Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро УЦ 1.4
»
НЕ могу получить сертификат и приватный ключ! Говорит, что "Модуль политики отверг запрос"
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.10.2008(UTC)
Сообщений: 33
|
Здравствуйте. Я в первые устанавливал УЦ 1.4. Делал по инструкции. Вроде бы поставил. Файлик certsgcl.inc поправил как надо. Но когда запрашивается сертификат выдаётся вот такое сообщение: Цитата:
Запрос на сертификат отвергнут
Ваш запрос на сертификат был отвергнут.
Код запроса 9. Сообщение о назначении "Модуль политики отверг запрос".
Обратитесь к системному администратору за дальнейшими сведениями.
Что делать? В чём загвоздка? И ещё. Установил АРМ Администратора ЦР. Вроде бы всё тоже по инструкции. Выбираю "Арм Администратора Центра Регистрации -> Создать -> Новое подключение к ЦР". Далее опять всё по инструкции выскакивает мастер "Мастер подключения к Центру регисрации", он до конца выполняется успешно. А когда я щёлкаю по созданному соединению, то выдаётся ошибка: Цитата:
Номер: -2147024809
Источник: WSDLReader
Описание: Произошла ошибка при подключении к Центру регистрации.
URL: https://localhost/ra/ra.wsdl.
Описание ошибки: WSDLReader:XML Parser failed at linenumber 0, lineposition 0, reason is: System error: -2146697191.
HRESULT=0x1: Не верная функция.
- WSDLReader:Loading of the WSDL file failed HRESULT=0x80070057: Параметр задан не верно.
- Client:One of the parameters supplied is invalid. HRESULT=0x80070057: Параметр задан не верно.
Прошёл по ссылке к этому wsdl документу. Сначало выскочила страничка: Цитата:There is a problem with this website's security certificate. The security certificate presented by this website was issued for a different website's address. Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server. We recommend that you close this webpage and do not continue to this website. Click here to close this webpage. Continue to this website (not recommended). More information If you arrived at this page by clicking a link, check the website address in the address bar to be sure that it is the address you were expecting. When going to a website with an address such as https://example.com, try adding the 'www' to the address, https://www.example.com. If you choose to ignore this error and continue, do not enter private information into the website. For more information, see "Certificate Errors" in Internet Explorer Help. Я кликнул по Continue to this website (not recommended). И открылся этот wsdl файлик прямо в браузере. Отредактировано пользователем 24 ноября 2008 г. 21:59:24(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.10.2008(UTC)
Сообщений: 33
|
C первой "ошибкой" справился следующим образом. Зашёл через Менеджмент консоль в Центр сертификации. Открыл свойства установленного центра сертификации от КриптоПРО. На вкладке "Модуль политики" нажал кнопку "Выбрать" и выбрал модуль "Стандартная Windows", нажал "Ок". На тойже вкладке "Модуль политики" нажал кнопку "Свойства" и поставил "Следовать параметрам, установленным в шаблоне сертификата, если они применимы, иначе автоматически выдавать сертификат". Теперь сертификаты вадаются. На сколько Это корректно?
А со второй проблемой пока не справился...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733  Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Цитата:На сколько Это корректно? это не корректно. фактически, Вы используется MS CA а не КриптоПро УЦ. Нужно смотреть в журнале приложений на ЦС, почему модуль политики отверг запрос. Цитата:Я кликнул по Continue to this website (not recommended). А АРМ кликнуть не может, ему требуется совпадение адресов в сертификате вебсервера ЦР и в настройках подключения. Т.е. например если Вы выдали сертификат, где в CN полное доменное имя ra.domain.org, то и в строке подключения на АРМ тоже надо прописывать ra.domain.org. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про
Поблагодарили: 40 раз в 37 постах
|
если сертификат сервера выдан на servername, то в строке подключения должно быть https://servername/ra/ra.wsdl
|
Татьяна
ООО Крипто-Про |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.10.2008(UTC)
Сообщений: 33
|
Татьяна написал:если сертификат сервера выдан на servername, то в строке подключения должно быть https://servername/ra/ra.wsdl
Большое спасибо Татьяна и Kirill Sobolev. Понял в чём дело. Действительно имя сертификата было одно, а в адресе я писал немного по иному... Всё исправил, всё работает!!!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.10.2008(UTC)
Сообщений: 33
|
Kirill Sobolev написал:Цитата:На сколько Это корректно? это не корректно. фактически, Вы используется MS CA а не КриптоПро УЦ. Нужно смотреть в журнале приложений на ЦС, почему модуль политики отверг запрос. Цитата:Я кликнул по Continue to this website (not recommended). А АРМ кликнуть не может, ему требуется совпадение адресов в сертификате вебсервера ЦР и в настройках подключения. Т.е. например если Вы выдали сертификат, где в CN полное доменное имя ra.domain.org, то и в строке подключения на АРМ тоже надо прописывать ra.domain.org. "журнал приложений на ЦС" - это CA.log? Я открыл "Свойства модуля политики КриптоПро УЦ" и на вкладке Журнал нашёл этот файл. Правда в нём для двух моих последних неудачных запросов на сертификат есть только такие записи: Цитата:
