| ||||
| ||||
| Вопросы: 1. Согласно руководству, установил CSP, TLS, Утилиты (2), ЦС и ЦР. По HTTP вэб-интерфейс работает. По HTTPS - "страница не найдена". В чем наиболее вероятно может быть ошибка? Сертификат вэб-серверу выдан, установлен в Directory Security. Сертификат пользователя также выдан и установлен на машине. При доступе через IE сертификат сервера принимается. После приема,пользовательский сертификат отображается в списке для выбора сертификата текущего сеанса. 2. Обновления, IIS и все, кроме ЦС и ЦР установлено. Начинаю устанавливать ЦС. Изменяю свойство ЦС "Модуль политики", меняю с "Модуль политики предприятия и изолированной политики" на "Модуль политики Крипто-Про УЦ". Требуется рестарт -> после рестарта ЦС возникает ошибка: "This key is already associated with an element of this collection" (http://img217.imageshack.us/img217/3516/46323080az5.png). О чем это? 3. Сначала устанавливается полностью ЦС, потом полностью ЦР, а потом ЦР связывают с ЦС, так? | ||||
| Ответы: | ||||
| ||||
| 1. "При доступе через IE сертификат сервера принимается" - можно прокомментировать? И про какой веб-сервер это - ЦС или ЦР ? 2. Если у Вас КриптоПро УЦ версии 1.2 - см. https://www.cryptopro.ru:9443/cryptopro/news/default.asp?n=128 А вообще рекомендуется использовать версию 1.4. 3. Да. | ||||
| ||||
| >> 1. "При доступе через IE сертификат сервера принимается" - можно прокомментировать? И про какой веб-сервер это - ЦС или ЦР ? 1: а) Согласно инструкции, "вэб-серверу по умолчанию" (который создается при установке IIS) устанавливаю сертификат, созданный с помощью "утилиты". б) Какой именно, не знаю. Не обратил внимания, что утилита создания сертификата есть для обоих подсистем. Возможно, в этом ошибка. >> 2. Если у Вас КриптоПро УЦ версии 1.2 - см. https://www.cryptopro.ru:9443/cryptopro/news/default.asp?n=128 А вообще рекомендуется использовать версию 1.4. Самая новая на момент 11.08.2003. Ссылка не открывается. 3. Да. Тогда наиболее вероятно, что в первом пункте использовалась утилита ЦС. | ||||
| ||||
| Еще такая проблема: 4. После установки службы сообщений и при попытке изменить ее параметры через MMC, выдается сообщение, что компьютер не входит в домен, в следствие чего параметры не доступны. Компьютер действительно не входит в домен. Как это повлияет на работу ЦР и ЦС? | ||||
| ||||
| Пожалуйста, помогите. Стоит проект. | ||||
| ||||
| UP | ||||
| ||||
| Опишите, пожалуйста, по порядку. У Вас ЦС с ЦР на одной машине? Какая там операционная система? Какую версию/сборку КриптоПро CSP Вы используете? Когда Вы открываете страницы https://<имя_сервера_ЦС>/ca/ca.wsdl и https://<имя_сервера_ЦС>/ca/ca.asp через IE - есть ли какие-нибудь предупреждения или сообщения об ошибках, удается ли открыть страницы? Совпадает ли имя в сертификате веб-сервера с именем сервера, по которому Вы обращаетесь к ЦС? В данную Вам ссылку действительно вкралась опечатка, должно быть: http://www.cryptopro.ru/cryptopro/news/default.asp?n=128 | ||||
| ||||
| 1. ЦС с ЦР на одной машине; 2. Windows 2000 Server (5.00.2195 SP4); 3. КриптоПро CSP 2.0 (Build 2089); 4. К сожалению, прошло достаточно времени и я забыл на какой стадии экспериментов с доступом остановился. Сейчас, при попытке открыть через http выдается ошибка HTTP 403 "У вас нет прав для просмотра этой страницы", через https - "Невозможно отобразить страницу". 5. Неудается открыть страницы. 6. Имя совпадает. | ||||
| ||||
| Лучше использовать сборку CSP 2104 (она сейчас выложена у нас на сайте). В каком состоянии лицензия на TLS-сервер? | ||||
| ||||
| Сборку возьму. TLS-лицензия активирована. Истекает через чуть меньше 3 месяцев. | ||||
| ||||
| При переустановке CSP обратите внимание, что переустанавливаются и CSP, и TLS, причем сначала удаляется TLS, затем CSP. Ставится сначала CSP, затем TLS. | ||||
| ||||
| После переустановки CSP проверьте, что служба сертификации запускается нормально, еще раз попробуйте открыть страницы через IE. Если не откроются - пришлите мне на е-майл tatianka@cryptopro.ru ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\My, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\CA | ||||
| ||||
| Еще такая проблема: 4. После установки службы сообщений и при попытке изменить ее параметры через MMC, выдается сообщение, что компьютер не входит в домен, в следствие чего параметры не доступны. Компьютер действительно не входит в домен. Как это повлияет на работу ЦР и ЦС? | ||||
| ||||
| А зачем Вам менять параметры службы очереди сообщений? Вхождение или не вхождение в домен на работоспособность УЦ не повлияет. | ||||
| ||||
| Сделал новую машинку на A. Server 2000. Установил рекомендуемые версии CSP и TLS. Сейчас прошел, согласно руководству, все стадии установки ЦС. На этапе завершения установки самого ЦС выскочила ошибка, такая же, как были представлена на картинке: http://img217.imageshack.us/img217/3516/46323080az5.png При рестарте системы (по требованию инсталлятора) были запрошены пароли на контейнеры CA (контейнер, создаваемый при установке службы сертификации) и вэб-сервера (галки запоминания пароля не устанавливал) и ошибка возникла вновь. | ||||
| ||||
| Ремарка: Имена CA, вэб-сервера, установленного ЦС одинаковы. Возможно, так нельзя делать. | ||||
| ||||
| При попытке настройки Модуля политики помимо упомянутого ошибки выскакивает сообщение "Object Required": http://img401.imageshack.us/img401/5857/aaaxt3.png | ||||
| ||||
| Имена на влияют. Главное - чтобы имя в сертификате веб-сервера совпадало с именем, по которому к этому серверу обращаются пользователи. Что касается ошибки при старте ЦС - с рекомендациями по ссылке http://www.cryptopro.ru/cryptopro/news/default.asp?n=128 Вы ознакомились? | ||||
| ||||
| Простите, не придавал данной иноформации значения раньше. После выполнения действий, данная ошибка исчезла. | ||||
| ||||
| Здравствуйте! Что означает ошибка 0x152B при попытке протестировать соединение ЦР? Скрин: http://img340.imageshack.us/my.php?image=dsfmw2.png | ||||
| ||||
| Прошу прощения. Вот скрин: http://img340.imageshack.us/img340/3223/dsfmw2.png | ||||
| ||||
| Рекомендуется указывать в строке с адресом для подключения то же самое имя сервера, которое указано у Вас в поле Common Name сертификата веб-сервера. | ||||
| ||||
| Я поменял имя, но ошибка осталась | ||||
| ||||
| А если пробовать открыть страницу https://<имя_сервера>/ca/ca.wsdl через IE? Тот же вопрос для страницы https://<имя_сервера>/ca/ca.asp | ||||
| ||||
| https сознательно не использую. На скриншоте видно "http". Объясню: в мои задачи стоит организовать взаимодействие своей программы черех SOAP с ЦР/ЦС. Тестируется на локальном сервере. А настройка реального сервера (с выпиской сертификатов для пользователей сервера) лежит на плечах системного администратора. Так как при установке ПО сразу не получилось правильно настроить работу на основе сертификатов, просто отказался от проблемы дабы сэкономить время. | ||||
| ||||
| А, извините, не обратила внимания, что это http. Не будет работать. "ЦС взаимодействует только с Центром Регистрации или несколькими Центрами Регистрации по отдельному сегменту локальной сети с использованием защищенного сетевого протокола." - КриптоПро УЦ Общее описание. | ||||
| ||||
| А если ЦС и ЦР установлены на одной машине? :) | ||||
| ||||
| Все равно по защищенному каналу взаимодействуют. | ||||
| ||||
| Поясните, пожалуйста, если на одном компьютере установлены ЦС и ЦР, где (окна настроек, хранилища сертификатов) и какие должны быть установлены сертификаты. И тоже самое для сертификата на клиентской машине. | ||||
| ||||
| "КриптоПро УЦ Руководство по установке". Краткий конспект: Ставим КриптоПро CSP, IIS, службу очередей сообщений. Устанавливаем службу сертификации, она выпускает себе сертификат (если нужны дополнительные политики сертификата - предварительно создаем файл CAPolicy.inf), устанавливает его в "Доверенные корневые" локального компьютера и в "Личные" локального компьютера. Ставим Утилиты ЦС, выпускаем сертификат веб-сервера, утилиты его автоматически ставят в "Личные" локального компьютера, вручную устанавливаем его в "безопасность каталога" на веб-узле на IIS. Ставим ЦС. Ставим утилиты ЦР, делаем запрос на клиентский сертификат ЦР, утилитами ЦС выпускаем по запросу сертификат, утилитами ЦР устанавливаем его в "Личные" локального компьютера, из файла добавляем его в "Доверенные ЦР" на Центре Сертификации, его же прописываем в окне подключения ЦР к ЦС, в строке подключения к ЦС вводим адрес https://<имя_сервера_как_в_сертификате_веб-сервера>/ca/ca.asp Тестируем соединение. Ставим АРМ, из АРМа создаем запрос на сертификат привилегированного пользователя, на ЦР выпускаем по нему сертификат, через консоль АРМа устанавливаем сертификат в хранилище "Личные" текущего пользователя. Проверяем, что на этой машине в хранилище "Доверенные корневые" текущего пользователя есть корневой сертификат ЦС, создаем подключение к ЦР, тестируем подключение. | ||||
| ||||
| Спасибо большое за раъяснения! Многое стало понятно. Сейчас такой вопрос: ЦС и ЦР по прежнему на одном компьютере. Нужно ли в таком случае выпускать сертификат Web-сервера ЦР? Если да, куда его устанавливать? В IIS назначается только 1 сертификат на сервер. Значит ли это, что надо WEB-доступ к ЦР и ЦС разнести на разные виртуальные сервера? | ||||
| ||||
| В случае установки на одном компьютере необходимости в выпуске сертификата веб-сервера ЦР нет. (В общем-то схема, приведенная в моем предыдущем сообщении, как раз отражала именно установку на одном компьютере) | ||||
| ||||
| Здравствуйте! Следуя вашей инструкции получилось установить ЦР и ЦС, так, чтобы ЦР успешно тестировал соединение. ЦР устанавливал после пункта "из файла добавляем его в "Доверенные ЦР" на Центре Сертификации". Скажите, пожалуйста, а как выпускать Администратора на ЦР? Я в АРМ'е создал запрос, утилитой ЦС (!) выпустил сертификат клиента (она предупредила, что запрос сертификата не от Центра регистрации и стоит ли такой сертификат выпускать). Установил полученный сертификат в АРМ и, к сожалению, подключение прошло неудачно. Выдаваемая ошибка АРМ'а: Номер: -2147467259 Источник: RegistrationCenter.Admin.GetGrantedNameProperties Описание: Произошла ошибка при подключении к Центру регистрации. URL: https://ca/ra/ra.wsdl. Описание ошибки: Некорректный пользовательский сертификат. Доступ запрещен. Важно: все ПО по прежнему установлено на одной машине. | ||||
| ||||
| Ну Вы руководства все-таки читайте хотя бы иногда.... Сертификат привилегированного пользователя Центра Регистрации (Администратора или Оператора АРМ) выпускается по запросу непосредственно на Центре Регистрации. Для этого нужно открыть консоль "Параметры Центра Регистрации", развернуть меню в левой части до слова "ЦР на Default Web Site" (или на каком у Вас веб-узле ЦР?), правой кнопкой мыши щелкнуть по этому слову, там будет в контекстном меню задача "Создать" - "Привилегированного пользователя". | ||||
| ||||
| спасибо большое! С вашей помощью получилось настроить АРМ администратора. Сейчас же, я зашел на страницу вэб-интерфейса (/certsrv/) и начал выписывать сертификат для клиентской машины, выбрал Крипто-ПРО в качестве криптопровайдера, однако на следующей странице получил сообщение: "Certificate Request Denied Your certificate request was denied." В консоли Certification Authority статус сертификатов следующий: "Denied by Policy Module". В Event Log сделующая запись: Event Type: Warning Event Source: CertSvc Event Category: None Event ID: 53 Date: 10.12.2007 Time: 9:31:54 User: N/A Computer: CA Description: Certificate Services denied request 7 because An unknown error occurred while processing the certificate. 0x80090327 (-2146893017). The request was for CN=p, E=p, OU=MCS, O=FVS, L=MOSCOW, S=RU, C=RU. Additional information: Denied by Policy Module Event Type: Error Event Source: VBRuntime Event Category: None Event ID: 1 Date: 10.12.2007 Time: 9:25:02 User: N/A Computer: CA Description: The VB Application identified by the event source logged this Application CAPolicy: Thread ID: 956 ,Logged: Ошибка при обработке запроса на сертификат модулем политики: Источник: CA_CryptoProDefault.Policy.Step_DNPolicy Номер: 0x80041001 (-2147217407) Описание: Запрос отклонен политикой имен DN ЦС, компонент имени '2.5.4.11' не корректен или имеет некорректный порядок в имени Если не заполнять поле OU (как раз 2.5.4.11), появляется та же ошибка на 2.5.4.10, потом 2.5.4.7... Методом проб и ошибок выяснилось, что сертификат выписывается при заполнении только поля Name. | ||||
| ||||
| Нашел ответ в других темах. Странное это ограничение в порядке следования полей сертификата. Скажите, пожалуйста, SOAP-клиенту достаточно в используемом сертификате иметь следующие права или для вызова функций по SOAP нужен другой набор? Права: Client Authentication(1.3.6.1.5.5.7.3.2) Центр Регистрации, КриптоПро ЦР, HTTP,TLS клиент(1.2.643.2.2.34.7) | ||||
| ||||
| Если это просто SOAP-клиент, то ему поле "Центр Регистрации...." не нужно. Только Client Authentication. | ||||
| ||||
| Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора? | ||||
| ||||
| Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора? | ||||
| ||||
| Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора? | ||||
| ||||
| Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора? | ||||
| ||||
| Простите за глупый вопрос. А как это сделать? Я имею ввиду выпустить клиентский сертификат на компьютере ЦР/ЦС/АРМ Администратора? | ||||
Maxim Korobov