Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline muzgp3  
#1 Оставлено : 13 августа 2021 г. 18:51:59(UTC)
muzgp3

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2017(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Попытка продлить действующую ЭЦП.
Успешно заходим на fzs.roskazna.ru
Справа раздел "Смена сертификата" (без посещения ТОФК)
Жмем на кнопку "Войти по сертификату", выбираем нужный сертификат и нажимаем ОК.
Нас перекидывает сюда: lk-fzs.roskazna.ru
Тут должна отобразиться страница с мастером продления сертификата.
Но она не отображается: "Не удается отобразить эту страницу"

Что использовалось:
Windows 7, 8.1 и 10.
Используется IE11
CriptoPro CSP 4.0.9963 КС1
Настраивалось все по инструкции росказны roskazna.gov.ru/upload/iblock/c11/Instruktsiya-po-smene-sertifikata-s-ispolzovaniem-EP.pdf
Добавлены в надежные узлы: fzs.roskazna.ru и lk-fzs.roskazna.ru
Брендмауэр и антивир уже отключены.
КриптоПро ЭЦП Browser plug-in установлен и успешно проходит тест.
Нужные TLSы по инструкции включены
Корневые сертификаты:
guts_2012.cer - в корневых доверенных
uts-fk_2020.cer - в промежуточных
UTS-FK_2021.CER - в промежуточных
все эти сертификаты действительны до 30х годов
Сертификат, который пытаемся продлить установлен в контейнер ЛИЧНЫЕ.
Прошлый раз этот сертификат продлевали таким же способом, через lk-fzs.roskazna.ru
Проблему с lk-fzs.roskazna.ru поисковики не находят, показывают только инструкции как попасть на fzs.roskazna.ru

Подскажите пожалуйста, в какую сторону копать!
Offline nickm  
#2 Оставлено : 13 августа 2021 г. 19:29:52(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Просматривает сообщения в теме : 225

Сказал(а) «Спасибо»: 71 раз
Поблагодарили: 44 раз в 41 постах
Автор: muzgp3 Перейти к цитате

Используется IE11

Я бы попробовал зайти с помощью chromium-gost;

Автор: muzgp3 Перейти к цитате

Корневые сертификаты:

А АРМ в домене?

Автор: muzgp3 Перейти к цитате

и антивир уже отключены.

Не каждое защитное программное обеспечение отключается полностью, для полной чистоты его следует удалять или настраивать.
Offline muzgp3  
#3 Оставлено : 16 августа 2021 г. 12:06:49(UTC)
muzgp3

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2017(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
С Хромиумом та же история, после авторизации по ЭЦП не переходит на страницу LK-fzs.roskazna.ru
Сеть одноранговая. Сертификаты ставил по мануалу казначейства.
Каспера приостановил и выгрузил с памяти.
Да и пробовал на нескольких системах...

arm-fzs.roskazna.gov.ru - Даже проверка завершена успешно, но ЛК не открывается

Отредактировано пользователем 16 августа 2021 г. 12:39:23(UTC)  | Причина: Кривые пальцы)

Offline muzgp3  
#4 Оставлено : 16 августа 2021 г. 14:33:10(UTC)
muzgp3

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2017(UTC)
Сообщений: 7
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Разобрался, в тесте криптопро ЭЦП указано, что она действительна по 25.08 , но срок ее все же закончился раньше.... 7.08 не пойму этой... эээ "штуки". Ну ладно, будем делать заново
Offline nickm  
#5 Оставлено : 16 августа 2021 г. 19:20:30(UTC)
nickm

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Просматривает сообщения в теме : 225

Сказал(а) «Спасибо»: 71 раз
Поблагодарили: 44 раз в 41 постах
Цитата:
Разобрался, в тесте криптопро ЭЦП указано, что она действительна по 25.08, но срок ее все же закончился раньше


Хмм, а ведь в стартовом сообщении говорили:

Цитата:
КриптоПро ЭЦП Browser plug-in установлен и успешно проходит тест.




Offline two_oceans  
#6 Оставлено : 19 августа 2021 г. 7:56:12(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Тест мог пройти и с другим контейнером.
Цитата:
Разобрался, в тесте криптопро ЭЦП указано, что она действительна по 25.08 , но срок ее все же закончился раньше.... 7.08 не пойму этой... эээ "штуки". Ну ладно, будем делать заново
Насчет сроков - если закончился срок действия закрытого ключа в контейнере, то отметку срока можно убрать утилитой csptest (уже писал детали на форуме sedkazna). Конечно набирать названия контейнеров с кириллицей и пробелами в командной строке - та еще головная боль, поэтому я написал небольшую программку-графическую оболочку csptest (страничка HTML Application), теперь вот эти приколы с разным сроком вообще не беспокоют.
pkdate.zip (11kb) загружен 2 раз(а).
pkdate_001.hta - версия попроще, pkdate.hta - поновее (с текстовым файликом).
Это бета-версия, работает не все, так что (просто на всякий случай) рекомендуется сделать копию контейнера! В случае ошибок и после переименования контейнера или папки обычно нужно перезагрузить программку-страничку нажав F5. После переименования контейнера или папки требуется переустановка сертификатов в хранилище.
Offline girorel  
#7 Оставлено : 19 августа 2021 г. 9:23:30(UTC)
girorel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 31.01.2013(UTC)
Сообщений: 33

Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 2 постах
Насчет сроков при повторном запросе ЭП через ФЗС УФК - если закончился срок действия закрытого ключа в контейнере, а срок действия сертификата ещё не закончился, то не поможет ли перевод даты на локальной машине назад так, чтобы закрытый ключ "стал ещё действителен"? Ведь, насколько я понимаю, проверка срока действия закрытого ключа происходит на стороне клиентской машины и тогда надежда есть. В случае, если завершился срок действия самого сертификата, такой фокус не пройдет. Или я ошибаюсь? Кто что скажет?

Отредактировано пользователем 19 августа 2021 г. 9:24:42(UTC)  | Причина: Не указана

Offline two_oceans  
#8 Оставлено : 19 августа 2021 г. 11:02:06(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Все верно, если сам сертификат истек или срок закрытого ключа в сертификате истек - не поможет. ФЗС уже 2 или 3 года выравнивает срок действия ключа в сертификате по сроку действия сертификата - разница есть, но небольшая. На примере двух десятков сертификатов, полученных в 2019-2021 годах разница составляет от 20 секунд до 7 минут (от одобрения оператором запроса до реального выпуска). Однако от создания контейнера в ФЗС до подачи заявки в ФЗС может пройти до месяца (ФЗС удаляет черновики заявки через месяц) плюс проверки в смэв до 5 дней плюс обработка оператором до 6 дней - это и дает разницу между сроком действия ключа в контейнере и сроком действия сертификата. Из недавнего: подавал 9 августа три попытки в ФЗС, выпустили сертификат 17 августа (требовали с владельца прошлогоднее бумажное заявление).

Все верно, можно перевести и часы назад, однако:
1) все больше мест, где пользователи работают без прав администраторов - рядовые пользователи еще с времен висты/семерки не могут переводить часы;
2) на Десятке служба времени Windows препятствует ручной установке времени - ее нужно остановить, что опять же требует как минимум прав уровня "оператора сервера", а лучше администратора;
3) антивирусы и прочее лицензируемое ПО детектируют перевод времени назад и сокращают сроки лицензий;
4) некоторые "сайты" отказывают в соединениях SSL/TLS при разнице времен на сервере и клиенте более некого порога (обычно - 5 минут). В кавычках потому что сюда же попадают всякие программы для удаленной видеосвязи, что сейчас очень актуально.
В общем, перевод часов в серьезном учреждении не менее затруднителен.

Аналогично, можно отключить контроль ключей - также поможет, но сделает СКЗИ несертифицированным. Однако также требуются повышенные права, а потом надо не забыть включить обратно, так как любая проверка регуляторов за это зацепится.

Другое дело - стереть 30 байт из контейнера, к которому (если не на токене, а в реестре или на флешке) заведомо есть полный доступ. И который через 2-3 недели все равно положено уничтожить (в течение 10 дней со дня истечения срока сертификата).

Отредактировано пользователем 19 августа 2021 г. 11:05:06(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.