| 30.11.2005 14:10:59 | Установка УЦ 2.02.0212 | | Ответов: 9 |
|
 Вадим | | |
|
| Давно заметил на своем штатном УЦ, что при перезагрузке компьютеров ЦС и ЦР (надо же их хоть изредка перезагружать, хоть раз в год) частенько Windows грузится до пустого голубого рабочего стола, по которому можно гонять стрелку мыши, но ни "Нажмите Ctrl-Alt-Del", ни реакции на этот "Ctrl-Alt-Del", ни запроса на ввод пароля для ключевого контейнера, ничего! Компьютер стоит, гудит, иногда подмигивает винчестером, можно гонять стрелочку по пустому экрану. Выход из этой ситуации только Reset. :( Думал, что неудачно проинсталлировал, т.к. есть ещё некоторые необъяснимые глюки. К сроку плановой смены сертификатов запланировал полную переустановку УЦ. Сегодня переставил на читый компьютер ЦР. В процессе переустановки несколько раз перезагружался - все было OK! Делаю последний пункт - "установка программного обеспечения Центра сертификации ПК "КриптоПро УЦ"", перезагружаюсь и вижу до боли знакомый голубой графический экран с мышиной стрелочкой. Стоит так уже час... Почему такое может быть? Ключи УЦ и WEBCA находятся на ruToken'е, который воткнут тут же. |
| |
Ответы:
|
|
| Добавлю, на штатном УЦ после двух-трех Reset'ов ЦС и ЦР всё таки загружались. На вновь устанавливаемом хочется с этим больше не сталкиваться. Вот только как? |
|
| 30.11.2005 17:47:30 | Василий |
|
Если на контейнер, соответствующий сертификату веб-сервера, установлен пароль (или он находится на съёмном носителе), то, при старте SQL (MSDE) будет попытка нарисовать окно с просьбой ввести пароль или вставить носитель. Но, по умолчанию, для службы SQL не разрешено "взаимодействие с рабочим столом", т.е. окно будет на невидимом экране. А система будет ждать реакции. Метод борьбы - кнопка "Установить время ожидания ввода" (панель КриптоПро CSP - Дополнительно) - выставите в пару минут, после истечения которых будет инициировано нажатие кнопки "Отмена" и загрузка системы продолжится.
Ещё вариант - окно с предупреждением о скором (меньше 30 дней) истечении скрока действия лицензии на CSP или TLS. Метод борьбы - ввести лицензию. |
|
|
Начну с конца -лицензии на CSP и TLS введены, иначе как бы штатный УЦ дожил бы до плановой смены сертификата?
Если "Установить время ожидания ввода после истечения которого будет инициировано нажатие кнопки "Отмена" и загрузка системы продолжится", то на каом этапе система снова спрости у меня пароль для этого контейнера? Не будет же она так и работать без ключа? |
|
|
Проверил. Если при запуске всё происходит как я написал выше и отрабатывается время ожидания, то Ctrl-Alt-Del появляется, но идет ругань, что не стартовала служба сертификации. Службу сертификации я стартую вручную, у меня запрашивается пароль на контейнер с ключем УЦ. А что сделать чтобы у меня спросили ещё и пароль на контейнер webca? В тех случаях, когда загрузка проходит без эксцессов, при старте спрашиваются оба пароля.
И ещё, это что, у всех, у кого ключи находятся на внешних носителях под паролями возникают такие сложности с загрузкой компьютеров УЦ или только у меня? Может после W2000SP4 ещё какой-нибудь конкретный патч накатить надо чтобы "Нажмите Ctrl-Alt-Del" выскакивало всегда? Или выход один - поставить галочку, чтобы пароли к онтейнерам запомнились? А как же тогда безопасность? |
|
| 01.12.2005 10:35:23 | Василий |
|
Если ключ на носителе, для работы с которым нужны дополнительные драйверы (например, eToken), то, при старте системы может возникнуть ситуация, когда одна из служб, для которой нужен ключ, стартует раньше, чем успевает загрузиться этот драйвер. Это лечится плохо, т.к. порядок старта служб в Win не фиксирован. Разве что перевести способ запуска служб, для которых сразу нужен ключ (это MS CA, MSDE) в ручной режим запуска. Тогда гарантированно, что после загрузки ОС при ручном запуске этих служб будут спрошены все нужные ключи и пароли.
Для IIS особенность такая - ключ загружается (и пароль спрашивантся) не в момент старта службы, а в момент установления первого соединения со стороны клиента по https.
Для MS CA ключ может быть повторно спрошен при выпуске первого после старта crl. |
|
|
| Ваши рекомендации, Василий? Держать ключи CA и WEBCA на дискете и без пароля? Считыватель "реестр" не установлен по рекомендации вашей же инструкции по безопасности, которая идет вместе с УЦ. |
|
| 05.12.2005 11:02:11 | Василий |
|
Зачем?
Если есть проблемы при старте из-за разного времени загрузки драйверов - то ручной запуск MS CA и MSDE.
Плюс потом после старта обращение по https к этому серверу (например, с ЦР кнопкой "Протестировать соединение"). После чего все ключи будут в памяти служб. |
|
|
| Неправда ваша, Василий. Сколько не жми "Протестировать соединение", все равно ключ RA снова (правда уже в последний раз) будет запрашиваться при первом действии из АРМ Администратора. |
|
| 12.12.2005 14:10:04 | Василий |
|
| Не спорю. Просто я писал только о ЦС... |
|
