Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline andrew321456  
#1 Оставлено : 14 августа 2020 г. 16:20:10(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Имеется сервер под Win2003r2 в домене (AD) с установленным MS CA и КриптоПро 4.0.9944
После перезагрузки сервера (DNS-сервера/контроллеры домена были обновлены) отказался запускаться MS CA.

В логах ошибка:

EventId: 100

Certificate Services did not start: Could not load or verify the current CA certificate. sterra-ca Access denied. 0x80090010 (-2146893808).

Контейнер при установке СА формировался автоматически. Отдельно сертификат выгружен. В контейнере сертификата нет.


Попытки как-то реанимировать выдают, что сертификат не соответствует контейнеру. Хотя хэш контейнера и показываемый в сертификате одинаковы.

C:\TEMP>certutil -repairstore CA 3
================ Certificate 3 ================
Serial Number: 5469972975a7dbaf498a1d31646addbb
Issuer: CN=sterra-ca, L=Novosibirsk, S=Russia, C=RU
Subject: CN=sterra-ca, L=Novosibirsk, S=Russia, C=RU
CA Version: V0.0
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): 26 4d 21 15 e8 0c 2d ed 35 11 72 a1 d3 96 6c 79 00 5c e3 0c
Key Container = sterra-ca
Provider = Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Private key is NOT exportable
ERROR: Certificate public key does NOT match private key
CertUtil: -repairstore command completed successfully.



Тут уже попытки запихнуть сертификат в контейнер. Которые ни к чему не привели - только имя ключа поменялось слегка.



C:\TEMP>certutil -verifykeys
Key "sterra-ca" verifies as the public key for Certificate "sterra-ca"
V0.0
Signature test FAILED

CertUtil: -verifykeys command FAILED: 0x80070057 (WIN32: 87)
CertUtil: The parameter is incorrect.

C:\TEMP>
C:\TEMP>
C:\TEMP>certutil -verifykeys
Key "REGISTRY\\sterra-ca" verifies as the public key for Certificate "sterra-ca"

V0.0
Signature test FAILED

CertUtil: -verifykeys command FAILED: 0x80070057 (WIN32: 87)
CertUtil: The parameter is incorrect.



Есть подозрение, что повредился сам контейнер.




Сервер 2003р2 крутится в виртуалке. Машина бэкапится целиком. Отдельно контейнера нет. Когда возникла проблема - неизвестно.
Пока сервер не перезагрузили, всё работало нормально. Восстановление более раннего бэкапа ведет к той же ситуации с незапуском СА.


Попытка снести СА и поставить его с использованием существующего контейнера выдает ошибку типа "алгоритм хэширования не совпадает - вернитесь обратно и выберите другой ..."

Если сделать чистую установку с формированием нового контейнера, то формирует нормально и СА запускается, но требуется запустить текущий СА, т.к. большое количество ключей, а перевыпускать и переставлять ключи на большое количество обоудование - не вариант.



Есть возможность/инструмент, чтобы проверить целостность контейнера?

Или тут другая проблема, но тогда как её выявить и решить?
Offline two_oceans  
#2 Оставлено : 15 августа 2020 г. 6:28:43(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Если контейнер в формате КриптоПро (напрямую этого не написали, но полагаю так и есть), то можно протестировать целостность контейнера через панель управления Криптопро. Еще можно попробовать установить более новую версию Криптопро CSP - может помочь если проблема в установленном обновлении ОС (Майкрософт иногда меняет важные детали в работе CryptoAPI). Однако при проблеме такого рода и новый CA выдавал бы ошибку.
Автор: andrew321456 Перейти к цитате
Если сделать чистую установку с формированием нового контейнера, то формирует нормально и СА запускается, но требуется запустить текущий СА, т.к. большое количество ключей, а перевыпускать и переставлять ключи на большое количество обоудование - не вариант.
Как я понимаю, сертификат от старой версии сохранился. Тогда есть вариант выпустить кросс-сертификат (то есть, подписать старый сертификат новым ключом) - в этом случае просто цепочка сертификатов станет длинее, а все выпущенные ранее сертификаты подхватятся на новый СА. При штатной смене сертификата СА это происходит автоматом, но раз новый чистый и ничего не знает о старом, то придется вручную. Далее политикой или через AD размножить кросс по домену.

