Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline vadjunik  
#21 Оставлено : 9 ноября 2021 г. 15:54:47(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Любой ключ можно вывести из эксплуатации. С права есть этот пункт в Диспетчере УЦ, после выделения любого ключа ЦС.

Увы, в моем случае это не так ( Видимо, что-то сломано.

UserPostedImage

Автор: Захар Тихонов Перейти к цитате
Укажите установленную версию КриптоПро CSP.

Версия продукта: 4.0.9842
Версия ядра: 4.0.9014 КС2

Автор: Захар Тихонов Перейти к цитате
Пришлите вывод Get-CAReference


Код:
PS C:\> Get-CAReference


AuthorityName     : Пробный корневой УЦ 2012 (512)
Url               : https://ib-crypto1/ca
ClientCertificate : [Subject]
                      CN=IBRC20, CN=ib-crypto1, OU=ПЦ, O=R-Style softlab, L=Москва

                    [Issuer]
                      CN=Пробный корневой УЦ 2012 (512), O=R-Style softlab, OU=ПЦ, L=Москва, ИНН=771919844000, ОГРН=1027700301991

                    [Serial Number]
                      11E65A7C290C009A90EC11AA3C15B1B41C

                    [Not Before]
                      03.11.2021 16:19:54

                    [Not After]
                      03.02.2023 16:29:54

                    [Thumbprint]
                      B7496E5699E43115C953420CE25982CC50DA9D55

Primary           : True
RevokeOnly        : False

AuthorityName     : Пробный корневой УЦ
Url               : https://ib-crypto1/ca
ClientCertificate : [Subject]
                      CN=Пробный ЦР, CN=ib-crypto1, OU=ТЕСТ, O=ТЕСТ, L=Москва, S=Москва, C=RU

                    [Issuer]
                      CN=Пробный корневой УЦ, O=ТЕСТ, OU=ТЕСТ, STREET=ТЕСТ, L=Москва, S=Москва, C=RU, ИНН=007717107991, ОГРН=1037700085444

                    [Serial Number]
                      00E65A7C290C00EE91E7112DC90122EFD7

                    [Not Before]
                      14.11.2017 14:10:41

                    [Not After]
                      14.02.2019 14:20:41

                    [Thumbprint]
                      4AFEAFE97B65FC9CEA4CDADCAD120DFFDAAE7CC2

Primary           : False
RevokeOnly        : False

Offline Захар Тихонов  
#22 Оставлено : 10 ноября 2021 г. 8:16:05(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
У тех ключей, у которых нет данного пункта - значит они выведены из эксплуатации.

По поводу ошибки. Вы отключили прокси?
Без прокси соберите лог согласно https://support.cryptopr...pomoshhju-svctraceviewer
Потребуется перезапустить IIS и ЦР. Выполнить Ping-CA и снова перезапустить службы. Потом приложить полученные файлы.
А также, имеется установленный антивирус?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#23 Оставлено : 10 ноября 2021 г. 10:40:26(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
У тех ключей, у которых нет данного пункта - значит они выведены из эксплуатации.


Ясно, однако, не получается удалить и уже ненужного администратора с недоступными ключами.

UserPostedImage

Есть ключи вроде как с указанным типом использования, но уже просроченные. Но вывести из эксплуатации их тоже не получается.

UserPostedImage

Замкнутый круг (( Попахивает переустановкой?

Автор: Захар Тихонов Перейти к цитате
По поводу ошибки. Вы отключили прокси?
Без прокси соберите лог согласно https://support.cryptopr...pomoshhju-svctraceviewer
Потребуется перезапустить IIS и ЦР. Выполнить Ping-CA и снова перезапустить службы. Потом приложить полученные файлы.

Собрал все логи (с прокси, без и без после перезагрузки) https://yadi.sk/d/Fyfuixqz_S-pFw
Сейчас прокси отключен, разницы нет (( Что интересно СРАЗУ после перезапуска самого компа, пинг сработал, хоть и с предупреждением, но потом все вернулось взад (

Автор: Захар Тихонов Перейти к цитате
А также, имеется установленный антивирус?

Нет, антивируса никакого не установлено.

