Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline VDV  
#1 Оставлено : 27 марта 2009 г. 9:35:05(UTC)
VDV

Статус: Участник

Группы: Участники
Зарегистрирован: 25.09.2008(UTC)
Сообщений: 10
Мужчина
Откуда: Красноярск

Здравствуйте, уважаемые коллеги!
У меня не получается запустить экземпляр службы OCSP:
OCSP-сервер установлен на отдельной машине (Win2003 R2 SP2) - напрямую подключен к серверу ЦС (тоже Win2003 R2 SP2).
Режим работы службы - по базе данных ЦС.
Оператор службы - локальная учетная запись "Administrator" на OCSP-сервере. Сертификат назначен (EKU - "Подпись ответа службы OCSP".
Выполнил все действия п.6.1.2 "Руководства администратора КриптоПро OCSP Server. Версия 1.2" кроме настроек ISA-сервера ввиду отсутствия такового.
При попытке запуска экземпляра службы выдается ошибка: 0х80070057 (Параметр задан неверно.)
Подскажите плиз, может я что-то забыл сделать или настроить?
Где посмотреть этот самый параметр, который задан неверно?
Brick wall
Offline VDV  
#2 Оставлено : 27 марта 2009 г. 11:08:45(UTC)
VDV

Статус: Участник

Группы: Участники
Зарегистрирован: 25.09.2008(UTC)
Сообщений: 10
Мужчина
Откуда: Красноярск

И еще:
Попробовал сменить режим работы службы OCSP "по СОС" - при попытке запуска службы выдает ошибку 0х8007052Е (Вход в систему не произведен: имя пользователя или пароль не опознаны.)
Pray
Offline IvanZzz  
#3 Оставлено : 30 марта 2009 г. 19:13:03(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

Перенесите актуальрный СОС в локальный каталог OCSP-сервера, добавте разрешения для учетной записи Network Service(под которой работает IIS) право на чтение к этому каталогу. Попробуйте запустить службу.

Ключи оператора ОCSP-сервера хранятся на каком носителе?

Отредактировано пользователем 30 марта 2009 г. 19:13:34(UTC)  | Причина: Не указана

Offline VDV  
#4 Оставлено : 31 марта 2009 г. 8:38:24(UTC)
VDV

Статус: Участник

Группы: Участники
Зарегистрирован: 25.09.2008(UTC)
Сообщений: 10
Мужчина
Откуда: Красноярск

Актуальный СОС поместил в локальную папку на OCSP-сервере (C:\CRL), в свойствах этой папки (во вкладке "безопасность") добавил разрешение "чтение" для учетной записи NETWORK SERVICE, настроил экземпляр службы на режим работы по СОС, указал папку размещения СОС - C:\CRL. К счастью экземпляр службы запустился без проблем Applause
Но хотелось бы добиться работы службы не по СОС, а по базе данных ЦС или ЦР.
P.S. Сервер-OCSP подключен к серверу-ЦС напрямую через кроссоверный патчкорд. Т.е. схема подключения оборудования в точности соответствует Рисунку 1 в документе ЖТЯИ.00023-01 90 04. "Использование КриптоПро OCSP Server совместно с КриптоПро УЦ"

Отредактировано пользователем 31 марта 2009 г. 8:42:18(UTC)  | Причина: Не указана

Offline IvanZzz  
#5 Оставлено : 31 марта 2009 г. 16:09:27(UTC)
IvanZzz

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519
Мужчина
Откуда: Крипто-Про

В документации: "КриптоПро OCSP Server. Руководство администратора.pdf" в главе 6.1.1. детально описана настройка работы OCSP по базе ЦС.

Скорей всего, проблемы с правами учетной записи для доступа к бд MSCA.
Offline VDV  
#6 Оставлено : 2 апреля 2009 г. 8:47:59(UTC)
VDV

Статус: Участник

Группы: Участники
Зарегистрирован: 25.09.2008(UTC)
Сообщений: 10
Мужчина
Откуда: Красноярск

Я вроде выполнил все предписания "Руководства администратора", но запустить службу по ЦС все равно не получилось. Однако я все-таки добился успешного запуска службы по базе данных ЦР. Точкой предкновения оказалась галочка "Разрешить сохранения пароля" (для учетной записи SQL сервера ЦС, полученной посредством скрипта GetRADBAccess_OCSP.vbs) в свойствах экзепляра службы (вкладка "Центр регистрации" - "Свойства связи с данными"). Без этой галочки служба упорно не хочет запускаться и выдает ошибку 8х80040E4D.
Offline codegen  
#7 Оставлено : 2 апреля 2009 г. 13:29:57(UTC)
codegen

Статус: Активный участник

Группы: Участники
Зарегистрирован: 28.08.2008(UTC)
Сообщений: 204
Мужчина
Российская Федерация

Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
ТОже сталкивался с проблемой установки OCSP сервера на отдельной машине в режиме работы с БД ЦС. В итоге оказалось что без еще одной дополнительной машины с виндовым файерволом (непомню название ASA помоему) необойтись.
Offline VDV  
#8 Оставлено : 3 апреля 2009 г. 10:01:48(UTC)
VDV

Статус: Участник

Группы: Участники
Зарегистрирован: 25.09.2008(UTC)
Сообщений: 10
Мужчина
Откуда: Красноярск

Благодарю за комментарии. Наверное имеется в виду, что для организации режима работы OCSP по ЦС без ISA-сервера не обойтись (тогда желательно было бы чтобы в Руководстве администратора об этом четко и ясно было написано, а там в п. 6.1.2 сказано, что это - "предлагаемое решение"). Speak to the hand

Ну да ладно - меня вполне устраивает, что служба OCSP будет работать по базе данных ЦР. В связи с этим хотелось бы уточнить такой вопрос:
Как правильно настроить точки распространения Authority Information Access (AIA)?
Насколько я понимаю в этом расширении имеется возможность указать как путь к файлу корневого сертификата ЦС (конечно если ЦС - корневой), так и путь доступа к службе OCSP. Т.е.:
1. Для указания пути к файлу корневого сертификата надо прописать http://ServerName/.../CaName.crt, при этом поставив галочку "Включать в AIA-расширение выданных сертификатов".
2. Для указания пути к службе OCSP надо прописать http://OCSPServerName/OCSP/ocsp.srf, при этом видимо надо поставить галочку "Включать в расширения протокола OCSP".

Подскажите пожалуйста - правильно ли я все понял про значения путей (особенно к службе OCSP)?
И правильно ли я устанавливаю "галочки" для обоих путей?
Anxious

Отредактировано пользователем 6 апреля 2009 г. 8:41:33(UTC)  | Причина: Не указана

Offline Руслан  
#9 Оставлено : 7 апреля 2009 г. 21:41:18(UTC)
Руслан

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.04.2008(UTC)
Сообщений: 43
Мужчина
Откуда: Казань

VDV написал:
Благодарю за комментарии. ...

Как правильно настроить точки распространения Authority Information Access (AIA)?
Насколько я понимаю в этом расширении имеется возможность указать как путь к файлу корневого сертификата ЦС (конечно если ЦС - корневой), так и путь доступа к службе OCSP. Т.е.:
1. Для указания пути к файлу корневого сертификата надо прописать http://ServerName/.../CaName.crt, при этом поставив галочку "Включать в AIA-расширение выданных сертификатов".
2. Для указания пути к службе OCSP надо прописать http://OCSPServerName/OCSP/ocsp.srf, при этом видимо надо поставить галочку "Включать в расширения протокола OCSP".

Подскажите пожалуйста - правильно ли я все понял про значения путей (особенно к службе OCSP)?
И правильно ли я устанавливаю "галочки" для обоих путей?
Anxious


я на практике так и делал.
Настройка производится на ЦС. При этом адрес службы OCSP находится выше, чем адрес сертификата корневого УЦ.
Offline _alexander  
#10 Оставлено : 21 июля 2009 г. 16:49:03(UTC)
_alexander

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Возникает та же ошибка
Цитата:
0х80070057 (Параметр задан неверно.)
при попытке настройки КриптоПро OCSP Server в режиме работы с базой Центра Сертификации. Настраивали по инструкции, пробовали и через ISA Server 2006, и напрямую. Подскажите, что сделать, чтобы заработало?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (4)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.