Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137  Сказал(а) «Спасибо»: 40 раз
|
Добрый день. Прошу подсказать, интересует метод первичной аутентификации по сертификату в личный кабинет пользователя. В руководстве оператора написано что нужно заполнить компоненты имени пользователя либо из уже из существующего сертификата либо заполнить профиль пользователя самому. Я выбрал первый вариант, DSS написал что все данные успешно заполнены, но кнопка выпустить сертификат все равно не доступа. При наведении выводиться сообщение "не найден активный обработчик УЦ для выпуска сертификатов". Подскажите пожалуйста в чем может быть причина ? Отредактировано пользователем 5 апреля 2020 г. 17:09:48(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332  Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Добрый день. Для аутентификации пользователя по сертификату необходимо загрузить файл сертификата пользователя, выбрав метод первичной аутентификации "По сертификату", а затем - включить данный метод. После этого - можете попробовать пройти аутентификацию, используя загруженный сертификат. Обратите внимание - компоненты имени из загружаемого сертификата должны точно совпадать с компонентами имени пользователя DSS. Касательно уведомления "не найден активный обработчик УЦ для выпуска сертификатов" - для выпуска сертификатов в ЛК пользователя, используемых для аутентификации, необходимо зарегистрировать отдельный обработчик УЦ с помощью командлета Add-DssStsCryptoProCA20Enrollment. Требуемые для создания обработчика параметры здесь. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Автор: Андрей Солдатов 
Обратите внимание - компоненты имени из загружаемого сертификата должны точно совпадать с компонентами имени пользователя DSS.
Вот этот момент хотел уточнить немного подробней. У меня в ЛК пользователя есть поля, которые не заполнены (например ОГРН, ОГРНИП, Должность) и они также отсутствуют в сертификате который я подгрузил. Получается мне их надо убрать из ЛК и оставить только те которые совпадают в сертификате, чтобы я мог использовать этот метод аутентификации. Надеюсь я правильно все рассудил ?)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Автор: stempid468 Автор: Андрей Солдатов
Обратите внимание - компоненты имени из загружаемого сертификата должны точно совпадать с компонентами имени пользователя DSS.
Вот этот момент хотел уточнить немного подробней. У меня в ЛК пользователя есть поля, которые не заполнены (например ОГРН, ОГРНИП, Должность) и они также отсутствуют в сертификате который я подгрузил. Получается мне их надо убрать из ЛК и оставить только те которые совпадают в сертификате, чтобы я мог использовать этот метод аутентификации. Надеюсь я правильно все рассудил ?) Не совсем. Должны совпадать именно заполненные компоненты имени. Т.е., например, если Вы зарегистрировали в КриптоПро DSS пользователя с CN="Тест" и SN="Еще один тест", то в сертификате, который Вы загружаете для пользователя должны быть заполнены те же поля, теми же значениями. |
|
 1 пользователь поблагодарил Андрей Солдатов за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Спасибо. Просьба подсказать по еще паре моментов - для аутентификации в ЛК подойдет неквалифицированный сертификат на ГОСТ ? И можно ли в данном случае использовать RSA - сертификаты ? И есть необходимость поменять в ЛК пользователя отображение имени службы TSP (т.е. параметр Title из командлета Set-DssProperties - TSPList). В связи с этим вопрос можно поменять только этот параметр или нужно заново указывать службу как показано на примере ?  Отредактировано пользователем 6 апреля 2020 г. 14:34:18(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Добрый день. Автор: stempid468 Спасибо.
Просьба подсказать по еще паре моментов - для аутентификации в ЛК подойдет неквалифицированный сертификат на ГОСТ ? Технически - подойдет. Автор: stempid468 И можно ли в данном случае использовать RSA - сертификаты ? Можно, но только в случае, если в Set-DssStsProperties -SslAuthPort "Порт" указать порт, на котором в IIS привязан RSA-сертификат. Автор: stempid468 В связи с этим вопрос можно поменять только этот параметр или нужно заново указывать службу как показано на примере ? Заново. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Ок, тогда прошу подсказать такой момент - в комадлете присутствует параметр TSPlist Name – строковой идентификатор службы. Его изменение на что то повлияет если я задам другое значение или нужно использовать то которое было задано при первоначальной настройке ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Не повлияет.
Просто добавьте новую службу с нужными Вам настройками. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.11.2019(UTC) Сообщений: 137 Сказал(а) «Спасибо»: 40 раз
|
Если я правильно понял то после добавления службы у меня в выпадающем списке в ЛК пользователя будет новая нужная мне служба. А есть возможность убрать старую, чтобы она не сбивала пользователя с толку ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Нет, если Вы будете следовать руководству по добавлению новой службы - после выполнения всех командлетов в списке у Вас будет одна служба, с новыми параметрами. |
|
1 пользователь поблагодарил Андрей Солдатов за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
