Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Мистика с отображением ключевого контейнера
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
В общем, чудеса:
При попытке протестировать соединение между АРМ и ЦР - АРМ уходит в ожидание, требуя реакции на ЦР. На ЦР в это время вываливается окно (требующее внимания) с, казалось бы, предложением ввести пин-код к ключевому контейнеру веб-сертификата ЦР. Но при открытии данного сообщения, вываливается окошко с выбором ключевого контейнера, в котором нет ни доступных считывателей, ни самих контейнеров.
Через КриптоПро контейнер тестируется без проблем. Ко второму контейнеру на носителе (клиентский ЦР) обращение проходит без каких-либо проблем.
Win 2008. КриптоПро УЦ 1.5. АРМ стоит на Win 7. CSP 3.6. СОСы везде актуальные. База данных сертификатов в оснастке АРМ ЦР открывается без проблем.
Пробовал перевыпускать служебные сертификаты - результат тот же. Менял считыватель, носитель - без изменений. Пин-код на контейнер сохранял - безрезультатно. Все равно выпадает это странное пустое окно без носителей и контейнеров. Доступ к ra.wsdl, ra.asp через IE имеется.
Куда посоветуете копать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,011  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 17 раз
Поблагодарили: 589 раз в 530 постах
|
А где находится контейнер? Лучше, чтобы в реестре и без пароля. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
К сожалению, еToken с паролем. Требования безопасности, будь они неладны.
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 5 раз в 4 постах
|
Можно уточнить пару моментов:
1. На сервере Win 2008 или всё же 2008 R2?
2. Окошко CSP на сервере вы смотрите на самом сервере или в терминальной сессии (по RDP)?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Автор: Василий Дементьев  Можно уточнить пару моментов:
1. На сервере Win 2008 или всё же 2008 R2?
2. Окошко CSP на сервере вы смотрите на самом сервере или в терминальной сессии (по RDP)? Win Server 2008 R2, окошко CSP на самом сервере.  1.jpg (28kb) загружен 22 раз(а).
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 5 раз в 4 постах
|
Спасибо.
Ещё пару моментов для уточнения:
1. Номер сборки КриптоПро CSP и класс КС1 или КС2.
Можете просто приложить скриншот вкладки Общие панели КриптоПро CSP.
2. установлено ли ПО от производителя eToken (PKI Client или аналог), если да - какой версии
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
1.png (13kb) загружен 19 раз(а). 2.png (10kb) загружен 18 раз(а).
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 5 раз в 4 постах
|
PKI клиент при использовании eToken Java не требуется.
Для eToken PRO он нужен, теоретически есть версия 5.1.66, но вряд ли это принципиально.
На вкладке Безопасность панели CSP включено кеширование?
Если да, и ПИН к контейнеру запомнен - попробуйте при вставленном токене перезагрузить сервер и затем с клиентской машины обратиться через IE по https.
В этом случае после чтения контейнера с носителя он попадёт в кеш и при дальнейших операциях токен не будет требоваться.
Если нет - то попробуйте в панели CSP - Сервис - нажать Протестировать - по сертификату, выберите из списка сертификат веб-сервера и посмотрите на результат
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Кеширование отключено. Тестирование проходит без проблем.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Обнаружился считыватель с перебитым проводом подключения. Заменил. Все чудесно. Но сегодня опять то же самое. Через раз проходит обращение к контейнеру. Отредактировано пользователем 30 июня 2016 г. 8:12:17(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Появилась закономерность.
Тестирование соединения АРМ - ЦР не проходит по той же самой причине, пока не сделать вручную тест ЦР - ЦС.
Трестируешь соединение ЦР - ЦС, сертификаты выпускаются, АРМ - ЦР тест проходит, все путем.
Через какое-то время АРМ подвисает, а на ЦР вываливается то самое злополучное окно. И опять нужно тестировать вручную ЦР - ЦС, тогда все снова на какое-то время начинает работать.
В журнале только что стало появляться предупреждение, ссылающееся на библиотеку cprdr.dll
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Обратил внимание, что на форуме уже существует похожая тема с пустым окном при выборе контейнера закрытого ключа. Судя по всему, решение, которое способствовало бы выходу из ситуации, в теме так и не появилось. Видимо, проблема не единичная, раз подобные прецеденты уже имели место быть. Сегодня был сдвиг, в какое-то время контейнеры начинают быть доступными, например, после теста ЦР-ЦС. Тогда буквально на 5 минут можно и соединение АРМ-ЦР тестировать, и сертификаты выпускать. А потом опять до контейнеров не достучаться - то же "Обнаружение интерактивных служб" и пустое окно. Не появилось мыслей, в какую сторону смотреть?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
В общем, как выясняется, проблема возникает именно при обращению к контейнеру через веб-сервер IIS. Пробовали разные считыватели, носители, в итоге, даже использовали реестр, с ним вообще проблем нет. Но вот при обращении именно к веб сертификату Центра регистрации - такая вот ерунда. Отредактировано пользователем 2 июля 2016 г. 16:17:10(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,011 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 17 раз
Поблагодарили: 589 раз в 530 постах
|
Установите CSP 3.9 или 4.0. Были исправления по этому поводу. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Обнаружилась закономерность: при изменении тайм-аута пула приложений RA-1, меняется и время работоспособности АРМа аднинистратора. Увеличение тайм-аута - не выход, потому что в любом случае соединение пропадёт.
Что посоветуете предпринять?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 14.03.2013(UTC) Сообщений: 448  Откуда: Москва Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
|
Я тоже изначально подумывал на работу пула:) Возможно подойдет решение, связанное с непрерывной работой пула даже при отсутствии его активности. (Можно настроить в доп. параметрах пула). И еще: у вас ключи клиентского сертификата ЦР и сертификата веб-сервера ЦР хранятся на одном токене?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Уже пробовали разделять, толку нет.
По непрерывной работе пула посмотрю параметры, спасибо.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
С 3.9 проблемы не стало.
Как подружить с 3.6, которая сертифицирована для работы с КриптоПро УЦ 1.5 и на которую у нас куплена серверная лицензия?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC)
Сообщений: 34
Сказал(а) «Спасибо»: 1 раз
|
Автор: Molostvov Я тоже изначально подумывал на работу пула:) Возможно подойдет решение, связанное с непрерывной работой пула даже при отсутствии его активности. (Можно настроить в доп. параметрах пула). И еще: у вас ключи клиентского сертификата ЦР и сертификата веб-сервера ЦР хранятся на одном токене?
Разве при бесконечной сессии она не отвалится, например, когда забьется память?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 08.04.2012(UTC)
Сообщений: 108
Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 11 раз в 7 постах
|
У меня окно с выбором контейнера возникает при принятии запроса на сертификат на ЦР об этом писал здесь http://www.cryptopro.ru/....aspx?g=posts&t=5430Это проявляется не всегда, а только после перезагрузки ЦР. Причем если вытащить и вставить токен, то в окне выбора считывателей токен начинает отображаться.
|
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Мистика с отображением ключевого контейнера
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
