Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2017(UTC) Сообщений: 7  Сказал(а) «Спасибо»: 2 раз
|
Попытка продлить действующую ЭЦП.
Успешно заходим на fzs.roskazna.ru
Справа раздел "Смена сертификата" (без посещения ТОФК)
Жмем на кнопку "Войти по сертификату", выбираем нужный сертификат и нажимаем ОК.
Нас перекидывает сюда: lk-fzs.roskazna.ru
Тут должна отобразиться страница с мастером продления сертификата.
Но она не отображается: "Не удается отобразить эту страницу"
Что использовалось:
Windows 7, 8.1 и 10.
Используется IE11
CriptoPro CSP 4.0.9963 КС1
Настраивалось все по инструкции росказны roskazna.gov.ru/upload/iblock/c11/Instruktsiya-po-smene-sertifikata-s-ispolzovaniem-EP.pdf
Добавлены в надежные узлы: fzs.roskazna.ru и lk-fzs.roskazna.ru
Брендмауэр и антивир уже отключены.
КриптоПро ЭЦП Browser plug-in установлен и успешно проходит тест.
Нужные TLSы по инструкции включены
Корневые сертификаты:
guts_2012.cer - в корневых доверенных
uts-fk_2020.cer - в промежуточных
UTS-FK_2021.CER - в промежуточных
все эти сертификаты действительны до 30х годов
Сертификат, который пытаемся продлить установлен в контейнер ЛИЧНЫЕ.
Прошлый раз этот сертификат продлевали таким же способом, через lk-fzs.roskazna.ru
Проблему с lk-fzs.roskazna.ru поисковики не находят, показывают только инструкции как попасть на fzs.roskazna.ru
Подскажите пожалуйста, в какую сторону копать!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,579
Сказал(а) «Спасибо»: 606 раз
Поблагодарили: 450 раз в 426 постах
|
Автор: muzgp3 
Используется IE11
Я бы попробовал зайти с помощью chromium-gost; Автор: muzgp3
Корневые сертификаты:
А АРМ в домене? Автор: muzgp3
и антивир уже отключены.
Не каждое защитное программное обеспечение отключается полностью, для полной чистоты его следует удалять или настраивать.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 2 раз
|
С Хромиумом та же история, после авторизации по ЭЦП не переходит на страницу LK-fzs.roskazna.ru Сеть одноранговая. Сертификаты ставил по мануалу казначейства. Каспера приостановил и выгрузил с памяти. Да и пробовал на нескольких системах... arm-fzs.roskazna.gov.ru - Даже проверка завершена успешно, но ЛК не открывается Отредактировано пользователем 4 года назад
| Причина: Кривые пальцы)
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.07.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 2 раз
|
Разобрался, в тесте криптопро ЭЦП указано, что она действительна по 25.08 , но срок ее все же закончился раньше.... 7.08 не пойму этой... эээ "штуки". Ну ладно, будем делать заново
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,579
Сказал(а) «Спасибо»: 606 раз
Поблагодарили: 450 раз в 426 постах
|
Цитата:Разобрался, в тесте криптопро ЭЦП указано, что она действительна по 25.08, но срок ее все же закончился раньше Хмм, а ведь в стартовом сообщении говорили: Цитата:КриптоПро ЭЦП Browser plug-in установлен и успешно проходит тест.
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Тест мог пройти и с другим контейнером. Цитата:Разобрался, в тесте криптопро ЭЦП указано, что она действительна по 25.08 , но срок ее все же закончился раньше.... 7.08 не пойму этой... эээ "штуки". Ну ладно, будем делать заново Насчет сроков - если закончился срок действия закрытого ключа в контейнере, то отметку срока можно убрать утилитой csptest (уже писал детали на форуме sedkazna). Конечно набирать названия контейнеров с кириллицей и пробелами в командной строке - та еще головная боль, поэтому я написал небольшую программку-графическую оболочку csptest (страничка HTML Application), теперь вот эти приколы с разным сроком вообще не беспокоют.  pkdate.zip (11kb) загружен 12 раз(а).pkdate_001.hta - версия попроще, pkdate.hta - поновее (с текстовым файликом).
При старте программы мелькает несколько окон консоли - это вызовы csptest в фоне, далее в графическом виде есть раскрывающийся список контейнеров. Есть галочка "компьютер" для просмотра сертификатов в хранилище компьютера - для полноценной работы этой галочки программку надо запускать с правами администратора.
В списке ниже можно показать разные имена контейнеров, а по выбранному контейнеру посмотреть информацию, в частности, о расширениях контейнера - видно срок действия закрытого ключа и есть кнопка его удаления. Аналогично можно удалить корневой или промежуточный сертификат.
Есть еще про импорт-экспорт сертификата (сертификатов), но пока до конца не работает. Для экспорта сертификатов УЦ нужно указывать что-то вроде d:\123.sst (расширение sst позволяет прочитать экспортированный файл средствами Windows)
Кроме csptest программка кое-что добавляет сама для контейнеров в виде папки "на съемном диске":
- есть функция переименования контейнера - оригинальный name.key переименовывается в name0.key, вместо него создается новый name.key;
- можно сгенерировать имя как ФИО+дата, в отличие от имени генерируемого ФЗС добавляется год в начало, секунды отбрасываются;
- можно вернуть обратно - name.key удаляется, name0.key переименовывается в name.key;
- можно задать числовые коды для ФИО в текстовом файлике, тогда возможно кодировать имя папки контейнера вроде "0056ki00.000", где "005" - код пользователя определенный из ФИО, "6ki" -дата самого раннего файла в контейнере (два символа месяц и год, третий число месяца) ("6ki"=18.09.2019), "00" - предполагается в будущем для назначения сертификата и номера организации, ".000" - стандартно номер контейнера (для этого пользователя, с этим назначением, номер в течение дня). Это позволяет не маяться с одинаковыми именами папок enelkygf.000 для одного пользователя каждый год в случае сертификатов ФЗС. ФИО определяется по имени контейнера, сертификат не читается. Если ФИО нет в имени контейнера показывает ошибку.
Это бета-версия, работает не все, так что (просто на всякий случай) рекомендуется сделать копию контейнера! В случае ошибок и после переименования контейнера или папки обычно нужно перезагрузить программку-страничку нажав F5. После переименования контейнера или папки требуется переустановка сертификатов в хранилище.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.01.2013(UTC)
Сообщений: 33
Сказал(а) «Спасибо»: 22 раз
Поблагодарили: 2 раз в 2 постах
|
Насчет сроков при повторном запросе ЭП через ФЗС УФК - если закончился срок действия закрытого ключа в контейнере, а срок действия сертификата ещё не закончился, то не поможет ли перевод даты на локальной машине назад так, чтобы закрытый ключ "стал ещё действителен"? Ведь, насколько я понимаю, проверка срока действия закрытого ключа происходит на стороне клиентской машины и тогда надежда есть. В случае, если завершился срок действия самого сертификата, такой фокус не пройдет. Или я ошибаюсь? Кто что скажет? Отредактировано пользователем 4 года назад
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Все верно, если сам сертификат истек или срок закрытого ключа в сертификате истек - не поможет. ФЗС уже 2 или 3 года выравнивает срок действия ключа в сертификате по сроку действия сертификата - разница есть, но небольшая. На примере двух десятков сертификатов, полученных в 2019-2021 годах разница составляет от 20 секунд до 7 минут (от одобрения оператором запроса до реального выпуска). Однако от создания контейнера в ФЗС до подачи заявки в ФЗС может пройти до месяца (ФЗС удаляет черновики заявки через месяц) плюс проверки в смэв до 5 дней плюс обработка оператором до 6 дней - это и дает разницу между сроком действия ключа в контейнере и сроком действия сертификата. Из недавнего: подавал 9 августа три попытки в ФЗС, выпустили сертификат 17 августа (требовали с владельца прошлогоднее бумажное заявление). Все верно, можно перевести и часы назад, однако: 1) все больше мест, где пользователи работают без прав администраторов - рядовые пользователи еще с времен висты/семерки не могут переводить часы; 2) на Десятке служба времени Windows препятствует ручной установке времени - ее нужно остановить, что опять же требует как минимум прав уровня "оператора сервера", а лучше администратора; 3) антивирусы и прочее лицензируемое ПО детектируют перевод времени назад и сокращают сроки лицензий; 4) некоторые "сайты" отказывают в соединениях SSL/TLS при разнице времен на сервере и клиенте более некого порога (обычно - 5 минут). В кавычках потому что сюда же попадают всякие программы для удаленной видеосвязи, что сейчас очень актуально. В общем, перевод часов в серьезном учреждении не менее затруднителен. Аналогично, можно отключить контроль ключей - также поможет, но сделает СКЗИ несертифицированным. Однако также требуются повышенные права, а потом надо не забыть включить обратно, так как любая проверка регуляторов за это зацепится. Другое дело - стереть 30 байт из контейнера, к которому (если не на токене, а в реестре или на флешке) заведомо есть полный доступ. И который через 2-3 недели все равно положено уничтожить (в течение 10 дней со дня истечения срока сертификата). Отредактировано пользователем 4 года назад
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
