Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

11 Страницы«<23456>»
Опции
К последнему сообщению К первому непрочитанному
Offline vadjunik  
#31 Оставлено : 10 ноября 2021 г. 18:05:34(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Вы можете любой ключ пометить как не использовать, следующей командой

Да так и делал, в консоле ЦС ключи (кроме 16-го) изменили значение атрибута "Использование" на "Недоступен". В окне агента по управлению ключами УЦ никаких видимых изменений не произошло.

Автор: vadjunik Перейти к цитате
Если был бы скриншот всего окна Агента управления ключами, то более точнее ответ дал бы..
О! С этим разобрался - под Цезарем ключ погрузился, но под ним (все пользователи входят в группу локальных админов) никаких настроек УЦ нет вообще, не определены ни ЦС, ни ЦР ничего. Однако, ключи а агенте видны все.
Сделал подключение в консоле ЦР под активным юзером (root), сертификат совершенно валидный. Но картина та же самая (

Автор: vadjunik Перейти к цитате
В IE убрали настройки прокси?
Да, убрал. Но на ситуацию это вообще никак не повлияло. Собсно, и не должно, по идее. Обычный пинг на имя хоста с УЦ (ib-crypto1) проходит.

Несколько раз стоп-старт службам УЦ и веб-серверу сделал, слетала опять связь. Но причина, одна, похоже:

Консоль ЦР:

Код:
System.ServiceModel.CommunicationException: Ошибка при отправке запроса HTTP к https://ib-crypto1/RA/TableService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигурирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером. ---> System.Net.WebException: Базовое соединение закрыто: Непредвиденная ошибка при передаче. ---> System.IO.IOException: Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение. ---> System.Net.Sockets.SocketException: Удаленный хост принудительно разорвал существующее подключение
   в System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size)
   --- Конец трассировки внутреннего стека исключений ---
   в System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size)
   в System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count)
   в System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)


Консоль УЦ:

Код:
PS C:\> ping-ca
ping-ca : Ошибка соединения с центром сертификации Пробный корневой УЦ 2012 (512).
Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигур
ирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение.
Удаленный хост принудительно разорвал существующее подключение
At line:1 char:1
+ ping-ca
+ ~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand


"Возможно, это вызвано тем, что сертификат сервера не сконфигурирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером"

Еще раз перевыпустить все сертификаты под текущим пользователем (root) и его же акаунт использовать при создании администратора ЦР? Существующие ключи и администраторов можно оставить?

Отредактировано пользователем 10 ноября 2021 г. 18:38:15(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#32 Оставлено : 11 ноября 2021 г. 9:15:27(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: vadjunik Перейти к цитате

Да так и делал, в консоле ЦС ключи (кроме 16-го) изменили значение атрибута "Использование" на "Недоступен". В окне агента по управлению ключами УЦ никаких видимых изменений не произошло.


Агент управления ключами закройте в трее и откройте заново.

Какая версия КриптоПро CSP установлена?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#33 Оставлено : 11 ноября 2021 г. 11:59:02(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Агент управления ключами закройте в трее и откройте заново.

Делал многократно ) Вижу опять рассинхрон с ключами. Вобщем, их нужно создавать и использовать СТРОГО под конкретным юзерским аканутом. Но я новый создавал не по своей прихоти - в какой-то момент один из мастеров настроек мне сказал, что указанный (текущий) акаунт уже использован. Но легко принял нового пользователя.

UserPostedImage

Автор: Захар Тихонов Перейти к цитате
Какая версия КриптоПро CSP установлена?

Так я уже выше же писал (сообщение #21):

Версия продукта: 4.0.9842
Версия ядра: 4.0.9014 КС2

Отредактировано пользователем 11 ноября 2021 г. 12:00:07(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#34 Оставлено : 11 ноября 2021 г. 13:53:22(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: vadjunik Перейти к цитате

Делал многократно ) Вижу опять рассинхрон с ключами. Вобщем, их нужно создавать и использовать СТРОГО под конкретным юзерским аканутом. Но я новый создавал не по своей прихоти - в какой-то момент один из мастеров настроек мне сказал, что указанный (текущий) акаунт уже использован. Но легко принял нового пользователя.

UserPostedImage


Какой ключ вы пытаетесь загрузить, что получаете данную ошибку?

Автор: vadjunik Перейти к цитате

Так я уже выше же писал (сообщение #21):
Версия продукта: 4.0.9842
Версия ядра: 4.0.9014 КС2


обновите CSP до версии https://cryptopro.ru/sit...csp/40/9975/CSPSetup.exe и проверьте работу после перезагрузки.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#35 Оставлено : 12 ноября 2021 г. 13:03:24(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Какой ключ вы пытаетесь загрузить, что получаете данную ошибку?

Провожу эксперимент с ключами 12 (для выпуска CRL) и 16 (для выпуска сертификатов). Оба ключа валидны (16-й выкладывал уже, вот 12-й, пароль на контейнер такой же - 123).

UserPostedImage

При попытке загрузки ключей вот такое в журнале:

Код:
12-й ключ

Не удалось проверить сертификат в цепочке сертификатов ЦС 12 для !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029, поскольку нет информации о том, как выполняется проверка состояния отзыва сертификата. Не удалось проверить состояние сертификата 12 в цепочке сертификатов ЦС !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029.

Служба сертификатов Крипто-Про УЦ 2.0 не запущены: Не удается загрузить или проверить текущий сертификат ЦС. !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029 Произошла одна или несколько ошибок..

16-й ключ
Не удалось проверить сертификат в цепочке сертификатов ЦС 16 для !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029, поскольку нет информации о том, как выполняется проверка состояния отзыва сертификата. Не удалось проверить состояние сертификата 16 в цепочке сертификатов ЦС !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029.

Служба сертификатов Крипто-Про УЦ 2.0 не запущены: Не удается загрузить или проверить текущий сертификат ЦС. !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029 Произошла одна или несколько ошибок.


Есть идея создать новый (универсальный - для сертификатов и CRL) ключ под root-ом (админ ЦС Борменталь) - такого кейса пока не было.

Автор: vadjunik Перейти к цитате
обновите CSP до версии https://cryptopro.ru/sit...csp/40/9975/CSPSetup.exe и проверьте работу после перезагрузки.
Обновил, все рестартовал. Разницы не наблюдаю (

Код:
PS C:\> ping-ca
Связь с центром сертификации Пробный корневой УЦ 2012 (512) успешно проверена, но центр сертификации не может выпускать сертификаты в настоящее
время.


Нашел ситуацию, которая вынудила создать нового системного пользователя (Цезаря) - для ЦР, созданного для существующего ЦС, мастер отказался использовать текущий системный акаунт!

UserPostedImage


Offline Захар Тихонов  
#36 Оставлено : 12 ноября 2021 г. 14:29:03(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Пароль у учетки root не менялся?
Пришлите вывод certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -infoCert
Попробуйте перепривязать сертификат ЦС: смена ключа ЦС, и выберите это же 12й, мастер предложит сменить привязку. Выйдет тогда загрузить его?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#37 Оставлено : 12 ноября 2021 г. 17:45:56(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Пароль у учетки root не менялся?

Нет, ничего не менялось. Пароль вообще у всех пользователей один (не пустой!). Это тестово-разработческий сервер.

Автор: Захар Тихонов Перейти к цитате
Пришлите вывод certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -infoCert



Автор: Захар Тихонов Перейти к цитате
Попробуйте перепривязать сертификат ЦС: смена ключа ЦС, и выберите это же 12й, мастер предложит сменить привязку. Выйдет тогда загрузить его?

Речь про это?
UserPostedImage
Выбрать ключ админа из хранилища нельзя, но я могу выгрузить сертификат с 12-м ключем в файл и его скормить ЦСу.

Отредактировано пользователем 12 ноября 2021 г. 17:47:22(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#38 Оставлено : 15 ноября 2021 г. 10:07:43(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Почему у вас в 16 ключе так:
Годен для изготовления сертификатов[16]: True
Годен для изготовления CRL[16]: False
если CRL не будет изготавливать, то и сертификаты не будут выпускаться. Выводите полностью его тогда.

Попробуйте перепривязать сертификат ЦС: смена ключа ЦС, и выберите это же 12й, мастер предложит сменить привязку. Выйдет тогда загрузить его?
На вашем скриншоте - веб сертификат, а требуется перепривязать ключ ЦС. Ключ ЦС принадлежит администратору ЦС.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#39 Оставлено : 15 ноября 2021 г. 10:07:54(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#40 Оставлено : 15 ноября 2021 г. 10:20:56(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Почему у вас в 16 ключе так:
Годен для изготовления сертификатов[16]: True
Годен для изготовления CRL[16]: False
если CRL не будет изготавливать, то и сертификаты не будут выпускаться. Выводите полностью его тогда.

Это артефакты оставленные предшественниками - почему выпускали ключи с разным назначением, увы, сказать уже невозможно. Ок, сделаю новый на все виды использования.

Автор: Захар Тихонов Перейти к цитате
Попробуйте перепривязать сертификат ЦС: смена ключа ЦС, и выберите это же 12й, мастер предложит сменить привязку. Выйдет тогда загрузить его?
На вашем скриншоте - веб сертификат, а требуется перепривязать ключ ЦС. Ключ ЦС принадлежит администратору ЦС.
Поясните, пожалуйста, о чем речь, не нахожу где в консоле эта команда или как сделать через командную строку?

Upd!
Сообразил )) Выпустил новый серт с обоими назначениями, успешно загружен!

Код:
PS C:\> ping-ca
Центр сертификации Пробный корневой УЦ 2012 (512) доступен и готов к выпуску сертификатов.

Отредактировано пользователем 15 ноября 2021 г. 10:46:00(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
11 Страницы«<23456>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.