Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы«<3456>
Опции
К последнему сообщению К первому непрочитанному
Offline Захар Тихонов  
#81 Оставлено : 29 ноября 2021 г. 17:04:01(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Решено при удаленном подключении.
Решено переустановкой ПО.
Предположительно проблема работы Консоли ЦР была из-за того что была доустановлена, через изменение в Программах и компонентах. Старая сборка 2.0.6142 не работает корректно с доустановкой компонентов, требуется полная переустановка ПО.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
vadjunik оставлено 29.11.2021(UTC)
Offline vadjunik  
#82 Оставлено : 29 ноября 2021 г. 17:07:03(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Решено при удаленном подключении.
Решено переустановкой ПО.
Предположительно проблема работы Консоли ЦР была из-за того что была доустановлена, через изменение в Программах и компонентах. Старая сборка 2.0.6142 не работает корректно с доустановкой компонентов, требуется полная переустановка ПО.


Супер БОЛЬШОЕ спасибо!
А истекшие лицензии не мешали, обратил внимание, что они пропали после переустановки, хотя в процессе был указан ключ "сохранять БД".
Просто на будущее если что - было ясно куда копать )
Offline Захар Тихонов  
#83 Оставлено : 29 ноября 2021 г. 17:11:53(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
нет, не мешали.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#84 Оставлено : 29 ноября 2021 г. 17:24:14(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
нет, не мешали.

Ясно. А вот этот процесс с переустановкой с сохранением базы данных, он штатный, где-то в доках описан? Ну если что-то (а скорее где-то) опять пойдет не так?
Offline Захар Тихонов  
#85 Оставлено : 30 ноября 2021 г. 8:33:07(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Автор: vadjunik Перейти к цитате

Ясно. А вот этот процесс с переустановкой с сохранением базы данных, он штатный, где-то в доках описан? Ну если что-то (а скорее где-то) опять пойдет не так?


ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации
Пункт 8 Восстановление работоспособности компонент УЦ
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
vadjunik оставлено 30.11.2021(UTC)
Offline vadjunik  
#86 Оставлено : 30 ноября 2021 г. 13:12:00(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Я уже задавал вопрос, но повторю, в виду новых реалий (обновления ЦС) - можно ли теперь удалить (команда в консоле есть, но выполнять пока опасаюсь )) "обычный ЦС" ?

UserPostedImage

Он в деле совершенно не используется, но спама в системный журнал от него много ( Или отключить связь, как Вы говорили? Сертификатов им выпущено всего ничего.
Offline Захар Тихонов  
#87 Оставлено : 30 ноября 2021 г. 13:21:09(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Если ЦС использовался - удалить нельзя. В актуальной сертифицированной сборке можно пометить как неиспользуемый и спама не будет. В устаревшей, используемой вами сборке, сделать так сделать нельзя, только восстановить подключение (чтоб было рабочим) или смириться со спамом ошибок.
Сам ЦС, на роли ЦС, можно удалить, но ЦР все равно будет к нему обращаться и спамить сообщения.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#88 Оставлено : 30 ноября 2021 г. 14:03:58(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
только восстановить подключение
Это, грубо говоря, для этого ЦС сделать копию настроек ЦР? Ладно, пока оставим как есть.

Важнее уже оживить связь с нашей системой.

Это штатное поведение, что всегда сгружается полный список корневых сертификатов ЦС, в то числе и недоступные?

UserPostedImage

Как я понял, этот файл формируется программно на лету?
В доке (ЖТЯИ.00078 01 90 03 ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации.pdf) и в консоле ЦР нашел про выгрузку этого списка в файл, а вот куда его класть непонятно.

В JCP для связи с УЦ используется сертификат:
UserPostedImage

Он валидный, есть в хранилище ЦР, но различия в том, что JCP предлагает в качестве издателя "недоступный" серт ЦС:

UserPostedImage

Тогда как, консоль ЦР отображает в качестве издателя текущий актуальный сертификат ЦС:

UserPostedImage UserPostedImage

Так понимаю, что нужно обновить список сертификатов ЦС и CRL в JCP?

Отредактировано пользователем 30 ноября 2021 г. 15:30:58(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#89 Оставлено : 30 ноября 2021 г. 16:00:41(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
Вам стоит установить новый, тот что с индексом 18, сертификат ЦС и выпустить новый сертификат для использования в JCP (не ясно какая там цепочка у старого и есть ли CRL для него).

По поводу загрузки сертификатов ЦС через веб-портал ЦР - да, так задумано. Устанавливать в Доверенные корневые ЦС, т.к. у вас самоподписанные они.
Да, в JCP стоит актуальный установить 18, если CRL недоступны по URL из сертификатов, то да, их стоит установить.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#90 Оставлено : 30 ноября 2021 г. 17:01:12(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Вам стоит установить новый, тот что с индексом 18


Для админа ЦР выпустили новый сертификат (чтоб была возможность перетащить в JCP приватный ключ). Из хранилища JCP удалили все старые сертификаты ЦС, остался один - валидный на данный момент (именно 18-й) .

