02.11.2007 17:31:39Установка ЦС и ЦР Ответов: 41
Maxim Korobov
Вопросы:
1. Согласно руководству, установил CSP, TLS, Утилиты (2), ЦС и ЦР.
По HTTP вэб-интерфейс работает. По HTTPS - "страница не найдена". В чем наиболее вероятно может быть ошибка?
Сертификат вэб-серверу выдан, установлен в Directory Security.
Сертификат пользователя также выдан и установлен на машине. При доступе через IE сертификат сервера принимается. После приема,пользовательский сертификат отображается в списке для выбора сертификата текущего сеанса.

2. Обновления, IIS и все, кроме ЦС и ЦР установлено. Начинаю устанавливать ЦС. Изменяю свойство ЦС "Модуль политики", меняю с "Модуль политики предприятия и изолированной политики" на "Модуль политики Крипто-Про УЦ". Требуется рестарт -> после рестарта ЦС возникает ошибка: "This key is already associated with an element of this collection" (http://img217.imageshack.us/img217/3516/46323080az5.png). О чем это?

3. Сначала устанавливается полностью ЦС, потом полностью ЦР, а потом ЦР связывают с ЦС, так?
 
Ответы:
02.11.2007 18:21:28Василий
1. "При доступе через IE сертификат сервера принимается" - можно прокомментировать? И про какой веб-сервер это - ЦС или ЦР ?

2. Если у Вас КриптоПро УЦ версии 1.2 - см. https://www.cryptopro.ru:9443/cryptopro/news/default.asp?n=128
А вообще рекомендуется использовать версию 1.4.

3. Да.
03.11.2007 10:21:27Maxim Korobov
>> 1. "При доступе через IE сертификат сервера принимается" - можно прокомментировать? И про какой веб-сервер это - ЦС или ЦР ?

1:
а) Согласно инструкции, "вэб-серверу по умолчанию" (который создается при установке IIS) устанавливаю сертификат, созданный с помощью "утилиты".
б) Какой именно, не знаю. Не обратил внимания, что утилита создания сертификата есть для обоих подсистем. Возможно, в этом ошибка.

>> 2. Если у Вас КриптоПро УЦ версии 1.2 - см. https://www.cryptopro.ru:9443/cryptopro/news/default.asp?n=128
А вообще рекомендуется использовать версию 1.4.

Самая новая на момент 11.08.2003. Ссылка не открывается.

3. Да.
Тогда наиболее вероятно, что в первом пункте использовалась утилита ЦС.
08.11.2007 12:57:17Maxim Korobov
Еще такая проблема:

4. После установки службы сообщений и при попытке изменить ее параметры через MMC, выдается сообщение, что компьютер не входит в домен, в следствие чего параметры не доступны. Компьютер действительно не входит в домен. Как это повлияет на работу ЦР и ЦС?
12.11.2007 13:34:01Maxim Korobov
Пожалуйста, помогите.
Стоит проект.
27.11.2007 15:00:41.
UP
27.11.2007 15:26:09Tatianka
Опишите, пожалуйста, по порядку.
У Вас ЦС с ЦР на одной машине? Какая там операционная система? Какую версию/сборку КриптоПро CSP Вы используете?
Когда Вы открываете страницы https://<имя_сервера_ЦС>/ca/ca.wsdl и https://<имя_сервера_ЦС>/ca/ca.asp через IE - есть ли какие-нибудь предупреждения или сообщения об ошибках, удается ли открыть страницы?
Совпадает ли имя в сертификате веб-сервера с именем сервера, по которому Вы обращаетесь к ЦС?

В данную Вам ссылку действительно вкралась опечатка, должно быть: http://www.cryptopro.ru/cryptopro/news/default.asp?n=128
27.11.2007 15:52:28.
1. ЦС с ЦР на одной машине;
2. Windows 2000 Server (5.00.2195 SP4);
3. КриптоПро CSP 2.0 (Build 2089);
4. К сожалению, прошло достаточно времени и я забыл на какой стадии экспериментов с доступом остановился. Сейчас, при попытке открыть через http выдается ошибка HTTP 403 "У вас нет прав для просмотра этой страницы", через https - "Невозможно отобразить страницу".
5. Неудается открыть страницы.
6. Имя совпадает.
27.11.2007 15:58:58Tatianka
Лучше использовать сборку CSP 2104 (она сейчас выложена у нас на сайте). В каком состоянии лицензия на TLS-сервер?
27.11.2007 16:05:28.
Сборку возьму.
TLS-лицензия активирована. Истекает через чуть меньше 3 месяцев.
27.11.2007 16:09:20Tatianka
При переустановке CSP обратите внимание, что переустанавливаются и CSP, и TLS, причем сначала удаляется TLS, затем CSP. Ставится сначала CSP, затем TLS.
27.11.2007 16:12:28Tatianka
После переустановки CSP проверьте, что служба сертификации запускается нормально, еще раз попробуйте открыть страницы через IE. Если не откроются - пришлите мне на е-майл tatianka@cryptopro.ru ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\My,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\CA
27.11.2007 16:14:04.
Еще такая проблема:

4. После установки службы сообщений и при попытке изменить ее параметры через MMC, выдается сообщение, что компьютер не входит в домен, в следствие чего параметры не доступны. Компьютер действительно не входит в домен. Как это повлияет на работу ЦР и ЦС?
27.11.2007 16:23:11Tatianka
А зачем Вам менять параметры службы очереди сообщений?
Вхождение или не вхождение в домен на работоспособность УЦ не повлияет.
30.11.2007 15:10:27.
Сделал новую машинку на A. Server 2000. Установил рекомендуемые версии CSP и TLS.

Сейчас прошел, согласно руководству, все стадии установки ЦС. На этапе завершения установки самого ЦС выскочила ошибка, такая же, как были представлена на картинке:
http://img217.imageshack.us/img217/3516/46323080az5.png

При рестарте системы (по требованию инсталлятора) были запрошены пароли на контейнеры CA (контейнер, создаваемый при установке службы сертификации) и вэб-сервера (галки запоминания пароля не устанавливал) и ошибка возникла вновь.
30.11.2007 15:17:22.
Ремарка: Имена CA, вэб-сервера, установленного ЦС одинаковы. Возможно, так нельзя делать.
30.11.2007 15:31:57.
При попытке настройки Модуля политики помимо упомянутого ошибки выскакивает сообщение "Object Required":
http://img401.imageshack.us/img401/5857/aaaxt3.png
30.11.2007 16:17:41Tatianka
Имена на влияют. Главное - чтобы имя в сертификате веб-сервера совпадало с именем, по которому к этому серверу обращаются пользователи.
Что касается ошибки при старте ЦС - с рекомендациями по ссылке http://www.cryptopro.ru/cryptopro/news/default.asp?n=128 Вы ознакомились?
30.11.2007 17:18:03.
Простите, не придавал данной иноформации значения раньше.
После выполнения действий, данная ошибка исчезла.
06.12.2007 14:04:26.
Здравствуйте!
Что означает ошибка 0x152B при попытке протестировать соединение ЦР?

