. После установки SP3 для CSP 3.0 - после аутентификации и работы с веб-ресурсом - ошибка сервиса Windows lsas... принудительная перезагрузка клиентского ПК через 30 сек. Причем от версии ОС не зависит... ХР и 2000 и 2003 - одно и то же. :))
Offline Максим Коллегин  
#11 Оставлено : 27 февраля 2008 г. 2:36:30(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,092
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 19 раз
Поблагодарили: 613 раз в 546 постах
Подробнее про ошибку можно? Что делалось, какая версия CSP на клиенте и сервере - KC1 или КС2?
Чтобы работали смарт-карты - достаточно оставить один считыватель. Без пин-кода естественно (или с сохраненным).
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.