03.03.2005 2:39:42Проблема при проверке соединения ЦР и ЦС Ответов: 6
Ilya
Установили ЦС и ЦР - стали проверять соединение выдает ошибку 0х1518 (5400).
Читаем руководство и проверяем:
1) служба MS CA - запущена, есть также соответствующее уведомления в журналах. Паролей на контейнерах нет, носители вставлены до загрузки OC.
2) Проверяем сертификаты - Сертификат УЦ, Сертификат WEB ЦС, Сертификат ЦС WEB, Криентский Сертификат ЦР:
Алгоритм подписи: ГОСТ Р 34.11/34.10-2001.
Открытый ключ: ГОСТ Р 34.10-2001 (512Bits).
3) Все сертификаты в соответствии с руководством находятся в соответствующих хранилищах.

Где искать проблему? Win2K + SP4, все необходимое ПО установлено строго по инструкции. Все патчи установлены за исключением КB835732 и КB837001.
 
Ответы:
03.03.2005 10:26:07Kirill Sobolev
Это ошибка SOAP HTTP_UNSPECIFIED.
Проверьте браузером, доступен ли ЦС по тому адресу, который указан в настройках ЦР.
03.03.2005 11:56:13Ilya
По http веб сайты по умолчанию открываются, но при открытии виртуальных каталогов CA или RA (по http) идет сообщение 401.1 - хотя
все на чтение разрешено в том числе еще на уровне NTFS. по https - просто невозможно открыть страницу.
03.03.2005 14:11:30Kirill Sobolev
Проверьте настройки безопасности для вебсервера и каталога CA, в том числе валидность сертификата и доступность CRL
04.03.2005 4:00:51Ilya
Сертификаты действительны, список отзыва еще раз выпустили и вручную проинсталировали. Что касается безопасности IIS: если на RA и CA (закладка безопасность) убрать флаг "требовать SSL", то по http открывается текст соответсвующего скрипта причем как локально так и удаленно. При соответствующем изменении URL на ЦР при тестировании выдается ошибка 0х152B. При возврате флага "требовать SSL" и требовать или игнорировать или принимать сертификаты (пробовали все варианты) при тестировании ошибка 0х1518, а через браузер: "невозможно отобразить страницу". В логи пишется 4-е сообщения:
1-е: Тип события: Ошибка
Источник события: MSSOAP
Категория события: Generic
Код события: 16
Время: 10:24:11
Пользователь: Нет данных
Компьютер: RA
Описание:Soap error: Unspecified HTTP error..
2-е: Тип события:Ошибка
Источник события: MSSOAP
Категория события: Client
Код события: 16
Время: 10:24:11
Пользователь: Нет данных
Компьютер: RA
Описание: Soap error: An unanticipated error occurred during the processing of this request..
3-е:Тип события: Ошибка
Источник события: MSSOAP
Категория события: Client
Код события: 16
Время: 10:24:11
Пользователь: Нет данных
Компьютер: RA
Описание: Soap error: Sending the Soap message failed or no recognizable response was received.
4-е: Тип события: Ошибка
Источник события: MSSOAP
Категория события: Client
Код события: 16
Время: 10:24:11
Пользователь: Нет данных
Компьютер: RA
Описание: Soap error: Unspecified client error..
И в параметрах ЦР при попытке установить сертификат ЦР - выдается сообщение об ошибке: код 0х80092004. Сертификат пришлось устанавливать через Крипто-Про CSP (установить личный сертификат).

Также при запуске задачи: RATASK_1_fromSelfCA в логах следующее:
The VB Application identified by the event source logged this Application JobsBatchProcessor: Thread ID: 2532 ,Logged: Ошибка выполнения запланированной задачи.
Код ошибки: 0x80040006 (-2147221498)
Источник: {JOBSBATCHLAUNCHLib}Launcher.ProcessBatch
Сообщение: Задание завершилось с ошибкой.
Оригинальный номер ошибки: 0x80040202 (-2147220990)
Оригинальное сообщение: Список имен СОС пуст
Согласен список действительно пуст - но непонятно как этот список пополнить?
04.03.2005 10:24:00fav
Если вы убрали флаг требовать SSL на папках CA и RA, то уже ничего работать не будет, поскольку верные настройки безопасности этих папок благополучно "слетели" (так эксперементировать не надо). Сносите ПО Центра Сертификации и ПО Центра регистрации, а затем снова это ПО устанавливайте (разрешения безопасности установятся правильно). Вам по почте направлен документ - в нем не содержится описание вашей ошибки, но имеются общие рекомендации по устранению проблем при соединении ЦС и ЦР (стр 11).
06.03.2005 4:23:19Ilya
Проблема вовсе не в настройках IIS и виртуальных каталогах. Не устанавливается TLS соединение. Причина пока неизвестна, но есть предположение в назначении сертификатов или политикой CAPolicy.