Jump to content

Recommended Posts

Имеется связка Windows 7x32 sp1, IIS 7.5, КриптоПро CSP 3.6.7777, VipNet Client 3.2 (11.22010) (криптопровайдер VipNet отключен!!!)
Был установлен RSA сертификат, в IIS настроена работа сайта по HTTPS. Все работает.
В связи с необходимостью работы с 2012 ГОСТом удалили КриптоПРО 3.6 и поставили 4.0
После переустановки перестал работать сайт по HTTPS.
Странно что при работе построении TLS по RSA, а не по ГОСТ, по всей видимости задействуются сторонние криптопровайдеры, а не средства ОС.

Возникает стойкое чувство, что здесь не обошлось без участия VipNet.  

Криптопровайдер VipNet отключен.jpg

Share this post


Link to post
Share on other sites

Не обошлось. Старые версии vipnet csp, котоые входят в старые версии vipnet client при определенном стечении обстоятельств ломают tls. Поставьте vipnet csp 4.2.8 или 4.2.10 и проверьте. Только когда будете устанавливать отключите установку поддержки microsoft cryptoapi и вложенный компонент поддержки tls/ssl. Должно заработать.

Share this post


Link to post
Share on other sites

Беда в том, что пока есть острая необходимость не трогать установленный VipNet Client 3.2 (не переустанавливать).

Крипо Про же нужно обновить чтобы иметь возможность работать с ГОСТ 2012.

Вся соль в том, что до начала каких-либо телодвижений  вся связка работает нормально, сайт работает по HTTPS, TLS строится.

Share this post


Link to post
Share on other sites

К сожалению, Вы используете версию СКЗИ, которую уже нельзя использовать. Корректная работа с КриптоПро 4.0 есть только в csp 4.2.10

Решение  работать или не работать принимать Вам.

Share this post


Link to post
Share on other sites

Правильно ли я понимаю что можно в установленном VipNet Client 3.2  отключить компонент криптопровайдера, затем отдельно установить VipNet CSP 4.2.10 после чего можно можно ставить КриптоПРО 4,0 и надеятся на корректную работу с TLS ? Разве могут быть одновременно два работающих криптопровайдера?

Мне казалось, что обычно рекомендуют, при желании использовать сторонний криптопровайдер,  при установке  VipNet Client  отказываться от установки  VipNet CSP.

Share this post


Link to post
Share on other sites
6 минут назад, skytorin сказал:

Правильно ли я понимаю что можно в установленном VipNet Client 3.2  отключить компонент криптопровайдера, затем отдельно установить VipNet CSP 4.2.10 после чего можно можно ставить КриптоПРО 4,0 и надеятся на корректную работу с TLS ? Разве могут быть одновременно два работающих криптопровайдера?

Мне казалось, что обычно рекомендуют, при желании использовать сторонний криптопровайдер,  при установке  VipNet Client  отказываться от установки  VipNet CSP.

Без CSP не работает Client. Отключение cryptoapi как раз позволяет работать стороннему криптопровайдеру. Что ломает версия 3.2 при одновременной установке с криптопро4.0 никто разбираться не будет.

Share this post


Link to post
Share on other sites
1 час назад, skytorin сказал:

Правильно ли я понимаю что можно в установленном VipNet Client 3.2  отключить компонент криптопровайдера, затем отдельно установить VipNet CSP 4.2.10 после чего можно можно ставить КриптоПРО 4,0 и надеятся на корректную работу с TLS ? Разве могут быть одновременно два работающих криптопровайдера?

Мне казалось, что обычно рекомендуют, при желании использовать сторонний криптопровайдер,  при установке  VipNet Client  отказываться от установки  VipNet CSP.

Правильно. Можно надеятся. Если вы при установке, как я выше написал, отключите поддержку ms cryptoapi, то фактически vipnet csp не будет "работающим", он не будет лезть в работу системы, будет только взаимдействовать с випнет клиентом.

 

Что касается второй части написанного, то подобные "рекомендаторы" ничего не понимают в принципах работы vipnet client. Без vipnet csp он работать не будет в принципе.

 

Во избежание дальнейших вопросов замечу, что "отключить" криптопровайдер средствами vipnet client и не устанавливать совсем - это разные вещи.

Share this post


Link to post
Share on other sites

Просто меня в данном варианте беспокоит -  нормально ли будут работать VipNet Client 3.2 и VipNet CSP 4.2.10? Старый компонент, который поставился вместе с VipNet Client 3.2 просто типа обновится / заменится на 4.2.10 ?   

Share this post


Link to post
Share on other sites
26 минут назад, skytorin сказал:

Просто меня в данном варианте беспокоит -  нормально ли будут работать VipNet Client 3.2 и VipNet CSP 4.2.10? Старый компонент, который поставился вместе с VipNet Client 3.2 просто типа обновится / заменится на 4.2.10 ?   

Думаю, что Ваш сценарий никто не проверял, и не будет. Лучше обновитесь и не беспокойтесь.

Share this post


Link to post
Share on other sites

У нас VipNet Client 3.2 корректно работает с ViPNet CSP 4.*.

Отключаете CryptoAPI, накатываете поверх ViPNet CSP 4.*

Делаете, что Вам нужно с Крипто-Про.

Пробуете, должно заработать.

Share this post


Link to post
Share on other sites
13 минут назад, xrockx сказал:

У нас VipNet Client 3.2 корректно работает с ViPNet CSP 4.*.

Отключаете CryptoAPI, накатываете поверх ViPNet CSP 4.*

Делаете, что Вам нужно с Крипто-Про.

Пробуете, должно заработать.

Еще раз хочу уточнить порядок действий - отключаете в VipNet Client 3.2 работу с CryptoAPI, устанавливаете поверх ViPNet CSP 4 и также при установке отключаете работу с CryptoAPI. После чего можно ставить КриптоПро 4.0 ?

Share this post


Link to post
Share on other sites

Вообщем ситуация не изменилась - связка  VipNet Client 3.2 + ViPNet CSP 4.2.10 + КриптоПро CSP 4.0.9956 в целом работает, но сайт по HTTPS по прежнему не открывается, TLS не строится.

 ViPNet CSP 4.2.10 устанавливал с отключенной компонентой CryptoAPI

Знает ли кто-то как оживить работу  TLS и работу через HTTPS ?

Share this post


Link to post
Share on other sites
7 часов назад, skytorin сказал:

Вообщем ситуация не изменилась - связка  VipNet Client 3.2 + ViPNet CSP 4.2.10 + КриптоПро CSP 4.0.9956 в целом работает, но сайт по HTTPS по прежнему не открывается, TLS не строится.

 ViPNet CSP 4.2.10 устанавливал с отключенной компонентой CryptoAPI

Знает ли кто-то как оживить работу  TLS и работу через HTTPS ?

Выполните восстановление крипто-про.

Share this post


Link to post
Share on other sites
14 часов назад, R.Sheyn сказал:

Выполните восстановление крипто-про.

КриптоПРО CSP 4.9956 установлена и работает, не совсем понимаю что имеете ввиду под восстановлением крипто-про?

Share this post


Link to post
Share on other sites

То что у вас Клиент 3 вам уже сказали, но сделаем вид, у вас своя сеть, вы её для себя используете и вас вполне всё устраивает, как шифрует и как не кто ещё не расшифровал :-) 

Интересно почему не установили для начала CSPSetup_4_0_9842_R2 как вариант (вроде как проверенную стабильную серт.версию) или ту которая сейчас CSPSetup_4_0_9944_R3 - которые для W7 должны подходить нормально. И также ViPNet_CSP_RUS_4.2.8.51670 - вроде серт. версия.

Если вы обновляли методом удаления, производили ли зачистку и обновление плагинов, которые также желательно, а зачастую надо обновлять, если обновляете CSP.

Обратите внимание на антивирус, а то бывает всё переробовать можно, а в итоге какой не быть НОД или Каспер тихо хихикают там.

Share this post


Link to post
Share on other sites
В 05.10.2018 в 21:34, Vintik сказал:

То что у вас Клиент 3 вам уже сказали, но сделаем вид, у вас своя сеть, вы её для себя используете и вас вполне всё устраивает, как шифрует и как не кто ещё не расшифровал :-) 

Интересно почему не установили для начала CSPSetup_4_0_9842_R2 как вариант (вроде как проверенную стабильную серт.версию) или ту которая сейчас CSPSetup_4_0_9944_R3 - которые для W7 должны подходить нормально. И также ViPNet_CSP_RUS_4.2.8.51670 - вроде серт. версия.

Если вы обновляли методом удаления, производили ли зачистку и обновление плагинов, которые также желательно, а зачастую надо обновлять, если обновляете CSP.

Обратите внимание на антивирус, а то бывает всё переробовать можно, а в итоге какой не быть НОД или Каспер тихо хихикают там.

Да, мне важно добиться работы на VipNet Client 3.2

CSPSetup_4_0_9944_R3 также пробовал, ViPNet_CSP ставил версию  4.2.10 рекомендованную  здесь мне ранее. 

Очистку после удаления КриптоПро CSP 3.6 производил спец. утилитой. Антивирус на время тестов удалил совсем.

Порядок установки пробовал разный, но в основном придерживаюсь следующего:

1. Удаляю КриптоПро Про CSP 3.6,  проверяю что в VipNet Client на вкладке Сервис - Настройка параметров безопасности - Криптопровайдер отключена  поддержка CryptoAPI

2. Произвожу чистку спец. утилитой от КриптоПро и перегружаю

3. Устанавливаю VipNet CSP 4.2.10 (отключаю при установке работу c CryptoAPI, GUI, HSM, оставляю только базвовые компоненты )

4. Ставлю КриптоПро CSP (пробовал и 4.9944 и 4.9956 ). Результат TLS на RSA не работает, сайт по HTTPS не работает

Затем пробовал удалять VipNet Client и  VipNet CSP, оставив только  КриптоПро - TLS начинает работать, HTTPS  работает.

 

 

Share this post


Link to post
Share on other sites

skytorin - случайно на форуме КриптоПро не поднимали вопрос? Там очень грамотные сотрудники и видел как недавно решили очередную проблему. Как вариант давайте ещё там спросим ?

Share this post


Link to post
Share on other sites
12 часов назад, Vintik сказал:

skytorin - случайно на форуме КриптоПро не поднимали вопрос? Там очень грамотные сотрудники и видел как недавно решили очередную проблему. Как вариант давайте ещё там спросим ?

Писал на support.cryptopro.ru, в итоге ответили, что корректная работа КриптоПро совместно с VipNet не гарантируется, рекомендовали попробовать для проверки оставить только КриптоПро CSP и проверить. Проверил, разумеется так все заработало. Четвертые версии VipNet и КриптоПро тоже у меня заработали. Непонятно как у людей работает VipNet 3.2 и КриптоПро 4.х в плане TLS

Share this post


Link to post
Share on other sites

Понятно, а если у вас Випнет только для ВПН, то моет вовсе не трогать его ЦСП?

Я недавно столкнулся что с R2 у меня работала (ася) как привер, а выше нет, только если ПОЛНОСТЬЮ удалял в ЦСП поддержку TLS. Но Випнет при этом может или заработать как у меня работает без них или нет.

Share this post


Link to post
Share on other sites

Моя цель изначально не трогая VipNet 3.2, обновить КриптоПро CSP c 3.6 до 4.x (для поддержки ГОСТ 2012). После обновления КриптоПро сразу же ломается  работа TLS ( не работает сайт по HTTPS), но причина не в самом обновлении криптоПро, а в связке VipNet+КриптоПро.  Поэтому по совету многих я и начал пробовать помимо обновления КриптоПро и пробовать обновить версию VipNet CSP, при этом отключая функцию работы с  CryptoAPI (как я понимаю отключение этой функции как раз и позволяет одновременно работать двум CSP на одной машине).

Share this post


Link to post
Share on other sites

На самом деле гадать можно долго, но истины мы не узнаем.

Истину могут знать только разработчики, но:

1. Их здесь нет.

2. Решать проблемы старых версий снятых с поддержки они не будут. Тем более, если на 4рке все завелось.

Какая конкретно проблема мешает обновиться? может это и не проблема вовсе, а чьи-то хотелки/нехотелки?

Share this post


Link to post
Share on other sites

Проблема на самом деле больше административная. Управлением сети VipNet занимается сторонняя организация, для текщей версии Vipet нам давно был выдан dst файл так сказать "щадящего режима", т.е открыты нужные нам порты и возможность входа по пароля. В новых же dst файлах для VipNet 4.x заложена авторизация по токену и закрыты нужные нам порты. Если про порты мы сможем договорится, то вход по токену нам не снимут. Имеется проблема входа по токену, т.к машина виртуальная и находится под  управлением гипервизора Hyper-v  (нет возможности обратиться к USB портам хоста без стороннего ПО).

Share this post


Link to post
Share on other sites

Я недавно тестировал ПО проброса USB, но она платное, если на линуксе альтернатива.... но всё это огород и конечно критично. Может объяснить это тем кто в сети вам выдавал или тогда найти "старенькую" машинку спрятать её в серверной и пусть работает.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.