Re: 5.1c3 TLS и Windows Messenger

От: Dmitry Baronov <CGatePro_at_mx_ru>
Дата: Tue 22 Aug 2006 - 12:21:55 MSD

Dmitry Baronov пишет: 

> German Myzovsky пишет:


>>> Продолжая секс с IM-сообщениями, уперся в TLS. С самоподписанным 


>>> сертификатом, сгенеренным в CGP и скормленным в винды проблем нет. 

>>> Но когда использую сертификат, подписанный сторонним ЦС, мессенджер 

>>> вопит караул. При этом MS Outlook ходит за почтой к тому же серверу
>>> с тем же сертификатом и ЦС без проблем. Кто делально с этим
>>> разбирался,нет ли в мессенджере ограничения на длину ключа?
>>
>> Не получается ни с Thawte123, ни с сертификатом, подписанным
>> собственным CA (занесен в trusted root). Знающие люди пишут, что если
>> поменять Thawte123 на стандатный, то заработает.
>>
>> Говорят, "our certificates don't contain any CDP extensions (field
>> which describes where the CRL is published). We've done this on
>> purpose since we didn't want any CRL-checking."
>>
>> Предлагаю ознакомиться с результатами гуглинга по точной фразе
>> "SECURE_SOCKET: negotiation failed". И продолжить изыскания.
>>
>> P.S. Windows Messenger 5.0 соглашался на любой сертификат.
>>
>> 
> Из гуглинга я понял, что WM 5.1, получив сертификат, пытается 
> связаться с СА, выпустившым сертификат. И если СА в офлайне, как это и 
> есть в моем случае, TLS-сессия обламывается. То есть получается, СА 
> должен отвечать? На каком порту? 443?
>
> db
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
>  <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
>

В итоге сделал все сам, теперь мой ЦС (TinyCA) генерит сертификаты, которые не вызывают идиосинкразии у MS Messenger 5.1 Суть в том, что CRLDistributionPoints в сертификате должен ссылаться туда, откуда отдается CRL данного ЦС. db Получено Tue Aug 22 08:22:10 2006

Этот архив был сгенерирован hypermail 2.1.8 : Tue 22 Aug 2006 - 13:13:06 MSD