| ||||
| ||||
| Добрый день. Подскажите пожалуйста в ситуации состоящей в следующем. Стояли и работали ЦР И ЦС на Win2K. После праздников так оказалось, что CRL просрочился на ЦР, и поэтому был скачан последний CA.crl с ЦС и руками установлен на ЦР. Приэтом все вроде как сталоработать как прежде. При работе в АРМ на ЦР показываются все пользователи и сертификаты, но если выбрать любой из пунктов меню на разделе Центр сертификации->Все задачи (например, Открыть сертификат ЦС), то происходит ошибка: Номер: -2147467259 Источник: Connector Описание: Connector:Unspecified HTTP error. HRESULT=0x800A1518 - Client:An unanticipated error occurred during the processing of this request. HRESULT=0x800A1518 - Client:Sending the Soap message failed or no recognizable response was received HRESULT=0x800A1518 - Client:Unspecified client error. HRESULT=0x800A1518 В событиях на ЦР видно: Тип события: Ошибка Источник события: cpSSPCore Категория события: Отсутствует Код события: 300 Дата: 10.05.2006 Время: 14:14:22 Пользователь: Нет данных Компьютер: CA Описание: КриптоПро TLS. Ошибка %2 при обращении к CSP: %1 При этом тест соединения ЦР с ЦС проходит, в IE различные URL (https://CA/CA/ca.wsdl, https://CA/CA/ca.asp - здесь запрашивается сертификат, https://RA/RA/ra.asp - здесь тоже) открываются без проблем. Так как машина на которой стоит АРМ удаленная, АРМ был установлен также на машину ЦР, ошибка осталась но в событиях ЦР изменилась: Тип события: Ошибка Источник события: cpSSPCore Категория события: Отсутствует Код события: 300 Дата: 10.05.2006 Время: 17:37:30 Пользователь: Нет данных Компьютер: CA Описание: КриптоПро TLS. Ошибка 0x80090019 при обращении к CSP: Набор ключей не определен. КриптоПро CSP переустанавливался - не помогло. Что подскажете? Заранее благодарен. | ||||
| Ответы: | ||||
| ||||
| Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР - либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. Он в реестре или на съёмном носителе? Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) - кнопкой "Установить личный сертификат" в разделе Сервис панели КриптоПро CSP. | ||||
| ||||
| == Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР - либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. == Но ведь тест в параметрах ЦР проходит. Что и удивляет. == Он в реестре или на съёмном носителе? == Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету. == Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) - кнопкой "Установить личный сертификат" в разделе Сервис панели КриптоПро CSP. == Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер. | ||||
| ||||
| == Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР - либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. == Но ведь тест в параметрах ЦР проходит. Что и удивляет. == Он в реестре или на съёмном носителе? == Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету. == Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) - кнопкой "Установить личный сертификат" в разделе Сервис панели КриптоПро CSP. == Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер. | ||||
| ||||
| == Скорее всего, беда с ключевым контейнером, соответствующим клиентскому сертификату ЦР - либо он недоступен, либо не установлен нужный считыватель, либо запомнен неправильный пароль. == Но ведь тест в параметрах ЦР проходит. Что и удивляет. == Он в реестре или на съёмном носителе? == Сначала он был на дискете, потом я его скопировал используя через криптопро на флешку. Удалил дисковод. Уже после этого заметил проблему, но уверен что с этим не связано, ибо, поставил дисковод обратно, удалил сертификат и установил его с контейнера на дискете. При проверке в параметрах ЦР он запрашивает именно дискету. == Попробуйте сохранить этот сертификат в файл *.cer и заново установить его с привязкой к этому контейнеру (в хранилище Личные Локального компьютера) - кнопкой "Установить личный сертификат" в разделе Сервис панели КриптоПро CSP. == Я обычно удаляю сертификат через certmgr, потом в панели криптопро делаю Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер. | ||||
| ||||
| сорри за 3 сообщения..при постинге ошибку сервер выдавал :) | ||||
| ||||
| > Просмотреть сертифкаты в контейнере, и открыв там сертификат устанавливая его кнопочкой Установить сертификат. Таким образом я считаю что в реестр автоматом попадает ссылка на данный контейнер. Для пользовательского сертификата и контейнера это прокатит. Для контейнера Локального компьютера - нет. А для сертификата ЦР нужно хранилище именно компьютера. Используйте "Установить личный сертификат", при выборе контейнера поставьте "Компьютера". После чего перевыберите его в свойствах ЦР. | ||||
