14.05.2005 12:15:08Не могу возобновить сертификат! Ответов: 9
Vadim_K
Help! Срочно!

Приостановил на 1 месяц пару сертификатов. Через несколько дней инцендент был исчерпан и потребовалось возобновить сертификаты, но не тут-то было. Запросы на возобновление сертификатов сформировались нормально, а попытка принять эти запросы приводит вот к такой ошибке:

Ошибка номер: -2147024883
Источник: CertificateAuthority.Admin
Описание: CCertAdmin::RevokeCertificate Недопустимые данные. 0x8007000d (WIN32: 13)

Что делать?

PS. УЦ 1.02.0212
 
Ответы:
14.05.2005 16:45:31Василий
1. Проверьте доступность всех соединений: АРМ-ЦР, ЦР-ЦС. Например, путём открытия с АРМа сертификата ЦС (в АРМе в узле Центр сертификации - Все задачи - Открыть сертификат ЦС).
2. Проверьте, что действие по возобновлению осуществляется Администратором ЦР.
3. Приостановленные сертификаты отзываются автоматически по истечении срока приостановления действия задачей RevHoldCert.job на ЦР. Нужно проверить, что эти сертификаты ещё не отозваны. Выпустите СОС на ЦС и посмотрите его - код причины отзыва для этих сертификатов должен быть 6 (Приостановка действия).
14.05.2005 18:42:28Vadim_K
1. Хм.. Ну, если конкретно "путём открытия с АРМа сертификата ЦС", то проверю завтра, а так - АРМ-ЦР точно есть, ЦР-ЦС тоже, т.к. в лог винды и на ЦР, и на ЦС ложится такая же ошибка.

2. Пробовал и из под оператора, там "запрещено политикой".

3. С момента приостановки прошло несколько дней, а приостанавливал на 1 месяц. Завтра же выпущу СОС и посмотрю код причины.

Кстати, а если с момента приостановки ЦС ещё не успел ни разу издать СОС, а я пытаюсь уже возобновить приостановленные сертификаты? Здесь не может собака порыться?
15.05.2005 18:09:07Vadim_K
Василий, последние уточнения:

1) С АРМа сертификат ЦС открывается.

2) Выпустил СОС, а в нем номеров этих двух сертификатов нет... Проверил на ЦС - они числятся действующими и запросов на их отзыв или приостановку я на ЦС не нашел... Но в АРМе у меня есть принятые запросы на их приостановку, а сами сертификаты помечены красным крестиком. Есть так же два непринятых запроса на возобновление этих сертификатов, их я принять не могу по описанной выше причине.

Может всё таки причина в том, что после приостановления этих сертификатов я не выпустил внеочередной СОС (меня устраивали и сроки очередного), а через несколько дней попытался из возобновить опять же до выпуска того очередного СОС, в который они должны были попасть?

В любом случае что вы мне сейчас посоветуете?
16.05.2005 11:47:36Василий
Если на ЦС эти сертификаты - действующие, и в СОС их нет, значит, запросы на приостановление действия не дошли с ЦР на ЦС по какой-то причине.
Это означает, что возобновлять нечего - они и так действуют. И всегда действовали, т.е. не были реально приостановлены.
Другой вопрос - как теперь быть.
Вероятно, проще всего исправить их статус непосредственно в БД ЦР (с 6 на 1).
16.05.2005 13:23:11Vadim_K
Хорошо, статус поправить попробую, хотя это не очень вяжется с политикой безопасности.
А что делать с припятыми запросами на приостановку и непринятыми запросами на возобновлени? Так же ручками вычистить из БД ЦР?

И наконец, выскажите хотя бы предположение почему это могло случиться (мне на этой неделе ещё несколько сертификатов приостанавливать...). До этого приостанавливать/возобновлять сертификаты пробовол только на тестовой версии УЦ, на штатной только отзывал :) - работает.
16.05.2005 18:37:06Василий
Запросы можно оставить. Невыполненные - отклонить.

По поводу предположений - их два
1) либо сертификаты вообще не были реально приостановлены, а только в БД ЦР поменялся их статус
2) либо, при первом выполнении запроса на возобновление, они были возобновлены на ЦС, но эта информация не дошла до ЦР

Причины не вполне ясны, повторить на стенде не удалось.

14.07.2005 10:50:43Vadim_K
Василий, у меня все та же проблема. Приостановил сертификат, прошло время, пытаюсь его возобновить. На ЦС он возобновился и из CRL пропал, а на ЦР эта информация не дошла. АРМ Администратора ругается при этом первой ошибкой, приведенной ниже, а в лог винды на ЦС падают вот такие три:

*********************************************

Тип события: Ошибка
Источник события: VBRuntime
Категория события: Отсутствует
Код события: 1
Дата: 14.07.2005
Время: 12:33:52
Пользователь: Нет данных
Компьютер: CA
Описание:
The VB Application identified by the event source logged this Application CA: Thread ID: 1840 ,Logged:
Ошибка модуля удаленного доступа к ЦС Крипто-Про УЦ:
Источник: CertificateAuthority.Admin
Номер: 0x8007000D (-2147024883)
Описание: CCertAdmin::RevokeCertificate Недопустимые данные. 0x8007000d (WIN32: 13)

*********************************************

Тип события: Ошибка
Источник события: MSSOAP
Категория события: Generic
Код события: 16
Дата: 14.07.2005
Время: 12:33:53
Пользователь: Нет данных
Компьютер: CA
Описание:
Soap error: Executing method RevokeCertificate failed.

*********************************************

Тип события: Ошибка
Источник события: MSSOAP
Категория события: SoapServer
Код события: 16
Дата: 14.07.2005
Время: 12:33:53
Пользователь: Нет данных
Компьютер: CA
Описание:
Soap error: An unanticipated error occurred during the processing of this request..

*********************************************

Я конечно опять ручками поменял стстус в БД ЦР (только почему-то не с 6 на 1, а с 2 на 1) и все стало нормально, за исключением лишних запросов на приостановку и возобновление.

Почему у меня такое происходит?

PS Сертификаты быти приостановлены корректно и в CRL’е было написано, что они именно приостановлены.
УЦ у меня как и был 1.02.0212.
14.07.2005 15:16:05Василий
Да. Был неправ. Код "6" появился позже - в версии УЦ 1.3.

По поводу - почему запросы на возобновление приводят к ошибке на ЦР - до сих пор непонятно. Повторить не удаётся - все запросы на стенде обрабатываются на ура.

Просьба к Вам - сообщите, сколько на Вашем УЦ пользователей и сколько сертификатов, а также, пришлите один из сертификатов пользователей, которые не удалось возобновить (может, дело в DN или в EKU).
15.07.2005 8:39:46Vadim_K
Дело в том, что у меня на стенде всё тоже работает, а на штатном случилась какая-то пакость, которая и приводит вот к таким последствиям. Может быть я какую-то политику безопасности применил слишком сильно :), хотя делал всё по инструкциям... Так что это ошибка не в самом софте УЦ, а в его либо недо/пере-настройке, либо в окружении. Вот только как её исправить... Хотя вариант "переустановить" всегда существует, но слишком уж не хочется этого делать...

Запрашиваемую информацию пришлю сегодня же, но попозже.