Скрин:
http://img340.imageshack.us/my.php?image=dsfmw2.png
06.12.2007 14:05:30.
Прошу прощения. Вот скрин:
http://img340.imageshack.us/img340/3223/dsfmw2.png
06.12.2007 14:25:30Tatianka
Рекомендуется указывать в строке с адресом для подключения то же самое имя сервера, которое указано у Вас в поле Common Name сертификата веб-сервера.
06.12.2007 15:02:46.
Я поменял имя, но ошибка осталась
06.12.2007 15:12:39Tatianka
А если пробовать открыть страницу https://<имя_сервера>/ca/ca.wsdl через IE? Тот же вопрос для страницы https://<имя_сервера>/ca/ca.asp
06.12.2007 15:57:26.
https сознательно не использую. На скриншоте видно "http".
Объясню:
в мои задачи стоит организовать взаимодействие своей программы черех SOAP с ЦР/ЦС. Тестируется на локальном сервере.
А настройка реального сервера (с выпиской сертификатов для пользователей сервера) лежит на плечах системного администратора.
Так как при установке ПО сразу не получилось правильно настроить работу на основе сертификатов, просто отказался от проблемы дабы сэкономить время.
06.12.2007 16:34:48Tatianka
А, извините, не обратила внимания, что это http.
Не будет работать.
"ЦС взаимодействует только с Центром Регистрации или несколькими Центрами Регистрации по отдельному сегменту локальной сети с использованием защищенного сетевого протокола." - КриптоПро УЦ Общее описание.
06.12.2007 17:52:25.
А если ЦС и ЦР установлены на одной машине? :)
06.12.2007 17:54:21Tatianka
Все равно по защищенному каналу взаимодействуют.
07.12.2007 14:15:50.
Поясните, пожалуйста, если на одном компьютере установлены ЦС и ЦР, где (окна настроек, хранилища сертификатов) и какие должны быть установлены сертификаты. И тоже самое для сертификата на клиентской машине.
07.12.2007 14:32:03Tatianka
"КриптоПро УЦ Руководство по установке".
Краткий конспект:
Ставим КриптоПро CSP, IIS, службу очередей сообщений.
Устанавливаем службу сертификации, она выпускает себе сертификат (если нужны дополнительные политики сертификата - предварительно создаем файл CAPolicy.inf), устанавливает его в "Доверенные корневые" локального компьютера и в "Личные" локального компьютера.
Ставим Утилиты ЦС, выпускаем сертификат веб-сервера, утилиты его автоматически ставят в "Личные" локального компьютера, вручную устанавливаем его в "безопасность каталога" на веб-узле на IIS.
Ставим ЦС.
Ставим утилиты ЦР, делаем запрос на клиентский сертификат ЦР, утилитами ЦС выпускаем по запросу сертификат, утилитами ЦР устанавливаем его в "Личные" локального компьютера, из файла добавляем его в "Доверенные ЦР" на Центре Сертификации, его же прописываем в окне подключения ЦР к ЦС, в строке подключения к ЦС вводим адрес https://<имя_сервера_как_в_сертификате_веб-сервера>/ca/ca.asp
Тестируем соединение.
Ставим АРМ, из АРМа создаем запрос на сертификат привилегированного пользователя, на ЦР выпускаем по нему сертификат, через консоль АРМа устанавливаем сертификат в хранилище "Личные" текущего пользователя. Проверяем, что на этой машине в хранилище "Доверенные корневые" текущего пользователя есть корневой сертификат ЦС, создаем подключение к ЦР, тестируем подключение.
07.12.2007 17:30:41.
Спасибо большое за раъяснения! Многое стало понятно.

Сейчас такой вопрос: ЦС и ЦР по прежнему на одном компьютере. Нужно ли в таком случае выпускать сертификат Web-сервера ЦР?
Если да, куда его устанавливать? В IIS назначается только 1 сертификат на сервер. Значит ли это, что надо WEB-доступ к ЦР и ЦС разнести на разные виртуальные сервера?
07.12.2007 17:41:41Tatianka
В случае установки на одном компьютере необходимости в выпуске сертификата веб-сервера ЦР нет. (В общем-то схема, приведенная в моем предыдущем сообщении, как раз отражала именно установку на одном компьютере)
08.12.2007 23:46:59.
Здравствуйте!

Следуя вашей инструкции получилось установить ЦР и ЦС, так, чтобы ЦР успешно тестировал соединение. ЦР устанавливал после пункта "из файла добавляем его в "Доверенные ЦР" на Центре Сертификации".

Скажите, пожалуйста, а как выпускать Администратора на ЦР? Я в АРМ'е создал запрос, утилитой ЦС (!) выпустил сертификат клиента (она предупредила, что запрос сертификата не от Центра регистрации и стоит ли такой сертификат выпускать). Установил полученный сертификат в АРМ и, к сожалению, подключение прошло неудачно.

Выдаваемая ошибка АРМ'а:

Номер: -2147467259
Источник: RegistrationCenter.Admin.GetGrantedNameProperties
Описание: Произошла ошибка при подключении к Центру регистрации.
URL: https://ca/ra/ra.wsdl.
Описание ошибки: Некорректный пользовательский сертификат. Доступ запрещен.


Важно: все ПО по прежнему установлено на одной машине.
10.12.2007 10:59:43Tatianka
Ну Вы руководства все-таки читайте хотя бы иногда....
Сертификат привилегированного пользователя Центра Регистрации (Администратора или Оператора АРМ) выпускается по запросу непосредственно на Центре Регистрации. Для этого нужно открыть консоль "Параметры Центра Регистрации", развернуть меню в левой части до слова "ЦР на Default Web Site" (или на каком у Вас веб-узле ЦР?), правой кнопкой мыши щелкнуть по этому слову, там будет в контекстном меню задача "Создать" - "Привилегированного пользователя".
10.12.2007 20:42:42.
спасибо большое! С вашей помощью получилось настроить АРМ администратора.

Сейчас же, я зашел на страницу вэб-интерфейса (/certsrv/) и начал выписывать сертификат для клиентской машины, выбрал Крипто-ПРО в качестве криптопровайдера, однако на следующей странице получил сообщение:
"Certificate Request Denied
Your certificate request was denied."

В консоли Certification Authority статус сертификатов следующий: "Denied by Policy Module".

В Event Log сделующая запись:

Event Type: Warning
Event Source: CertSvc
Event Category: None
Event ID: 53
Date: 10.12.2007
Time: 9:31:54
User: N/A
Computer: CA
Description:
Certificate Services denied request 7 because An unknown error occurred while processing the certificate. 0x80090327 (-2146893017). The request was for CN=p, E=p, OU=MCS, O=FVS, L=MOSCOW, S=RU, C=RU. Additional information: Denied by Policy Module

Event Type: Error
Event Source: VBRuntime
Event Category: None
Event ID: 1
Date: 10.12.2007
Time: 9:25:02
User: N/A
Computer: CA
Description:
The VB Application identified by the event source logged this Application CAPolicy: Thread ID: 956 ,Logged:
Ошибка при обработке запроса на сертификат модулем политики:
Источник: CA_CryptoProDefault.Policy.Step_DNPolicy
Номер: 0x80041001 (-2147217407)
Описание: Запрос отклонен политикой имен DN ЦС, компонент имени '2.5.4.11' не корректен или имеет некорректный порядок в имени

Если не заполнять поле OU (как раз 2.5.4.11), появляется та же ошибка на 2.5.4.10, потом 2.5.4.7...

Методом проб и ошибок выяснилось, что сертификат выписывается при заполнении только поля Name.
18.12.2007 17:12:55maxim.korobov
Нашел ответ в других темах. Странное это ограничение в порядке следования полей сертификата.

Скажите, пожалуйста, SOAP-клиенту достаточно в используемом сертификате иметь следующие права или для вызова функций по SOAP нужен другой набор?
Права:
Client Authentication(1.3.6.1.5.5.7.3.2)
Центр Регистрации, КриптоПро ЦР, HTTP,TLS клиент(1.2.643.2.2.34.7)
18.12.2007 17:21:49Tatianka
Если это просто SOAP-клиент, то ему поле "Центр Регистрации...." не нужно. Только Client Authentication.
20.12.2007 19:28:57.
Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора?
20.12.2007 19:29:12.
Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора?
20.12.2007 19:29:44..
Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора?
20.12.2007 19:30:12maxim.korobov
Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора?
20.12.2007 19:31:00maxim.korobov
Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора?