Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline kupriev-ap  
#1 Оставлено : 23 марта 2021 г. 10:56:40(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Здравствуйте!
Столкнулся с такой ситуацией:
Есть уже настроенное устройство HSM со всеми необходимыми ключами.
Год назад я имел возможность подключаться к Web-странице для перевыпуска клиенстких сертификатов и создания пользователей.
Однако на самой карточке с Web-администратором истек срок действия сертификата.
И теперь я испытываю сложности при входе, а именно ошибку "Этот сайт не может обеспечить безопасное соединение Сайт 192.168.0.1 отправил недействительный ответ"
Настройки браузера я менять пробовал под рекомендуемые - это не помогло.
Так же я пытаюсь обновить сертификат на карте Web-администратора на самом устройстве - получаю ошибку записи на карту.
При попытке создания нового пользователя и записи его на чистую карту - получаю ошибку записи на карту, иногда ошибку "нет прав"
Подскажите как мне возобновить доступ к web-интерфейсу. Может есть какой-то рекомендованный алгоритм по созданию пользователя на HSM о котором я не знаю?
Как мне избавиться от ошибке ответа с HSM?
Offline Александр Лавник  
#2 Оставлено : 23 марта 2021 г. 11:36:43(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,475
Мужчина
Российская Федерация

Сказал «Спасибо»: 40 раз
Поблагодарили: 558 раз в 529 постах
Автор: kupriev-ap Перейти к цитате
Здравствуйте!
Столкнулся с такой ситуацией:
Есть уже настроенное устройство HSM со всеми необходимыми ключами.
Год назад я имел возможность подключаться к Web-странице для перевыпуска клиенстких сертификатов и создания пользователей.
Однако на самой карточке с Web-администратором истек срок действия сертификата.
И теперь я испытываю сложности при входе, а именно ошибку "Этот сайт не может обеспечить безопасное соединение Сайт 192.168.0.1 отправил недействительный ответ"
Настройки браузера я менять пробовал под рекомендуемые - это не помогло.
Так же я пытаюсь обновить сертификат на карте Web-администратора на самом устройстве - получаю ошибку записи на карту.
При попытке создания нового пользователя и записи его на чистую карту - получаю ошибку записи на карту, иногда ошибку "нет прав"
Подскажите как мне возобновить доступ к web-интерфейсу. Может есть какой-то рекомендованный алгоритм по созданию пользователя на HSM о котором я не знаю?
Как мне избавиться от ошибке ответа с HSM?

Здравствуйте.

Перевыпустить карту привилегированного пользователя HSM (в данном случае администратора для web-интерфейса) необходимы права суперпользователя HSM (то есть карты активации - 3 из 5).

Алгоритм действий примерно следующий:

1) Выключить HSM:

3 раза нажать на любые кнопки на LCD-панели HSM
Halt - Yes

2) Загрузить HSM:

нажать кнопку включения
приложить "таблетку" Соболя при загрузке
поcле загрузки HSM будет в состоянии Inactive

3) Войти в меню по картам активации 3 из 5:

2 раза нажать на любые кнопки на LCD-панели HSM
использовать 3 из 5 - Yes
ввести любые 3 из 5 (соответствующие приглашению на LCD-панели) карты активации с вводом соответствующих пин-кодов

4) Создать новый ключ для web-администратора:

Выбрать пункт меню Update keys
Выбрать пункт меню ADM(in) key
При возникновении Change ADM key? выбрать YES
При возникновении Enter admin UID ввести идентификатор администратора (например, 1001 - посмотреть идентификатор существующего администратора можно в сертификате ключа доступа)
При возникновении Insert card: подключить чистую смарт-карту для нового ключа администратора и выбрать YES
При возникновении Input new pin ввести пин-код для нового ключа администратора
После успешной смены ключа администратора на панели появится ADM key changed

Обратите внимание, что смарт-карта должна быть из комплекта поставки HSM и должна быть "чистой" - то есть либо еще не использованной ранее для записи ключей, либо очищенной соответствующей утилитой с диска поставки HSM (в зависимости от типа смарт-карты).
Техническую поддержку оказываем тут
Наша база знаний
Offline kupriev-ap  
#3 Оставлено : 23 марта 2021 г. 12:10:56(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
А можно получить ссылку на дистрибутив утилиты очистки карт, так как я не уверен, что карты абсолютно чистые?
Offline Александр Лавник  
#4 Оставлено : 23 марта 2021 г. 13:13:49(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,475
Мужчина
Российская Федерация

Сказал «Спасибо»: 40 раз
Поблагодарили: 558 раз в 529 постах
Автор: kupriev-ap Перейти к цитате
А можно получить ссылку на дистрибутив утилиты очистки карт, так как я не уверен, что карты абсолютно чистые?

Главное случайно не очистить карты активации 3 из 5!

В архиве по ссылке утилиты и фото смарт-карт Магистра/Оскар (отличие в рисунке контактной группы).

Для очистки смарт-карт Магистра используется утилита MagInspector.

Путь к утилите MagInspector после установки:

Код:
C:\Program Files (x86)\SmartPark\MagInspector\MagInspector.exe

Для очистки смарт-карт Оскар используется утилита prime.

Сначала необходимо получить имя считывателя:

Код:
prime list

Затем указать это имя считывателя в команде:

для Оскар 1.1:

Код:
prime prime "имя считывателя" oscar reprime_csp -P

для Оскар 1.2 (сейчас используются такие):

Код:
prime prime "имя считывателя" oscar reprime_csp_20 -P

Пример:

Код:
prime list

Gemplus USB SmartCard Reader 0

prime prime "Gemplus USB SmartCard Reader 0" oscar reprime_csp_20 -P

Нужно убедиться, что утилита отработала без ошибок.

При их обнаружении повторить процедуру.
Техническую поддержку оказываем тут
Наша база знаний
Offline kupriev-ap  
#5 Оставлено : 23 марта 2021 г. 16:22:48(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Я воспользовался Вашей инструкцией и это сработало. Но не помогло решить проблему с подключением к WEB-странице.
Я имею ошибку при подключении к сайту https://192.168.0.1
через IE "This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner"
через Chrome "Этот сайт не может обеспечить безопасное соединение Сайт 192.168.0.1 отправил недействительный ответ"
при этом остальные ресурсы сети и Internet работают.
Замена и перенастройка свойств сети, таких как
Use TLS 1.0
Use TLS 1.1
Use TLS 1.2
не помогает. Я не знаю как мне восстановить доступ.
У меня теперь есть и Web-администратор с действующим сертификатом и клиентский сертификат.
Соединение от клиента до HSM устанавливается, а вот страница управления недоступна.
Offline Александр Лавник  
#6 Оставлено : 23 марта 2021 г. 16:33:15(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,475
Мужчина
Российская Федерация

Сказал «Спасибо»: 40 раз
Поблагодарили: 558 раз в 529 постах
Автор: kupriev-ap Перейти к цитате
Я воспользовался Вашей инструкцией и это сработало. Но не помогло решить проблему с подключением к WEB-странице.
Я имею ошибку при подключении к сайту https://192.168.0.1
через IE "This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner"
через Chrome "Этот сайт не может обеспечить безопасное соединение Сайт 192.168.0.1 отправил недействительный ответ"
при этом остальные ресурсы сети и Internet работают.
Замена и перенастройка свойств сети, таких как
Use TLS 1.0
Use TLS 1.1
Use TLS 1.2
не помогает. Я не знаю как мне восстановить доступ.
У меня теперь есть и Web-администратор с действующим сертификатом и клиентский сертификат.
Соединение от клиента до HSM устанавливается, а вот страница управления недоступна.
Для использования нового ключа web-администратора необходимо на рабочем месте web-администратора понизить класс защиты ключевого контейнера с KB (только такой можно использовать через LCD-панель HSM) до KC (только такой можно использовать на рабочем месте web-администратора) с помощью тестирования ключевого контейнера:

Код:
КриптоПро CSP
Сервис
Протестировать
выбрать нужный ключевой контейнер

Затем нужно установить сертификат ключа доступа web-администратора:

Код:
КриптоПро CSP
Сервис
Просмотреть сертификаты в контейнере
Обзор
выбрать нужный ключевой контейнер
ОК
Далее
Установить
Техническую поддержку оказываем тут
Наша база знаний
Offline kupriev-ap  
#7 Оставлено : 23 марта 2021 г. 17:00:01(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
hsm adm 1.jpg (153kb) загружен 5 раз(а). hsm adm.jpg (180kb) загружен 4 раз(а).
После установки сертификата я имею ошибку "This certificate has expired or is not yet valid.", несмотря на то, что дата актуальна.
Корневой сертификат при этом валиден.
Аналогично для клиентского сертификата, но при том, что клиентский сертификат не валиден - подключение к HSM устанавливается hsm connect.png (15kb) загружен 1 раз(а).
Как мне решить эту проблему?
Offline Александр Лавник  
#8 Оставлено : 23 марта 2021 г. 17:42:45(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,475
Мужчина
Российская Федерация

Сказал «Спасибо»: 40 раз
Поблагодарили: 558 раз в 529 постах
Автор: kupriev-ap Перейти к цитате
hsm adm 1.jpg (153kb) загружен 5 раз(а). hsm adm.jpg (180kb) загружен 4 раз(а).
После установки сертификата я имею ошибку "This certificate has expired or is not yet valid.", несмотря на то, что дата актуальна.
Корневой сертификат при этом валиден.
Аналогично для клиентского сертификата, но при том, что клиентский сертификат не валиден - подключение к HSM устанавливается hsm connect.png (15kb) загружен 1 раз(а).
Как мне решить эту проблему?
А какое время указано в сертификате в поле Действителен с:?
Техническую поддержку оказываем тут
Наша база знаний
Offline kupriev-ap  
#9 Оставлено : 23 марта 2021 г. 17:47:47(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
23.03.2021, как видно на скриншоте
Offline Александр Лавник  
#10 Оставлено : 23 марта 2021 г. 17:50:23(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,475
Мужчина
Российская Федерация

Сказал «Спасибо»: 40 раз
Поблагодарили: 558 раз в 529 постах
Автор: kupriev-ap Перейти к цитате
23.03.2021, как видно на скриншоте
Это я, конечно же, видел.

Время какое указано?
Техническую поддержку оказываем тут
Наша база знаний
Offline kupriev-ap  
#11 Оставлено : 24 марта 2021 г. 14:48:37(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Намек понял)
Оказалось, что HSM умеет работать только по времени UTC.
Данные проблемы решил с Вашей помощью, спасибо.
Есть еще один вопрос. После установления соединения клиента на ОС Windows с сервером HSM надо сформировать запрос на сертификат. Можно ли узнать при помощи каких средств это сделать и какие настройки браузера необходимо выполнить? у меня есть утилита, но похоже, что она морально устарела.
Offline Александр Лавник  
#12 Оставлено : 25 марта 2021 г. 13:43:33(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,475
Мужчина
Российская Федерация

Сказал «Спасибо»: 40 раз
Поблагодарили: 558 раз в 529 постах
Автор: kupriev-ap Перейти к цитате
Намек понял)
Оказалось, что HSM умеет работать только по времени UTC.
Данные проблемы решил с Вашей помощью, спасибо.
Есть еще один вопрос. После установления соединения клиента на ОС Windows с сервером HSM надо сформировать запрос на сертификат. Можно ли узнать при помощи каких средств это сделать и какие настройки браузера необходимо выполнить? у меня есть утилита, но похоже, что она морально устарела.
Здравствуйте.

1) Да, для корректной работы дата и время на HSM должны быть установлены по UTC.

По умолчанию так и настроено, поэтому данные настройки обычно вообще не требуется менять.

2) Уточните, пожалуйста, какие предъявляются требования к запросу на сертификат, ключ для которого Вы хотите хранить в HSM?

Вероятно, если Вам нужно сформировать файл запроса, то функциональности утилиты cryptcp будет достаточно.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.