Минус ручного выпуска кросс-сертификата в том, что если не восстановить связь с контейнером старого СА, то не получится выпускать списки отзыва старого СА и соответственно 1) нельзя будет отозвать сертификаты выпущенные на старом СА и 2) проверить их по списку отзыва, когда выпущенный список отзыва истечет. Тем не менее создание кросса хотя бы даст время на постепенный перевыпуск-переустановку сертификатов в течении срока действия старого списка отзыва. Или на поиск решения проблемы с контейнером. Полагаю, вытащить выпущенный ранее список отзыва сможете из архива, у MS CA по умолчанию хранится в C:\Windows\System32\CertSrv\CertEnroll. Файлы надо положить в новый CA и чтобы имена не совпадали (при совпадении имен файлы перезапишутся, но если старые файлы положить с другими именами их просто не найдут при проверке, так что измениться должно имя новых файлов). Проще всего добиться такого, указав другое имя при создании нового CA, так еще и будет видно где сертификаты старого, а где нового CA.

Вообще, по такому же принципу кросса теоретически можно перевыпустить и клиентские сертификаты со старого CA на новый (сохраняя ключи и сроки окончания действия), но тогда все равно придется устанавливать/связывать перевыпущенные сертификаты с ключами на местах (хотя в домене это можно автоматизировать удаленно запуская удаление и установку сертификата через certmgr).

Отредактировано пользователем 15 августа 2020 г. 7:00:58(UTC)  | Причина: Не указана

Offline andrew321456  
#3 Оставлено : 15 августа 2020 г. 8:09:20(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Да. Контейнер, естественно, КриптоПро. Форум таки обязывает как-то иметь к этому отношение.

СА в режиме Standalone. К домену никак не привязан. Используется для выдачи ключей/сертификатов для VPN Sterra.


Проверка выдаёт:


Check container failed
Private key container computer's
name sterra-ca - Copy - 20200814
unique name REGISTRY\\sterra-ca - Copy - 20200814
FQCN \\.\REGISTRY\sterra-ca - Copy - 20200814
container integrity check succeed
Exchange key not available
Signature key available
Public key length 512 bits
public key export succeed
public key compute succeed
public key import succeed
signing Error 0x80090010: Access denied.
key export allowed
algorithm GOST R 34.10-2012 256 bit
GOST R 34.10-2001, default parameters
GOST R 34.11-2012 256 bit
GOST 28147-89, cipher parameters TC26 Z
certificate in container not available
Private key usage period Wednesday, February 05, 2020 10:26:53 PM
Signature key usage is disallowed. The private key has expired. A private key usage period cannot exceed 3 years for non-exportable keys in FKC/HSM and 1 year 3 months for other keys.
keys loading succeed
Container version 2
Container extensions
noncritical CryptoPro CSP private keys extension. Signature key usage period
valid to Wednesday, February 05, 2020 10:26:53 PM



Т.е. ошибка:
--
signing Error 0x80090010: Access denied.
---

Что это и как?


Такой же код ошибки выдаётся при попытке старта СА.



И строки в проверке как-то напрягает:
---

Private key usage period Wednesday, February 05, 2020 10:26:53 PM
...

valid to Wednesday, February 05, 2020 10:26:53 PM
---



В общем, сменил месяц на яварь 2020 и СА запустился.


Может кто пояснить что это за дата и как её подвинуть в будущее?

Сам сертификат СА выпущен в ноябре 2018 и действителен до ноября 2038 года.

Отредактировано пользователем 15 августа 2020 г. 8:24:30(UTC)  | Причина: Не указана

Online Андрей *  
#4 Оставлено : 15 августа 2020 г. 10:01:54(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,627
Мужчина
Российская Федерация

Сказал «Спасибо»: 493 раз
Поблагодарили: 2034 раз в 1578 постах
В отчёте подробно написано...
Закрытый ключ запрещено использовать после 5 февраля 2020, разрешено 15 месяцев было. Private key usage



У вас включён контроль за сроками действия ключей. Вы его обошли переводом системного времени.
Техническую поддержку оказываем тут
Наша база знаний
Offline andrew321456  
#5 Оставлено : 15 августа 2020 г. 10:33:52(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Андрей * Перейти к цитате
В отчёте подробно написано...
Закрытый ключ запрещено использовать после 5 февраля 2020, разрешено 15 месяцев было. Private key usage



У вас включён контроль за сроками действия ключей. Вы его обошли переводом системного времени.


