Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
После установки КриптоПро CSP перестаёт работать Microsoft Windows PowerShell DSC
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline b2b_center  
#1 Оставлено : 9 февраля 2016 г. 10:58:07(UTC)
b2b_center

Статус: Участник

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Добрый день.

Используем:
  • КриптоПро CSP 3.6.7777 КС1 (Типовая установка), на версии 3.9 проблема аналогична

  • Windows Server 2008 R2 SP1

  • Management Framework 4.0


Проблема возникает после установки КриптоПро CSP 3.6.7777 КС1, любая попытка подключения через cim к хосту для работы с Windows PowerShell Desired State Configuration завершается ошибкой по таймауту:

PS Z:\> Test-DscConfiguration -CimSession $CimSession
Test-DscConfiguration : Служба WS-Management не может обработать запрос. Служба или поставщик WMI вернули неизвестную о
шибку: HRESULT 0x80041013
строка:1 знак:1
+ Test-DscConfiguration -CimSession $CimSession
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (MSFT_DSCLocalConfigurationManager:root/Microsoft/...gurationManager) [Tes
t-DscConfiguration], CimException
+ FullyQualifiedErrorId : HRESULT 0x80041013,Test-DscConfiguration
+ PSComputerName : mow-dssb-v1

После удаления КриптоПро CSP 3.6.7777 КС1, работа восстанавливается.
Для работы с Windows PowerShell Desired State Configuration используется установленный до установки КриптоПро CSP 3.6.7777 КС1 сертификат с закрытым ключом, требуется для обеспечения шифрования данных аутентификации.

Возможно кто-то сталкивался или есть мысли как исправить проблему. Просьба помочь.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Максим Коллегин  
#2 Оставлено : 9 февраля 2016 г. 11:45:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,399
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
Спасибо, посмотрим. Пока попробуйте доустановить фичу в CSP "Криптопровайдер уровня ядра".
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline b2b_center  
#3 Оставлено : 9 февраля 2016 г. 12:10:32(UTC)
b2b_center

Статус: Участник

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Развернул сейчас в тестовой среде, функция "Криптопровайдер уровня ядра" активируется при установке. Небольшое уточнение, ставится пакет со следующими опциями: REGBIO=1 REGPNPFLOPPY=1 REGREGISTRY=1
Вверх
Offline Максим Коллегин  
#4 Оставлено : 9 февраля 2016 г. 13:47:47(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,399
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
Клиент и сервер на разных машинах? И можно подробнее про настройка аутентификации с закрытым ключом?

Отредактировано пользователем 9 февраля 2016 г. 13:54:26(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline b2b_center  
#5 Оставлено : 9 февраля 2016 г. 14:22:55(UTC)
b2b_center

Статус: Участник

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Доступ теряется как при локальном обращении, так и при удалённом.

Например, просмотр настроек Local Configuration Manager (LCM), как локально так и удалённо возвращает один и тот же результат:
Локально
Get-DscLocalConfigurationManager
Удалённо
$CimSession = New-CimSession -ComputerName mow-dssb-v1
Get-DscLocalConfigurationManager -CimSession $CimSession

Для расшифровки LCM зашифрованного пароля в .mof файлах (файлах конфигурации ноды) используется следующая схема. Предварительно пароль шифруется сертификатом, на самой ноде в хранилище Root LocalMachine импортируется CA сертификат, в хранилище My LocalMachine сертификат с закрытым ключём (сертификат которым ранее зашифрован пароль). LCM зная Thumbprint сертификата расшифровывает пароль при получении .mof файла и применяет настройки.
Вверх
Offline Максим Коллегин  
#6 Оставлено : 9 февраля 2016 г. 14:26:37(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,399
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
C CSP 3.9 R2/4.0 на Windows 8.1 Get-DscLocalConfigurationManager работает.

Отредактировано пользователем 9 февраля 2016 г. 14:31:22(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline b2b_center  
#7 Оставлено : 9 февраля 2016 г. 14:36:35(UTC)
b2b_center

Статус: Участник

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Мы, к сожалению, не можем использовать CSP 3.9 R2/4.0, пока они не пройдут сертификацию (и даже в этом случае изменения в аттестации информационной системы займёт время). Возможно локализовать проблему на CSP 3.6/3.9?

Собрал тестовый стенд с версией CSP 3.9 R2, проблема аналогичная. Вероятно проблема проявляется при использовании сертификата в LCM.

PS C:\windows\system32> Get-DscLocalConfigurationManager
Get-DscLocalConfigurationManager : Сбой загрузки поставщика
строка:1 знак:1
+ Get-DscLocalConfigurationManager
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (MSFT_DSCLocalConfigurationManager:root/Microsoft/...gurationManager) [Get
-DscLocalConfigurationManager], CimException
+ FullyQualifiedErrorId : HRESULT 0x80041013,Get-DscLocalConfigurationManager

Отредактировано пользователем 9 февраля 2016 г. 14:52:51(UTC)  | Причина: Не указана
Вверх
Offline Максим Коллегин  
#8 Оставлено : 10 февраля 2016 г. 13:39:51(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,399
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
Воспроизвели проблему. Исправим в новых версиях 4.0 и 3.9.
Пока могу только предложить отключить исправления для WmiPrvSE.exe.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\WmiPrvSE]
"FileName"="WmiPrvSE.exe"


и reboot.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
b2b_center оставлено 11.02.2016(UTC)
Offline b2b_center  
#9 Оставлено : 10 февраля 2016 г. 16:55:24(UTC)
b2b_center

Статус: Участник

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Большое спасибо за оперативность, попробую завтра проверить.
Вверх
Offline b2b_center  
#10 Оставлено : 11 февраля 2016 г. 17:48:00(UTC)
b2b_center

Статус: Участник

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 12
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Проверил на тестовом стенде, работает. Ещё раз спасибо, будем ждать исправления, а пока воспользуемся предложенным решением.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET