Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline takemegently  
#1 Оставлено : 29 июня 2016 г. 13:57:52(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
В общем, чудеса:
При попытке протестировать соединение между АРМ и ЦР - АРМ уходит в ожидание, требуя реакции на ЦР. На ЦР в это время вываливается окно (требующее внимания) с, казалось бы, предложением ввести пин-код к ключевому контейнеру веб-сертификата ЦР. Но при открытии данного сообщения, вываливается окошко с выбором ключевого контейнера, в котором нет ни доступных считывателей, ни самих контейнеров.
Через КриптоПро контейнер тестируется без проблем. Ко второму контейнеру на носителе (клиентский ЦР) обращение проходит без каких-либо проблем.
Win 2008. КриптоПро УЦ 1.5. АРМ стоит на Win 7. CSP 3.6. СОСы везде актуальные. База данных сертификатов в оснастке АРМ ЦР открывается без проблем.
Пробовал перевыпускать служебные сертификаты - результат тот же. Менял считыватель, носитель - без изменений. Пин-код на контейнер сохранял - безрезультатно. Все равно выпадает это странное пустое окно без носителей и контейнеров. Доступ к ra.wsdl, ra.asp через IE имеется.
Куда посоветуете копать?
Offline Максим Коллегин  
#2 Оставлено : 29 июня 2016 г. 14:05:56(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,011
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 589 раз в 530 постах
А где находится контейнер? Лучше, чтобы в реестре и без пароля.
Знания в базе знаний, поддержка в техподдержке
Offline takemegently  
#3 Оставлено : 29 июня 2016 г. 14:08:38(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
К сожалению, еToken с паролем. Требования безопасности, будь они неладны.
Offline Василий Дементьев  
#4 Оставлено : 29 июня 2016 г. 14:26:27(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах
Можно уточнить пару моментов:
1. На сервере Win 2008 или всё же 2008 R2?
2. Окошко CSP на сервере вы смотрите на самом сервере или в терминальной сессии (по RDP)?
Offline takemegently  
#5 Оставлено : 29 июня 2016 г. 15:01:03(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
Автор: Василий Дементьев Перейти к цитате
Можно уточнить пару моментов:
1. На сервере Win 2008 или всё же 2008 R2?
2. Окошко CSP на сервере вы смотрите на самом сервере или в терминальной сессии (по RDP)?


Win Server 2008 R2, окошко CSP на самом сервере.

1.jpg (28kb) загружен 22 раз(а).
Offline Василий Дементьев  
#6 Оставлено : 29 июня 2016 г. 15:23:48(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах
Спасибо.
Ещё пару моментов для уточнения:
1. Номер сборки КриптоПро CSP и класс КС1 или КС2.
Можете просто приложить скриншот вкладки Общие панели КриптоПро CSP.

2. установлено ли ПО от производителя eToken (PKI Client или аналог), если да - какой версии
Offline takemegently  
#7 Оставлено : 29 июня 2016 г. 15:30:25(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
1.png (13kb) загружен 19 раз(а). 2.png (10kb) загружен 18 раз(а).
Offline Василий Дементьев  
#8 Оставлено : 29 июня 2016 г. 16:09:04(UTC)
Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах
PKI клиент при использовании eToken Java не требуется.
Для eToken PRO он нужен, теоретически есть версия 5.1.66, но вряд ли это принципиально.

На вкладке Безопасность панели CSP включено кеширование?

Если да, и ПИН к контейнеру запомнен - попробуйте при вставленном токене перезагрузить сервер и затем с клиентской машины обратиться через IE по https.
В этом случае после чтения контейнера с носителя он попадёт в кеш и при дальнейших операциях токен не будет требоваться.

Если нет - то попробуйте в панели CSP - Сервис - нажать Протестировать - по сертификату, выберите из списка сертификат веб-сервера и посмотрите на результат
Offline takemegently  
#9 Оставлено : 29 июня 2016 г. 16:14:57(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
Кеширование отключено. Тестирование проходит без проблем.
Offline takemegently  
#10 Оставлено : 29 июня 2016 г. 19:04:01(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
Обнаружился считыватель с перебитым проводом подключения. Заменил. Все чудесно. Но сегодня опять то же самое. Через раз проходит обращение к контейнеру.