Глянул лог вывода пинга ЦС, ругается на сертификат связи HTTPS, но он вроде как корректный - менял недавно.
UserPostedImage

Вот еще, обратил внимание, что в IIS для всех сервисов определены свои пулы приложения, может в их настройках что-то отломано?

UserPostedImage

Отредактировано пользователем 10 ноября 2021 г. 10:43:49(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#24 Оставлено : 10 ноября 2021 г. 11:16:57(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Автор: vadjunik Перейти к цитате

Есть ключи вроде как с указанным типом использования, но уже просроченные. Но вывести из эксплуатации их тоже не получается.


Почему не удается вывести ключ с индексом 5? Какая-то ошибка? (до этого вы показывали что нет кнопки про вывод ключа с индексом 1)

Автор: vadjunik Перейти к цитате

Собрал все логи (с прокси, без и без после перезагрузки) https://yadi.sk/d/Fyfuixqz_S-pFw
Сейчас прокси отключен, разницы нет (( Что интересно СРАЗУ после перезапуска самого компа, пинг сработал, хоть и с предупреждением, но потом все вернулось взад (


Отключите и не используйте прокси, если вы не настраиваете конфиги УЦ под ваше прокси.
Судя по приложенным командам из папки ProxyOFF_after_reboot работает, но потом ломается. Сервер в домене, dns сервер имеется? Сервер - это виртуалка? Может перенастроите сетевой интерфейс на выделенный IP и поправите файл host. И после проверьте связь.



Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#25 Оставлено : 10 ноября 2021 г. 12:31:31(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Почему не удается вывести ключ с индексом 5? Какая-то ошибка?
Так на скриншоте же "не может быть изготовлен список отзыва", а его изготовить невозможно, т.к. ключ "недоступен" и не может быть загружен соответственно. Потому и замкнутый круг. Удалить админа УЦ (думал так автоматически грохнуть ненужные ключи) тож невозможно (приводил скрин): "Отмена регистрации Администратора ЦС для экземпляра службы невозможна из-за наличия связанных сертификатов".

Автор: Захар Тихонов Перейти к цитате
(до этого вы показывали что нет кнопки про вывод ключа с индексом 1)
Привел для примера, таких куча (по скрину видно). Его ни удалить, не вывести невозможно. Есть админ УЦ (Преображенский) у которого только один ключ, он "недоступен", но грохнуть этого админа всеравно невозможно ((

Автор: vadjunik Перейти к цитате
Отключите и не используйте прокси, если вы не настраиваете конфиги УЦ под ваше прокси.
Судя по приложенным командам из папки ProxyOFF_after_reboot работает, но потом ломается. Сервер в домене, dns сервер имеется? Сервер - это виртуалка? Может перенастроите сетевой интерфейс на выделенный IP и поправите файл host. И после проверьте связь.


Прокси активируется автоматически после перезагрузки машины (может быть политика какая-то так настроена, не в курсе). Вот прямо сейчас пинг УЦ есть:
Код:
PS C:\> Ping-CA
Связь с центром сертификации Пробный корневой УЦ 2012 (512) успешно проверена, но центр сертификации не может выпускать сертификаты в настоящее
время.

Увы, не я занимался разворачиванием данного экземпляра Комплекса. Сервер в рабочей группе. DNS - есть. Однако, пинг самого себя (ib-crypto1) идет по IPv6, отключил, проверяю.
Что собой физически сервер представляет - уточню. Похоже что реальная машина. Статический адрес установить, к сожалению, ни права ни возможности нет.

Offline Захар Тихонов  
#26 Оставлено : 10 ноября 2021 г. 12:46:23(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
По поводу вывода ключей:
1. Пришлите вывод выполнения команды
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -infoCert

2. Ошибка при удалении администратора - хороша, нельзя удалить если ключ использовался для подписи сертификатов пользователей. Так задумано. Если создать нового администратора и выпустить ему ключ. И не загружать его ключ, то тогда можно будет его удалить. Если есть подписанный сертификат или CRL - удалить уже нельзя.

По поводу ошибки со связью:
Вы же понимаете что это сетевая проблема. К УЦ это не относится. Когда Ping-CA работает, то наверняка и Консоль ЦР подключается успешно.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#27 Оставлено : 10 ноября 2021 г. 13:27:50(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
По поводу вывода ключей:
1. Пришлите вывод выполнения команды
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -infoCert


Вот:



Автор: Захар Тихонов Перейти к цитате
2. Ошибка при удалении администратора - хороша, нельзя удалить если ключ использовался для подписи сертификатов пользователей. Так задумано. Если создать нового администратора и выпустить ему ключ. И не загружать его ключ, то тогда можно будет его удалить. Если есть подписанный сертификат или CRL - удалить уже нельзя.
Фича ) Понятно )

Автор: Захар Тихонов Перейти к цитате
По поводу ошибки со связью:
Вы же понимаете что это сетевая проблема. К УЦ это не относится. Когда Ping-CA работает, то наверняка и Консоль ЦР подключается успешно.

Ну как "работает", пишет же русским по синему:
"Связь с центром сертификации Пробный корневой УЦ 2012 (512) успешно проверена, но центр сертификации не может выпускать сертификаты в настоящее
время
." Т.е. что-то с ЦС "не так", хотя по всем атрибутам - норм.

Увы, "Консоль ЦР" все так же подключиться не может, глянул внимательно в лог, после попытки подключения - вижу такое "При синхронизации количества пользователей с ЦС Пробный корневой УЦ получено исключение." Вижу, что в системе определено два ЦС - "обычный" и по ГОСТ-2012. Консоль пытается подключится к "обычному" - зачем? Его можно грохнуть?
Offline Захар Тихонов  
#28 Оставлено : 10 ноября 2021 г. 15:34:38(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Автор: vadjunik Перейти к цитате




Судя по выводу, ключи начиная с индекс 5 можно вывести. Странно что у вас нет пункта меню в Диспетчере УЦ.
Тогда выведите старые командой
Цитата:
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -controlCert DisableCrlIssuing 5
...
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -controlCert DisableCrlIssuing 16
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -control ApplyConfiguredSettings


Автор: vadjunik Перейти к цитате

Ну как "работает", пишет же русским по синему:
"Связь с центром сертификации Пробный корневой УЦ 2012 (512) успешно проверена, но центр сертификации не может выпускать сертификаты в настоящее
время
." Т.е. что-то с ЦС "не так", хотя по всем атрибутам - норм.



Да, такая информация может быть из-за того что ключ для изготовления сертификатов не загружен. Т.е. загрузите ключ с индексом 17 для изготовления сертификатов и проверьте Ping-CA - информация должна поменяться (если связь есть).

Автор: vadjunik Перейти к цитате

Увы, "Консоль ЦР" все так же подключиться не может, глянул внимательно в лог, после попытки подключения - вижу такое "При синхронизации количества пользователей с ЦС Пробный корневой УЦ получено исключение." Вижу, что в системе определено два ЦС - "обычный" и по ГОСТ-2012. Консоль пытается подключится к "обычному" - зачем? Его можно грохнуть?


Консоль ЦР подключается к ЦР, а не к ЦС. Ошибки спамятся в журнал про ЦС "Пробный корневой УЦ" т.к. связи нет с данным ЦС. Судя по выводу Get-CAReference ключ который используется для доступа к данному ЦС истек 14.02.2019 14:20:41.
Предвижу вопрос про удалить связь ЦР с этим ЦС, ответ - нельзя, если выпускались через нее сертификаты. В новой сборке можно пометить это подключение как неиспользуемое, но в старой ничего нельзя сделать, только связь восстанавливать или игнорировать ошибки связанные с этим ЦС.
Консоль ЦР локально расположена на УЦ?

Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#29 Оставлено : 10 ноября 2021 г. 16:24:09(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Судя по выводу, ключи начиная с индекс 5 можно вывести. Странно что у вас нет пункта меню в Диспетчере УЦ.
Тогда выведите старые
Почти все проблемные ключи удалось вывести из эксплуатации, завис только 16-й ключ (пароль на контейнер 123). Хотя команда и говорит, что выполнилась успешно. Удалить ключи нельзя ибо, да, выпущено "минимум по одному сертификату".

Автор: Захар Тихонов Перейти к цитате
Да, такая информация может быть из-за того что ключ для изготовления сертификатов не загружен. Т.е. загрузите ключ с индексом 17 для изготовления сертификатов и проверьте Ping-CA - информация должна поменяться (если связь есть).


Можете пояснить как так получается, что для одного типа использования ключ доступен, а для другого нет?

UserPostedImage

Хотя при создании я обе "галки" ставил конечно.
Руками пробую загрузить 17-й ключ для выпуска сертифкатов, команда выплняется успешно, но внешне изменений нет:

Код:
PS C:\> certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -controlCert EnableCertificateIssuing 17
Certutil2: -controlCert - команда успешно выполнена.



Автор: Захар Тихонов Перейти к цитате
Консоль ЦР подключается к ЦР, а не к ЦС.
Эт я понимаю, но ЦР в свою очередь же взаимодействует с ЦС же?

Автор: Захар Тихонов Перейти к цитате
Консоль ЦР локально расположена на УЦ?
Да, весь комлект развернут физически на одной машине.

Offline Захар Тихонов  
#30 Оставлено : 10 ноября 2021 г. 16:53:17(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Вы можете любой ключ пометить как не использовать, следующей командой
Цитата:
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -controlCert DisableCrlIssuing DisableCertificateIssuing индекс
certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -control ApplyConfiguredSettings

Если какие-то настроены на выпуск CRL, то выполните команду.

Автор: vadjunik Перейти к цитате

Можете пояснить как так получается, что для одного типа использования ключ доступен, а для другого нет?
UserPostedImage
Хотя при создании я обе "галки" ставил конечно.
Руками пробую загрузить 17-й ключ для выпуска сертифкатов, команда выплняется успешно, но внешне изменений нет:


Если был бы скриншот всего окна Агента управления ключами, то более точнее ответ дал бы, а так:
судя по скриншоту ключи ЦС принадлежат разным пользователям. Вы авторизованы под одним, а ключ принадлежит другому. Авторизуйтесь под учеткой Cesar, "запустите агент управлению ключами от имени администратора" и загрузите ключ (ключи для CRL может любой загрузить, у кого есть доступ, а для выпуска сертификатов только та учетка, которая задана)

Автор: vadjunik Перейти к цитате

Да, весь комлект развернут физически на одной машине.


В IE убрали настройки прокси?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#31 Оставлено : 10 ноября 2021 г. 18:05:34(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Вы можете любой ключ пометить как не использовать, следующей командой

Да так и делал, в консоле ЦС ключи (кроме 16-го) изменили значение атрибута "Использование" на "Недоступен". В окне агента по управлению ключами УЦ никаких видимых изменений не произошло.

Автор: vadjunik Перейти к цитате
Если был бы скриншот всего окна Агента управления ключами, то более точнее ответ дал бы..
О! С этим разобрался - под Цезарем ключ погрузился, но под ним (все пользователи входят в группу локальных админов) никаких настроек УЦ нет вообще, не определены ни ЦС, ни ЦР ничего. Однако, ключи а агенте видны все.
Сделал подключение в консоле ЦР под активным юзером (root), сертификат совершенно валидный. Но картина та же самая (

Автор: vadjunik Перейти к цитате
В IE убрали настройки прокси?
Да, убрал. Но на ситуацию это вообще никак не повлияло. Собсно, и не должно, по идее. Обычный пинг на имя хоста с УЦ (ib-crypto1) проходит.

Несколько раз стоп-старт службам УЦ и веб-серверу сделал, слетала опять связь. Но причина, одна, похоже:

Консоль ЦР:

Код:
System.ServiceModel.CommunicationException: Ошибка при отправке запроса HTTP к https://ib-crypto1/RA/TableService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигурирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером. ---> System.Net.WebException: Базовое соединение закрыто: Непредвиденная ошибка при передаче. ---> System.IO.IOException: Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение. ---> System.Net.Sockets.SocketException: Удаленный хост принудительно разорвал существующее подключение
   в System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size)
   --- Конец трассировки внутреннего стека исключений ---
   в System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size)
   в System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count)
   в System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)


Консоль УЦ:

Код:
PS C:\> ping-ca
ping-ca : Ошибка соединения с центром сертификации Пробный корневой УЦ 2012 (512).
Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигур
ирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение.
Удаленный хост принудительно разорвал существующее подключение
At line:1 char:1
+ ping-ca
+ ~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand


"Возможно, это вызвано тем, что сертификат сервера не сконфигурирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером"

Еще раз перевыпустить все сертификаты под текущим пользователем (root) и его же акаунт использовать при создании администратора ЦР? Существующие ключи и администраторов можно оставить?

