Статус: Участник
Группы: Участники
Зарегистрирован: 25.09.2008(UTC) Сообщений: 10  Откуда: Красноярск
|
Здравствуйте, уважаемые коллеги! У меня не получается запустить экземпляр службы OCSP: OCSP-сервер установлен на отдельной машине (Win2003 R2 SP2) - напрямую подключен к серверу ЦС (тоже Win2003 R2 SP2). Режим работы службы - по базе данных ЦС. Оператор службы - локальная учетная запись "Administrator" на OCSP-сервере. Сертификат назначен (EKU - "Подпись ответа службы OCSP". Выполнил все действия п.6.1.2 "Руководства администратора КриптоПро OCSP Server. Версия 1.2" кроме настроек ISA-сервера ввиду отсутствия такового. При попытке запуска экземпляра службы выдается ошибка: 0х80070057 (Параметр задан неверно.) Подскажите плиз, может я что-то забыл сделать или настроить? Где посмотреть этот самый параметр, который задан неверно? 
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.09.2008(UTC) Сообщений: 10 Откуда: Красноярск
|
И еще: Попробовал сменить режим работы службы OCSP "по СОС" - при попытке запуска службы выдает ошибку 0х8007052Е (Вход в систему не произведен: имя пользователя или пароль не опознаны.) 
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
Перенесите актуальрный СОС в локальный каталог OCSP-сервера, добавте разрешения для учетной записи Network Service(под которой работает IIS) право на чтение к этому каталогу. Попробуйте запустить службу. Ключи оператора ОCSP-сервера хранятся на каком носителе? Отредактировано пользователем 30 марта 2009 г. 19:13:34(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.09.2008(UTC) Сообщений: 10 Откуда: Красноярск
|
Актуальный СОС поместил в локальную папку на OCSP-сервере (C:\CRL), в свойствах этой папки (во вкладке "безопасность") добавил разрешение "чтение" для учетной записи NETWORK SERVICE, настроил экземпляр службы на режим работы по СОС, указал папку размещения СОС - C:\CRL. К счастью экземпляр службы запустился без проблем  Но хотелось бы добиться работы службы не по СОС, а по базе данных ЦС или ЦР. P.S. Сервер-OCSP подключен к серверу-ЦС напрямую через кроссоверный патчкорд. Т.е. схема подключения оборудования в точности соответствует Рисунку 1 в документе ЖТЯИ.00023-01 90 04. "Использование КриптоПро OCSP Server совместно с КриптоПро УЦ" Отредактировано пользователем 31 марта 2009 г. 8:42:18(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
В документации: "КриптоПро OCSP Server. Руководство администратора.pdf" в главе 6.1.1. детально описана настройка работы OCSP по базе ЦС.
Скорей всего, проблемы с правами учетной записи для доступа к бд MSCA.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.09.2008(UTC) Сообщений: 10 Откуда: Красноярск
|
Я вроде выполнил все предписания "Руководства администратора", но запустить службу по ЦС все равно не получилось. Однако я все-таки добился успешного запуска службы по базе данных ЦР. Точкой предкновения оказалась галочка "Разрешить сохранения пароля" (для учетной записи SQL сервера ЦС, полученной посредством скрипта GetRADBAccess_OCSP.vbs) в свойствах экзепляра службы (вкладка "Центр регистрации" - "Свойства связи с данными"). Без этой галочки служба упорно не хочет запускаться и выдает ошибку 8х80040E4D.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 28.08.2008(UTC) Сообщений: 204  Сказал «Спасибо»: 9 раз
Поблагодарили: 1 раз в 1 постах
|
ТОже сталкивался с проблемой установки OCSP сервера на отдельной машине в режиме работы с БД ЦС. В итоге оказалось что без еще одной дополнительной машины с виндовым файерволом (непомню название ASA помоему) необойтись.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.09.2008(UTC) Сообщений: 10 Откуда: Красноярск
|
Благодарю за комментарии. Наверное имеется в виду, что для организации режима работы OCSP по ЦС без ISA-сервера не обойтись (тогда желательно было бы чтобы в Руководстве администратора об этом четко и ясно было написано, а там в п. 6.1.2 сказано, что это - "предлагаемое решение").  Ну да ладно - меня вполне устраивает, что служба OCSP будет работать по базе данных ЦР. В связи с этим хотелось бы уточнить такой вопрос: Как правильно настроить точки распространения Authority Information Access (AIA)? Насколько я понимаю в этом расширении имеется возможность указать как путь к файлу корневого сертификата ЦС (конечно если ЦС - корневой), так и путь доступа к службе OCSP. Т.е.: 1. Для указания пути к файлу корневого сертификата надо прописать http://ServerName/.../CaName.crt, при этом поставив галочку "Включать в AIA-расширение выданных сертификатов". 2. Для указания пути к службе OCSP надо прописать http://OCSPServerName/OCSP/ocsp.srf, при этом видимо надо поставить галочку "Включать в расширения протокола OCSP". Подскажите пожалуйста - правильно ли я все понял про значения путей (особенно к службе OCSP)? И правильно ли я устанавливаю "галочки" для обоих путей?  Отредактировано пользователем 6 апреля 2009 г. 8:41:33(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 43 Место: Казань
|
VDV написал:Благодарю за комментарии. ... Как правильно настроить точки распространения Authority Information Access (AIA)? Насколько я понимаю в этом расширении имеется возможность указать как путь к файлу корневого сертификата ЦС (конечно если ЦС - корневой), так и путь доступа к службе OCSP. Т.е.: 1. Для указания пути к файлу корневого сертификата надо прописать http://ServerName/.../CaName.crt, при этом поставив галочку "Включать в AIA-расширение выданных сертификатов". 2. Для указания пути к службе OCSP надо прописать http://OCSPServerName/OCSP/ocsp.srf, при этом видимо надо поставить галочку "Включать в расширения протокола OCSP". Подскажите пожалуйста - правильно ли я все понял про значения путей (особенно к службе OCSP)? И правильно ли я устанавливаю "галочки" для обоих путей? я на практике так и делал. Настройка производится на ЦС. При этом адрес службы OCSP находится выше, чем адрес сертификата корневого УЦ.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
|
Возникает та же ошибка Цитата:0х80070057 (Параметр задан неверно.) при попытке настройки КриптоПро OCSP Server в режиме работы с базой Центра Сертификации. Настраивали по инструкции, пробовали и через ISA Server 2006, и напрямую. Подскажите, что сделать, чтобы заработало?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
