Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

11 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline vadjunik  
#1 Оставлено : 3 ноября 2021 г. 16:00:00(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Приветствую!
По прошествии нескольких лет после того, как я разбирался с УЦ, меня опять привлекли к решению проблемы с ним, в частности "ничего не работает" )) Как я понимаю, после успешной настройки комплекса, был отлажен наш код и про сервер благополучно забыли (перешли в контур клиента). Но вот понадобилось вернуть процесс отладки у себя внутри. Выяснилось, что УЦ потерял работоспособность - попротухали сертификаты ( Судя по картине, которую я наблюдаю были некие судорожные попытки оживить, но успеха не достигли - реестр забит одноименными сертификатами админов и самого ЦС, где не попадя ( С разными сроками годности, где-то с приватными ключами, где-то нет.
Очень не хочется сносить и переставлять.
Можете помочь с оживлением полутрупа? )
Лицензии все обновил (партнерские, неограниченные).

Была идея в том, чтобы не трогая существующие настройки (сертификаты, пользователи и пр.) создать новые, оживить функционал и потом зачистить все старое. В результате неаккуратного взмаха шашкой (хотел удалить админа) удалил из ветки "Центры регистрации" сервера ЦС, существовавший там, ЦР. Однако, сама служба ЦР никуда не далась и присутствует рядом. Но при попытке добавить ЦР, консоль мне предлагает только создание новый. Есть варианты?

UserPostedImage

В итоге образовалось несколько проблем - не могу создать нового админа ЦР. Сам ЦР (через свою консоль) не может подключиться к ЦС.
При попытке зайти браузером на страницу ЦР (https://ib-crypto1/RA) - 503-я ошибка. Хотя сам сервис работает. При проверке связи с ЦС из консоли ЦР - "Не удается установить связь с центром регистрации".

По рекомендации, которую нашел тут на форуме, снял лог (https://yadi.sk/d/Q2zmv8DcWwFRDw).

Отредактировано пользователем 3 ноября 2021 г. 16:03:25(UTC)  | Причина: Симантика

Online Захар Тихонов  
#2 Оставлено : 3 ноября 2021 г. 16:11:27(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Здравствуйте.
Если лицензии все введены, то процесс восстановления прост.
1. Требуется действующий ключ ЦС. У вас три админа, не ясно для чего, но хоть у одного должен быть действующий ключ ЦС. Если нет ни у кого действующего ключа, то выберете любого и выполните смену ключа ЦС.
2. Смените веб сертификат ЦС. Сервер ЦС - службы. Там кнопка "+". DNS имя укажите которое было в старом веб сертификате (наверно оно будет равным dns имени сервера).
3. То что вы удалили ЦР - не страшно. Добавляете там новый ЦР. Там будет предложение указать клиентский сертификат ЦР - выбирайте пункт создать новый ключ. Остальное следуйте мастеру.
4. Сервер ЦР - Изменить, следуйте мастеру, когда будет выбор клиентского сертификата, выберите тот сертификат который вы получили на шаге 3.
5. Выпускайте сертификат Администратору ЦР.

Подробно шаги по выпуску сертификатов описаны в ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#3 Оставлено : 3 ноября 2021 г. 16:48:23(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Если лицензии все введены, то процесс восстановления прост.

Это не может не радовать ))

Автор: Захар Тихонов Перейти к цитате
1. Требуется действующий ключ ЦС. У вас три админа, не ясно для чего
Два админа были сделаны не мной (зачем - хз, подозреваю, что предшественники шли примерно моим же путем)), насчет смены ключа мысль была, но решил что будет нагляднее создать начисто нового, мой - Цезарь - ключ у него актуальный. В последствии хочу старых удалить, надеюсь, это же возможно сделать безболезненно?

Автор: Захар Тихонов Перейти к цитате
3. То что вы удалили ЦР - не страшно. Добавляете там новый ЦР. Там будет предложение указать клиентский сертификат ЦР - выбирайте пункт создать новый ключ. Остальное следуйте мастеру.


UserPostedImage

ЦР создался, видимо, по имени хоста подтянулись старые уже просроченные сертификаты. Их можно как-то удалить?