| ||||
| Все проделал как сказали. Перевыпустил CRL. Ошибка осталась, но несколько опять поменялась: КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей. Создал новый набор ключей для клиента ЦР и сертификат - ошибка осталась. Меня смущает то, что когда в АРМ заходишь вразделы Пользователи, Сертификаты и пр. он выдает окошко с просьбой вставить соответсвующий ключевой носитель (но пароль не спрашивает ибо он запомнен), а когда заходишь в раздел Центр сертификации и выбираешь правой кнопкой любой из пунктов, то ошибка вываливается сразу, даже не спрашивая контейнеров ключей. Есть еще мысли? :) | ||||
| ||||
| А сечас тест соединения ЦР - ЦС проходит? | ||||
| ||||
| Да, проходит. И раньше проходил. Все вообще работает на ура :) Только этот раздел не работает :) | ||||
| ||||
| Еще не работает обработка запросов на сертификат, т.е. не работают все операции, которые требуют обращения к ЦС. Однако тест в параметрах ЦР проходит. | ||||
| ||||
| Посмотрите на сервер ЦР свойства уч. записи CPRAComPlusAcct& - не заблокирована ли она. Если ок, залогиньтесь под ней в Win и попробуйте тест соединения ЦР - ЦС (т.к. в основном режиме работы УЦ соединение от ЦР к ЦС устанавливается именно под этой уч. записью) | ||||
| ||||
| Тест проходит. | ||||
| ||||
| Создал нового привелигированного абонента и попробовал через него - результат тот же. | ||||
| ||||
| Пересоздал наборы ключей для АРМ и клиента ЦР, на ЦС обработка сертификатов прошла успешно. Однако после переустановки сертификатов проблема не исчезла. | ||||
| ||||
| Это хорошо. Значит, с CSP и контейнером ключа клиентского сертификата ЦР всё в порядке. Но! Если на этом контейнере есть пароль - то при программном вызове он не сможет быть введён, т.к. приложению не разрешается выводить окошки в этом режиме. Исключение составляет случай, когда контейнер предварительно был загружен в кеш Службы хранения ключей Крипто-Про (пользователем CPRAComPlusAcct&). Поменяйте пароль на пустой. Дискета должна быть доступна - должно получиться | ||||
| ||||
| Да, и аналогичная штука будет, если несколько дисководов настроено (CSP попробует запустить окошко выбора дисковода). | ||||
| ||||
| По ходу..Обнаружилась такая штука: при запуске системы в событиях появляется та же ошибка приложения cpsspcore: КриптоПро TLS. Ошибка 0x8009001f при обращении к CSP: Неправильный параметр набора ключей. Однако если удалить сертификат веб-сервера ЦР из хранилища и перегрузится, то такой ошибки уже нет, если опять прописать туда, то опять появляется. Создание нового контейнера и сертификата веб-сервера ЦР не приводит к улучшению. На службе IISAdmin стоит галочка разрешить доступ к рабочему столу. Таймауты в CSP стоят по 60 сек. Вновь созданные контейнеры клиента ЦР, веб-сервера ЦР и для АРМ создавал с пустым паролем. | ||||
| ||||
| Тогда будем систематически: Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ? Версия и билд CSP? Способ хранения ключей? версия ОС, какие обновления? версия IE, какие обновления? Используется MSDE или SQL-сервер? Есть ли ативирус (какой) ? Это подчинённый ЦС или корневой? | ||||
| ||||
| >Какую организацию Вы представляете, есть ли договор технического сопровождения УЦ? ООО ТК "Контакт", Воронеж. Договора пока нет, потому что проблем не возникало до этого :) >Версия и билд CSP? 3.0.3293 КС1 >Способ хранения ключей? Дисковод >версия ОС, какие обновления? Windows2000 Server, SP4, 5.0.2195, все обновления >версия IE, какие обновления? 6.0.2800.1106, SP1, все обновления >Используется MSDE или SQL-сервер? MSDE, и клиентская часть MSSQL >Есть ли ативирус (какой) ? нет >Это подчинённый ЦС или корневой? корневой | ||||
| ||||
| УРА!!! Заработало :) В CSP было настроено два дисковода: A и флешка. Удалил флешку и заработало :) Спасибо большое за подсказку. Сам бы не догадался, что это может к этому приводить. Самое странное это то что на дискете A есть два контейнера на один и тот же CN, и одного из них копия на флешке. Спасибо еще раз :) | ||||
| ||||
| Собственно, мой ответ от 12.05.2006 13:56:24 | ||||
| ||||
| Да, спасибо. Но пока дошел до этого пункта чтобы проверить этот момент, уже успел провести ряд других экспериментов :) | ||||
Касимов Артем