Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.07.2013(UTC) Сообщений: 67  Откуда: Москва Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день! В понедельник обнаружил, что прокис сертификат между клиентом AstraLinux и HSM. Сертификат перевыпустил, успешно установил на клиенте. Перезапустил stunnel и tomcat8. Но обнаружил, что один сервис tomcat8 не стартует. В логах увидел, что ругается на ключ. Набрал команду вывести все контейнеры хранящиеся на HSM:  HSM1.JPG (29kb) загружен 8 раз(а).Команду точно без ошибок набрал. Куда могли пропасть контейнеры? Если их кто то удалил, то можно где то в логах HSM это увидеть? Какое сообщение искать? Еще, просматривая сейчас лог HSM, увидел в нем сообщение: ATTENTION: HSM activation keys is TOO old! - что это такое? Заранее спасибо! Отредактировано пользователем 4 февраля 2022 г. 11:32:18(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,404  Сказал «Спасибо»: 53 раз
Поблагодарили: 779 раз в 721 постах
|
Автор: alexey0412  Добрый день! В понедельник обнаружил, что прокис сертификат между клиентом AstraLinux и HSM. Сертификат перевыпустил, успешно установил на клиенте. Перезапустил stunnel и tomcat. Но обнаружил, что один сервис не tomcat не стартует. В логах увидел, что ругается на ключ. Набрал команду вывести все контейнеры хранящиеся на HSM: HSM1.JPG (29kb) загружен 8 раз(а).Команду точно без ошибок набрал. Куда могли пропасть контейнеры? Если их кто то удалил, то можно где то в логах HSM это увидеть? Какое сообщение искать? Еще, просматривая сейчас лог HSM, увидел в нем сообщение: ATTENTION: HSM activation keys is TOO old! - что это такое? Заранее спасибо! Здравствуйте. Цитата:ATTENTION: HSM activation keys is TOO old! - что это такое? Срок действия ключей активации HSM (супер-пользователь, "3 из 5") ограничены сроком действия корневого сертификата HSM. Но рекомендуется их менять не реже раза в 1 год и 3 месяца - отсюда и предупреждение. По сути вопроса о пропавших ключевых контейнерах: Вы перевыпустили сертификат ключа доступа к HSM для того же пользователя или для пользователя в той же группе, что и изначальный пользователь? Если нет, то все логично - для пользователя HSM из другой группы используется отдельное хранилище ключей в HSM, в котором, естественно, недоступны ключи изначального пользователя. |
|
 1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.07.2013(UTC) Сообщений: 67 Откуда: Москва Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
|
Спасибо!
Теперь понял в чем может быть причина.
Я действительно, по просьбе безопасника, сделал сертификат на другом пользователе 1009.
А раньше, прокисший сертификат, был выпущен на пользователе 1008.
И конечно контейнеры создавались на пользователе 1008.
Сейчас попробую обновить карточку 1008 и отпишусь.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.07.2013(UTC) Сообщений: 67 Откуда: Москва Сказал(а) «Спасибо»: 15 раз
Поблагодарили: 1 раз в 1 постах
|
Все оказалось именно так:
Прокисшая 16.01.22 карточка была сделана на пользователе 1008
Когда хотел ее обновить, то взяли другую карточку и на пользователе 1009 выпустили новый сертификат.
И этот сертификат 1009 установили на клиента на астру.
Действительно из-под него (1009), не отображаются контейнеры HSM, которые созданы из-под другого пользователя (1008).
Перевыпустил сертификат на пользователя 1008, установил его серт на астру и контейнеры сразу стали видны.
Сервис запустился!
Спасибо!
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
