Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
11 Страницы<12345>»
Восстановление работоспособности УЦ 2.0
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline vadjunik  
#21 Оставлено : 9 ноября 2021 г. 15:54:47(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Любой ключ можно вывести из эксплуатации. С права есть этот пункт в Диспетчере УЦ, после выделения любого ключа ЦС.

Увы, в моем случае это не так ( Видимо, что-то сломано.

UserPostedImage

Автор: Захар Тихонов Перейти к цитате
Укажите установленную версию КриптоПро CSP.

Версия продукта: 4.0.9842
Версия ядра: 4.0.9014 КС2

Автор: Захар Тихонов Перейти к цитате
Пришлите вывод Get-CAReference


Код:
PS C:\> Get-CAReference


AuthorityName     : Пробный корневой УЦ 2012 (512)
Url               : https://ib-crypto1/ca
ClientCertificate : [Subject]
                      CN=IBRC20, CN=ib-crypto1, OU=ПЦ, O=R-Style softlab, L=Москва

                    [Issuer]
                      CN=Пробный корневой УЦ 2012 (512), O=R-Style softlab, OU=ПЦ, L=Москва, ИНН=771919844000, ОГРН=1027700301991

                    [Serial Number]
                      11E65A7C290C009A90EC11AA3C15B1B41C

                    [Not Before]
                      03.11.2021 16:19:54

                    [Not After]
                      03.02.2023 16:29:54

                    [Thumbprint]
                      B7496E5699E43115C953420CE25982CC50DA9D55

Primary           : True
RevokeOnly        : False

AuthorityName     : Пробный корневой УЦ
Url               : https://ib-crypto1/ca
ClientCertificate : [Subject]
                      CN=Пробный ЦР, CN=ib-crypto1, OU=ТЕСТ, O=ТЕСТ, L=Москва, S=Москва, C=RU

                    [Issuer]
                      CN=Пробный корневой УЦ, O=ТЕСТ, OU=ТЕСТ, STREET=ТЕСТ, L=Москва, S=Москва, C=RU, ИНН=007717107991, ОГРН=1037700085444

                    [Serial Number]
                      00E65A7C290C00EE91E7112DC90122EFD7

                    [Not Before]
                      14.11.2017 14:10:41

                    [Not After]
                      14.02.2019 14:20:41

                    [Thumbprint]
                      4AFEAFE97B65FC9CEA4CDADCAD120DFFDAAE7CC2

Primary           : False
RevokeOnly        : False

Вверх
Offline Захар Тихонов  
#22 Оставлено : 10 ноября 2021 г. 8:16:05(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,177
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
У тех ключей, у которых нет данного пункта - значит они выведены из эксплуатации.

По поводу ошибки. Вы отключили прокси?
Без прокси соберите лог согласно https://support.cryptopr...pomoshhju-svctraceviewer
Потребуется перезапустить IIS и ЦР. Выполнить Ping-CA и снова перезапустить службы. Потом приложить полученные файлы.
А также, имеется установленный антивирус?
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vadjunik  
#23 Оставлено : 10 ноября 2021 г. 10:40:26(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
У тех ключей, у которых нет данного пункта - значит они выведены из эксплуатации.


Ясно, однако, не получается удалить и уже ненужного администратора с недоступными ключами.

UserPostedImage

Есть ключи вроде как с указанным типом использования, но уже просроченные. Но вывести из эксплуатации их тоже не получается.

UserPostedImage

Замкнутый круг (( Попахивает переустановкой?

Автор: Захар Тихонов Перейти к цитате
По поводу ошибки. Вы отключили прокси?
Без прокси соберите лог согласно https://support.cryptopr...pomoshhju-svctraceviewer
Потребуется перезапустить IIS и ЦР. Выполнить Ping-CA и снова перезапустить службы. Потом приложить полученные файлы.

Собрал все логи (с прокси, без и без после перезагрузки) https://yadi.sk/d/Fyfuixqz_S-pFw
Сейчас прокси отключен, разницы нет (( Что интересно СРАЗУ после перезапуска самого компа, пинг сработал, хоть и с предупреждением, но потом все вернулось взад (

Автор: Захар Тихонов Перейти к цитате
А также, имеется установленный антивирус?

Нет, антивируса никакого не установлено.

Глянул лог вывода пинга ЦС, ругается на сертификат связи HTTPS, но он вроде как корректный - менял недавно.
UserPostedImage

Вот еще, обратил внимание, что в IIS для всех сервисов определены свои пулы приложения, может в их настройках что-то отломано?

UserPostedImage

Отредактировано пользователем 10 ноября 2021 г. 10:43:49(UTC)  | Причина: Не указана
Вверх
Offline Захар Тихонов  
#24 Оставлено : 10 ноября 2021 г. 11:16:57(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,177
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
Автор: vadjunik Перейти к цитате

Есть ключи вроде как с указанным типом использования, но уже просроченные. Но вывести из эксплуатации их тоже не получается.


