Настройка привязки нескольких сертификатов (ГОСТ и RSA) к одному порту веб-сервера
Опубликовано Илья Харченко on 2020-04-16 15:44

Как это работает:

В случае настройки одностороннего TLS на одном порту веб-сервера будут доступны два сертификата (ГОСТ + RSA). Для браузеров и других приложений, обращающихся к веб серверу, при наличии поддержки ГОСТовых алгоритмов будет предоставлен ГОСТ сертификат, в противном случае – RSA.

Как это настроить:

1)      Выключить поддержку устаревших cipher suite в CSP;

Для этого потребуется в Пуск-Все программы-КриптоПро- КриптоПро CSP- Настройки TLS поставить галочку «Не использовать устаревшие cipher suite-ы»:

Затем необходимо применить изменения и перезагрузить ПК;

2)      Установить на используемый порт веб-сервера ГОСТ сертификат;

3)      В командной строке, запущенной от имени администратора, из папки с установленным КриптоПро CSP выполнить команду:

csptest.exe-property -shadow "отпечаток RSA сертификата" -cert "CN ГОСТ сертификата" –machine

При успешном выполнении команды вы получите [ErrorCode: 0x00000000]:

Примечание

Если на компьютере установлено несколько сертификатов с одинаковым CN, то необходимо будет выбрать нужный сертификат, указав его номер

 

https://www.cryptopro.ru/sites/default/files/public/faq/dss/shadow3.png

4)      Перезапустить IIS командой iisreset.

 

Примечание

Поскольку привязка производится на уровне сертификата, запустить на одном сервере один веб-узел с двумя сертификатами, а другой только с ГОСТ не получится. Если есть необходимость в подобной конфигурации -- рекомендуем использовать различные ГОСТ-сертификаты.

 

 

(8 плюсик(ов))
Класс!
Не очень :(

Коментарии (0)