Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline Захар Тихонов  
#41 Оставлено : 15 ноября 2021 г. 10:30:17(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
Все же не надо новый было выпускать. Проверьте работу с ключом 12 (как и 13,14,14,17). Или выведите его из эксплуатации.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#42 Оставлено : 15 ноября 2021 г. 10:52:06(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#43 Оставлено : 15 ноября 2021 г. 11:00:42(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Все же не надо новый было выпускать. Проверьте работу с ключом 12 (как и 13,14,14,17). Или выведите его из эксплуатации.

Вывел все "кривые" из эксплуатации.

Код:
PS C:\> ping-ca
Центр сертификации Пробный корневой УЦ 2012 (512) доступен и готов к выпуску сертификатов.


Уже радует ) Теперь бы связь с ЦР из консоли восстановить и можно приступать к настройки нашего п/о.

Код:
-------------------------------------------------------------------------------------------------------------------------
		Источник 		    | Код  | 										Описание
-------------------------------------------------------------------------------------------------------------------------
Центр регистрации КриптоПро	| 7068 | Службе регистрации Крипто-Про УЦ 2.0 не удалось обновить CDP с Пробный корневой УЦ.
cpsspap				        | 300  | КриптоПро TLS. Ошибка 0x80090010 при обращении к CSP: Отказано в доступе.


Вижу, что консоль упорно продолжает "лезть" на "обычный" УЦ, тогда как "боевой" у меня "УЦ 512". Можно вот этот "обычный" удалить или деактивировать, ну или как-то "перенацелить" консоль ЦР на нужный мне?

Автор: Захар Тихонов Перейти к цитате
на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится?

"Выпустить на новом ключе" - это сейчас, когда я перевыпустил и загрузил серт админа "УЦ 512", выпустить новый веб-серт и создать нового админа ЦР?

Отредактировано пользователем 15 ноября 2021 г. 11:04:02(UTC)  | Причина: Очепятка

Offline Захар Тихонов  
#44 Оставлено : 15 ноября 2021 г. 11:06:19(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
Автор: vadjunik Перейти к цитате

Код:
-------------------------------------------------------------------------------------------------------------------------
		Источник 		    | Код  | 										Описание
-------------------------------------------------------------------------------------------------------------------------
Центр регистрации КриптоПро	| 7068 | Службе регистрации Крипто-Про УЦ 2.0 не удалось обновить CDP с Пробный корневой УЦ.
cpsspap				        | 300  | КриптоПро TLS. Ошибка 0x80090010 при обращении к CSP: Отказано в доступе.


Вижу, что консоль упорно продолжает "лезть" на "обычный" УЦ, тогда как "боевой" у меня "УЦ 512". Можно вот этот "обычный" удалить или деактивировать, ну или как-то "перенацелить" консоль ЦР на нужный мне?


Давайте решать задачи последовательно. В начале Консоль ЦР, потом что-то новое.

Автор: Захар Тихонов Перейти к цитате
на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится?

"Выпустить на новом ключе" - это сейчас, когда я перевыпустил и загрузил серт админа "УЦ 512", выпустить новый веб-серт и создать нового админа ЦР?

Да, веб сертификат через значок "+", а Администратора ЦР не надо нового создавать, просто существующему смените сертификат (так же через Диспетчер УЦ).

Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#45 Оставлено : 15 ноября 2021 г. 12:04:39(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Веб-сертификат перевыпустил.

Насчет ЦР, подскажите, нужно именно заменить сертификат самого ЦР в ветке ЦС или выпустить новый сертификат для существующего админа?

UserPostedImage

ЦР в ветке ЦС сейчас подключается НЕ через активного пользователя (root), а через специально созданного для этого подключения (ClientRA). Переключиться на активного пользователя (root) не дает - мастер говорит, что "Учетная запись уже используется Администратором ЦС или Центром Регистрации". Как должно быть корректно?

Отредактировано пользователем 15 ноября 2021 г. 12:11:13(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#46 Оставлено : 15 ноября 2021 г. 12:07:35(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
Администратору службы регистрации. Выберите любого из этих двоих и выпустите новый сертификат. Далее новым сертификатом попробуйте авторизоваться в Консоли ЦР.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#47 Оставлено : 15 ноября 2021 г. 12:26:46(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Администратору службы регистрации. Выберите любого из этих двоих и выпустите новый сертификат. Далее новым сертификатом попробуйте авторизоваться в Консоли ЦР.


