WEB-приложение Сведение отчетности - Использование SSL сертификатов c ГОСТ алгоритмами  (раздел целиком)  (02.10.2017)
Использование SSL сертификатов c ГОСТ алгоритмами

Для использования SSL сертификатов с ГОСТ алгоритмами необходимо произвести описанные ниже настройки.

        каталоги установки (по умолчанию), в которых расположен файл конфигурации сервиса:
  • Win32: C:\Program Files\ParusBalanceOnline\
  • Win64: C:\Program Files\ParusBalanceOnline\WIN64\
  1. Скачать библиотеку из состава OpenSSL, реализующую ГОСТ алгоритмы, в соответствии с используемой разрядностью сервиса, и скопировать полученный файл в каталог с файлом конфигурации сервиса (см. каталоги установки по умолчанию):
  2. В каталоге с файлом конфигурации сервиса создать файл конфигурации OpenSSL следующего вида (или вставить этот кусок в существующий файл конфигурации, до самого 1-го блока "[]"):
    openssl_conf = openssl_def
    
    [openssl_def]
    engines = engine_section
    
    [engine_section]
    gost = gost_section
    
    [gost_section]
    engine_id = gost
    dynamic_path = ./gost.dll
    default_algorithms = ALL
    CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet
        
  3. Установить системную переменную окружения Windows с именем OPENSSL_CONF, и значением с полным путем к файлу конфигурации OpenSSL
  4. В файле MillAppServer.conf в элемент /config/object[@class="{91D7A767-7222-4463-BC7F-AD40589E3426}"] найти изменить, или в случае его отсутствия, добавить узел <param name="CipherList" value="GOST2001-GOST89-GOST89 GOST94-GOST89-GOST89"/>

1. Выбор браузеров для взаимодействия с веб-серверами использующими SSL сертификаты с ГОСТ алгоритмами

Для взаимодействия браузера с веб-серверами, использующими SSL сертификаты с ГОСТ алгоритмами, необходимо, чтобы эти браузеры "понимали" эти алгоритмы. "Понимание" криптоалгоритмов, обеспечивается путем взаимодействием браузера с определенным криптопровайдером, через ту или иную инфраструктуру криптопровайдеров.

На ОС Windows инфраструктура криптопровайдеров обеспечивается Microsoft CryptoApi. Различные браузеры могут использовать какую-то определенную инфраструктуру криптопровайдеров. Например Internet Explorer может использовать только Microsoft CryptoApi, а Chrome и Firefox - только NSS.

Таким образом, для работы с веб серверами, использующими SSL ГОСТ-сертификатами требуется установленный на клиенте криптопровайдер с поддержкой ГОСТ, и браузер, который умеет опосредовано через инфраструктуру, использовать этот криптопровайдер.

Рассмотрим на примере продуктов CryptoPro (это 1 из примеров, по аналогии могут быть использованы любые другие криптопровайдеры, добавляющиеся в Microsoft CryptoApi, и реализующие поддержку ГОСТ алгоритмов).

Установка CryptoPro CSP добавляет в Microsoft CryptoApi криптопровайдер, реализующий поддержку ГОСТ алгоритмов:

  • Internet Explorer - полная поддержка
  • Firefox, непосредственно официальные сборки - не поддерживаются, но можно использовать третьесторонние сборки, например КриптоПро Fox.

            Установка брайзера КриптоПро Fox, должна производится после установки криптопровайдера.

    Если после установки КриптоПро Fox - соединение с сервером не устанавливается с кодом ошибки "SSL_ERROR_INAPPROPRIATE_FALLBACK_ALERT", то необходимо проверить, что модуль для связи брайзера с КриптоПро CSP, загружен брайзером:

    • Открыть Меню -> Настройки -> Дополнительные -> Сертификаты -> Устройства защиты
    • В открывшемся диалоге, найти модуль CryptoPro PKCS11, у которого должен быть дочерний модуль CryptoPro Token. Если дочернего модуля нет, то необходимо переустановить данный брайзер.

    Если после установки КриптоПро Fox - соединение с сервером считается ненадежным, то необходимо сделать изменения в его настройках:

    • Открыть вкладку с адресом about:config
    • Найти настройку с именем security.tls.version.max, и изменить значение с 3 на 2
  • Chrome, на текущий момент, из-за использования им криптопровайдеров NSS - не поддерживается

        На текущий момент, по заявлениям сотрудников CryptoPro, использование продукта CryptoPro CSP, только лишь для использования в браузерах (добавление поддержки ГОСТ алгоритмов) - не требует приобретения лицензии.