Отредактировано пользователем 30 июня 2016 г. 8:12:17(UTC)  | Причина: Не указана

Offline takemegently  
#11 Оставлено : 30 июня 2016 г. 9:52:24(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
Появилась закономерность.
Тестирование соединения АРМ - ЦР не проходит по той же самой причине, пока не сделать вручную тест ЦР - ЦС.
Трестируешь соединение ЦР - ЦС, сертификаты выпускаются, АРМ - ЦР тест проходит, все путем.
Через какое-то время АРМ подвисает, а на ЦР вываливается то самое злополучное окно. И опять нужно тестировать вручную ЦР - ЦС, тогда все снова на какое-то время начинает работать.
В журнале только что стало появляться предупреждение, ссылающееся на библиотеку cprdr.dll
Offline takemegently  
#12 Оставлено : 30 июня 2016 г. 19:32:11(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
Обратил внимание, что на форуме уже существует похожая тема с пустым окном при выборе контейнера закрытого ключа.
Судя по всему, решение, которое способствовало бы выходу из ситуации, в теме так и не появилось.
Видимо, проблема не единичная, раз подобные прецеденты уже имели место быть.
Сегодня был сдвиг, в какое-то время контейнеры начинают быть доступными, например, после теста ЦР-ЦС. Тогда буквально на 5 минут можно и соединение АРМ-ЦР тестировать, и сертификаты выпускать. А потом опять до контейнеров не достучаться - то же "Обнаружение интерактивных служб" и пустое окно.
Не появилось мыслей, в какую сторону смотреть?
Offline takemegently  
#13 Оставлено : 1 июля 2016 г. 15:52:36(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
В общем, как выясняется, проблема возникает именно при обращению к контейнеру через веб-сервер IIS.
Пробовали разные считыватели, носители, в итоге, даже использовали реестр, с ним вообще проблем нет.
Но вот при обращении именно к веб сертификату Центра регистрации - такая вот ерунда.

Отредактировано пользователем 2 июля 2016 г. 16:17:10(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#14 Оставлено : 1 июля 2016 г. 17:41:36(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,011
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 589 раз в 530 постах
Установите CSP 3.9 или 4.0. Были исправления по этому поводу.
Знания в базе знаний, поддержка в техподдержке
Offline takemegently  
#15 Оставлено : 5 июля 2016 г. 13:25:30(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз

Обнаружилась закономерность: при изменении тайм-аута пула приложений RA-1, меняется и время работоспособности АРМа аднинистратора. Увеличение тайм-аута - не выход, потому что в любом случае соединение пропадёт.
Что посоветуете предпринять?
Offline Molostvov  
#16 Оставлено : 5 июля 2016 г. 14:08:02(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Я тоже изначально подумывал на работу пула:) Возможно подойдет решение, связанное с непрерывной работой пула даже при отсутствии его активности. (Можно настроить в доп. параметрах пула). И еще: у вас ключи клиентского сертификата ЦР и сертификата веб-сервера ЦР хранятся на одном токене?
Offline takemegently  
#17 Оставлено : 5 июля 2016 г. 14:09:57(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
Уже пробовали разделять, толку нет.
По непрерывной работе пула посмотрю параметры, спасибо.
Offline takemegently  
#18 Оставлено : 5 июля 2016 г. 14:28:06(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
С 3.9 проблемы не стало.
Как подружить с 3.6, которая сертифицирована для работы с КриптоПро УЦ 1.5 и на которую у нас куплена серверная лицензия?
Offline takemegently  
#19 Оставлено : 7 июля 2016 г. 6:53:11(UTC)
takemegently

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34

Сказал(а) «Спасибо»: 1 раз
Автор: Molostvov Перейти к цитате
Я тоже изначально подумывал на работу пула:) Возможно подойдет решение, связанное с непрерывной работой пула даже при отсутствии его активности. (Можно настроить в доп. параметрах пула). И еще: у вас ключи клиентского сертификата ЦР и сертификата веб-сервера ЦР хранятся на одном токене?


Разве при бесконечной сессии она не отвалится, например, когда забьется память?
Offline Dmitriy8808  
#20 Оставлено : 8 июля 2016 г. 12:08:52(UTC)
Dmitriy8808

Статус: Активный участник

Группы: Участники
Зарегистрирован: 08.04.2012(UTC)
Сообщений: 108

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 11 раз в 7 постах
У меня окно с выбором контейнера возникает при принятии запроса на сертификат на ЦР об этом писал здесь http://www.cryptopro.ru/....aspx?g=posts&t=5430
Это проявляется не всегда, а только после перезагрузки ЦР. Причем если вытащить и вставить токен, то в окне выбора считывателей токен начинает отображаться.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.