Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Продление сертификата пользователя через SOAP
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline s.sokolko  
#1 Оставлено : 27 октября 2015 г. 8:00:06(UTC)
s.sokolko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.09.2015(UTC)
Сообщений: 47
Российская Федерация
Откуда: Тюмень

Сказал(а) «Спасибо»: 15 раз
Добрый день!

Хотел бы уточнить, каков правильный процесс продления сертификата пользователя через SOAP-интерфейс? То есть у нас отсутствует возможность сгенерировать подписанный запрос на новый сертификат (скажем, пользователь потерял свой старый ключ). Но сам пользователь уже в базе есть, а сертификат закончил свое действие.

Когда я выпускаю сертификат для нового пользователя, я выполняю следующие шаги:

1. RegistrationSoapPort.CreateRequestByAdmin
2. RegistrationSoapPort.AcceptRequest
3. CertRequestSoapPort.SubmitFirstCertRequest
4. CertRequestSoapPort.AcceptFirstCertRequest

Какова будет последовательность шагов для продления сертификата? Заранее благодарен всем за ответы
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Kirill Sobolev  
#2 Оставлено : 27 октября 2015 г. 10:01:52(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Здравствуйте

Пункты 3 и 4.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline s.sokolko  
#3 Оставлено : 27 октября 2015 г. 10:03:49(UTC)
s.sokolko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.09.2015(UTC)
Сообщений: 47
Российская Федерация
Откуда: Тюмень

Сказал(а) «Спасибо»: 15 раз
Попробовал, в логах ошибка: Модуль политики отверг запрос (0x80046662)
Вверх
Offline s.sokolko  
#4 Оставлено : 27 октября 2015 г. 10:08:38(UTC)
s.sokolko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.09.2015(UTC)
Сообщений: 47
Российская Федерация
Откуда: Тюмень

Сказал(а) «Спасибо»: 15 раз
Вот цитата из руководства программиста (стр. 25, раздел 3.1.3.2):

Цитата:
Этот подписанный документ должен содержать ровно одну подпись на одном из
предыдущих действующих сертификатов пользователя. В поле ContentInfo этого документа
должен находиться самоподписанный запрос на сертификат в формате PKCS#10 в кодировке
ASN.1 DER. Имена DN в полях Subject запроса PKCS#10 и сертификата, на котором сделана
единственная подпись документа, должны полностью совпадать, различий в регистре букв или
в порядке компонент RDN не допускается.


Обязательна ли подпись именно пользователя? Я пробовал подписать администратором, но возникла ошибка "доступ запрещен". Возможно, это меняется в настройках политики безопасности?
Вверх
Offline Kirill Sobolev  
#5 Оставлено : 27 октября 2015 г. 13:28:59(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Цитата:
Модуль политики отверг запрос (0x80046662)

Смотрите в журнале на ЦС, какая именно ошибка.
Цитата:
Обязательна ли подпись именно пользователя?

Для обновления сертификата, т.е. выпуска по запросу, подписанному старым - да.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline s.sokolko  
#6 Оставлено : 27 октября 2015 г. 14:07:27(UTC)
s.sokolko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.09.2015(UTC)
Сообщений: 47
Российская Федерация
Откуда: Тюмень

Сказал(а) «Спасибо»: 15 раз
Посмотрел события на сервере, более детальной информации не смог найти. Только вот это:
The VB Application identified by the event source logged this Application Registration: Thread ID: 3704 ,Logged:
Ошибка модуля удаленного доступа к ЦР КриптоПро УЦ:
Метод: CertRequest.AcceptFirstRequest
Источник: Request.GetCertificate
Номер: 0x80046662 (-2147195294)
Описание: Модуль политики отверг запрос


Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Вверх
Offline Kirill Sobolev  
#7 Оставлено : 27 октября 2015 г. 14:25:49(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
У Вас ЦР и ЦС на одной машине?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline s.sokolko  
#8 Оставлено : 27 октября 2015 г. 14:46:09(UTC)
s.sokolko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.09.2015(UTC)
Сообщений: 47
Российская Федерация
Откуда: Тюмень

Сказал(а) «Спасибо»: 15 раз
Да, на одной машине
Вверх
Offline Kirill Sobolev  
#9 Оставлено : 27 октября 2015 г. 16:18:31(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Тогда еще должны быть сообщения от модуля политики ЦС.
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline s.sokolko  
#10 Оставлено : 28 октября 2015 г. 7:36:27(UTC)
s.sokolko

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.09.2015(UTC)
Сообщений: 47
Российская Федерация
Откуда: Тюмень

Сказал(а) «Спасибо»: 15 раз
Всем спасибо, тему можно закрывать.
Я установил dbgView и посмотрел детальные логи ошибки. Оказалось, что модуль политики отбрасывал запрос по причине того, что такой публичный ключ уже есть в базе УЦ.
На другом запросе все ОК.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET