Добрый день!

При перевыпуске сертификатов ЦР были произведены следующие действия:


- Выпущен новый сертификат аутентификации ЦР через обновление сертификата на ЦС.
- Ключ сохранен внешний носитель и перенесен на ЦР.
- Оказалось что ключ помечен как не экспортируемый
- Повторили процедуру через генерацию запроса с самого ЦР
- Обновили ключ аутентификации и ключ веб сервера через интерфейс ЦР
- Проверили связь с ЦС через ping-ca
- Удалили предыдущие ключи с внешнего носителя через КриптоПро CSP
- Перезагрузили ЦР чтобы убедиться в работоспособности

После этого, ping-ca выдает ошибку связи с сервером (просит проверить службу RegSRV). При загрузке ЦР, использовании команды ping-ca или другом действии, затрагивающем службу RegSRV, появляются запросы внешнего носителя, на котором ранее был сгенерирован не экспортируемый ключ (хотя он не указан ни как ключ аутентификации ЦР ни как ключ веб сервера ЦР).

Пересоздание роли ЦР с сохранением старой БД не меняет картины, на данный момент помогло только создание нового ЦР с новой БД, соответственно старые данные в ней отсутствуют.

Просьба подсказать пути решения этой проблемы, я вижу два возможных направления:

1. Удаление неиспользуемого ключа с привязкой к носителю из настроек ЦР и возвращение к старой БД.

2. Перенос пользователей из старой БД ЦР в новую.

К сожалению ни по одному из них я не нашел какой-либо информации.

Новые ключи ЦР (клиентский и веб сервера) были сгенерированы с хранением в реестре ЦР, выданные на ЦС сертификаты перенесены в реестр ЦР и привязаны к ключам.
Все старые сертификаты были удалены через КриптоПРО CSP + проверено упоминание их в хранилище Windows.

Более того, некоторые функции по взаимодействию с ЦС остались работоспособными даже при ошибках команды ping-ca, например можно изменить соединение с ЦС (все этапы замены сертификата проходят без ошибок) и даже выпустить сертификат веб сервера прямо на ЦР.

При старте/завершении службы regsrv также происходит обращение к тому же внешнему носителю и служба не может остановиться до отмены диалога.

Точно.

Если удалить сохраненные пароли в криптопро CSP и запустить ping-ca, видно что идет обращение к контейнеру в реестре (новый, правильный ключ) и обращение к ключу на внешнем носителе, но предоставить ему уже нечего (контейнер на внешнем носителе удален).

Скорее всего и сама команда ping-ca выдает ошибку только из-за отсутствия своевременного ответа regsrv, который в свою очередь ждет запрашиваемый контейнер на внешнем носителе, но вот откуда берется этот запрос, выяснить не получилось.

Отредактировано пользователем 16 января 2018 г. 13:51:35(UTC)  | Причина: Не указана

Спасибо за помощь!

Для выполнения рекомендуемых действий, я удалил роль сервера ЦР и добавил ее заново но со старой базой.
Сразу начались запросы к внешнему носителю, как и ранее.
Пока изучал ситуацию, несколько раз отменил запрос и они пропали. Перезагрузка и выполнение стандартных операций больше не вызывает запрос к внешнему носителю, т.е. эта часть проблемы решилась сама собой, хотя до причины этих запросов мы и не докопались.

УЦ успел выдать небольшое количество сертификатов, которые теперь нужно перенести из временной БД ЦР в постоянную, как это лучше сделать?

Отредактировано пользователем 16 января 2018 г. 18:10:28(UTC)  | Причина: Не указана

Спасибо, будем пробовать.