| ||||
| ||||
| Ставлю на виртуальные компьютеры (машины не в домене dpn-pc-ca и dpn-pc-ra) Ось win2k adv. server eng + 4sp ставил с нуля CPCSP и CPTLS v2089 CPUC v1_03_0402 (пробовал и на v1_03_429) Установил CA (машина: dpn-pc-ca) по инструкции (ЖТЯИ.00009-02 90 01) Установил RA (машина: dpn-pc-ra) по инструкции (ЖТЯИ.00009-02 90 02) Попытка протестировать соединение (заполнив поля имен хостов) в ПО «Параметры Центра Регистрации» заканчивается неудачей: 0x80004005 (-2147467259) Описание :Ошибка: Доступ запрещен. В Event’ах на RA пусто В Event’ах на CA есть: ------------------ The VB Application identified by the event source logged this Application CA: Thread ID: 1832 ,Logged: Ошибка модуля удаленного доступа к КриптоПро УЦ ЦС: Источник: СОМ+ приложение ЦС Номер: 0x46 (70) Описание: Ошибка: Доступ запрещен. ------------------ Soap error: Executing method GetCACertificate failed. ------------------ Soap error: An unanticipated error occurred during the processing of this request.. ------------------ Что можно сделать? Помогите!!! %\ Мы собираемся приобрести УЦ на 1000 пользователей. У меня задание установить демонстрационный стенд, а не получается. | ||||
| Ответы: | ||||
| ||||
| возможно на ЦС не установлен сертификат ЦР. Запустите "параметры центра сертификации", далее на вкладке "центры регистрации" добавьте сертификат ЦР. | ||||
| ||||
| Установлен. После того, как я выпустил на CA сертификат для RA я его добавил в прогамульке «Средство настройки Центра сертификации» на закладке Центры регистрации. Что еще может быть? | ||||
| ||||
| Что еще добавить. Если захожу на RA вот так: https://dpn-pc-ra/ui/ То все выглядит прилично. Запросы на сертификат отправляются. Метка и ID маркера доступа выдаются. Можно логиниться и проверять статус. Но на CA его (запроса) нету. В логах на обеих машинах в этом случае тихо | ||||
| ||||
| Пардон есть еще одна ошибка на обеих машинах в логах при загрузке. Event Type: Error Event Source: Schannel Event Category: None Event ID: 36871 Date: 22.07.2005 Time: 14:58:44 User: N/A Computer: DPN-PC-CA Description: A fatal error occurred while creating an SSL server credential. И аналогичная: Event Type: Error Event Source: Schannel Event Category: None Event ID: 36871 Date: 22.07.2005 Time: 14:49:28 User: N/A Computer: DPN-PC-RA Description: A fatal error occurred while creating an SSL server credential. | ||||
| ||||
| 1. Работает ли через IE https://dpn-pc-ca/ca/ca.wsdl 1.1 с сервера dpn-pc-ca 1.2 с сервера dpn-pc-ra 2. Работает ли через IE https://dpn-pc-ca/ca/ca.asp с сервера dpn-pc-ra (при этом должны спросить ключевой контейнер, соответствующий клиентскому сертификату ЦР) | ||||
| ||||
| 1. Работает ли через IE https://dpn-pc-ca/ca/ca.wsdl 1.1 с сервера dpn-pc-ca 1.2 с сервера dpn-pc-ra Да работает. Просто открывает, я так понимаю, описание списока доступных функций сервиса в xml формате. Не знаю нужно ли их сюда копипастить, эти 8 килов. Проверил и с третьей машины. Предложило подтвердить доверие к сертификату сервера и тоже показало список. Списки идентичны. 2. Работает ли через IE https://dpn-pc-ca/ca/ca.asp с сервера dpn-pc-ra (при этом должны спросить ключевой контейнер, соответствующий клиентскому сертификату ЦР) Да. Работает. Вывалился список выбора сертификатов. Выбрал сертификат клиентского ra. А дискету я не вынимал, потому контейнер не просило. Если вытащить и повторить, то просит. Вывалило: <?xml version="1.0" encoding="UTF-8" standalone="no" ?> - <SOAP-ENV:Envelope xmlns:SOAPSDK1="http://www.w3.org/2001/XMLSchema" xmlns:SOAPSDK2="http://www.w3.org/2001/XMLSchema-instance" xmlns:SOAPSDK3="http://schemas.xmlsoap.org/soap/encoding/" xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"> - <SOAP-ENV:Body SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"> - <SOAP-ENV:Fault> <faultcode>SOAP-ENV:Server</faultcode> <faultstring>Server:Loading the request into SoapReader failed.</faultstring> - <detail> - <mserror:errorInfo xmlns:mserror="http://schemas.microsoft.com/soap-toolkit/faultdetail/error/"> <mserror:returnCode>-2147024809 : The parameter is incorrect.</mserror:returnCode> - <mserror:serverErrorInfo> <mserror:description>Server:Loading the request into SoapReader failed. HRESULT=0x80070057: The parameter is incorrect. - Server:One of the parameters supplied is invalid. HRESULT=0x80070057: The parameter is incorrect.</mserror:description> <mserror:source>Server</mserror:source> </mserror:serverErrorInfo> - <mserror:callStack> - <mserror:callElement> <mserror:component>Server</mserror:component> <mserror:description>Loading the request into SoapReader failed.</mserror:description> <mserror:returnCode>-2147024809 : The parameter is incorrect.</mserror:returnCode> </mserror:callElement> - <mserror:callElement> <mserror:component>Server</mserror:component> <mserror:description>One of the parameters supplied is invalid.</mserror:description> <mserror:returnCode>-2147024809 : The parameter is incorrect.</mserror:returnCode> </mserror:callElement> </mserror:callStack> </mserror:errorInfo> </detail> </SOAP-ENV:Fault> </SOAP-ENV:Body> </SOAP-ENV:Envelope> | ||||
| ||||
| Попробовал установить АРМ Администратора ЦР на обеих машинах. Прописал https://dpn-pc-ra/ra/ra.wsdl На dpn-pc-ra подсунул ему сертификат от клиента ЦР: Номер: -2147221001 Источник: RegistrationCenter.Admin.GetGrantedNameProperties Описание: Произошла ошибка при подключении к Центру регистрации. URL: https://dpn-pc-ra/ra/ra.wsdl. Описание ошибки: Клиентский сертификат не был предоставлен На dpn-pc-ca создал запрос на привилегированного пользователя самим АРМ’ом Администратора, как его выпустить не придумал и просто пропихнул через утилиту выпуска сертификата клиента ЦР и опять: Номер: -2147221001 Источник: RegistrationCenter.Admin.GetGrantedNameProperties Описание: Произошла ошибка при подключении к Центру регистрации. URL: https://dpn-pc-ra/ra/ra.wsdl. Описание ошибки: Клиентский сертификат не был предоставлен Если зайти через IE на: https://dpn-pc-ra/ra/ra.wsdl Опять открывает описание большого списка функций Ну помогите же. Я ничего не понимаю. А меня линчуют в понедельник ;\ | ||||
| ||||
| Значит, в IIS на dpn-pc-ra нет установки "Требовать сертификат клиента" в настройках безопасности файла /ra/ra.asp | ||||
| ||||
| Спасибо Василий. Но я не менял настроек бопасности. Хорошо... попробую в понедельник. Я уже далековато от серверной. | ||||
| ||||
| И что не так с CA? Что за ошибка "Soap error: Executing method GetCACertificate failed." И что за ошибка в логах про Schannel? | ||||
| ||||
| 1. По поводу настроек IIS. Их легко повредить действием, относящимся ко всему веб-каталогу. Классический пример: удаление сертификата веб-сервера. 2. Executing method GetCACertificate - это именно то, что выполняется при нажатии кнопки "Протестировать соединение" в настройках ЦР. 3. Про schannel - посмотрите, какие службы стартуют до появления этой ошибки, и нет ли потом предупреждений от них. Обратите особое внимание на SQL (MSDE). | ||||
| ||||
| После нематериального поощрения начальством продолжил. По поводу «Их легко повредить действием, относящимся ко всему веб-каталогу. Классический пример: удаление сертификата веб-сервера.». Да я действительно пробовал вариант перевыпуска сертификатов веб-серверов. Ладно. Снес все. Ставлю опять с нуля операционки. Ставлю теперь CSP 2049. Ставлю CA или RA из поставки UC 1030402, от он обновляет CSP 2049 SP1. Все остальное по предыдущему варианту. Ситуация опять, какая описана в первом сообщении. Ковыряюсь в IIS – CA и вспомнил, что не заполнил trust list. Назначаю CTL Теперь на проверке в «Параметрах Центра Регистрации» в логах RA пусто, а CA пишет: Event Type: Warning Event Source: W3SVC Event Category: None Event ID: 100 Date: 25.07.2005 Time: 18:25:01 User: N/A Computer: DPN-PC-CA Description: The server was unable to logon the Windows NT account ’CPCAComPlusAcct&’ due to the following error: Logon failure: unknown user name or bad password. The data is the error code. For additional information specific to this message please visit the Microsoft Online Support site located at: http://www.microsoft.com/contentredirect.asp. Data: 0000: 2e 05 00 00 .... Никаких паролей не менял. Юзер CPCAComPlusAcct& есть, и создался при установке CA КриптоПро Такими темпами я потеряю работу, а не установлю УЦ. Что еще можно сделать? | ||||
| ||||
| CTL не при чём. А пароль проверьте. Может случиться, что текущие политики безопасности запрещают использование "простых" паролей. Например, не менее 8 символов из не менее, чем трёх групп (русские, английские буквы, цифры и спецсимволы). Либо в настройках IIS заданы слишком жёсткие ограничения по доступу к виртуальному каталогу CA. Далее. Ваша организация не заключала с нами договор о техническом сопровождении УЦ. Поэтому отвечаю на Ваши вопросы по мере возможности. Для ускорения процесса рекомендую Вам связаться со мной по тел. 933-11-68. | ||||
| ||||
| Несколько раз менял пароль для «CPCAComPlusAcct&» ошибка осталась. Политики проверил (ничего нового там не появилось, минимальная длинна 0 символов… соответствие требованиям выключено) Снес CA КриптоПро и снова поставил (попросило пароль от CPCAComPlusAcct&… ввел) И все вернулось к самому началу. При соединении из Центра регистрации при проверке соединения прежняя ошибка, в логах RA пусто, в логах CA опять: Event Type: Error Event Source: VBRuntime Event Category: None Event ID: 1 Date: 26.07.2005 Time: 11:03:01 User: N/A Computer: DPN-PC-CA Description: The VB Application identified by the event source logged this Application CA: Thread ID: 2288 ,Logged: Ошибка модуля удаленного доступа к КриптоПро УЦ ЦС: Источник: СОМ+ приложение ЦС Номер: 0x46 (70) Описание: Ошибка: Доступ запрещен. | ||||
| ||||
| Машины должны быть в одном домене. Если интересно, то вышлю свою инструкцию по настройке. Я это уже проходил. | ||||
| ||||
| Машины _не_ в домене (я это писал в первом сообщении). Они в одной рабочей группе и в одном адресном сегменте 255.255.255.0 Это с CA: C:\>ping dpn-pc-ra Pinging dpn-pc-ra [192.168.99.224] with 32 bytes of data: Reply from 192.168.99.224: bytes=32 time<10ms TTL=128 Reply from 192.168.99.224: bytes=32 time<10ms TTL=128 Reply from 192.168.99.224: bytes=32 time<10ms TTL=128 Reply from 192.168.99.224: bytes=32 time<10ms TTL=128 Ping statistics for 192.168.99.224: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms ----------------- А вот это с RA: C:\>ping dpn-pc-ca Pinging dpn-pc-ca [192.168.99.223] with 32 bytes of data: Reply from 192.168.99.223: bytes=32 time<10ms TTL=128 Reply from 192.168.99.223: bytes=32 time<10ms TTL=128 Reply from 192.168.99.223: bytes=32 time<10ms TTL=128 Reply from 192.168.99.223: bytes=32 time<10ms TTL=128 Ping statistics for 192.168.99.223: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms Это вообще виртуальные машины на одном физическом сервере, но инструкцию я бы все равно глянул. Может там есть ответ. Скиньте если не сложно на dpnATgnivcDOTru И все равно прошу помощи у специалистов КриптоПро… кто как не авторы знают свое детище. Что еще проверить? | ||||
| ||||
| Первый раз я все это делал на одной виртуальной машине, но еще раз говорю в домене, а не в рабочей группе. Естественно все названия машин и доменов надо заменять на свои, реальные. Писал я и разработчикам, но ответы сводятся в основном к одному - ЧИТАЙТЕ ИНСТРУКЦИЮ. Так что за пару месяцев я все-таки разобрался, что и как. Решал я аналогичную задачу - тестовый запуск программ. Сейчас все работает. Но программы капризные, приходилось сносить и переставлять по нескольку раз, пока въехал. Желаю удачи. Тумаков Олег PS. Напиши точный адрес почты на мой ящик. Вышлю инструкцию(вложением). Почему-то с форума не прошло. | ||||
| ||||
| Написал вам письмо. Да я и в домен их заведу, если надо. И обе на одну машину поставлю. Сил моих, потому что уже нет. Лишь бы заработало. | ||||
| ||||
| а что прописано в областях применения того сертификата ЦР, что в списке "центры регистрации" на ЦС? | ||||
| ||||
| Боже мой… все установилось!!! Праздник то какой!!! :)))) Спасибо Тумакову Олегу за краткую инструкцию степ-бай-степ. Василию и Глебу за терпение. Просто замечание (к теме данного топика не относящееся) на несовместимость CSP КриптоПро и VMware Workstation (проверял на CSP 2.x и VMware 5.x) при использовании в качестве хранилища дискет. Если начать работать в сертификатом и забыть вставить дискету с контейнером, то все закончится печально (обходное решение есть… заменить физическую дискету виртуальной: VM->Removable devices->Floppy->Edit->Use floppy image, тогда все путем) | ||||
| ||||
| А можно как-то получить настройки для IIS? А то вот, действительно, сделал глупую операцию со всем каталогом и теперь АРМ Администратора не соединяется с RA. Поставил Require user certificate на файл RA.asp - не помогло. Подскажите, если не трудно.. Спасибо! | ||||
| ||||
| Проще всего снести "КриптоПро ЦР" и поставить заново. Базу ЦР, сертифкаты можно использовать те же. | ||||
Данченко П.Н.