25.11.2008 12:13:01 4 16
25.11.2008 12:40:59 4 17
В то время как для удавшегося запроса записи выглядят так: Цитата:
25.11.2008 11:15:55 1 13 CN=Rus, OU=Отдел Разработки Программных продуктов, O=Компания, L=Санкт-Петербург, C=RU, E=Rus@mail.ru 1.3.6.1.5.5.7.3.2 14737A9A00000000000D
Где можно почитать про настройку модуля политики? Я так понял, что для УЦ 1.4 он написан КриптоПРО. Значит где-то в документации должно быть описание как с ним работать и как его настраивать! Я ещё раз перечила "КриптоПро УЦ ЦР Руководство по установке.pdf". Обратил внимание на пункт "3.4. Формирование и запись в %systemroot% файла политик CAPolicy.inf ". У меня этот файл содержит только запись Цитата:
[Version]
Signature="$Windows NT$"
[CRLDistributionPoint]
URL=""
Возможно тут надо ещё что-то добавить и как-то указать политику выдачи сертификатов?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
нет, это журнал Windows - Администрирование - Просмотр Событий - Приложение. Цитата:Где можно почитать про настройку модуля политики? Я так понял, что для УЦ 1.4 он написан КриптоПРО. Значит где-то в документации должно быть описание как с ним работать и как его настраивать! "КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2000" или "КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2003" |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.10.2008(UTC)
Сообщений: 33
|
Kirill Sobolev написал:нет, это журнал Windows - Администрирование - Просмотр Событий - Приложение. Посмотрел. Попытался получить сертификат на пользователя с именем 777. Не удачно ! В Журнале выскочило Предупреждение: Цитата:
Тип события: Предупреждение
Источник события: CertSvc
Категория события: Отсутствует
Код события: 53
Дата: 25.11.2008
Время: 14:03:08
Пользователь: Н/Д
Компьютер: W2K3DEV02
Описание:
Службы сертификации отклонили запрос 18 по причине При обработке сертификата произошла неизвестная ошибка. 0x80090327 (-2146893017). Запрос был на CN=777. Дополнительная информация: Модуль политики отверг запрос.
Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
 Цитата:Где можно почитать про настройку модуля политики? Я так понял, что для УЦ 1.4 он написан КриптоПРО. Значит где-то в документации должно быть описание как с ним работать и как его настраивать! "КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2000" или "КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2003" Спасибо, посмотрю руководство ещё..
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.10.2008(UTC)
Сообщений: 33
|
Kirill Sobolev написал:Цитата:Где можно почитать про настройку модуля политики? Я так понял, что для УЦ 1.4 он написан КриптоПРО. Значит где-то в документации должно быть описание как с ним работать и как его настраивать! "КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2000" или "КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2003" Открыл "КриптоПро УЦ ЦС Руководство по эксплуатации Windows 2003.pdf" Пункт "2.4. Настройка областей использования ключа, политик выдачи и политик применения в сертификатах открытого ключа". Там написано следующее: Цитата:
Допустимые области использования ключа – это расширение сертификата открытого
ключа (EKU), определяющее области применения сертификата открытого ключа и
соответствующего закрытого ключа.
Каждая область применения определяется идентификатором, включающимся в
расширение EKU. Таких идентификаторов в расширении может быть несколько.
Данные идентификаторы содержатся в запросе на сертификат открытого ключа и
заносятся в выпускаемый сертификат в случае, если все они присутствуют в списке допустимых
областей применения (см. Рисунок 8). В противном случае, если хотя бы один идентификатор
(одна область применения) из запроса на сертификат не содержится в списке, данный запрос
будет отвергнут.
Я делаю расширенный запрос сертификата и в качестве типа сертификата указываю "Сертификат проверки подлинности клента" В параметрах ключа, в CSP указываю: Cripto-pro Gost R34.10-2001 kc1 csp При этом мне выдаётся сообщение "Модуль политики отверг запрос" и не выдаётся сертификат Я посмотрел свойства "модуля политики КриптоПРО" и на вкладке "использование ключа" нашёл следующий список: Администратор центра регистрации 1.2.643.2.2.34.4 Временный доступ к центру регистрации 1.2.643.2.2.34.2 Защищённая электронаая почта 1.3.6.1.5.5.7.3.4 Оператор центра регистрации 1.2.643.2.2.34.5 Пользователь центра регистрации, HTTP.. 1.2.643.2.2.34.6 Проверка подлинности клиента 1.3.6.1.5.5.7.3.2 Проверка подлинности сервера 1.3.6.1.5.5.7.3.1 Центр регистрации, Крипто ПРО, HTTP.. 1.2.643.2.2.34.7 Добавлять новые в этот список не могу. У меня УЦ. 1.4 без лицензионного ключа. Может быть тут проблема?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 25.12.2007(UTC) Сообщений: 1,733 Откуда: КРИПТО-ПРО Поблагодарили: 177 раз в 168 постах
|
Нет, в шаблоне "Сертификат проверки подлинности клента"как раз только Проверка подлинности клиента (1.3.6.1.5.5.7.3.2) и содержится. Пришлите пожалуйста журнал приложений с ЦС на support@cryptopro.ru. |
|
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро УЦ 1.4
»
НЕ могу получить сертификат и приватный ключ! Говорит, что "Модуль политики отверг запрос"
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
