Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
11 Страницы«<34567>»
Восстановление работоспособности УЦ 2.0
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Захар Тихонов  
#41 Оставлено : 15 ноября 2021 г. 10:30:17(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,316
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Все же не надо новый было выпускать. Проверьте работу с ключом 12 (как и 13,14,14,17). Или выведите его из эксплуатации.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline Захар Тихонов  
#42 Оставлено : 15 ноября 2021 г. 10:52:06(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,316
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится?
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vadjunik  
#43 Оставлено : 15 ноября 2021 г. 11:00:42(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Все же не надо новый было выпускать. Проверьте работу с ключом 12 (как и 13,14,14,17). Или выведите его из эксплуатации.

Вывел все "кривые" из эксплуатации.

Код:
PS C:\> ping-ca
Центр сертификации Пробный корневой УЦ 2012 (512) доступен и готов к выпуску сертификатов.


Уже радует ) Теперь бы связь с ЦР из консоли восстановить и можно приступать к настройки нашего п/о.

Код:
-------------------------------------------------------------------------------------------------------------------------
		Источник 		    | Код  | 										Описание
-------------------------------------------------------------------------------------------------------------------------
Центр регистрации КриптоПро	| 7068 | Службе регистрации Крипто-Про УЦ 2.0 не удалось обновить CDP с Пробный корневой УЦ.
cpsspap				        | 300  | КриптоПро TLS. Ошибка 0x80090010 при обращении к CSP: Отказано в доступе.


Вижу, что консоль упорно продолжает "лезть" на "обычный" УЦ, тогда как "боевой" у меня "УЦ 512". Можно вот этот "обычный" удалить или деактивировать, ну или как-то "перенацелить" консоль ЦР на нужный мне?

Автор: Захар Тихонов Перейти к цитате
на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится?

"Выпустить на новом ключе" - это сейчас, когда я перевыпустил и загрузил серт админа "УЦ 512", выпустить новый веб-серт и создать нового админа ЦР?

Отредактировано пользователем 15 ноября 2021 г. 11:04:02(UTC)  | Причина: Очепятка
Вверх
Offline Захар Тихонов  
#44 Оставлено : 15 ноября 2021 г. 11:06:19(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,316
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Автор: vadjunik Перейти к цитате

Код:
-------------------------------------------------------------------------------------------------------------------------
		Источник 		    | Код  | 										Описание
-------------------------------------------------------------------------------------------------------------------------
Центр регистрации КриптоПро	| 7068 | Службе регистрации Крипто-Про УЦ 2.0 не удалось обновить CDP с Пробный корневой УЦ.
cpsspap				        | 300  | КриптоПро TLS. Ошибка 0x80090010 при обращении к CSP: Отказано в доступе.


Вижу, что консоль упорно продолжает "лезть" на "обычный" УЦ, тогда как "боевой" у меня "УЦ 512". Можно вот этот "обычный" удалить или деактивировать, ну или как-то "перенацелить" консоль ЦР на нужный мне?


Давайте решать задачи последовательно. В начале Консоль ЦР, потом что-то новое.

Автор: Захар Тихонов Перейти к цитате
на новом ключе выпустите веб сертификат и сертификат администратора ЦР. Консоль ЦР подключится?

"Выпустить на новом ключе" - это сейчас, когда я перевыпустил и загрузил серт админа "УЦ 512", выпустить новый веб-серт и создать нового админа ЦР?

Да, веб сертификат через значок "+", а Администратора ЦР не надо нового создавать, просто существующему смените сертификат (так же через Диспетчер УЦ).

Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vadjunik  
#45 Оставлено : 15 ноября 2021 г. 12:04:39(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Веб-сертификат перевыпустил.

Насчет ЦР, подскажите, нужно именно заменить сертификат самого ЦР в ветке ЦС или выпустить новый сертификат для существующего админа?

UserPostedImage

ЦР в ветке ЦС сейчас подключается НЕ через активного пользователя (root), а через специально созданного для этого подключения (ClientRA). Переключиться на активного пользователя (root) не дает - мастер говорит, что "Учетная запись уже используется Администратором ЦС или Центром Регистрации". Как должно быть корректно?

