Ykidia
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Так. Проблема все еще не решена. Однако по ходу экспериментов выяснилась одна тонкость. Продукция Apple не переваривает SHA512. Так что если при установке своего ЦС вы вдруг решили перестраховаться, сделать себе большой и толстый... ключ для корневого сертификата, то птица обломинго прилетит к вам еще до того, как вы попытаетесь разобраться с 1С. Длина ключа - пофиг, можете делать 4096 (как я), это вроде работает. Но SHA512 - нет, только SHA256 и ниже... Всего было примерно 3 переустановки с "чистого листа". Первая - ключ 4096 бит с хэшем SHA256, результат описан выше. Вторая - я плюнул на все, удалил ЦС, удалил все его сертификаты с других машин (где IIS и PDC), установил ЦС заново, сделал так, как рекомендуется и даже хуже: ключ 2048 бит, хэш SHA1. Естественно, это не помогло, только ssllabs и прочие обеспокоенно закудахтали. Третья - удалил ЦС, сертификаты, попытался вырезать IIS "под корень", в итоге пришлось переустанавливать весь сервер, поставил ЦС, сделал 4096/SHA512. После этого для всех клиентов от Apple путь на IIS был "заказан", что я только ни делал. SSL handshake fail и все такое, в инете есть похожие проблемы, но нигде не указано в явном виде про SHA512, вернее, есть сообщения, датированные в основном 2010-2012 годами, а то и раньше. Но времени-то прошло - огого! - а Apple все "кукует". Из-за этих педиков приходится теперь всех клиентов стричь под одну гребенку: я вернулся к тому, откуда пришел - 4096/SHA256. Воз и ныне там... Ну да, еще конечно же немного оказывала влияние перетасовка порядка, включение/выключение алгоритмов шифрования (при помощи IISCrypto). Тут тоже надо быть настороже, первым делом сохранить порядок и набор по умолчанию куда-нибудь. Иначе может понадобиться начинать все с начала вплоть до переустановки сервера... Вот некоторые ссылки на материалы, которые помогли мне понять, что происходит, а также немного автоматизировать процесс экспериментов , но пока не помогли заставить все работать: https://serverfault.com/questions/724077/how-to-configure-iis-7-5-ssl-tls-to-work-with-ios-9-ats/768238 http://tavalik.ru/nastrojka-veb-dostupa-k-bd-1spredpriyatie-na-iis/ http://infostart.ru/public/275820/ http://statusspb.com/web_1c_iis http://sys-admin.kz/systadm/325-iis-reset-factory-settings.html http://www.forum.mista.ru/topic.php?id=634707 Попробую Apache вместо IIS и отпишусь о результатах. | Всего записей: 242 | Зарегистр. 03-03-2005 | Отправлено: 23:47 03-06-2016 | Исправлено: Ykidia, 23:52 03-06-2016 |
|