Проверил соединение с этим сертификатом в ЦР - все норм. При попытке доступа к веб-сервису https://ib-crypto1/RA/RegAuthLegacyService.svc ошибка:
Код:
Источник | Код  | Описание
------------------------------------------------------------------------------------------
cpsspap	 |  300	| КриптоПро TLS. Ошибка 0x80090010 при обращении к CSP: Отказано в доступе.


В нашем коде и настройках никаких правок не делалось - система сломалась из-за протухших и не замененных во время сертификатов. Вопрос - может где-то в настройках веб-сервиса нужно сертификат указать/разрешить?

Отредактировано пользователем 30 ноября 2021 г. 17:04:52(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#91 Оставлено : 30 ноября 2021 г. 17:49:32(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
А вы сертификат выпустили новому пользователю или тому же что и использовался в прошлый раз?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#92 Оставлено : 30 ноября 2021 г. 17:56:27(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
А вы сертификат выпустили новому пользователю или тому же что и использовался в прошлый раз?


Тот же самый "Борменталь". Сертификат выпущен через консоль ЦР.

Отредактировано пользователем 30 ноября 2021 г. 18:02:26(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#93 Оставлено : 1 декабря 2021 г. 9:17:05(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
А как вы обращаетесь к этому сервису? Адрес прописан в каком-то конфиге?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#94 Оставлено : 1 декабря 2021 г. 13:29:11(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
А как вы обращаетесь к этому сервису? Адрес прописан в каком-то конфиге?


Код:
RegAuthLegacyService service = new RegAuthLegacyService(new URL(getPropertiesValue("RegAuthLegacyServiceWebServiceUrl")));
contract = service.getRegAuthLegacyServiceEndpoint();
contract.getCRL(null);


Ну да, URL хранится как https://ib-crypto1/RA/RegAuthLegacyService.svc

Настройки безопасности:
Код:
# хранилище корневых сертификатов ЦР
javax.net.ssl.trustStore=D:\\InterBankRS\\Store
# пароль к хранилищу корневых сертификатов
javax.net.ssl.trustStorePassword=123
# имя контейнера c ключом администратора ЦР
javax.net.ssl.keyStore=pfx-376947f3-6366-1493-6ef9-0a4713c25a46
# пароль к контейнеру c ключом администратора ЦР
javax.net.ssl.keyStorePassword=1
# дополнительный флаг 
com.sun.security.enableCRLDP=true
# дополнительный флаг
com.ibm.security.enableCRLDP=true
Offline Захар Тихонов  
#95 Оставлено : 1 декабря 2021 г. 13:41:22(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
А вы в "конфиге" указали использовать новый сертификат? Если поиск сертификата осуществляется по CN, то удалите из личного хранилища все старые сертификаты.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#96 Оставлено : 1 декабря 2021 г. 14:12:32(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
А вы в "конфиге" указали использовать новый сертификат? Если поиск сертификата осуществляется по CN, то удалите из личного хранилища все старые сертификаты.


Указан контейнер с новым, старого просто нет (в JCP)

UserPostedImage
Offline Захар Тихонов  
#97 Оставлено : 1 декабря 2021 г. 14:16:12(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
А как указано обращаться к новому?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#98 Оставлено : 1 декабря 2021 г. 15:39:15(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
А как указано обращаться к новому?


Единственная ссылка на сертификат это насройка

Код:
javax.net.ssl.keyStore=pfx-376947f3-6366-1493-6ef9-0a4713c25a46
Offline Захар Тихонов  
#99 Оставлено : 1 декабря 2021 г. 15:55:09(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,965
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 33 раз
Поблагодарили: 528 раз в 505 постах
хорошо.
А сертификат на этом ПК проверяется на отзыв?
Выполните certutil -verify "файл сертификата"
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#100 Оставлено : 1 декабря 2021 г. 17:47:31(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Починили вобщем.

Да, помогло удаление всех контейнеров, кроме того в котором был актуальный ключ админа. В логе нашли такое

Цитата:
дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.ao a
FINE: Select any private key for signature. Found containers: 3
дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.w a
FINE: [PKIX] Signature provider: JCP
дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.w a
FINE: [PKIX] Set some additional (intermediate) certificates
дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.w a
FINE: [PKIX] parameters:
com.sun.security.enableCRLDP=true
com.ibm.security.enableCRLDP=true
дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.ao a
FINE: Private key 'e307f859-251e-41b5-b27c-a8ed61198c2c' and certificate are available.
дек 01, 2021 4:42:04 PM ru.CryptoPro.ssl.ao a
FINE: %% Certificate message:

Subject: CN=Борменталь Иван Арнольдович, O=Пречистенка 24, L=Москва, T=Ассистент профессора
Valid from Tue Apr 13 12:33:56 GMT+03:00 2021 until Sun Apr 12 09:43:41 GMT+03:00 2026
------


Возник резонный вопрос - зачем тогда в настройках соединения нужно указывать идентификатор конкретного контейнера если подхватывается первый попавшийся подходящий?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы«<3456>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.