Отредактировано пользователем 15 ноября 2021 г. 12:11:13(UTC)  | Причина: Не указана
Вверх
Offline Захар Тихонов  
#46 Оставлено : 15 ноября 2021 г. 12:07:35(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,316
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Администратору службы регистрации. Выберите любого из этих двоих и выпустите новый сертификат. Далее новым сертификатом попробуйте авторизоваться в Консоли ЦР.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vadjunik  
#47 Оставлено : 15 ноября 2021 г. 12:26:46(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
Администратору службы регистрации. Выберите любого из этих двоих и выпустите новый сертификат. Далее новым сертификатом попробуйте авторизоваться в Консоли ЦР.


Сделал новый серт. Автоматически он не виден в консоле ЦР, нужно руками его установить в хранилище "Личное". Однако, при попытке подключения картина прежняя:

Код:
System.ServiceModel.ServerTooBusyException: Служба HTTP, расположенная по адресу https://ib-crypto1/RA/TableService.svc/, недоступна. Это может быть вызвано тем, что служба перегружена либо не обнаружено ни одной конечной точки, прослушивающей указанный адрес. Убедитесь в правильности адреса и попробуйте обратиться к службе позднее. ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (503) Сервер не доступен.
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   --- Конец трассировки внутреннего стека исключений ---

Server stack trace: 
   в System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   в System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)


Перезапустил все сервисы - отвалилась связь с УЦ вообще (( :

Код:
PS C:\> ping-ca
ping-ca : Ошибка соединения с центром сертификации Пробный корневой УЦ 2012 (512).
Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигур
ирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение.
Удаленный хост принудительно разорвал существующее подключение
At line:1 char:1
+ ping-ca
+ ~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand


Upd
Рестартовал веб-сервис через консоль управления IIS, убрал/указал сертификат в привязке HTTPS - пинг на УЦ восстановился.
С подключением админа ЦР все та же самая песня (( Выпустил еще один серт для Борменталя (админа ЦР, когда-то под ним работало) - никак ((

Отредактировано пользователем 16 ноября 2021 г. 9:08:32(UTC)  | Причина: Не тот лог
Вверх
Offline Захар Тихонов  
#48 Оставлено : 17 ноября 2021 г. 12:32:01(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,316
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
503 ошибка в Консоли ЦР довольно странно. Раньше была другая?
Пришлите лог, после закрытия Консоли ЦР (который сохранится в папке лог).
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline vadjunik  
#49 Оставлено : 17 ноября 2021 г. 14:48:37(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 127
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 15 раз
Автор: Захар Тихонов Перейти к цитате
503 ошибка в Консоли ЦР довольно странно. Раньше была другая?

Да, тож сейчас спецом пробежался по теме было про "Возможно, это вызвано тем, что сертификат сервера не сконфигурирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером".
503-ю ошибку выдавало при попытке зайти на URL ЦР браузером, Вы сказали, что это нормально.

Автор: Захар Тихонов Перейти к цитате
Пришлите лог, после закрытия Консоли ЦР (который сохранится в папке лог).

Вот свежий лог:
Код:
System.ServiceModel.ServerTooBusyException: Служба HTTP, расположенная по адресу https://ib-crypto1/RA/TableService.svc/, недоступна. Это может быть вызвано тем, что служба перегружена либо не обнаружено ни одной конечной точки, прослушивающей указанный адрес. Убедитесь в правильности адреса и попробуйте обратиться к службе позднее. ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (503) Сервер не доступен.
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   --- Конец трассировки внутреннего стека исключений ---

Server stack trace: 
   в System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)


На всякий случай прикладываю конфигурационный файл виртуального каталога ЦР.
Вверх
Offline Захар Тихонов  
#50 Оставлено : 17 ноября 2021 г. 15:22:12(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,316
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
В браузере перейдите по адресу https://ib-crypto1/RA/TableService.svc/, запросится сертификат оператора (которым в Консоли ЦР подключаетесь), страница откроется?
Вы прокси отключили (везде)?
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
11 Страницы«<34567>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET