Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2021(UTC) Сообщений: 8  Сказал(а) «Спасибо»: 1 раз
|
Добрый день. Имеется развернутый стенд с Криптопро УЦ 2.0 и DSS 2.0 (все развернуто на одной машине, в том числе и БД). Возникла необходимость переключить DSS на взаимодействие с другим стендом Криптопро УЦ 2.0 (на этом стенде тоже все развернуто на одной машине, кроме БД. Она на отдельной). Я использовал командлет Add-DssEnrollment ( запись вида: Add-DssEnrollment -DisplayName "SignServer" -Type CryptoProCA20 -CAServiceUrl "https://<ca2.0 host name>/RA/RegAuthLegacyService.svc" -OperatorCertThumbprint "<отпечаток сертификата привилегированного пользователя>" -EnrollDisplayName "Новый УЦ" -FolderId "<идентификатор папки>") для добавления нового обработчика УЦ и протестировал его с помощью Test-DssEnrollment. Добавление и проверка прошли без ошибок, но, после перезапуска инстанса сервиса подписи, созданный обработчик не появился в списке выбора УЦ при создании запроса на сертификат в Фронтэнде. Помогите разобраться. Соединение с сервером УЦ имеется, указываемый сертификат привилегированного пользователя установлен в хранилище компьютера и идентификатор папки указан корректно. Отредактировано пользователем 5 июля 2021 г. 16:23:29(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332  Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Автор: RockIT  Добрый день.
Имеется развернутый стенд с Криптопро УЦ 2.0 и DSS 2.0 (все развернуто на одной машине, в том числе и БД).
Возникла необходимость переключить DSS на взаимодействие с другим стендом Криптопро УЦ 2.0 (на этом стенде тоже все развернуто на одной машине, кроме БД. Она на отдельной).
Я использовал командлет Add-DssEnrollment (запись вида: Add-DssEnrollment -DisplayName "SignServer" -Type CryptoProCA20 -CAServiceUrl "https://<ca2.0 host name>/RA/RegAuthLegacyService.svc" -OperatorCertThumbprint "<отпечаток сертификата привилегированного пользователя>" -EnrollDisplayName "Новый УЦ" -FolderId "<идентификатор папки>") для добавления нового обработчика УЦ и протестировал его с помощью Test-DssEnrollment. Добавление и проверка прошли без ошибок, но, после перезапуска инстанса сервиса подписи, созданный обработчик не появился в списке выбора УЦ при создании запроса на сертификат в Фронтэнде.
Помогите разобраться. Соединение с сервером УЦ имеется, указываемый сертификат привилегированного пользователя установлен в хранилище компьютера и идентификатор папки указан корректно. Добрый день. Убедитесь, что предоставили УЗ, под которой работает пул приложений сервиса подписи, доступ к закрытому ключу сертификата, чей отпечаток указан в OperatorCertThumbprint. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз
|
Доступ УЗ к закрытому ключу сертификата имеется.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Воспроизводите проблему (т.е. перейдите на веб-интерфейс), затем выгрузите и пришлите журнал администратора сервиса подписи (обязательно с указанием времени воспроизведения проблемы).
Присылайте все в личку. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз
|
Андрей, добрый день.
Еще раз все перепроверил на предмет ошибок, но ничего не обнаружил кроме одной странности. Если в IE попытаться забить адрес ЦР (CAServiceUrl), который указывается при создании обработчика УЦ, то соединение проходит, а если забить его в Chrome, то появляется ошибка "этот сайт не может обеспечить безопасное соединение". Сертификат веб-сервера выпускался по ГОСТ Р 34.10-2012.
Может ли данная ошибка коррелировать с ошибкой, которая пишется в логах администратора сервиса подписи (Не удалось установить безопасный канал для SSL/TLS с полномочиями "DNS-имя сервера")?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Добрый день.
В браузере Chrome нет поддержки ГОСТ TLS, отсюда и ошибка при попытке открыть адрес службы - это нормально.
Присылайте вывод командлета:
(Get-DssEnrollment).settings |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз
|
Спасибо за пояснение по поводу Chrome. Буду знать.
Высылаю скриншот [img=https://pastenow.ru/9325b5ef7d2bbebd9f7b7cb5b89b6e64]dssEnrollment[/img]
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
А можете прислать вывод в текстовом виде.
И еще - вывод командлета Get-CAReference с сервера ЦР. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2021(UTC) Сообщений: 8 Сказал(а) «Спасибо»: 1 раз
|
PS C:\Users\Администратор> (Get-DssEnrollment).Settings Key Value --- ----- DisplayName OOB RdnConfig <ArrayOfSubjectNameComponent xmlns:i="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://ds... TemplatesConfig <ArrayOfKeyValueOfstringArrayOfstringty7Ep6D1 xmlns:i="http://www.w3.org/2001/XMLSchema-instance"... DisplayName Тестовый УЦ для стенда DSS 2012 Url https://<DNS-имя машины>/RA/RegAuthLegacyService.svc OperatorThumbprint 7E90A2986AFB59AB46B1C99DF5E78280AB512021 FolderId e5713e41-ceae-409b-b5fc-ad3801316a0d AuthorityName Тестовый УЦ для стенда DSS 2012 DisplayName Корневой ЦС Url https://<DNS-имя машины>/RA/RegAuthLegacyService.svc OperatorThumbprint AA4460BB9E877746C646BB4B7A49A2D4B235DE84 FolderId 22996d2f-bb44-4da8-989e-ac3000b557f1 AuthorityName Корневой ЦС PS C:\> Get-CAReference AuthorityName : Корневой ЦС Url : https://<DNS-имя машины>/CA ClientCertificate : [Subject] CN=Центр Регистрации, CN=<DNS-имя машины> [Issuer] CN=Корневой ЦС [Serial Number] 74B0B30030AC3FB442B1A0B1EA48E685 [Not Before] 08.09.2020 13:44:14 [Not After] 08.12.2021 13:54:14 [Thumbprint] 3AB7D5A364853B77F399C163F70B97DA9E0A2891 Primary : True RevokeOnly : False Retired : False
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 12.03.2019(UTC) Сообщений: 332 Откуда: Москва Сказал «Спасибо»: 5 раз
Поблагодарили: 70 раз в 66 постах
|
Удаленный доступ можете предоставить, с использованием TeamViewer?
Если да - пришлите данные в личку. Подключиться смогу завтра, во второй половине дня. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
