| ||||
| ||||
| Используемое ПО: 3 VMWare с Windows 2003 Server R2 EE КритоПро УЦ 1.4, ЦР, АРМ - соответственно, на каждой из машин. Никаких ошибок при подсоединении с АРМ к ЦР не возникает. При подсоединении в роли Оператора удается корректно регистрировать новых пользователей. Но при попытке выпустить сертификат для зарегистрированного пользователя АРМ намертво подвисает после нажатия на кнопку "Далее" в окне "Просмотр запроса на сертификат". При этом для данного пользователя создается запрос (в статусе "неподтвержден"). При попытке подтвержить данный запрос АРМ также зависает. При этом на машине, где установлен ЦС, в Events Viewer (Application Log) создается запись вида Error: криптопро tls ошибка %2 при обращении к csp %1 Ни у кого не было подобной ситуации? | ||||
| Ответы: | ||||
| ||||
| Уточните, пожалуйста: 1. Какая сборка УЦ используется ("Установка и удаление программ" - для произвольного компонента УЦ ссылка "сведения о поддержке")? 2. Какой испольуется КриптоПро CSP (версия, сборка)? | ||||
| ||||
| Посмотрела в компоненте "Настройка ЦС" - версия продукта 1.04.0686 CryptoPro CSP KC 1 3.0.3300.1 Еще хотела бы добавить, что 1. сертификаты для привилегированных пользователей (Оператора и Администратора выпускаются корректно). Зависание происходит только при обработке запросов на сертификаты для обычныз пользователей 2. Зависание с теми же сообщениями об ошибках также происходит при нажатии на кнопку "Протестировать соединение" в настройках АРМ администратора (окно "Свойства Центра регистрации"). При этом узел подключения к ЦР (плюсик слева от названия подключения) открывается нормально. Отображаются все доступные вкладки узла (ЦС, запросы на регистрацию, запросы на сертификат и т.д.) | ||||
| ||||
| Ключевой контейнер, соответствующий клиентскому сертификату ЦР не должен быть на носителях типа: смарткарты, етокен, рутокен. Если это так - сделайте новый клиентский сертификат ЦР с ключом в реестре или на USB-флешке (лучше без пароля, иначе его придётся вводить на сервере ЦР каждый раз при соединении с АРМа для операций, выполняемых на ЦС). | ||||
| ||||
| Все ключи хранятся в реестре. На них задан пароль и нажата галочка "Сохранить пароль". Или обязательно оставить пароль пустым при создании контейнера? | ||||
| ||||
| "Сохранить пароль" действует для каждого пользователя индивидуально. Соединение ЦР->ЦС устанавливается программно, под специальным аккаунтом CPRAComPusAcct&. Лучше поменяйте для этого контейнера пароль на пустой (панель CSP - Сервис - Изменить пароль) | ||||
| ||||
| Уточните, пожалуйста. Необходимо зайти на сервер ЦР, открыть Control Panel -> CryptoPro CSP -> Service -> Change Password и поменять пароль на пустой. Галку "Сохранить пароль" не ставить. Если описанная выше процедура верна, то она не помогает избавиться от зависания (ошибки смены пароля для не того контейнера быть не может, так как по запросу Browse выдается только 1 контейнер). Или надо перезапустить сервер ЦР или выполнить еще какие-то доп. шаги? | ||||
| ||||
| Да, процедура именно такая. После перезагрузки сервера ЦР проверьте: 1) тест соединения в Свойствах ЦР 2) тест соединения на АРМе администратора | ||||
| ||||
| После перезагрузки тестирование соединения в свойствах ЦС работает нормально (как и раньше), а в свойствах АРМ тестирование соединения подвисает (как и раньше). Может, дело не в пароле на контейнер? Иначе при попытке соединения мне бы предлагалось его ввести на сервере ЦР, а этого не происходило раньше, и сейчас не происходит... | ||||
| ||||
| Проверить просто. Залогиньтесь на сервер ЦР пользователем CPRAComPusAcct& (пароль вы задавали при установке ЦР), запустите в Свойствах ЦР "Протестировать соединение" | ||||
| ||||
| Провела вышеописанную операцию для CPRAComPlusAcc& - все работает. Значит, с key carrier все в порядке. | ||||
| ||||
| Но уже продвижение! Если из АРМ администратора отправить запрос на подтверждение сертификата (неважно, в роли оператора или админа), когда сервер ЦР запущен не из-под Administrator, а из-под ...ComPlus&, то вылезает ошибка Ошибка номер: -2147195294 источник: СОМ+ приложение ЦС Описание: Denied by Policy Module Значит, в политиках дело... Спасибо, что помогли разобраться! | ||||
Наталья