Автор: Захар Тихонов Перейти к цитате
когда будет выбор клиентского сертификата, выберите тот сертификат который вы получили на шаге 3.
Однако, этот сертификат не предлагает - только веб-сертификат самого ЦС и несколько старых протухших (

Отредактировано пользователем 3 ноября 2021 г. 16:56:45(UTC)  | Причина: Не указана

Online Захар Тихонов  
#4 Оставлено : 3 ноября 2021 г. 16:59:44(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: vadjunik Перейти к цитате

ЦР создался, видимо, по имени хоста подтянулись старые уже просроченные сертификаты. Их можно как-то удалить?


Вы указали старую учетку, они сертификаты привязаны к учетке в IIS system.webServer/security/authentication/iisClientCertificateMappingAuthentication
Да, их можно удалить, если вам они мешают.

Автор: vadjunik Перейти к цитате
Однако, этот сертификат не предлагает - только веб-сертификат самого ЦС и несколько старых протухших (


Выбирайте пункт из Файла, а не из хранилища. И выберите тот сертификат который вы сохранили из шаге 3.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#5 Оставлено : 3 ноября 2021 г. 18:15:28(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Выбирайте пункт из Файла, а не из хранилища. И выберите тот сертификат который вы сохранили из шаге 3.

Ок. Да, продвинулся. Теперь при проверки связи с ЦР из "консоли ЦР" пишет, что "произошла непредвиденная ошибка", за подробностями в журнал, в журнале следующее:

Код:
При синхронизации количества пользователей с ЦС Пробный корневой УЦ получено исключение.
System.ServiceModel.Security.MessageSecurityException: Запрос HTTP запрещен для схемы аутентификации клиентов "Anonymous". ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (403) Запрещено.
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   --- Конец трассировки внутреннего стека исключений ---

Server stack trace: 
   в System.ServiceModel.Channels.HttpChannelUtilities.ValidateAuthentication(HttpWebRequest request, HttpWebResponse response, WebException responseException, HttpChannelFactory`1 factory)
   в System.ServiceModel.Channels.HttpChannelUtilities.ValidateRequestReplyResponse(HttpWebRequest request, HttpWebResponse response, HttpChannelFactory`1 factory, WebException responseException, ChannelBinding channelBinding)
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   в System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)
   в System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
   в System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
   в System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]: 
   в System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
   в System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
   в CertificateService.ServiceContracts.ICertRequestContract.UpdateRegInfo(String authority, Boolean isIncreased, Int32 updatedUserCount)
   в CertificateService.Client.CertRequestContractAdapter.UpdateRegInfo(String authority, Boolean isIncreased, Int32 updatedUserCount)
   в RegistrationService.RegSrv.CertAuthClient.UpdateRegInfo(String authorityName, String authorityUrl, Byte[] clientCertificate, Int32 userCount)
   в RegistrationService.RegSrv.UpdateRegInfoTask.Execute(IScriptContext`1 context)


Все происходит на одной физической машине, зачем консоль ходит через прокси?
И продолжает смущать, что по веб-интерфейсу ЦР (https://ib-crypto1/RA) 503-я ошибка. Или это нормально?

Отредактировано пользователем 3 ноября 2021 г. 18:18:26(UTC)  | Причина: Не указана

Online Захар Тихонов  
#6 Оставлено : 8 ноября 2021 г. 8:15:10(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: vadjunik Перейти к цитате

Все происходит на одной физической машине, зачем консоль ходит через прокси?

Есть DNS имя на которое ходит Консоль ЦР. Видимо так устроена ваша сеть, что надо ходить на прокси. Либо исключайте прокси, либо указывайте его в конфиге

Цитата:

Настройки прокси можно регулировать с помощью элемента <defaultProxy> в конфигурационном файле Консоли управления ЦР (RegistrationService.RemoteConsole.exe.config).

Описание - https://msdn.microsoft.c...cf2ex%28v=vs.110%29.aspx

По умолчанию этого элемента нет, означает использование настроек Internet Explorer, но без использования учетных данных для доступу к прокси. Чтобы использовались учётные данные, нужно установить useDefaultCredentials в true:

<system.net>
<defaultProxy useDefaultCredentials="true"/>
</system.net>



но ошибка не похожа на прокси. Пришлите вывод выполнения команды Ping-CA в командной строке управления УЦ (администратор)
И приложите ваш веб сертификат.

Автор: vadjunik Перейти к цитате

И продолжает смущать, что по веб-интерфейсу ЦР (https://ib-crypto1/RA) 503-я ошибка. Или это нормально?

