Статус: Новичок
Группы: Участники
Зарегистрирован: 12.05.2020(UTC) Сообщений: 9  Откуда: Москва
|
Добрый день!
Провожу стендирование решения с использованием стороннего УЦ (в качестве такового выступает локальный CA на Win2012 + CryptoPro 4). Сделал по инструкции requestы, выдал в УЦ на их основании серты и установил их на все ноды стенда (1 MGMT, 1 Gate (пока), 1 АРМ администратора). При попытке привязать сертификат АРМа администратора в ng-certcfg процесс проходит успешно, службы перезапускаются, но после этого Show certificate выдает сообщение, что сертификата нет и попытка зайти на MGMT node с АРМа завершается 400ым сообщением nginx: no required ssl certificate was sent.
P.S. Тестирую сертифицированную версию, скачанную с офф сайта.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.06.2019(UTC) Сообщений: 33 
|
Добрый день!
попытка зайти на MGMT node с АРМа завершается 400ым сообщением nginx: no required ssl certificate was sent.
Какой браузер используете?
Что вводите в адресной строке?
Сертификат администратора установлен в личные пользователя с привязкой к закрытому ключу? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.05.2020(UTC) Сообщений: 9 Откуда: Москва
|
Здравствуйте! 1. Использовал Яндекс Браузер и IE 2. https://ngate-mgmt:8000 Сделал для ноды управления имя ngate-mgmt, с этим именем выдал сертификат, его же прописал в hosts на Win машине администратора. В логах вижу: 2020/05/13 13:21:58 [emerg] 6924#0: *6 SSPI_do_handshake() failed while SSPI handshaking, client: 192.168.0.2, server: 192.168.0.1:8000 2020/05/13 13:21:58 [error] 6924#0: *7 AcceptSecurityContext failed: 0x80090326 while SSPI handshaking, client: 192.168.0.2, server: 192.168.0.1:8000 3. Сертификат установлен. Пока ждал ответа не сидел сложа руки: попробовал переделать все на внутреннем УЦ ngate. Для этого заново поднял ngate-mgmt и ngate-1 (нода кластера). Проблема с 400 кодом осталась. Замечание: в документации весьма слабо описаны требования к настройке сетевых интерфейсов. Нет понимания как можно комбинировать роли интерфейсов и можно ли это делать. 1. Не понятно какая роль должна быть на интерфейсе устройства управления который смотрит в сторону шлюзов. 2. Можно ли healthcheck сделать на интерфейсе управления или внутреннем интерфейсе. Отредактировано пользователем 13 мая 2020 г. 15:15:49(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.06.2019(UTC) Сообщений: 33
|
На ПК администратора запустите КриптоПро CSP и выполните тестирование контейнера ЗК ключа администратора.
Результат тестирования сохраните в файл и прикрепите к сообщению. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.05.2020(UTC) Сообщений: 9 Откуда: Москва
|
Автор: Павел Заика  На ПК администратора запустите КриптоПро CSP и выполните тестирование контейнера ЗК ключа администратора.
Результат тестирования сохраните в файл и прикрепите к сообщению.  testirovanie KZK.txt (3kb) загружен 7 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 131 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
|
Автор: SlipKo Проблема с 400 кодом осталась. 400-й код и отсутствие запроса на сертификат админа в бразуере говорит о том что у вас скорее всего корневой не установлен в Trusted Root.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.05.2020(UTC) Сообщений: 9 Откуда: Москва
|
Автор: Андрей Куликов Автор: SlipKo Проблема с 400 кодом осталась. 400-й код и отсутствие запроса на сертификат админа в бразуере говорит о том что у вас скорее всего корневой не установлен в Trusted Root. Ну тогда бы при клике на замочек в браузере я не видел и такой картинки. 1.png (8kb) загружен 13 раз(а).Отредактировано пользователем 14 мая 2020 г. 10:33:38(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.06.2019(UTC) Сообщений: 33
|
Используйте csptest для проверки:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server <servername> -port 8000 -u <CN_from_admin_cert> -v
Приложите результат выполнения команды полностью. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 12.05.2020(UTC) Сообщений: 9 Откуда: Москва
|
Автор: Павел Заика Используйте csptest для проверки:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server <servername> -port 8000 -u <CN_from_admin_cert> -v
Приложите результат выполнения команды полностью. C:\Program Files\Crypto Pro\CSP>csptest.exe -tlsc -server ngate-mgmt -port 8000 -u arm -v An error occurred in running the program. tmain.c:1650:CertFindCertificateInStore Error number 0x80092004 (-2146885628). Объект или свойство не найдено. **** Error 0x80092004 returned by CertFindCertificateInStore An error occurred in running the program. WebClient.c:607:Error creating credentials. Error number 0x8009030e (-2146893042). В пакете безопасности отсутствуют учетные данные Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,031 sec [ErrorCode: 0x8009030e] Прикладываю серт и изображение оснастки сертификатов. 2.png (35kb) загружен 8 раз(а). arm.cer (1kb) загружен 1 раз(а).Отредактировано пользователем 14 мая 2020 г. 17:44:12(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.10.2010(UTC) Сообщений: 131 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 2 раз
Поблагодарили: 9 раз в 8 постах
|
Поставьте сертификат текущему пользователю в хранилище. Сейчас он у вас в хранилище локального компьютера. Отредактировано пользователем 14 мая 2020 г. 21:26:48(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
