Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Восстановление работоспособности УЦ 2.0
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
Решено при удаленном подключении. Решено переустановкой ПО. Предположительно проблема работы Консоли ЦР была из-за того что была доустановлена, через изменение в Программах и компонентах. Старая сборка 2.0.6142 не работает корректно с доустановкой компонентов, требуется полная переустановка ПО. |
|
 1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  Решено при удаленном подключении. Решено переустановкой ПО. Предположительно проблема работы Консоли ЦР была из-за того что была доустановлена, через изменение в Программах и компонентах. Старая сборка 2.0.6142 не работает корректно с доустановкой компонентов, требуется полная переустановка ПО. Супер БОЛЬШОЕ спасибо! А истекшие лицензии не мешали, обратил внимание, что они пропали после переустановки, хотя в процессе был указан ключ "сохранять БД". Просто на будущее если что - было ясно куда копать )
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  нет, не мешали. Ясно. А вот этот процесс с переустановкой с сохранением базы данных, он штатный, где-то в доках описан? Ну если что-то (а скорее где-то) опять пойдет не так?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
Автор: vadjunik  Ясно. А вот этот процесс с переустановкой с сохранением базы данных, он штатный, где-то в доках описан? Ну если что-то (а скорее где-то) опять пойдет не так?
ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации Пункт 8 Восстановление работоспособности компонент УЦ |
|
 1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Я уже задавал вопрос, но повторю, в виду новых реалий (обновления ЦС) - можно ли теперь удалить (команда в консоле есть, но выполнять пока опасаюсь )) "обычный ЦС" ?  Он в деле совершенно не используется, но спама в системный журнал от него много ( Или отключить связь, как Вы говорили? Сертификатов им выпущено всего ничего.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
Если ЦС использовался - удалить нельзя. В актуальной сертифицированной сборке можно пометить как неиспользуемый и спама не будет. В устаревшей, используемой вами сборке, сделать так сделать нельзя, только восстановить подключение (чтоб было рабочим) или смириться со спамом ошибок. Сам ЦС, на роли ЦС, можно удалить, но ЦР все равно будет к нему обращаться и спамить сообщения. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  только восстановить подключение Это, грубо говоря, для этого ЦС сделать копию настроек ЦР? Ладно, пока оставим как есть. Важнее уже оживить связь с нашей системой. Это штатное поведение, что всегда сгружается полный список корневых сертификатов ЦС, в то числе и недоступные?  Как я понял, этот файл формируется программно на лету? В доке (ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации.pdf) и в консоле ЦР нашел про выгрузку этого списка в файл, а вот куда его класть непонятно. В JCP для связи с УЦ используется сертификат:  Он валидный, есть в хранилище ЦР, но различия в том, что JCP предлагает в качестве издателя "недоступный" серт ЦС:  Тогда как, консоль ЦР отображает в качестве издателя текущий актуальный сертификат ЦС:  Так понимаю, что нужно обновить список сертификатов ЦС и CRL в JCP? Отредактировано пользователем 30 ноября 2021 г. 15:30:58(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
Вам стоит установить новый, тот что с индексом 18, сертификат ЦС и выпустить новый сертификат для использования в JCP (не ясно какая там цепочка у старого и есть ли CRL для него).
По поводу загрузки сертификатов ЦС через веб-портал ЦР - да, так задумано. Устанавливать в Доверенные корневые ЦС, т.к. у вас самоподписанные они. Да, в JCP стоит актуальный установить 18, если CRL недоступны по URL из сертификатов, то да, их стоит установить. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  Вам стоит установить новый, тот что с индексом 18 Для админа ЦР выпустили новый сертификат (чтоб была возможность перетащить в JCP приватный ключ). Из хранилища JCP удалили все старые сертификаты ЦС, остался один - валидный на данный момент (именно 18-й) . Проверил соединение с этим сертификатом в ЦР - все норм. При попытке доступа к веб-сервису https://ib-crypto1/RA/RegAuthLegacyService.svc ошибка: Код:Источник | Код | Описание
------------------------------------------------------------------------------------------
cpsspap | 300 | КриптоПро TLS. Ошибка 0x80090010 при обращении к CSP: Отказано в доступе.
В нашем коде и настройках никаких правок не делалось - система сломалась из-за протухших и не замененных во время сертификатов. Вопрос - может где-то в настройках веб-сервиса нужно сертификат указать/разрешить? Отредактировано пользователем 30 ноября 2021 г. 17:04:52(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
А вы сертификат выпустили новому пользователю или тому же что и использовался в прошлый раз? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  А вы сертификат выпустили новому пользователю или тому же что и использовался в прошлый раз? Тот же самый "Борменталь". Сертификат выпущен через консоль ЦР. Отредактировано пользователем 30 ноября 2021 г. 18:02:26(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
А как вы обращаетесь к этому сервису? Адрес прописан в каком-то конфиге? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  А как вы обращаетесь к этому сервису? Адрес прописан в каком-то конфиге? Код:RegAuthLegacyService service = new RegAuthLegacyService(new URL(getPropertiesValue("RegAuthLegacyServiceWebServiceUrl")));
contract = service.getRegAuthLegacyServiceEndpoint();
contract.getCRL(null);
Ну да, URL хранится как https://ib-crypto1/RA/RegAuthLegacyService.svcНастройки безопасности: Код:# хранилище корневых сертификатов ЦР
javax.net.ssl.trustStore=D:\\InterBankRS\\Store
# пароль к хранилищу корневых сертификатов
javax.net.ssl.trustStorePassword=123
# имя контейнера c ключом администратора ЦР
javax.net.ssl.keyStore=pfx-376947f3-6366-1493-6ef9-0a4713c25a46
# пароль к контейнеру c ключом администратора ЦР
javax.net.ssl.keyStorePassword=1
# дополнительный флаг
com.sun.security.enableCRLDP=true
# дополнительный флаг
com.ibm.security.enableCRLDP=true
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
А вы в "конфиге" указали использовать новый сертификат? Если поиск сертификата осуществляется по CN, то удалите из личного хранилища все старые сертификаты. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  А вы в "конфиге" указали использовать новый сертификат? Если поиск сертификата осуществляется по CN, то удалите из личного хранилища все старые сертификаты. Указан контейнер с новым, старого просто нет (в JCP) 
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
А как указано обращаться к новому? |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Автор: Захар Тихонов  А как указано обращаться к новому? Единственная ссылка на сертификат это насройка Код:javax.net.ssl.keyStore=pfx-376947f3-6366-1493-6ef9-0a4713c25a46
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 2,965   Откуда: Калининград Сказал «Спасибо»: 33 раз Поблагодарили: 528 раз в 505 постах
|
хорошо. А сертификат на этом ПК проверяется на отзыв? Выполните certutil -verify "файл сертификата"
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.12.2016(UTC) Сообщений: 127   Откуда: Таганрог Сказал «Спасибо»: 15 раз
|
Починили вобщем. Да, помогло удаление всех контейнеров, кроме того в котором был актуальный ключ админа. В логе нашли такое Цитата:дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.ao a FINE: Select any private key for signature. Found containers: 3 дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.w a FINE: [PKIX] Signature provider: JCP дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.w a FINE: [PKIX] Set some additional (intermediate) certificates дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.w a FINE: [PKIX] parameters: com.sun.security.enableCRLDP=true com.ibm.security.enableCRLDP=true дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.ao a FINE: Private key 'e307f859-251e-41b5-b27c-a8ed61198c2c' and certificate are available. дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.ao a FINE: %% Certificate message:
Subject: CN=Борменталь Иван Арнольдович, O=Пречистенка 24, L=Москва, T=Ассистент профессора Valid from Tue Apr 13 12:33:56 GMT+03:00 2021 until Sun Apr 12 09:43:41 GMT+03:00 2026 ------ Возник резонный вопрос - зачем тогда в настройках соединения нужно указывать идентификатор конкретного контейнера если подхватывается первый попавшийся подходящий?
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Восстановление работоспособности УЦ 2.0
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close