Да, нормально. Надо ходить либо на веб портал ЦР https://ib-crypto1/ui, либо на сервис http://ib-crypto1/RA/TableService.svc (с предъявлением сертификата)


Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#7 Оставлено : 8 ноября 2021 г. 10:23:27(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
но ошибка не похожа на прокси. Пришлите вывод выполнения команды Ping-CA в командной строке управления УЦ (администратор)


Код:
PS C:\> Get-CAReference

AuthorityName     : Пробный корневой УЦ 2012 (512)
Url               : https://ib-crypto1/ca
ClientCertificate : [Subject]
                      CN=IBRC20, CN=ib-crypto1, OU=ПЦ, O=R-Style softlab, L=Москва

                    [Issuer]
                      CN=Пробный корневой УЦ 2012 (512), O=R-Style softlab, OU=ПЦ, L=Москва, ИНН=771919844000, ОГРН=1027700301991

                    [Serial Number]
                      11E65A7C290C009A90EC11AA3C15B1B41C

                    [Not Before]
                      03.11.2021 16:19:54

                    [Not After]
                      03.02.2023 16:29:54

                    [Thumbprint]
                      B7496E5699E43115C953420CE25982CC50DA9D55

Primary           : True
RevokeOnly        : False

AuthorityName     : Пробный корневой УЦ
Url               : https://ib-crypto1/ca
ClientCertificate : [Subject]
                      CN=Пробный ЦР, CN=ib-crypto1, OU=ТЕСТ, O=ТЕСТ, L=Москва, S=Москва, C=RU

                    [Issuer]
                      CN=Пробный корневой УЦ, O=ТЕСТ, OU=ТЕСТ, STREET=ТЕСТ, L=Москва, S=Москва, C=RU, ИНН=007717107991, ОГРН=1037700085444

                    [Serial Number]
                      00E65A7C290C00EE91E7112DC90122EFD7

                    [Not Before]
                      14.11.2017 14:10:41

                    [Not After]
                      14.02.2019 14:20:41

                    [Thumbprint]
                      4AFEAFE97B65FC9CEA4CDADCAD120DFFDAAE7CC2

Primary           : False
RevokeOnly        : False



PS C:\> Ping-CA -AuthorityName "Пробный корневой УЦ 2012 (512)"
Ping-CA : Центр регистрации не имеет достаточно прав для обращения к центру сертификации Пробный корневой УЦ 2012 (512).
At line:1 char:1
+ Ping-CA -AuthorityName "Пробный корневой УЦ 2012 (512)"
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand



Обычный ЦС (с ГОСТ 2001) не используется (только с ГОСТ 2012). Видимо тож остался с прошлых экспериментов.

Автор: Захар Тихонов Перейти к цитате
И приложите ваш веб сертификат.

Речь про сертификат, который использован при добавлении ЦР в ЦС же?
Вот этот?

UserPostedImage

Положил на ЯД https://yadi.sk/d/xvCCL4e6y1DQ0w

Отредактировано пользователем 8 ноября 2021 г. 10:24:34(UTC)  | Причина: Ошибка в разметке ответа

Online Захар Тихонов  
#8 Оставлено : 8 ноября 2021 г. 10:43:57(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
А прокси у вас используется?
Какие права у учетной записи ЦР настроены в безопасность и аудит? 2.png (73kb) загружен 12 раз(а).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#9 Оставлено : 8 ноября 2021 г. 12:04:26(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
А прокси у вас используется?

UserPostedImage

Указан, но доступ только авторизованный (доменный логин/пароль). Проверил с отключением прокси - точно такая же картина. Консоль ЦР перезапускал.

Автор: Захар Тихонов Перейти к цитате
Какие права у учетной записи ЦР настроены в безопасность и аудит?


Права полные:
UserPostedImage

Вот еще на всяк случай - серт, определенный для админа ЦР

UserPostedImage

и он же используется для подключения к ЦР из консоли, верно?

UserPostedImage

Отредактировано пользователем 8 ноября 2021 г. 12:32:46(UTC)  | Причина: Проверка со сменой настройки прокси

Online Захар Тихонов  
#10 Оставлено : 8 ноября 2021 г. 12:37:42(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
а точно эта учетка у ЦР (посмотреть можно перейдя на вкладку Центры регистрации)?
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.