Почему не удается вывести ключ с индексом 5? Какая-то ошибка? (до этого вы показывали что нет кнопки про вывод ключа с индексом 1)

Автор: vadjunik Перейти к цитате

Собрал все логи (с прокси, без и без после перезагрузки) https://yadi.sk/d/Fyfuixqz_S-pFw
Сейчас прокси отключен, разницы нет (( Что интересно СРАЗУ после перезапуска самого компа, пинг сработал, хоть и с предупреждением, но потом все вернулось взад (


Отключите и не используйте прокси, если вы не настраиваете конфиги УЦ под ваше прокси.
Судя по приложенным командам из папки ProxyOFF_after_reboot работает, но потом ломается. Сервер в домене, dns сервер имеется? Сервер - это виртуалка? Может перенастроите сетевой интерфейс на выделенный IP и поправите файл host. И после проверьте связь.



Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vadjunik  
#25 Оставлено : 10 ноября 2021 г. 12:31:31(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Почему не удается вывести ключ с индексом 5? Какая-то ошибка?
Так на скриншоте же "не может быть изготовлен список отзыва", а его изготовить невозможно, т.к. ключ "недоступен" и не может быть загружен соответственно. Потому и замкнутый круг. Удалить админа УЦ (думал так автоматически грохнуть ненужные ключи) тож невозможно (приводил скрин): "Отмена регистрации Администратора ЦС для экземпляра службы невозможна из-за наличия связанных сертификатов".

Автор: Захар Тихонов Перейти к цитате
(до этого вы показывали что нет кнопки про вывод ключа с индексом 1)
Привел для примера, таких куча (по скрину видно). Его ни удалить, не вывести невозможно. Есть админ УЦ (Преображенский) у которого только один ключ, он "недоступен", но грохнуть этого админа всеравно невозможно ((

Автор: vadjunik Перейти к цитате
Отключите и не используйте прокси, если вы не настраиваете конфиги УЦ под ваше прокси.
Судя по приложенным командам из папки ProxyOFF_after_reboot работает, но потом ломается. Сервер в домене, dns сервер имеется? Сервер - это виртуалка? Может перенастроите сетевой интерфейс на выделенный IP и поправите файл host. И после проверьте связь.


Прокси активируется автоматически после перезагрузки машины (может быть политика какая-то так настроена, не в курсе). Вот прямо сейчас пинг УЦ есть:
Код:
PS C:\> Ping-CA
Связь с центром сертификации Пробный корневой УЦ 2012 (512) успешно проверена, но центр сертификации не может выпускать сертификаты в настоящее
время.

Увы, не я занимался разворачиванием данного экземпляра Комплекса. Сервер в рабочей группе. DNS - есть. Однако, пинг самого себя (ib-crypto1) идет по IPv6, отключил, проверяю.
Что собой физически сервер представляет - уточню. Похоже что реальная машина. Статический адрес установить, к сожалению, ни права ни возможности нет.
Вверх
Offline Захар Тихонов  
#26 Оставлено : 10 ноября 2021 г. 12:46:23(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,177
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
По поводу вывода ключей:
1. Пришлите вывод выполнения команды
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -infoCert

2. Ошибка при удалении администратора - хороша, нельзя удалить если ключ использовался для подписи сертификатов пользователей. Так задумано. Если создать нового администратора и выпустить ему ключ. И не загружать его ключ, то тогда можно будет его удалить. Если есть подписанный сертификат или CRL - удалить уже нельзя.

По поводу ошибки со связью:
Вы же понимаете что это сетевая проблема. К УЦ это не относится. Когда Ping-CA работает, то наверняка и Консоль ЦР подключается успешно.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vadjunik  
#27 Оставлено : 10 ноября 2021 г. 13:27:50(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
По поводу вывода ключей:
1. Пришлите вывод выполнения команды
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -infoCert


Вот:



Автор: Захар Тихонов Перейти к цитате
2. Ошибка при удалении администратора - хороша, нельзя удалить если ключ использовался для подписи сертификатов пользователей. Так задумано. Если создать нового администратора и выпустить ему ключ. И не загружать его ключ, то тогда можно будет его удалить. Если есть подписанный сертификат или CRL - удалить уже нельзя.
Фича ) Понятно )

Автор: Захар Тихонов Перейти к цитате
По поводу ошибки со связью:
Вы же понимаете что это сетевая проблема. К УЦ это не относится. Когда Ping-CA работает, то наверняка и Консоль ЦР подключается успешно.

Ну как "работает", пишет же русским по синему:
"Связь с центром сертификации Пробный корневой УЦ 2012 (512) успешно проверена, но центр сертификации не может выпускать сертификаты в настоящее
время." Т.е. что-то с ЦС "не так", хотя по всем атрибутам - норм.

Увы, "Консоль ЦР" все так же подключиться не может, глянул внимательно в лог, после попытки подключения - вижу такое "При синхронизации количества пользователей с ЦС Пробный корневой УЦ получено исключение." Вижу, что в системе определено два ЦС - "обычный" и по ГОСТ-2012. Консоль пытается подключится к "обычному" - зачем? Его можно грохнуть?
Вверх
Offline Захар Тихонов  
#28 Оставлено : 10 ноября 2021 г. 15:34:38(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,177
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
Автор: vadjunik Перейти к цитате




Судя по выводу, ключи начиная с индекс 5 можно вывести. Странно что у вас нет пункта меню в Диспетчере УЦ.
Тогда выведите старые командой
Цитата:
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -controlCert DisableCrlIssuing 5
...
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -controlCert DisableCrlIssuing 16
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -control ApplyConfiguredSettings


Автор: vadjunik Перейти к цитате

Ну как "работает", пишет же русским по синему:
"Связь с центром сертификации Пробный корневой УЦ 2012 (512) успешно проверена, но центр сертификации не может выпускать сертификаты в настоящее
время." Т.е. что-то с ЦС "не так", хотя по всем атрибутам - норм.



Да, такая информация может быть из-за того что ключ для изготовления сертификатов не загружен. Т.е. загрузите ключ с индексом 17 для изготовления сертификатов и проверьте Ping-CA - информация должна поменяться (если связь есть).

Автор: vadjunik Перейти к цитате

Увы, "Консоль ЦР" все так же подключиться не может, глянул внимательно в лог, после попытки подключения - вижу такое "При синхронизации количества пользователей с ЦС Пробный корневой УЦ получено исключение." Вижу, что в системе определено два ЦС - "обычный" и по ГОСТ-2012. Консоль пытается подключится к "обычному" - зачем? Его можно грохнуть?


Консоль ЦР подключается к ЦР, а не к ЦС. Ошибки спамятся в журнал про ЦС "Пробный корневой УЦ" т.к. связи нет с данным ЦС. Судя по выводу Get-CAReference ключ который используется для доступа к данному ЦС истек 14.02.2019 14:20:41.
Предвижу вопрос про удалить связь ЦР с этим ЦС, ответ - нельзя, если выпускались через нее сертификаты. В новой сборке можно пометить это подключение как неиспользуемое, но в старой ничего нельзя сделать, только связь восстанавливать или игнорировать ошибки связанные с этим ЦС.
Консоль ЦР локально расположена на УЦ?

Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vadjunik  
#29 Оставлено : 10 ноября 2021 г. 16:24:09(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Судя по выводу, ключи начиная с индекс 5 можно вывести. Странно что у вас нет пункта меню в Диспетчере УЦ.
Тогда выведите старые
Почти все проблемные ключи удалось вывести из эксплуатации, завис только 16-й ключ (пароль на контейнер 123). Хотя команда и говорит, что выполнилась успешно. Удалить ключи нельзя ибо, да, выпущено "минимум по одному сертификату".

Автор: Захар Тихонов Перейти к цитате
Да, такая информация может быть из-за того что ключ для изготовления сертификатов не загружен. Т.е. загрузите ключ с индексом 17 для изготовления сертификатов и проверьте Ping-CA - информация должна поменяться (если связь есть).


Можете пояснить как так получается, что для одного типа использования ключ доступен, а для другого нет?

UserPostedImage

Хотя при создании я обе "галки" ставил конечно.
Руками пробую загрузить 17-й ключ для выпуска сертифкатов, команда выплняется успешно, но внешне изменений нет:

Код:
PS C:\> certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -controlCert EnableCertificateIssuing 17
Certutil2: -controlCert - команда успешно выполнена.



Автор: Захар Тихонов Перейти к цитате
Консоль ЦР подключается к ЦР, а не к ЦС.
Эт я понимаю, но ЦР в свою очередь же взаимодействует с ЦС же?

Автор: Захар Тихонов Перейти к цитате
Консоль ЦР локально расположена на УЦ?
Да, весь комлект развернут физически на одной машине.
Вверх
Offline Захар Тихонов  
#30 Оставлено : 10 ноября 2021 г. 16:53:17(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,177
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 567 раз в 544 постах
Вы можете любой ключ пометить как не использовать, следующей командой
Цитата:
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -controlCert DisableCrlIssuing DisableCertificateIssuing индекс
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -control ApplyConfiguredSettings

Если какие-то настроены на выпуск CRL, то выполните команду.

Автор: vadjunik Перейти к цитате

Можете пояснить как так получается, что для одного типа использования ключ доступен, а для другого нет?
UserPostedImage
Хотя при создании я обе "галки" ставил конечно.
Руками пробую загрузить 17-й ключ для выпуска сертифкатов, команда выплняется успешно, но внешне изменений нет:


Если был бы скриншот всего окна Агента управления ключами, то более точнее ответ дал бы, а так:
судя по скриншоту ключи ЦС принадлежат разным пользователям. Вы авторизованы под одним, а ключ принадлежит другому. Авторизуйтесь под учеткой Cesar, "запустите агент управлению ключами от имени администратора" и загрузите ключ (ключи для CRL может любой загрузить, у кого есть доступ, а для выпуска сертификатов только та учетка, которая задана)

Автор: vadjunik Перейти к цитате

Да, весь комлект развернут физически на одной машине.


В IE убрали настройки прокси?
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET