none
Сертификат от авторизованного центра + самоподписанный сертификат RRS feed

  • Вопрос

  • Windows Server 2008 SP2, IIS 7
    Протоколы шифрования в системе: TSL 1.0, Ciphers: RC4, Triple DES, AES 128/256, Hashes: SHA, Key exchange: PKCS, Diffie-Hellman.

    Доступ к сайту компании организован с помощью клиентских SSL сертификатов. На сервере созданы сертификаты CA, client, server. Все установлено, настроено и работает. Протокол шифрования TLS 1.0 (еще пробовал SSL v3), пробовал разные алгоритмы, сейчас стоит RC4_128 с SHA1, обмен ключами RSA.

    Недавно приобрел SSL сертификат, подписанный авторизованным центром. Добавил его в IIS, в настройках Bindings как полагается выбрал его, запустил IE9, зашел на сайт, все работает.

    Решил проверить в Chrome 21. Открываем сайт, строка ввода URL зеленая, как полагается, сертификат сайта работает. Выходит "Запрос сертификата", выбираю нужный сертификат для клиентской авторизации (он, напомню, самоподписанный), авторизация проходит - вижу данные компании. При этом в информации о соединении предупреждение "Необходимо снова установить соединение, используя более старую версию протокола TLS или SSL". Перехожу на внутреннюю страницу - запрос сертификата повторяется. Еще раз перехожу - опять. Жму F5, и страница грузится частями, периодически выходит запрос сертификата, в итоге загружается только часть CSS/JS/изображений.

    Не могу понять, что ему еще надо. Уже все пробовал. Если вернуть сайту старый самоподписанный сертификат - все работает.

    P.s.: Вопрос сюда, т.к. у Chrome нет настроек SSL, вообще, так что проблема явно не в самом Chrome. Что-то мне подсказывает, что нужно что-то запретить в настройках обмена ключами в реестре, но что, не знаю. Не просто же так Chrome приспичило сменить алгоритм шифрования на более старый.

    13 августа 2012 г. 10:10

Ответы

  • Вряд ли вы используете Хром как корпоративное ПО. В любом случае, если вы проверяете на IE 9 и проблем не видите, а с другими браузерами хотите  их поискать - welcome в техподдержку Chrome. Дело не в нстройках SSL, а в использовании "более старой ;) версии TLS или SSL."

    Сотрудники выходят в Интернет с того, чем им удобнее, я не ограничиваю в этом плане. Т.к. не вижу принципиальной разницы, с чего они работают. Хром нормально работает и с SSL v3, и TLS 1.0, 1.1, 1.2, я проверял ради интереса.

    В любом случае решение получилось неожиданным - убрал подписанный авторизованным центром сертификат, вернул самоподписанный. В той связи, что не увидел особого смысла. На всех ПК сотрудников, где установлены клиентские сертификаты, установлены и корневые сертификаты нашего CA как доверенные, так что разницы то нет.

    P.s.: Аналогично работает Webmoney Keeper Light, у них видимо тоже не вышло авторизованный сертификат для сайта и самоподписанные для авторизации использовать, в итоге авторизованный убрали, оставили самоподписанные, и всех заставили свой корневой сертификат установитью

    * авторизованный - подписанный авторизованным центром, много букв, лень писать.
    • Изменено Amoled 14 августа 2012 г. 11:16
    • Помечено в качестве ответа Amoled 14 августа 2012 г. 11:16
    14 августа 2012 г. 11:14

Все ответы

  • Не уже ли никто не знает? Сижу с этим уже который день, вообще засада.
    13 августа 2012 г. 11:10
  • Сайт через TMG опубликован?

    13 августа 2012 г. 12:46
    Отвечающий
  • Нет, чистый IIS.

    Также если в "SSL Settings" отключить требование "Require SSL" и перевести настройки клиентских сертификатов в "Ignore", то все работает нормально. Т.е. фактически для того, чтобы убрать проблему, нужно отключить авторизацию клиентов по клиентским сертификатам, либо сменить сертификат сайта с подписанного на самоподписанный. Но это ведь не выход,

    В Chrome если долго жать на F5, то по началу перестают загружаться CSS, картинки, а потом и вовсе сама страница перестает загружаться с ошибкой "Ошибка 107 (net::ERR_SSL_PROTOCOL_ERROR): Ошибка протокола SSL."
    • Изменено Amoled 13 августа 2012 г. 22:18
    13 августа 2012 г. 22:05
  • может проще вкинуть кривой хром? )
    то что у хрома нет никаких настроек это уже проблема хрома, независимо от того работает он корректно или нет.

    14 августа 2012 г. 9:34
    Модератор
  • Недавно приобрел SSL сертификат, подписанный авторизованным центром. Добавил его в IIS, в настройках Bindings как полагается выбрал его, запустил IE9, зашел на сайт, все работает.

    . Если вернуть сайту старый самоподписанный сертификат - все работает.

    P.s.: Вопрос сюда, т.к. у Chrome нет настроек SSL, вообще, так что проблема явно не в самом Chrome.

    Вряд ли вы используете Хром как корпоративное ПО. В любом случае, если вы проверяете на IE 9 и проблем не видите, а с другими браузерами хотите  их поискать - welcome в техподдержку Chrome. Дело не в нстройках SSL, а в использовании "более старой ;) версии TLS или SSL."

    14 августа 2012 г. 9:51
    Отвечающий
  • Вряд ли вы используете Хром как корпоративное ПО. В любом случае, если вы проверяете на IE 9 и проблем не видите, а с другими браузерами хотите  их поискать - welcome в техподдержку Chrome. Дело не в нстройках SSL, а в использовании "более старой ;) версии TLS или SSL."

    Сотрудники выходят в Интернет с того, чем им удобнее, я не ограничиваю в этом плане. Т.к. не вижу принципиальной разницы, с чего они работают. Хром нормально работает и с SSL v3, и TLS 1.0, 1.1, 1.2, я проверял ради интереса.

    В любом случае решение получилось неожиданным - убрал подписанный авторизованным центром сертификат, вернул самоподписанный. В той связи, что не увидел особого смысла. На всех ПК сотрудников, где установлены клиентские сертификаты, установлены и корневые сертификаты нашего CA как доверенные, так что разницы то нет.

    P.s.: Аналогично работает Webmoney Keeper Light, у них видимо тоже не вышло авторизованный сертификат для сайта и самоподписанные для авторизации использовать, в итоге авторизованный убрали, оставили самоподписанные, и всех заставили свой корневой сертификат установитью

    * авторизованный - подписанный авторизованным центром, много букв, лень писать.
    • Изменено Amoled 14 августа 2012 г. 11:16
    • Помечено в качестве ответа Amoled 14 августа 2012 г. 11:16
    14 августа 2012 г. 11:14
  • Сотрудники выходят в Интернет с того, чем им удобнее, я не ограничиваю в этом плане. Т.к. не вижу принципиальной разницы, с чего они работают.

    А должны бы и видеть и ограничивать. Иначе, как вы управляете браузером? Постоянно обновляете шаблоны,раз в две недели? Ваша позиция мне ясна, спасибо за то, что поделились мнением по поводу Webmoney. Обращение в техподдержку советую не откладывать надолго - иначе ,пользователи, которых вы не ограничиваете, начнут предъявлять вам претензии по поводу неработоспособности сервиса.

    Удачи,  всех благ.

    14 августа 2012 г. 11:26
    Отвечающий
  • а алгоритмы у сертификатов одинаковые? второе отличие в crl - у самоподписных их не бывает и поэтому клиент и сервер их проверять не станут.

    14 августа 2012 г. 13:21
    Модератор
  • Третье отличие- кырлы хрому проверять нинада, все и так бизапасна.

    15 августа 2012 г. 11:34
    Отвечающий