18.10.2007 15:15:34Проблема с Изолированный ЦС Ответов: 25
Михаил
система 2к3, установлен криптопро 3.0
устанавливался изолированный корневой ЦС в след. порядке:
IIS->cryptopro3.0->CA
ключ ЦС создан средствами биологического датчика криптопро
при попытке запросить сертификат, на странице ../certsrv/certrqma.asp возникает ошибка:
строка 8
символ 1
ошибка: предпологается наличие объекта
код 0

выглядит это так: в поле CPS "Loading"
В чём может быть проблема, и как её решить?
спасибо
 
Ответы:
18.10.2007 19:10:29Василий
страница ../certsrv/certrqma.asp открывается в IE или в другом обозревателе?
И - какие права пользователя Win, под которым открывается страница (простой пользователь, администратор,...), в какой зоне находится эта страница - Интернет, Местная интрасеть, Надёжные узлы,...?
19.10.2007 9:26:35Михаил
открывается в ИЕ
права - административные
надёжные узлы

да ещё важный момент, сервер - контроллер домена.
19.10.2007 10:43:16maxdm
"Усиленная конфигурация безопасности" выключена?
19.10.2007 10:56:56Михаил
если имеется ввиду настройка ИЕ, то страница находится в зонах надёжных узлы и местная интрасеть
19.10.2007 12:11:39Василий
приведите содержимое веток реестра на этой машине:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Defaults
19.10.2007 12:57:45Михаил
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults
два раздела: Provider и Provider Types
(КриптоПро в них присутствует)

>HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Defaults
Раздела Defaults не существует, в разделе Cryptography два подраздела:AutoEnrollment и CertificateTemplateCache

Могу выслать экспортированные ветки, если Вы скажете свой e-mail.
19.10.2007 18:40:08Василий
А не проще прямо сюда кинуть содержимое рег-файла?
Можно только для ветки из HKLM.
Никакого секрета это не представляет...
22.10.2007 11:31:11Михаил
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider]
"Image Path"="C:\\Program Files\\Crypto Pro\\CSP\\cpcsp.dll"
"Type"=dword:0000004b
"CP Module Name"="cpcspr.dll"
"CP Module Entry Point"="DllStartServer"
"SigInFile"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-2001 KC2 CSP]
"Image Path"="C:\\Program Files\\Crypto Pro\\CSP\\cpcsp.dll"
"Type"=dword:0000004b
"SigInFile"=dword:00000001
"CP Module Name"="cpcspr.dll"
"CP Module Entry Point"="DllStartServer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-94 Cryptographic Service Provider]
"Image Path"="C:\\Program Files\\Crypto Pro\\CSP\\cpcsp.dll"
"Type"=dword:00000047
"CP Module Name"="cpcspr.dll"
"CP Module Entry Point"="DllStartServer"
"SigInFile"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Crypto-Pro GOST R 34.10-94 KC2 CSP]
"CP Module Entry Point"="DllStartServer"
"Image Path"="C:\\Program Files\\Crypto Pro\\CSP\\cpcsp.dll"
"Type"=dword:00000047
"SigInFile"=dword:00000001
"CP Module Name"="cpcspr.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Gemplus GemSAFE Card CSP v1.0]
"Image Path"="gpkcsp.dll"
"Type"=dword:00000001
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Infineon SICRYPT Base Smart Card CSP]
"Image Path"="SccBase.dll"
"Type"=dword:00000001
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base Cryptographic Provider v1.0]
"SigInFile"=dword:00000000
"Type"=dword:00000001
"Image Path"="rsaenh.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base DSS and Diffie-Hellman Cryptographic Provider]
"Image Path"="dssenh.dll"
"Type"=dword:0000000d
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Base DSS Cryptographic Provider]
"Image Path"="dssenh.dll"
"Type"=dword:00000003
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft DH SChannel Cryptographic Provider]
"SigInFile"=dword:00000000
"Type"=dword:00000012
"Image Path"="dssenh.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced Cryptographic Provider v1.0]
"Image Path"="rsaenh.dll"
"Type"=dword:00000001
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider]
"Image Path"="dssenh.dll"
"Type"=dword:0000000d
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider]
"Image Path"="rsaenh.dll"
"Type"=dword:00000018
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft RSA SChannel Cryptographic Provider]
"SigInFile"=dword:00000000
"Type"=dword:0000000c
"Image Path"="rsaenh.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider]
"Image Path"="rsaenh.dll"
"Type"=dword:00000001
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Schlumberger Cryptographic Service Provider]
"Image Path"="slbcsp.dll"
"Type"=dword:00000001
"SigInFile"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 001]
"Name"="Microsoft Strong Cryptographic Provider"
"TypeName"="RSA Full (Signature and Key Exchange)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 003]
"Name"="Microsoft Base DSS Cryptographic Provider"
"TypeName"="DSS Signature"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 012]
"Name"="Microsoft RSA SChannel Cryptographic Provider"
"TypeName"="RSA SChannel"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 013]
"Name"="Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider"
"TypeName"="DSS Signature with Diffie-Hellman Key Exchange"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 018]
"Name"="Microsoft DH SChannel Cryptographic Provider"
"TypeName"="Diffie-Hellman SChannel"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 024]
"Name"="Microsoft Enhanced RSA and AES Cryptographic Provider"
"TypeName"="RSA Full and AES"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 071]
"TypeName"="GOST R 34.10-94 Signature with Diffie-Hellman Key Exchange"
@=""
"Name"="Crypto-Pro GOST R 34.10-94 KC2 CSP"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 075]
"TypeName"="GOST R 34.10-2001 Signature with Diffie-Hellman Key Exchange"
"Name"="Crypto-Pro GOST R 34.10-2001 KC2 CSP"
22.10.2007 12:41:48Василий
Выглядит прилично.
У Вас реально установлен именно вариант КС2 ? (панель управления - КриптоПро CSP).

C этой машины можно обратиться на внешний сервер, например,
http://www.cryptopro.ru/certsrv/certrqma.asp
?
23.10.2007 13:53:57Михаил
Обратиться можно.
Версия КС2.
Но проблема, видимо, глубже, т.к. при тестировании на другом контроллере домена (без крипто про) ситуация такая же...
23.10.2007 16:00:00Михаил
Недоглядел:
>C этой машины можно обратиться на внешний сервер, например,
http://www.cryptopro.ru/certsrv/certrqma.asp
?
возникает такая же ошибка.
24.10.2007 18:00:43Василий
Очень странно.
А вообще Windows ставили с оригинального дистрибутива?
Какие ставили обновления Windows и IE (сервиспаки, хотфиксы), какое ещё ПО установлено?
29.10.2007 14:15:55Михаил
Дистрибутив оригинальный 2003 сп1.
кроме КП ничего не установлено.
На форуме текнет молчат.
Странно, но если обратиться к ЦС с машины, не включенной в домен - всё работает...
29.10.2007 15:21:24Седов Роман
Я правильно понял, что проблема ТОЛЬКО у этой машины, когда она выступает в роли клиентской для Web-интерфейса какого-либо MSCA?
29.10.2007 15:24:42Седов Роман
Другой контроллер домена не берем в расчет.
29.10.2007 15:27:03Михаил
Да.
Если обратиться на локалхост, таже история...
У машины, не включённой в домен, нет таких проблем.
29.10.2007 15:33:15Седов Роман
19.10.2007 10:43:16 maxdm
"Усиленная конфигурация безопасности" выключена?
19.10.2007 10:56:56 Михаил
если имеется ввиду настройка ИЕ, то страница находится в зонах надёжных узлы и местная интрасеть
-------------
Имеется в виду установлен ли этот режим. Посмотреть так: "sysocmgr.exe /y /i:sysoc.inf".
Какой уровень безопасности стоит для "доверенных узлов" в IE? Если ли возможность его снизить?
"страница находится в зонах надёжных узлы и местная интрасеть" как это - и там, и там? Или пробовали и там, и там?
29.10.2007 15:50:49Михаил
>Имеется в виду установлен ли этот режим. Посмотреть так: "sysocmgr.exe /y /i:sysoc.inf"

Режим установлен, но в другом домене (виртуальном) никаких проблем нет, хотя режим тоже установлен.

>Какой уровень безопасности стоит для "доверенных узлов" в IE? Если ли возможность его снизить?

уровень предельно низкий (Low) + всё разрешено руками.

>"страница находится в зонах надёжных узлы и местная интрасеть" как это - и там, и там? Или пробовали и там, и там?

пробовал и там и там. настройки секьюрити для обоих зон делал - разрешено всё.
29.10.2007 15:53:22Седов Роман
x64 или x86?
А на клиентских компьютерах домена все хорошо?
29.10.2007 15:56:35Михаил
х86
на клиентских то же самое.
хорошо только на машине, которая не включена в домен, с неё захожу на ../certsrv/certrqma.asp
ввожу логин/пароль доменной уч. записи, и страница отображается корректно.
29.10.2007 15:59:53Седов Роман
А смотрели доменные политики?
Нет там ничего страшного?
29.10.2007 16:00:34Седов Роман
Технически, видимо, проблема в том, что IE не хочет грузить ActiveX (XEnroll).
29.10.2007 16:03:24Михаил
Смотрел, страшного ничего нет, но до меня вполне могли сделать страшное.
Насколько я понимаю, надо смотреть в локальной политике, какие пункты отвечают за XEnroll?
29.10.2007 16:08:31Седов Роман
Тут уже ворос сложный.
Конкретно за него ничего не отвечает.
Какие-то настройки могут косвенно влиять только.
Мы с такой проблемой раньше не сталкивались, и к нам не обращались...
Попробуем еще подумать...
31.10.2007 9:25:30Михаил
В ивентлоге:
источник: Active Server Pages

ID: 5

Error: The Template Persistent Cache initialization failed for Application Pool 'DefaultAppPool' because of the following error: Could not create a Disk Cache Sub-directory for the Application Pool. The data may have additional error codes..