Отредактировано пользователем 10 ноября 2021 г. 18:38:15(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#32 Оставлено : 11 ноября 2021 г. 9:15:27(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Автор: vadjunik Перейти к цитате

Да так и делал, в консоле ЦС ключи (кроме 16-го) изменили значение атрибута "Использование" на "Недоступен". В окне агента по управлению ключами УЦ никаких видимых изменений не произошло.


Агент управления ключами закройте в трее и откройте заново.

Какая версия КриптоПро CSP установлена?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#33 Оставлено : 11 ноября 2021 г. 11:59:02(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Агент управления ключами закройте в трее и откройте заново.

Делал многократно ) Вижу опять рассинхрон с ключами. Вобщем, их нужно создавать и использовать СТРОГО под конкретным юзерским аканутом. Но я новый создавал не по своей прихоти - в какой-то момент один из мастеров настроек мне сказал, что указанный (текущий) акаунт уже использован. Но легко принял нового пользователя.

UserPostedImage

Автор: Захар Тихонов Перейти к цитате
Какая версия КриптоПро CSP установлена?

Так я уже выше же писал (сообщение #21):

Версия продукта: 4.0.9842
Версия ядра: 4.0.9014 КС2

Отредактировано пользователем 11 ноября 2021 г. 12:00:07(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#34 Оставлено : 11 ноября 2021 г. 13:53:22(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Автор: vadjunik Перейти к цитате

Делал многократно ) Вижу опять рассинхрон с ключами. Вобщем, их нужно создавать и использовать СТРОГО под конкретным юзерским аканутом. Но я новый создавал не по своей прихоти - в какой-то момент один из мастеров настроек мне сказал, что указанный (текущий) акаунт уже использован. Но легко принял нового пользователя.

UserPostedImage


Какой ключ вы пытаетесь загрузить, что получаете данную ошибку?

Автор: vadjunik Перейти к цитате

Так я уже выше же писал (сообщение #21):
Версия продукта: 4.0.9842
Версия ядра: 4.0.9014 КС2


обновите CSP до версии https://cryptopro.ru/sit...csp/40/9975/CSPSetup.exe и проверьте работу после перезагрузки.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#35 Оставлено : 12 ноября 2021 г. 13:03:24(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Какой ключ вы пытаетесь загрузить, что получаете данную ошибку?

Провожу эксперимент с ключами 12 (для выпуска CRL) и 16 (для выпуска сертификатов). Оба ключа валидны (16-й выкладывал уже, вот 12-й, пароль на контейнер такой же - 123).

UserPostedImage

При попытке загрузки ключей вот такое в журнале:

Код:
12-й ключ

Не удалось проверить сертификат в цепочке сертификатов ЦС 12 для !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029, поскольку нет информации о том, как выполняется проверка состояния отзыва сертификата. Не удалось проверить состояние сертификата 12 в цепочке сертификатов ЦС !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029.

Служба сертификатов Крипто-Про УЦ 2.0 не запущены: Не удается загрузить или проверить текущий сертификат ЦС. !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029 Произошла одна или несколько ошибок..

16-й ключ
Не удалось проверить сертификат в цепочке сертификатов ЦС 16 для !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029, поскольку нет информации о том, как выполняется проверка состояния отзыва сертификата. Не удалось проверить состояние сертификата 16 в цепочке сертификатов ЦС !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029.

Служба сертификатов Крипто-Про УЦ 2.0 не запущены: Не удается загрузить или проверить текущий сертификат ЦС. !041f!0440!043e!0431!043d!044b!0439 !043a!043e!0440!043d!0435!0432!043e!0439 !0423!0426 2012 !0028512!0029 Произошла одна или несколько ошибок.


Есть идея создать новый (универсальный - для сертификатов и CRL) ключ под root-ом (админ ЦС Борменталь) - такого кейса пока не было.

Автор: vadjunik Перейти к цитате
обновите CSP до версии https://cryptopro.ru/sit...csp/40/9975/CSPSetup.exe и проверьте работу после перезагрузки.
Обновил, все рестартовал. Разницы не наблюдаю (

Код:
PS C:\> ping-ca
Связь с центром сертификации Пробный корневой УЦ 2012 (512) успешно проверена, но центр сертификации не может выпускать сертификаты в настоящее
время.


Нашел ситуацию, которая вынудила создать нового системного пользователя (Цезаря) - для ЦР, созданного для существующего ЦС, мастер отказался использовать текущий системный акаунт!

UserPostedImage


Offline Захар Тихонов  
#36 Оставлено : 12 ноября 2021 г. 14:29:03(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Пароль у учетки root не менялся?
Пришлите вывод certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -infoCert
Попробуйте перепривязать сертификат ЦС: смена ключа ЦС, и выберите это же 12й, мастер предложит сменить привязку. Выйдет тогда загрузить его?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#37 Оставлено : 12 ноября 2021 г. 17:45:56(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Пароль у учетки root не менялся?

Нет, ничего не менялось. Пароль вообще у всех пользователей один (не пустой!). Это тестово-разработческий сервер.

Автор: Захар Тихонов Перейти к цитате
Пришлите вывод certutil2 -config "CA:\Пробный корневой УЦ 2012 (512)" -infoCert



Автор: Захар Тихонов Перейти к цитате
Попробуйте перепривязать сертификат ЦС: смена ключа ЦС, и выберите это же 12й, мастер предложит сменить привязку. Выйдет тогда загрузить его?

Речь про это?
UserPostedImage
Выбрать ключ админа из хранилища нельзя, но я могу выгрузить сертификат с 12-м ключем в файл и его скормить ЦСу.

Отредактировано пользователем 12 ноября 2021 г. 17:47:22(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#38 Оставлено : 15 ноября 2021 г. 10:07:43(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Почему у вас в 16 ключе так:
Годен для изготовления сертификатов[16]: True
Годен для изготовления CRL[16]: False
если CRL не будет изготавливать, то и сертификаты не будут выпускаться. Выводите полностью его тогда.

Попробуйте перепривязать сертификат ЦС: смена ключа ЦС, и выберите это же 12й, мастер предложит сменить привязку. Выйдет тогда загрузить его?
На вашем скриншоте - веб сертификат, а требуется перепривязать ключ ЦС. Ключ ЦС принадлежит администратору ЦС.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#39 Оставлено : 15 ноября 2021 г. 10:07:54(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,966
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#40 Оставлено : 15 ноября 2021 г. 10:20:56(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Почему у вас в 16 ключе так:
Годен для изготовления сертификатов[16]: True
Годен для изготовления CRL[16]: False
если CRL не будет изготавливать, то и сертификаты не будут выпускаться. Выводите полностью его тогда.

Это артефакты оставленные предшественниками - почему выпускали ключи с разным назначением, увы, сказать уже невозможно. Ок, сделаю новый на все виды использования.

Автор: Захар Тихонов Перейти к цитате
Попробуйте перепривязать сертификат ЦС: смена ключа ЦС, и выберите это же 12й, мастер предложит сменить привязку. Выйдет тогда загрузить его?
На вашем скриншоте - веб сертификат, а требуется перепривязать ключ ЦС. Ключ ЦС принадлежит администратору ЦС.
Поясните, пожалуйста, о чем речь, не нахожу где в консоле эта команда или как сделать через командную строку?

Upd!
Сообразил )) Выпустил новый серт с обоими назначениями, успешно загружен!

Код:
PS C:\> ping-ca
Центр сертификации Пробный корневой УЦ 2012 (512) доступен и готов к выпуску сертификатов.

Отредактировано пользователем 15 ноября 2021 г. 10:46:00(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.