Каких ключей? Сертификат/контейнер СА до ноября 2038 года.


Каким образом этот контроль включился, если ставили КриптоПро 4.0.9944 (4.0R3?) по умолчанию?

Каким образом этот контроль выключить?

Сейчас глянул, есть СА с версией КриптоПро 3.6 - там такого безобразия не замечено.


Чем грозит выпуск нового сертификата СА для старых VPN-клиентов (Sterra VPN Client)? Достаточно ли будет импортировать новый сертификат СА на Sterra-Gate (без генерации нового контейнера на СТерра-гейт), чтобы можно было работать и с новыми клиентами, и со старыми?

Отредактировано пользователем 15 августа 2020 г. 10:35:21(UTC)  | Причина: Не указана

Online Андрей *  
#6 Оставлено : 15 августа 2020 г. 10:37:45(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,627
Мужчина
Российская Федерация

Сказал «Спасибо»: 493 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: andrew321456 Перейти к цитате
Автор: Андрей * Перейти к цитате
В отчёте подробно написано...
Закрытый ключ запрещено использовать после 5 февраля 2020, разрешено 15 месяцев было. Private key usage



У вас включён контроль за сроками действия ключей. Вы его обошли переводом системного времени.


Каких ключей? Сертификат/контейнер СА до ноября 2038 года.


Каким образом этот контроль включился, если ставили КриптоПро 4.0.9944 (4.0R3?) по умолчанию?

Каким образом этот контроль выключить?

Сейчас глянул, есть СА с версией КриптоПро 3.6 - там такого безобразия не замечено.


Snimok ehkrana ot 2020-08-15 11-36-15.png (20kb) загружен 11 раз(а).

Усиленный контроль использования ключей, вкладка Безопасность.
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей *  
#7 Оставлено : 15 августа 2020 г. 10:39:25(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,627
Мужчина
Российская Федерация

Сказал «Спасибо»: 493 раз
Поблагодарили: 2034 раз в 1578 постах
Чтобы отключить - на вкладке Общие - нажать на ссылку и запустить с правами администратора апплет КриптоПРО CSP.
Техническую поддержку оказываем тут
Наша база знаний
Online Андрей *  
#8 Оставлено : 15 августа 2020 г. 10:42:05(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,627
Мужчина
Российская Федерация

Сказал «Спасибо»: 493 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: andrew321456 Перейти к цитате
Автор: Андрей * Перейти к цитате
В отчёте подробно написано...
Закрытый ключ запрещено использовать после 5 февраля 2020, разрешено 15 месяцев было. Private key usage



У вас включён контроль за сроками действия ключей. Вы его обошли переводом системного времени.


Каких ключей? Сертификат/контейнер СА до ноября 2038 года.


Закрытых.

Из теста текст:
Signature key usage is disallowed. The private key has expired. A private key usage period cannot exceed 3 years for non-exportable keys in FKC/HSM and 1 year 3 months for other keys.
Техническую поддержку оказываем тут
Наша база знаний
Offline andrew321456  
#9 Оставлено : 15 августа 2020 г. 13:40:36(UTC)
andrew321456

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.08.2020(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
cryptopro.png (25kb) загружен 10 раз(а).
Автор: Андрей * Перейти к цитате
Чтобы отключить - на вкладке Общие - нажать на ссылку и запустить с правами администратора апплет КриптоПРО CSP.


Если про "Strengthened key usage control", то не отмечено.

Не понял на какую ссылку нажать, чтобы запустить с правами админа, но это вин2003, а у меня и так права админа.

Отредактировано пользователем 15 августа 2020 г. 13:41:21(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#10 Оставлено : 15 августа 2020 г. 19:26:43(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Модератор, Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 1,038
Российская Федерация

Сказал(а) «Спасибо»: 88 раз
Поблагодарили: 223 раз в 211 постах
Добрый день!
у вас закончился срок действия закрытого ключа.
вам необходимо:
либо выпустить новый ключ ЦС
либо отключить контроль сроков действия ЗК согласно статьи
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.