| ||||
| ||||
| Здравствуйте. После обучения на курсе ИнформЗащиты пытаюсь первый раз самостоятельно от начала до конца ставить УЦ. Все вроде бы сделал по инструкции, но не все работает. Дистрибутив взял у вас с сайта. Николай Иванович очень просил не забирать на курсах CD с дистрибутивом с которого мы ставили УЦ там, якобы он будет на диске, который он отдаст нам после окончания курса, но это оказалось не так - на том диске только нормативные документы... А свой мы еще только покупаем. Проблемы: 1) После установки УЦ нормально захожу на RA через АРМ пользователя, получаю временный сертификат, но после его установки не могу зайти через "Вход для зарегистрированных пользователей". Более подробное изучение ситуации показало, что в сертификате, который выдается пользователю есть информация, что его выдал мой CA, а сертификата самого CA нет, отсюда "невозможность проверить сертификат из-за недостатка сведений о нем". При ручном переписывании сертификата CA на компьютер клиента в "доверенные корневые центры сертификации" все нормализовалось. Вопрос в том, как это должно быть при нормальной работе? Через АРМ пользователя я тоже могу закачать сертификат CA, но только после того, как окажусь на странице для зарегистрированных пользователей, а именно туда я и не могу попасть без сертификата CA... 2а) Как сторонний пользователь через WEB я почему-то могу запросить и АВТОМАТИЧЕСКИ получить не только временный сертификат, но и постоянный!!! Если через АРМ администратора посмотреть запрос на этот сертификат, то можно увидеть, что сертификат одобрившего - это сертификат RA. 2б) Описанное в 2а происходит только при первоначальной регистрации. Если же пытаюсь получить себе дополнительный сертификат через страницу для зарегистрированных пользователей, то получаю ошибку "Не удается отправить запрос на сертификат. 0x80040203: Ошибка проверки цепочки сертификатов (0x40)". То же самое получается при попытке отозвать или приостановить сертификат. Собственно следующие проблемы - это другой взгляд на 2а и 2б: 3а) При регистрациинового пользователя от имени оператора RA в АРМ Администратора ЦР я почему-то получаю сертификат автоматически, без попадания в очередь запросов и одобрения его администратором... 3б) При добавлении существующего сертификата от имени оператора или от имени администра через АРМ Администратора ЦР они зачем-то сразу же хотят приняться, но возникает уже знакомая ошибка: Источник: ViewRequestMoveNext Описание: Произошла ошибка во время принятия запроса на сертификат. Оригинальная ошибка: Number=-2147220989 Source=CertRequest.AcceptFirstRequest Description=Ошибка проверки цепочки сертификатов (0x40) 3в) Ни от имени оператора, ни от имени администра через АРМ Администратора ЦР не могу приостановить/отозвать (поставить в очередь на приостановку/отзыв) уже существующий. Ошибка та же Ошибка номер: -2147220989 Источник: RevokeRequest.SubmitRequest Описание: Ошибка проверки цепочки сертификатов (0x40) Вопрос: Можно ли по моему описанию сказать, что я сделал не так или мне все снести установить заново (что не хотелось бы, дабы набраться опыта на будущее)? | ||||
| Ответы: | ||||
| ||||
| 1) Сертификат CA - сертификат уполномоченного лица (УЛ) Удостоверяющего центра должен доставляться каждому пользователю по доверенному каналу связи (при личном прибытии пользователя в УЦ, посредством курьерской связи) - обычно при регистрации пользователя в УЦ ему выдается дискета, содержащая данный сертификат и все пользователи должны сначала установить именно его. На странице зарегитсрированного пользователя тоже можно получить сертификат ЦС. Но это используется в том случае, если вы уже являетесь владельцем сертификата, и произошла плановая смена УЛ УЦ - тогда доверенный канал у вас уже есть (TLS работает) и вы получаете новый сертификат УЛ УЦ именно по доверенному каналу. 2а) Не пугайтесь - просто у вас так настроен ЦР. На вкладке web-интерфейс автоматическую регистрацию и изготовление серификата можно отключить - тогда они будут вставать в очередь на обработку. 2б) Это относится к пункту 1) плюс: на ЦР в хранилище Сертификаты (Локальный компьютер)\промежуточные центры сертификации должен находиться действительный список отозванных сертификатов. Эту установку можно делать руками, а можно в соответствии с эксплуатационной документацией настроить задачу автоматического переноса CRL. 3а) См. 2а 3б) 3в) Установите актуальный CRL на ЦР (2б) На ЦР есть ряд настроек: Политики подписанных запросов, политики неподписанных запросов, Безопасность, которые позволяют гибко настроить и управлять процедурами регистрации и управления сертификатов - внимательно прочитайте документацию (обратите внимание на документ "Руководство по управлению системными ролями") | ||||
| ||||
| Спасибо fav, почти все заработало. Не заработал автоматический перенос CRL с CA на RA. Для установки CRL на RA достаточно правильно настроить задачу "Получение СОС из сетевого ресурса CDP своего ЦС в локальную папку CDP" или надо настроить еще чего-нибудь? Если этого достаточно, то у меня этот перенос выполняется неправильно. Маслов говорил, что в 212 билде этот перенос действительно имеет ошибку. Мне уже пообещали выслать исправление, вот только я не нашел где посмотреть номер билда..., но думаю, что у меня как раз 212. И еще, не очень понял как доставка пользователю сертификата CA на дискете согласуется с распеределенным режимом регистрации пользователя? Я так понял, что этот режим для того и делался, чтобы можно было зарегистрироваться и получить в конце концов постоянный сертификат пользователя УЦ без личного появления в УЦ. Или я не прав? | ||||
| ||||
| Посмотреть версию УЦ можно так: Пуск\Настройка\Панель управления\Установка и Удаление программ\Центр сертификации\сведения о поддержке\Версия. В более поздних версиях УЦ номер указывается в окнах ввода Лицензий. При распределнной схеме сертифиат УЛ УЦ может быть доставлен курьерской службой, например, в запечатанном пакете, и приезжать в УЦ необходимости нет. | ||||
Vadim_K