Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error
2 Страницы12>
Один из двух ЦС перестал работать
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline VIT04  
#1 Оставлено : 4 августа 2017 г. 16:14:50(UTC)
VIT04

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.09.2013(UTC)
Сообщений: 36

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте.
На одном сервере ведется эксплуатация двух ЦС. Один действующий ("новый" - Prymary true) ЦС функционирует нормально. "Старый" используется только для аннулирования ранее изданных сертификатов. Сегодня обнаружили, что перестал функционировать. При попытке пинговать через командную строку выходит следующая ошибка:
PS C:\> Ping-CA -AuthorityName 'ГБУ "ЦИТ ВО"'
Ping-CA : Во время сериализации произошла ошибка.
Тип "System.ServiceModel.ExceptionDetail" в сборке "System.ServiceModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" не помечен как сериализуемый.
строка:1 знак:1
+ Ping-CA -AuthorityName 'ГБУ "ЦИТ ВО"'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Ping-CA], SerializationException
+ FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand

При попытке отозвать сертификат ничего не происходит. В журнале приложения 2 ошибки:

1. При синхронизации количества пользователей с ЦС ГБУ "ЦИТ ВО" получено исключение.
System.ServiceModel.FaultException`1[System.ServiceModel.ExceptionDetail]: Закрытый ключ сертификата, которым подписан запрос, недействителен. (Дополнительные сведения об ошибке — ExceptionDetail, возможно созданный параметром IncludeExceptionDetailInFaults=true, имеющим следующее значение:
System.ArgumentException: Закрытый ключ сертификата, которым подписан запрос, недействителен.
в CertificateService.BusinessLogic.CertScriptContext.VerifyCertificate(X509Certificate2 certificate)
в CertificateService.ServiceImplementation.CertServiceAuthorizationManager.CheckAccess(OperationContext operationContext, Message& message)
в System.ServiceModel.Dispatcher.AuthorizationBehavior.Authorize(MessageRpc& rpc)
в System.ServiceModel.Dispatcher.ImmutableDispatchRuntime.ProcessMessage11(MessageRpc& rpc)
в System.ServiceModel.Dispatcher.MessageRpc.Process(Boolean isOperationContextSet)).

2. Службе регистрации Крипто-Про УЦ 2.0 не удалось обновить CDP с ГБУ "ЦИТ ВО".

В папке cdp присутствуют отозванные сертификаты обоих ЦС. Все СОС установлены в локальный компьютер. Сертификат Веб-сервера не истек.
Подскажите, что могло случиться.
Вверх
Offline Захар Тихонов  
#2 Оставлено : 4 августа 2017 г. 17:28:54(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,314
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Здравствуйте.

Готов предположить, что ключ клиентского сертификата ЦР (используемый для подключению к ЦС1) истек. Протестируйте, с помощью CSP 4.0 контейнер клиентского ключа ЦР (который используется для подключения к ЦС1) и пришлите вывод тестирования.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline VIT04  
#3 Оставлено : 7 августа 2017 г. 8:46:13(UTC)
VIT04

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.09.2013(UTC)
Сообщений: 36

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Сертификат старого ЦР действует с 29.07.16 по 29.10.17. На сервере установлено КриптоПро CSP 3.9.8227, протестировал контейнер по сертификату - ошибок не обнаружено. Нужно ли тестировать на 4.0?

Отредактировано пользователем 7 августа 2017 г. 9:02:05(UTC)  | Причина: Не указана
Вверх
Offline Захар Тихонов  
#4 Оставлено : 7 августа 2017 г. 8:53:08(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,314
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Автор: VIT04 Перейти к цитате
Сертификат старого ЦР действует с 29.07.16 по 29.10.17.


Повторюсь:

Цитата:
Готов предположить, что ключ клиентского сертификата ЦР (используемый для подключению к ЦС1) истек.
Имеется ввиду ЗК.

И еще с большей уверенностью предположу что он истек 29.07.17.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline spaceman78  
#5 Оставлено : 7 августа 2017 г. 8:53:33(UTC)
spaceman78

Статус: Новичок

Группы: Участники
Зарегистрирован: 17.05.2012(UTC)
Сообщений: 5
Мужчина
Российская Федерация

Сказал «Спасибо»: 2 раз
Сертификат да, а Закрытый ключ ?
могу предположить, что сертификат на 15 мес ,а ЗК на 12. вот он и закончился. 29-07-2017
Вверх
Offline VIT04  
#6 Оставлено : 7 августа 2017 г. 9:14:25(UTC)
VIT04

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.09.2013(UTC)
Сообщений: 36

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Сертификат на 1 год 3 месяца,всегда полагал что ЗК действует столько же.
Вверх
Offline Захар Тихонов  
#7 Оставлено : 7 августа 2017 г. 9:17:03(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,314
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Автор: VIT04 Перейти к цитате
Сертификат на 1 год 3 месяца,всегда полагал что ЗК действует столько же.


а что в самом сертификате написано? (можете его приложить).

Предположу, что у вас в Диспетчере УЦ, на вкладке свойств ЦС будет указан максимальный срок действия ЗК 1 год.
Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline VIT04  
#8 Оставлено : 7 августа 2017 г. 9:43:13(UTC)
VIT04

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.09.2013(UTC)
Сообщений: 36

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
sertifikat CR staryjj.zip (2kb) загружен 6 раз(а).

В свойствах ЦС действительно срок указан 1 год. Перевыпустил сертификат ЦР, теперь в диспетчере УЦ в разделе старого ЦР отображается 2 сертификата. При этом пробовал отозвать сертификат пользователя, не получилось, те же ошибки.

Отредактировано пользователем 7 августа 2017 г. 9:49:36(UTC)  | Причина: Не указана
Вверх
Offline Захар Тихонов  
#9 Оставлено : 7 августа 2017 г. 9:52:20(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,314
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 40 раз
Поблагодарили: 585 раз в 562 постах
Автор: VIT04 Перейти к цитате
sertifikat CR staryjj.zip (2kb) загружен 6 раз(а).

В свойствах ЦС действительно срок указан 1 год. Перевыпустил сертификат ЦР, теперь в диспетчере УЦ в разделе старого ЦР отображается 2 сертификата. При этом пробовал отозвать сертификат пользователя, не получилось, те же ошибки.


Ну вот:
PR.PNG (20kb) загружен 102 раз(а). чтд.

Сменили, хорошо. Осталось его перенести на ЦР и сменить привязку на него.

Отредактировано пользователем 7 августа 2017 г. 9:53:38(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Вверх
Offline VIT04  
#10 Оставлено : 7 августа 2017 г. 10:05:03(UTC)
VIT04

Статус: Активный участник

Группы: Участники
Зарегистрирован: 30.09.2013(UTC)
Сообщений: 36

Сказал(а) «Спасибо»: 6 раз
Поблагодарили: 1 раз в 1 постах
Сервер ЦР находится на этом же сервере. Сейчас в разделе подключения используется сертификат нового ЦР, который является основным. Следует ли менять его на вновь выпущенный сертификат старого ЦР?
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET