Статус: Новичок
Группы: Участники
Зарегистрирован: 16.11.2018(UTC) Сообщений: 9  Сказал(а) «Спасибо»: 5 раз
|
Здравствуйте, планируется обновление УЦ и внедрение новых компонент к заказчику таких как КриптоПро DSS. Поднимаем на своей инфраструктуре стенд перед внедрением с тестовым DSS без ПАКМ HSM. Все настройки выполнены согласно инструкции администратора. Использую "КриптоПро Исходный материал" с КриптоПро CSP 4.0 с выработанной внешней гаммой. Для связи с ЦР нашел на просторах форума командлет Add-DSSCryptoProCA20Enrollment, однако после установки DSS 2.0 он отсутствует. В установке есть похожий командлет Add-DSSStsCryptoProCA20Enrollment, в связи с этим вопрос является ли они взаимозаменяемыми? При попытке зайти на Web-интерфейс пользователя и создать запрос на сертификат для подписи выдается ошибка в браузере Object reference not set to an instance of an object. При этом тестирование связи с ЦР при помощи командлета Test-DssStsCryptoProCA20Enrollment выполняется без ошибок. Регистрация ЦР и вывод настроек ниже:
PS C:\Windows\system32> Add-DssSTSCryptoProCA20Enrollment -CAServiceUrl "https://vm-86747-1178/RA/RegAuthLegacyService.svc" -EnrollName CA1 -OperatorCertThumbprint "1ECC2C40D795298C5C11FEA3A2995B02CFCD349B" -FolderID "7cb04699-99ec-e811-80ca-d9e87518b50f" -TemplateOID 1.2.643.2.2.46.0.8
PS C:\Windows\system32> Test-DssStsCryptoProCA20Enrollment -EnrollName CA1
PS C:\Windows\system32> Get-DssStsCryptoProCA20Enrollment
Url : https://vm-86747-1178/RA/RegAuthLegacyService.svc
DisplayName : CA1
OperatorThumbprint : C5ED609E12DD80DAB75E6B4726ADFF97CA82B01A
Enabled : True
FolderId : 7cb04699-99ec-e811-80ca-d9e87518b50f
AuthorityName :
TemplateOid : 1.2.643.2.2.46.0.8
Скриншоты ошибки и информации по сервису RegAuthLegacyService.svc:
 certrequest.png (32kb) загружен 46 раз(а). regauthinfo.png (29kb) загружен 37 раз(а).
Вывод properties СП, ЦИ и Веб-интерфейса:
PS C:\Windows\system32> Get-DssProperties
PinMode : Allow
TSPList : {}
SignatureTypeList : {CAdES, CMS, GOST3410, MSOffice...}
ServiceCertificate : 8410B8BEAC6D6B88B0772F1C70CBCAA6296715E2
ValidateCertificateBeforeSignature : False
ServiceType : Server
MonitoringTimeout : 20
PdfSignatureSize : 100000
CadesUseOcspAuthorizedPolicy : False
TokenTimeout : 600
RequireStrongConfirmation : True
TransactionCacheMode : DistributedCache
IsAdditionalCertStoreEnabled : False
AdditionalCertStoreName :
CadesUseProxy : False
OcspList :
ServiceIdentifier : urn:cryptopro:dss:signserver:signserver
AllowedCorsOrigins :
AllowHashSigning : False
DisplayName : SignServer
PS C:\Windows\system32> Get-DssStsProperties
ServiceCertificate : 2E7669276203A9927EFB4880735295245B028518
LocalAuthorityName : realsts
AllowUserRegistration : True
PhoneConfirmation : False
DefaultTokenLifetime : 600
MaximumTokenLifetime : 1800
TransactionTimeOut : 300
OtpConfirmationTimeOut : 300
SslAuthPort :
SslAuthHostName :
MaxDocumentInfoSize : 256
MinOtpConfirmationTimeOut : 300
AvailableIdentifierTypes : {Login}
AppliesToValidationRequired : True
EmailConfirmation : False
AnalyticsServiceAddress :
AllowUserPrimaryAuthChange : True
AllowUserSecondaryAuthChange : True
RequireMutualHttps : False
AllowUserProfileChange : False
PasswordDisplayFormatList : {Screen}
LockUserAfterRegistration : False
TransactionMonitorInterval : 10
ClientAuthenticationIssuersStoreName : STS Client Authentication Issuers
IsClientAuthenticationIssuersStoreEnabled : True
MaxTransactionLifetime : 0
AllowCloudCspLicenseActivationByUser : False
AllowedCorsOrigins :
DisplayName : STS
PS C:\Windows\system32> Get-DssFeProperties
SignServerAddress : http://vm-86747-1208/SignServer/SignServiceExR.svc/token/nosc
StsAddress : https://VM-86747-1208/STS/Active.svc/service
ServiceCertificate : BD731A75BFCEA0134C8A7BBB83AF26DA5784C809
VsAddress :
CmisAddress :
AnalyticsServiceAddress :
IndexPage : CertificatesList
RequireMutualHttps : False
EndpointRecieveTimeOut : 00:15:00
EndpointSendTimeOut : 00:15:00
MaxIisContentLength : 4194304
DisplayedAuditRecordsCount : 3
DisplayedAuditRecordsCodes : {34, 37, 62, 93}
ServiceIdentifier : urn:cryptopro:dss:frontend:frontend
DisplayName : Frontend
Подскажите в чем может быть причина?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,492  Сказал «Спасибо»: 53 раз
Поблагодарили: 803 раз в 742 постах
|
Добрый день.
Для подключения SignServer КриптоПро DSS 2.0 к ЦР КриптоПро УЦ 2.0 используйте командлет:
Add-DssEnrollment -Type CryptoProCA20 -CAServiceUrl "https://<ЦР hostname>/RA/RegAuthLegacyService.svc" -EnrollDisplayName "Отображаемой имя УЦ" -OperatorCertThumbprint отпечаток_сертификата_администратора_ЦР -FolderId идентификатор_папки_в_ЦР |
|
 1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.11.2018(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 5 раз
|
Цитата:
Добрый день.
Для подключения SignServer КриптоПро DSS 2.0 к ЦР КриптоПро УЦ 2.0 используйте командлет:
Add-DssEnrollment -Type CryptoProCA20 -CAServiceUrl "https://<ЦР hostname>/RA/RegAuthLegacyService.svc" -EnrollDisplayName "Отображаемой имя УЦ" -OperatorCertThumbprint отпечаток_сертификата_администратора_ЦР -FolderId идентификатор_папки_в_ЦР
PS C:\Windows\system32> Test-DssEnrollment -ID 1
Id : 1
IsEnabled : True
Settings : {[DisplayName, CA1], [Url, https://vm-86747-1178/RA/RegAuthLegacyService.svc], [OperatorThu
mbprint, C5ED609E12DD80DAB75E6B4726ADFF97CA82B01A], [FolderId, 7cb04699-99ec-e811-80ca-d9e87518b50f]}
TypeDescription : CryptoPro.DSS.PowerShell.Resources.EnrollType
NamePolicy : {Общее имя, Страна/регион, Область, Город...}
EkuTemplates : {[Корневой Центр сертификации, System.Collections.Generic.List`1[System.String]], [Подчиненный Центр
сертификации, System.Collections.Generic.List`1[System.String]], [Перекрёстный Центр сертификации, Sy
stem.Collections.Generic.List`1[System.String]], [Веб-сервер, System.Collections.Generic.List`1[Syste
m.String]]...}
Спасибо! Эта команда выполнилась успешно, но я все равно получаю ту же ошибку как на скриншоте в первом сообщении при попытке отправить запрос на сертификат через веб-интерфейс.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,492 Сказал «Спасибо»: 53 раз
Поблагодарили: 803 раз в 742 постах
|
Добрый день.
Сертификат администратора ЦР установлен в хранилище сертификатов "Личное" локального компьютера с привязкой к закрытому ключу без пин-кода?
Пулу приложений SignServer выдан полный доступ на ключ, соответствующий сертификату администратора ЦР? |
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.11.2018(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 5 раз
|
Добрый день.
Спасибо, все заработало, сертификат был в личном хранилище текущего пользователя
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.11.2018(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 5 раз
|
Добрый вечер, возникла теперь проблема с добавлением адреса OCSP службы для тестирования усовершенствования подписи. В руководстве администратора есть только способ как добавить TSPList, но при это не описано как добавить OcspServiceList. Из PW понял что это должна быть строка, но непонятен формат, просто URL не подходит. Подскажите как подключить службу? Скриншот ошибки под спойлером.
ocsp_error.png (50kb) загружен 28 раз(а).
P.S. Для усовершенствования подписи планируется разворачивать на отдельный ресурс DSS Lite, в связи с этим возник вопрос по установке. Необходимо также устанавливать и настраивать ЦИ, веб-интерфейс пользователя и потом DSS Lite или просто установить DSS Lite? Из описания не совсем понятна разница между компонентами Lite и обычным, а также что необходимо для установки DSS Lite? Есть ли руководство администратора по DSS Lite? Заранее спасибо!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,492 Сказал «Спасибо»: 53 раз
Поблагодарили: 803 раз в 742 постах
|
Автор: admitrenko  Добрый вечер, возникла теперь проблема с добавлением адреса OCSP службы для тестирования усовершенствования подписи. В руководстве администратора есть только способ как добавить TSPList, но при это не описано как добавить OcspServiceList. Из PW понял что это должна быть строка, но непонятен формат, просто URL не подходит. Подскажите как подключить службу? Скриншот ошибки под спойлером.
ocsp_error.png (50kb) загружен 28 раз(а).
