VipNet 3.2 + КриптоПро CSP ломается TLS RSA

[skytorin]

Имеется связка Windows 7x32 sp1, IIS 7.5, КриптоПро CSP 3.6.7777, VipNet Client 3.2 (11.22010) (криптопровайдер VipNet отключен!!!)
Был установлен RSA сертификат, в IIS настроена работа сайта по HTTPS. Все работает.
В связи с необходимостью работы с 2012 ГОСТом удалили КриптоПРО 3.6 и поставили 4.0
После переустановки перестал работать сайт по HTTPS.
Странно что при работе построении TLS по RSA, а не по ГОСТ, по всей видимости задействуются сторонние криптопровайдеры, а не средства ОС.

Возникает стойкое чувство, что здесь не обошлось без участия VipNet.  

[R.Sheyn]

Не обошлось. Старые версии vipnet csp, котоые входят в старые версии vipnet client при определенном стечении обстоятельств ломают tls. Поставьте vipnet csp 4.2.8 или 4.2.10 и проверьте. Только когда будете устанавливать отключите установку поддержки microsoft cryptoapi и вложенный компонент поддержки tls/ssl. Должно заработать.

[skytorin]

Беда в том, что пока есть острая необходимость не трогать установленный VipNet Client 3.2 (не переустанавливать).

Крипо Про же нужно обновить чтобы иметь возможность работать с ГОСТ 2012.

Вся соль в том, что до начала каких-либо телодвижений  вся связка работает нормально, сайт работает по HTTPS, TLS строится.

[azz]

К сожалению, Вы используете версию СКЗИ, которую уже нельзя использовать. Корректная работа с КриптоПро 4.0 есть только в csp 4.2.10

Решение  работать или не работать принимать Вам.

[skytorin]

Правильно ли я понимаю что можно в установленном VipNet Client 3.2  отключить компонент криптопровайдера, затем отдельно установить VipNet CSP 4.2.10 после чего можно можно ставить КриптоПРО 4,0 и надеятся на корректную работу с TLS ? Разве могут быть одновременно два работающих криптопровайдера?

Мне казалось, что обычно рекомендуют, при желании использовать сторонний криптопровайдер,  при установке  VipNet Client  отказываться от установки  VipNet CSP.

[azz]

6 минут назад, skytorin сказал:

Правильно ли я понимаю что можно в установленном VipNet Client 3.2  отключить компонент криптопровайдера, затем отдельно установить VipNet CSP 4.2.10 после чего можно можно ставить КриптоПРО 4,0 и надеятся на корректную работу с TLS ? Разве могут быть одновременно два работающих криптопровайдера?

Мне казалось, что обычно рекомендуют, при желании использовать сторонний криптопровайдер,  при установке  VipNet Client  отказываться от установки  VipNet CSP.

Без CSP не работает Client. Отключение cryptoapi как раз позволяет работать стороннему криптопровайдеру. Что ломает версия 3.2 при одновременной установке с криптопро4.0 никто разбираться не будет.

[R.Sheyn]

1 час назад, skytorin сказал:

Правильно ли я понимаю что можно в установленном VipNet Client 3.2  отключить компонент криптопровайдера, затем отдельно установить VipNet CSP 4.2.10 после чего можно можно ставить КриптоПРО 4,0 и надеятся на корректную работу с TLS ? Разве могут быть одновременно два работающих криптопровайдера?

Мне казалось, что обычно рекомендуют, при желании использовать сторонний криптопровайдер,  при установке  VipNet Client  отказываться от установки  VipNet CSP.

Правильно. Можно надеятся. Если вы при установке, как я выше написал, отключите поддержку ms cryptoapi, то фактически vipnet csp не будет "работающим", он не будет лезть в работу системы, будет только взаимдействовать с випнет клиентом.

 

Что касается второй части написанного, то подобные "рекомендаторы" ничего не понимают в принципах работы vipnet client. Без vipnet csp он работать не будет в принципе.

 

Во избежание дальнейших вопросов замечу, что "отключить" криптопровайдер средствами vipnet client и не устанавливать совсем - это разные вещи.

[skytorin]

Просто меня в данном варианте беспокоит -  нормально ли будут работать VipNet Client 3.2 и VipNet CSP 4.2.10? Старый компонент, который поставился вместе с VipNet Client 3.2 просто типа обновится / заменится на 4.2.10 ?   

[azz]

26 минут назад, skytorin сказал:

Просто меня в данном варианте беспокоит -  нормально ли будут работать VipNet Client 3.2 и VipNet CSP 4.2.10? Старый компонент, который поставился вместе с VipNet Client 3.2 просто типа обновится / заменится на 4.2.10 ?   

Думаю, что Ваш сценарий никто не проверял, и не будет. Лучше обновитесь и не беспокойтесь.

[xrockx]

У нас VipNet Client 3.2 корректно работает с ViPNet CSP 4.*.

Отключаете CryptoAPI, накатываете поверх ViPNet CSP 4.*

Делаете, что Вам нужно с Крипто-Про.

Пробуете, должно заработать.

[skytorin]

13 минут назад, xrockx сказал:

У нас VipNet Client 3.2 корректно работает с ViPNet CSP 4.*.

Отключаете CryptoAPI, накатываете поверх ViPNet CSP 4.*

Делаете, что Вам нужно с Крипто-Про.

Пробуете, должно заработать.

Еще раз хочу уточнить порядок действий - отключаете в VipNet Client 3.2 работу с CryptoAPI, устанавливаете поверх ViPNet CSP 4 и также при установке отключаете работу с CryptoAPI. После чего можно ставить КриптоПро 4.0 ?

[skytorin]

Вообщем ситуация не изменилась - связка  VipNet Client 3.2 + ViPNet CSP 4.2.10 + КриптоПро CSP 4.0.9956 в целом работает, но сайт по HTTPS по прежнему не открывается, TLS не строится.

 ViPNet CSP 4.2.10 устанавливал с отключенной компонентой CryptoAPI

Знает ли кто-то как оживить работу  TLS и работу через HTTPS ?

[R.Sheyn]

7 часов назад, skytorin сказал:

Вообщем ситуация не изменилась - связка  VipNet Client 3.2 + ViPNet CSP 4.2.10 + КриптоПро CSP 4.0.9956 в целом работает, но сайт по HTTPS по прежнему не открывается, TLS не строится.

 ViPNet CSP 4.2.10 устанавливал с отключенной компонентой CryptoAPI

Знает ли кто-то как оживить работу  TLS и работу через HTTPS ?

Выполните восстановление крипто-про.

[skytorin]

14 часов назад, R.Sheyn сказал:

Выполните восстановление крипто-про.

КриптоПРО CSP 4.9956 установлена и работает, не совсем понимаю что имеете ввиду под восстановлением крипто-про?

[R.Sheyn]

Через установку и удаление программ, восстановить

[skytorin]

Провел восстановление, результат не изменился.

Вот что выдает утилита csptest

[Vintik]

То что у вас Клиент 3 вам уже сказали, но сделаем вид, у вас своя сеть, вы её для себя используете и вас вполне всё устраивает, как шифрует и как не кто ещё не расшифровал :-) 

Интересно почему не установили для начала CSPSetup_4_0_9842_R2 как вариант (вроде как проверенную стабильную серт.версию) или ту которая сейчас CSPSetup_4_0_9944_R3 - которые для W7 должны подходить нормально. И также ViPNet_CSP_RUS_4.2.8.51670 - вроде серт. версия.

Если вы обновляли методом удаления, производили ли зачистку и обновление плагинов, которые также желательно, а зачастую надо обновлять, если обновляете CSP.

Обратите внимание на антивирус, а то бывает всё переробовать можно, а в итоге какой не быть НОД или Каспер тихо хихикают там.

[skytorin]

В 05.10.2018 в 21:34, Vintik сказал:

То что у вас Клиент 3 вам уже сказали, но сделаем вид, у вас своя сеть, вы её для себя используете и вас вполне всё устраивает, как шифрует и как не кто ещё не расшифровал :-) 

Интересно почему не установили для начала CSPSetup_4_0_9842_R2 как вариант (вроде как проверенную стабильную серт.версию) или ту которая сейчас CSPSetup_4_0_9944_R3 - которые для W7 должны подходить нормально. И также ViPNet_CSP_RUS_4.2.8.51670 - вроде серт. версия.

Если вы обновляли методом удаления, производили ли зачистку и обновление плагинов, которые также желательно, а зачастую надо обновлять, если обновляете CSP.

Обратите внимание на антивирус, а то бывает всё переробовать можно, а в итоге какой не быть НОД или Каспер тихо хихикают там.

Да, мне важно добиться работы на VipNet Client 3.2

CSPSetup_4_0_9944_R3 также пробовал, ViPNet_CSP ставил версию  4.2.10 рекомендованную  здесь мне ранее. 

Очистку после удаления КриптоПро CSP 3.6 производил спец. утилитой. Антивирус на время тестов удалил совсем.

Порядок установки пробовал разный, но в основном придерживаюсь следующего:

1. Удаляю КриптоПро Про CSP 3.6,  проверяю что в VipNet Client на вкладке Сервис - Настройка параметров безопасности - Криптопровайдер отключена  поддержка CryptoAPI

2. Произвожу чистку спец. утилитой от КриптоПро и перегружаю

3. Устанавливаю VipNet CSP 4.2.10 (отключаю при установке работу c CryptoAPI, GUI, HSM, оставляю только базвовые компоненты )

4. Ставлю КриптоПро CSP (пробовал и 4.9944 и 4.9956 ). Результат TLS на RSA не работает, сайт по HTTPS не работает

Затем пробовал удалять VipNet Client и  VipNet CSP, оставив только  КриптоПро - TLS начинает работать, HTTPS  работает.

 

 

[Vintik]

skytorin - случайно на форуме КриптоПро не поднимали вопрос? Там очень грамотные сотрудники и видел как недавно решили очередную проблему. Как вариант давайте ещё там спросим ?

[skytorin]

12 часов назад, Vintik сказал:

skytorin - случайно на форуме КриптоПро не поднимали вопрос? Там очень грамотные сотрудники и видел как недавно решили очередную проблему. Как вариант давайте ещё там спросим ?

Писал на support.cryptopro.ru, в итоге ответили, что корректная работа КриптоПро совместно с VipNet не гарантируется, рекомендовали попробовать для проверки оставить только КриптоПро CSP и проверить. Проверил, разумеется так все заработало. Четвертые версии VipNet и КриптоПро тоже у меня заработали. Непонятно как у людей работает VipNet 3.2 и КриптоПро 4.х в плане TLS

[Vintik]

Понятно, а если у вас Випнет только для ВПН, то моет вовсе не трогать его ЦСП?

Я недавно столкнулся что с R2 у меня работала (ася) как привер, а выше нет, только если ПОЛНОСТЬЮ удалял в ЦСП поддержку TLS. Но Випнет при этом может или заработать как у меня работает без них или нет.

[skytorin]

Моя цель изначально не трогая VipNet 3.2, обновить КриптоПро CSP c 3.6 до 4.x (для поддержки ГОСТ 2012). После обновления КриптоПро сразу же ломается  работа TLS ( не работает сайт по HTTPS), но причина не в самом обновлении криптоПро, а в связке VipNet+КриптоПро.  Поэтому по совету многих я и начал пробовать помимо обновления КриптоПро и пробовать обновить версию VipNet CSP, при этом отключая функцию работы с  CryptoAPI (как я понимаю отключение этой функции как раз и позволяет одновременно работать двум CSP на одной машине).

[R.Sheyn]

На самом деле гадать можно долго, но истины мы не узнаем.

Истину могут знать только разработчики, но:

1. Их здесь нет.

2. Решать проблемы старых версий снятых с поддержки они не будут. Тем более, если на 4рке все завелось.

Какая конкретно проблема мешает обновиться? может это и не проблема вовсе, а чьи-то хотелки/нехотелки?

[skytorin]

Проблема на самом деле больше административная. Управлением сети VipNet занимается сторонняя организация, для текщей версии Vipet нам давно был выдан dst файл так сказать "щадящего режима", т.е открыты нужные нам порты и возможность входа по пароля. В новых же dst файлах для VipNet 4.x заложена авторизация по токену и закрыты нужные нам порты. Если про порты мы сможем договорится, то вход по токену нам не снимут. Имеется проблема входа по токену, т.к машина виртуальная и находится под  управлением гипервизора Hyper-v  (нет возможности обратиться к USB портам хоста без стороннего ПО).

[Vintik]

Я недавно тестировал ПО проброса USB, но она платное, если на линуксе альтернатива.... но всё это огород и конечно критично. Может объяснить это тем кто в сети вам выдавал или тогда найти "старенькую" машинку спрятать её в серверной и пусть работает.