Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Восстановление работоспособности УЦ 2.0
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
Все же не надо новый было выпускать. Проверьте работу с ключом 12 (как и 13,14,14,17). Или выведите его из эксплуатации. |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  Все же не надо новый было выпускать. Проверьте работу с ключом 12 (как и 13,14,14,17). Или выведите его из эксплуатации. Вывел все "кривые" из эксплуатации. Код:PS C:\> ping-ca
Центр сертификации Пробный корневой УЦ 2012 (512) доступен и готов к выпуску сертификатов.
Уже радует ) Теперь бы связь с ЦР из консоли восстановить и можно приступать к настройки нашего п/о. Код:-------------------------------------------------------------------------------------------------------------------------
Источник | Код | Описание
-------------------------------------------------------------------------------------------------------------------------
Центр регистрации КриптоПро | 7068 | Службе регистрации Крипто-Про УЦ 2.0 не удалось обновить CDP с Пробный корневой УЦ.
cpsspap | 300 | КриптоПро TLS. Ошибка 0x80090010 при обращении к CSP: Отказано в доступе.
Вижу, что консоль упорно продолжает "лезть" на " обычный" УЦ, тогда как " боевой" у меня "УЦ 512". Можно вот этот "обычный" удалить или деактивировать, ну или как-то "перенацелить" консоль ЦР на нужный мне? Автор: Захар Тихонов  на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится? "Выпустить на новом ключе" - это сейчас, когда я перевыпустил и загрузил серт админа "УЦ 512", выпустить новый веб-серт и создать нового админа ЦР? Отредактировано пользователем 15 ноября 2021 г. 11:04:02(UTC)
| Причина: Очепятка
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
Автор: vadjunik  Код:-------------------------------------------------------------------------------------------------------------------------
Источник | Код | Описание
-------------------------------------------------------------------------------------------------------------------------
Центр регистрации КриптоПро | 7068 | Службе регистрации Крипто-Про УЦ 2.0 не удалось обновить CDP с Пробный корневой УЦ.
cpsspap | 300 | КриптоПро TLS. Ошибка 0x80090010 при обращении к CSP: Отказано в доступе.
Вижу, что консоль упорно продолжает "лезть" на " обычный" УЦ, тогда как " боевой" у меня "УЦ 512". Можно вот этот "обычный" удалить или деактивировать, ну или как-то "перенацелить" консоль ЦР на нужный мне? Давайте решать задачи последовательно. В начале Консоль ЦР, потом что-то новое. Автор: Захар Тихонов  на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится? "Выпустить на новом ключе" - это сейчас, когда я перевыпустил и загрузил серт админа "УЦ 512", выпустить новый веб-серт и создать нового админа ЦР? Да, веб сертификат через значок "+", а Администратора ЦР не надо нового создавать, просто существующему смените сертификат (так же через Диспетчер УЦ). |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Веб-сертификат перевыпустил. Насчет ЦР, подскажите, нужно именно заменить сертификат самого ЦР в ветке ЦС или выпустить новый сертификат для существующего админа?  ЦР в ветке ЦС сейчас подключается НЕ через активного пользователя ( root), а через специально созданного для этого подключения ( ClientRA). Переключиться на активного пользователя ( root) не дает - мастер говорит, что " Учетная запись уже используется Администратором ЦС или Центром Регистрации". Как должно быть корректно? Отредактировано пользователем 15 ноября 2021 г. 12:11:13(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
Администратору службы регистрации. Выберите любого из этих двоих и выпустите новый сертификат. Далее новым сертификатом попробуйте авторизоваться в Консоли ЦР. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  Администратору службы регистрации. Выберите любого из этих двоих и выпустите новый сертификат. Далее новым сертификатом попробуйте авторизоваться в Консоли ЦР. Сделал новый серт. Автоматически он не виден в консоле ЦР, нужно руками его установить в хранилище "Личное". Однако, при попытке подключения картина прежняя: Код:System.ServiceModel.ServerTooBusyException: Служба HTTP, расположенная по адресу https://ib-crypto1/RA/TableService.svc/, недоступна. Это может быть вызвано тем, что служба перегружена либо не обнаружено ни одной конечной точки, прослушивающей указанный адрес. Убедитесь в правильности адреса и попробуйте обратиться к службе позднее. ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (503) Сервер не доступен.
в System.Net.HttpWebRequest.GetResponse()
в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
--- Конец трассировки внутреннего стека исключений ---
Server stack trace:
в System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
в System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)
Перезапустил все сервисы - отвалилась связь с УЦ вообще (( : Код:PS C:\> ping-ca
ping-ca : Ошибка соединения с центром сертификации Пробный корневой УЦ 2012 (512).
Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигур
ирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение.
Удаленный хост принудительно разорвал существующее подключение
At line:1 char:1
+ ping-ca
+ ~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Ping-CA], InvalidOperationException
+ FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand
Upd Рестартовал веб-сервис через консоль управления IIS, убрал/указал сертификат в привязке HTTPS - пинг на УЦ восстановился. С подключением админа ЦР все та же самая песня (( Выпустил еще один серт для Борменталя (админа ЦР, когда-то под ним работало) - никак (( Отредактировано пользователем 16 ноября 2021 г. 9:08:32(UTC)
| Причина: Не тот лог
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
503 ошибка в Консоли ЦР довольно странно. Раньше была другая? Пришлите лог, после закрытия Консоли ЦР (который сохранится в папке лог). |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  503 ошибка в Консоли ЦР довольно странно. Раньше была другая? Да, тож сейчас спецом пробежался по теме было про " Возможно, это вызвано тем, что сертификат сервера не сконфигурирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером". 503-ю ошибку выдавало при попытке зайти на URL ЦР браузером, Вы сказали, что это нормально. Автор: Захар Тихонов  Пришлите лог, после закрытия Консоли ЦР (который сохранится в папке лог). Вот свежий лог: Код:System.ServiceModel.ServerTooBusyException: Служба HTTP, расположенная по адресу https://ib-crypto1/RA/TableService.svc/, недоступна. Это может быть вызвано тем, что служба перегружена либо не обнаружено ни одной конечной точки, прослушивающей указанный адрес. Убедитесь в правильности адреса и попробуйте обратиться к службе позднее. ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (503) Сервер не доступен.
в System.Net.HttpWebRequest.GetResponse()
в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
--- Конец трассировки внутреннего стека исключений ---
Server stack trace:
в System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
На всякий случай прикладываю конфигурационный файл виртуального каталога ЦР.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
В браузере перейдите по адресу https://ib-crypto1/RA/TableService.svc/, запросится сертификат оператора (которым в Консоли ЦР подключаетесь), страница откроется? Вы прокси отключили (везде)? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  В браузере перейдите по адресу https://ib-crypto1/RA/TableService.svc/, запросится сертификат оператора (которым в Консоли ЦР подключаетесь), страница откроется? HTTP Error 503. The service is unavailable Автор: Захар Тихонов  Вы прокси отключили (везде)? Без разницы есть включен или нет, поведение одинаково. А "везде" это где еще кроме системной настройки?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
Проверяйте работу без прокси. А лучше вообще отключить от общий сети, на время тестов. Имя сервера прописать в host. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  Проверяйте работу без прокси. А лучше вообще отключить от общий сети, на время тестов. Имя сервера прописать в host. От сети отключить не получится - доступ удаленный через РДП в принципе. Но ок, провентилирую у админов насчет прокси - с ним что-то не то - при перезапуске автоматом активируется.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  Проверяйте работу без прокси. А лучше вообще отключить от общий сети, на время тестов. Имя сервера прописать в host. Действительно, был установлен некий клиент для Microsoft ISA Server - он автоматом переодически возвращал подключение через прокси. Снес, прокси убрал руками. Имя компа прописал в хосты. Ключи успешно загружены. Отвалилась связь с ЦС: Код:PS C:\> ping-ca
ping-ca : Центр регистрации не имеет достаточно прав для обращения к центру сертификации Пробный корневой УЦ 2012 (512).
At line:1 char:1
+ ping-ca
+ ~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Ping-CA], InvalidOperationException
+ FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand
Ну и консоль ЦР так же не соединяется ( Рестартанул все сервисы руками, ключи еще раз загрузил (это нормально, что они сами выгружаются при рестарте системы?) Опять старая песня про "сертификат HTTPS" (( : Код:PS C:\> ping-ca
ping-ca : Ошибка соединения с центром сертификации Пробный корневой УЦ 2012 (512).
Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигур
ирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение.
Удаленный хост принудительно разорвал существующее подключение
At line:1 char:1
+ ping-ca
+ ~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Ping-CA], InvalidOperationException
+ FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand
Отредактировано пользователем 23 ноября 2021 г. 12:13:42(UTC)
| Причина: Перезапустил службы руками
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
1. Действующие CRL имеются? Выпустите внеочередной CRL 2. На ЦС выполните смену клиентского сертификата ЦР и выберите этот же (т.е. просто перепривяжите). 3. В IE убрали информацию про прокси?
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  1. Действующие CRL имеются? Выпустите внеочередной CRL Автоматом выпустился вчера, годен до 27-го. Все же перевыпускать? Автор: Захар Тихонов  2. На ЦС выполните смену клиентского сертификата ЦР и выберите этот же (т.е. просто перепривяжите). Сделал. Автор: Захар Тихонов  3. В IE убрали информацию про прокси? Отключено. Проверял - после перезагрузки "само" не включается, "гадил" ISA клиент. После выполнения перепривязки сертификата ЦС имеем: Код:PS C:\> ping-ca
ping-ca : Центр регистрации не имеет достаточно прав для обращения к центру сертификации Пробный корневой УЦ 2012 (512).
At line:1 char:1
+ ping-ca
+ ~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Ping-CA], InvalidOperationException
+ FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
У вас в предыдущем сообщении одна ошибка, в следующем другая. Так какая актуальная?
Попробуйте в IIS, удалить привязку 443. Закрыть оснастку IIS. Снова добавить привязку на 443 с этим же сертификатом. Далее проверьте Ping-CA. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  У вас в предыдущем сообщении одна ошибка, в следующем другая. Так какая актуальная? Я описываю, что происходит последовательно. В результате последних манипуляций (перепривязки сертификата ЦС) ошибка проверки связи с ЦС поменялась. Все остальное - без изменений. Финт с пересозданием привязки HTTPS эффекта не дал ( Может как-то связано с изменениями системных требований безопасности?  Отредактировано пользователем 23 ноября 2021 г. 14:09:54(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,970   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 529 раз в 506 постах
|
А какая теперь ошибка, раз поменялась? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  А какая теперь ошибка, раз поменялась? Увы, все тож самое ( Код:PS C:\> ping-ca
ping-ca : Центр регистрации не имеет достаточно прав для обращения к центру сертификации Пробный корневой УЦ 2012 (512).
At line:1 char:1
+ ping-ca
+ ~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Ping-CA], InvalidOperationException
+ FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Восстановление работоспособности УЦ 2.0
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close