P.S. Для усовершенствования подписи планируется разворачивать на отдельный ресурс DSS Lite, в связи с этим возник вопрос по установке. Необходимо также устанавливать и настраивать ЦИ, веб-интерфейс пользователя и потом DSS Lite или просто установить DSS Lite? Из описания не совсем понятна разница между компонентами Lite и обычным, а также что необходимо для установки DSS Lite? Есть ли руководство администратора по DSS Lite? Заранее спасибо! Добрый день. 1) Подскажите, пожалуйста, в каком командлете Вы нашли параметр OcspServiceList? Адрес OCSP службы берется из расширения сертификата Доступ к информации о центрах сертификации и указывать его отдельно в настройках КриптоПро DSS не нужно. 2) Что Вы подразумеваете под DSS Lite - сервис для работы через API или режим работы SignServer КриптоПро DSS, при котором ключевые контейнеры пользователя хранятся на рабочем месте пользователя? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.11.2018(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 5 раз
|
Добрый день, В командлете Set-DssProperties
PS C:\Windows\system32> Set-DssProperties -OcspServiceList http://vm-86747-1178/OCSP/ocsp.srf
PinMode : Allow
TSPList : {TSP CA test}
SignatureTypeList : {CAdES, CMS, GOST3410, MSOffice...}
ServiceCertificate : 8410B8BEAC6D6B88B0772F1C70CBCAA6296715E2
ValidateCertificateBeforeSignature : False
ServiceType : Server
MonitoringTimeout : 20
PdfSignatureSize : 100000
CadesUseOcspAuthorizedPolicy : False
TokenTimeout : 600
RequireStrongConfirmation : True
TransactionCacheMode : DistributedCache
IsAdditionalCertStoreEnabled : False
AdditionalCertStoreName :
CadesUseProxy : False
OcspList : {http://vm-86747-1178/OCSP/ocsp.srf}
ServiceIdentifier : urn:cryptopro:dss:signserver:signserver
AllowedCorsOrigins :
AllowHashSigning : False
DisplayName : SignServer
DSS Lite имеется в виду режим работы SignServer КриптоПро DSS, при котором ключевые контейнеры пользователя хранятся на рабочем месте пользователя. Использовать планируется для усовершенствования подписи. Отредактировано пользователем 23 ноября 2018 г. 14:23:05(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,492 Сказал «Спасибо»: 53 раз
Поблагодарили: 803 раз в 742 постах
|
Автор: admitrenko Добрый день, В командлете Set-DssProperties
PS C:\Windows\system32> Set-DssProperties -OcspServiceList http://vm-86747-1178/OCSP/ocsp.srf
PinMode : Allow
TSPList : {TSP CA test}
SignatureTypeList : {CAdES, CMS, GOST3410, MSOffice...}
ServiceCertificate : 8410B8BEAC6D6B88B0772F1C70CBCAA6296715E2
ValidateCertificateBeforeSignature : False
ServiceType : Server
MonitoringTimeout : 20
PdfSignatureSize : 100000
CadesUseOcspAuthorizedPolicy : False
TokenTimeout : 600
RequireStrongConfirmation : True
TransactionCacheMode : DistributedCache
IsAdditionalCertStoreEnabled : False
AdditionalCertStoreName :
CadesUseProxy : False
OcspList : {http://vm-86747-1178/OCSP/ocsp.srf}
ServiceIdentifier : urn:cryptopro:dss:signserver:signserver
AllowedCorsOrigins :
AllowHashSigning : False
DisplayName : SignServer
DSS Lite имеется в виду режим работы SignServer КриптоПро DSS, при котором ключевые контейнеры пользователя хранятся на рабочем месте пользователя. Использовать планируется для усовершенствования подписи. 1) В последних версиях КриптоПро DSS был добавлен параметр OcspServiceList в командлет Set-DssProperties. Он должен задаваться как строка в двойных кавычках с URL адресами OCSP служб через запятую. 2) Для работы КриптоПро DSS в режиме DSS Lite через веб интерфейс необходимо изменить свойство ServiceType на значение Client для SignServer: Код:Set-DssProperties -ServiceType Client
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.11.2018(UTC) Сообщений: 9 Сказал(а) «Спасибо»: 5 раз
|
Добрый вечер. Устанавливал второй сервер DSS по той же схеме и возникла вот такая ошибка. Подскажите как можно исправить, чтобы в будущем ее предотвратить?
frontend_relaying_not_found.png (63kb) загружен 32 раз(а).
При этом все зарегистрировано.
PS C:\Windows\system32> Add-DssRelyingPartyTrust -Name "Frontend" -MetadataUri https://$HostName/Frontend/FederationMeta
data/2007-06/FederationMetadata.xml
Add-DssRelyingPartyTrust : Идентификатор https://vm-86747-1272/Frontend/ уже присутствует в БД
At line:1 char:1
+ Add-DssRelyingPartyTrust -Name "Frontend" -MetadataUri https://$HostName/Fronten ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Add-DssRelyingPartyTrust], InvalidOperationException
+ FullyQualifiedErrorId : System.InvalidOperationException,CryptoPro.DSS.PowerShell.STS.CmdLets.RelyingParties.Add
DssRelyingPartyTrustCmd
Отредактировано пользователем 12 декабря 2018 г. 19:33:05(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