Сделал новый серт. Автоматически он не виден в консоле ЦР, нужно руками его установить в хранилище "Личное". Однако, при попытке подключения картина прежняя:

Код:
System.ServiceModel.ServerTooBusyException: Служба HTTP, расположенная по адресу https://ib-crypto1/RA/TableService.svc/, недоступна. Это может быть вызвано тем, что служба перегружена либо не обнаружено ни одной конечной точки, прослушивающей указанный адрес. Убедитесь в правильности адреса и попробуйте обратиться к службе позднее. ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (503) Сервер не доступен.
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   --- Конец трассировки внутреннего стека исключений ---

Server stack trace: 
   в System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   в System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)


Перезапустил все сервисы - отвалилась связь с УЦ вообще (( :

Код:
PS C:\> ping-ca
ping-ca : Ошибка соединения с центром сертификации Пробный корневой УЦ 2012 (512).
Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигур
ирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение.
Удаленный хост принудительно разорвал существующее подключение
At line:1 char:1
+ ping-ca
+ ~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand


Upd
Рестартовал веб-сервис через консоль управления IIS, убрал/указал сертификат в привязке HTTPS - пинг на УЦ восстановился.
С подключением админа ЦР все та же самая песня (( Выпустил еще один серт для Борменталя (админа ЦР, когда-то под ним работало) - никак ((

Отредактировано пользователем 16 ноября 2021 г. 9:08:32(UTC)  | Причина: Не тот лог

Offline Захар Тихонов  
#48 Оставлено : 17 ноября 2021 г. 12:32:01(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
503 ошибка в Консоли ЦР довольно странно. Раньше была другая?
Пришлите лог, после закрытия Консоли ЦР (который сохранится в папке лог).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#49 Оставлено : 17 ноября 2021 г. 14:48:37(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
503 ошибка в Консоли ЦР довольно странно. Раньше была другая?

Да, тож сейчас спецом пробежался по теме было про "Возможно, это вызвано тем, что сертификат сервера не сконфигурирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером".
503-ю ошибку выдавало при попытке зайти на URL ЦР браузером, Вы сказали, что это нормально.

Автор: Захар Тихонов Перейти к цитате
Пришлите лог, после закрытия Консоли ЦР (который сохранится в папке лог).

Вот свежий лог:
Код:
System.ServiceModel.ServerTooBusyException: Служба HTTP, расположенная по адресу https://ib-crypto1/RA/TableService.svc/, недоступна. Это может быть вызвано тем, что служба перегружена либо не обнаружено ни одной конечной точки, прослушивающей указанный адрес. Убедитесь в правильности адреса и попробуйте обратиться к службе позднее. ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (503) Сервер не доступен.
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   --- Конец трассировки внутреннего стека исключений ---

Server stack trace: 
   в System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)


На всякий случай прикладываю конфигурационный файл виртуального каталога ЦР.
Offline Захар Тихонов  
#50 Оставлено : 17 ноября 2021 г. 15:22:12(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
В браузере перейдите по адресу https://ib-crypto1/RA/TableService.svc/, запросится сертификат оператора (которым в Консоли ЦР подключаетесь), страница откроется?
Вы прокси отключили (везде)?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#51 Оставлено : 17 ноября 2021 г. 17:13:51(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
В браузере перейдите по адресу https://ib-crypto1/RA/TableService.svc/, запросится сертификат оператора (которым в Консоли ЦР подключаетесь), страница откроется?


HTTP Error 503. The service is unavailable

Автор: Захар Тихонов Перейти к цитате
Вы прокси отключили (везде)?
Без разницы есть включен или нет, поведение одинаково. А "везде" это где еще кроме системной настройки?

Offline Захар Тихонов  
#52 Оставлено : 19 ноября 2021 г. 12:42:24(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
Проверяйте работу без прокси. А лучше вообще отключить от общий сети, на время тестов. Имя сервера прописать в host.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#53 Оставлено : 19 ноября 2021 г. 18:30:44(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Проверяйте работу без прокси. А лучше вообще отключить от общий сети, на время тестов. Имя сервера прописать в host.

От сети отключить не получится - доступ удаленный через РДП в принципе. Но ок, провентилирую у админов насчет прокси - с ним что-то не то - при перезапуске автоматом активируется.
Offline vadjunik  
#54 Оставлено : 22 ноября 2021 г. 19:34:51(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Проверяйте работу без прокси. А лучше вообще отключить от общий сети, на время тестов. Имя сервера прописать в host.


Действительно, был установлен некий клиент для Microsoft ISA Server - он автоматом переодически возвращал подключение через прокси. Снес, прокси убрал руками.
Имя компа прописал в хосты.
Ключи успешно загружены.

Отвалилась связь с ЦС:

Код:
PS C:\> ping-ca
ping-ca : Центр регистрации не имеет достаточно прав для обращения к центру сертификации Пробный корневой УЦ 2012 (512).
At line:1 char:1
+ ping-ca
+ ~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand


Ну и консоль ЦР так же не соединяется (

Рестартанул все сервисы руками, ключи еще раз загрузил (это нормально, что они сами выгружаются при рестарте системы?) Опять старая песня про "сертификат HTTPS" (( :

Код:
PS C:\> ping-ca
ping-ca : Ошибка соединения с центром сертификации Пробный корневой УЦ 2012 (512).
Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигур
ирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение.
Удаленный хост принудительно разорвал существующее подключение
At line:1 char:1
+ ping-ca
+ ~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand

Отредактировано пользователем 23 ноября 2021 г. 12:13:42(UTC)  | Причина: Перезапустил службы руками

Offline Захар Тихонов  
#55 Оставлено : 23 ноября 2021 г. 11:30:05(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
1. Действующие CRL имеются? Выпустите внеочередной CRL
2. На ЦС выполните смену клиентского сертификата ЦР и выберите этот же (т.е. просто перепривяжите).
3. В IE убрали информацию про прокси?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#56 Оставлено : 23 ноября 2021 г. 12:21:43(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
1. Действующие CRL имеются? Выпустите внеочередной CRL

Автоматом выпустился вчера, годен до 27-го. Все же перевыпускать?

Автор: Захар Тихонов Перейти к цитате
2. На ЦС выполните смену клиентского сертификата ЦР и выберите этот же (т.е. просто перепривяжите).

Сделал.
Автор: Захар Тихонов Перейти к цитате
3. В IE убрали информацию про прокси?
Отключено. Проверял - после перезагрузки "само" не включается, "гадил" ISA клиент.

После выполнения перепривязки сертификата ЦС имеем:

Код:
PS C:\> ping-ca
ping-ca : Центр регистрации не имеет достаточно прав для обращения к центру сертификации Пробный корневой УЦ 2012 (512).
At line:1 char:1
+ ping-ca
+ ~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand

Offline Захар Тихонов  
#57 Оставлено : 23 ноября 2021 г. 12:31:45(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
У вас в предыдущем сообщении одна ошибка, в следующем другая. Так какая актуальная?

Попробуйте в IIS, удалить привязку 443. Закрыть оснастку IIS. Снова добавить привязку на 443 с этим же сертификатом. Далее проверьте Ping-CA.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#58 Оставлено : 23 ноября 2021 г. 14:01:44(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
У вас в предыдущем сообщении одна ошибка, в следующем другая. Так какая актуальная?

Я описываю, что происходит последовательно. В результате последних манипуляций (перепривязки сертификата ЦС) ошибка проверки связи с ЦС поменялась. Все остальное - без изменений.

Финт с пересозданием привязки HTTPS эффекта не дал (

Может как-то связано с изменениями системных требований безопасности?

UserPostedImage

Отредактировано пользователем 23 ноября 2021 г. 14:09:54(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#59 Оставлено : 23 ноября 2021 г. 14:10:52(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,913
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 523 раз в 500 постах
А какая теперь ошибка, раз поменялась?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#60 Оставлено : 23 ноября 2021 г. 14:38:29(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 114
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
А какая теперь ошибка, раз поменялась?


Увы, все тож самое (

Код:
PS C:\> ping-ca
ping-ca : Центр регистрации не имеет достаточно прав для обращения к центру сертификации Пробный корневой УЦ 2012 (512).
At line:1 char:1
+ ping-ca
+ ~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.