logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Роман130189  
#1 Оставлено : 10 сентября 2019 г. 14:52:44(UTC)
Роман130189

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.04.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ростов-на-Дону

Добрый день!
При попытке залить новый клиентский сертификат ЦР возникла ошибка:
"Исключение при вызове "Ping" с "1" аргументами: "Не удалось установить доверительные отношения для защищенного канала SSL/TLS с полномочиями "omega-ca"."
При выполнении команды Ping-CA возникает следующая ошибка:
PS C:\> Ping-CA
Ping-CA : Ошибка соединения с центром сертификации ООО "Омега"(ГОСТ2001).
Не удалось установить доверительные отношения для защищенного канала SSL/TLS с полномочиями "omega-ca".
Базовое соединение закрыто: Не удалось установить доверительные отношения для защищенного канала SSL/TLS.
Удаленный сертификат недействителен согласно результатам проверки подлинности.
строка:1 знак:1
+ Ping-CA
+ ~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Ping-CA], InvalidOperationException
+ FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand

Подскажите, в чем может быть проблема?
Ранее все было нормально и работало стабильно.
Сертификат веб-сервера на ЦС переставил, а на ЦР так же ошибку выдает.
Спасибо!

Offline Захар Тихонов  
#2 Оставлено : 10 сентября 2019 г. 14:59:01(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,197
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 22 раз
Поблагодарили: 348 раз в 335 постах
Здравствуйте.

Скорее всего нет актуальных CRl. Установите актуальные CRL, от всей цепочки сертификатов, в хранилище локального компьютера.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Роман130189  
#3 Оставлено : 10 сентября 2019 г. 15:20:11(UTC)
Роман130189

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.04.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ростов-на-Дону

Все сделал.
Эффекта не последовало.
Ошибки те же.
Offline Захар Тихонов  
#4 Оставлено : 10 сентября 2019 г. 15:44:12(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,197
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 22 раз
Поблагодарили: 348 раз в 335 постах
Приложите проверку на отзыв сертификата веб. сервера ЦС и клиентского ЦР. (certutil -verify)
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Роман130189  
#5 Оставлено : 11 сентября 2019 г. 11:48:27(UTC)
Роман130189

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.04.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ростов-на-Дону

Добрый день!
Сегодня эта ошибка ушла (наверное причина действительно была в CRL).

Но далее опять уперся в очередной барьер:
У меня на одном сервере развернуто 2 ЦС для использования по старому и новому ГОСТу.
Так вот ЦС развернутый для старого ГОСТа увидел новый Клиентский сертификат ЦР, а ЦС развернутый для нового ГОСТа не видит ни под каким соусом.
Результат команды Get-CAReference:
AuthorityName : ООО "Омега"(ГОСТ2001)
Url : https://omega-ca/CA
ClientCertificate : [Subject]
CN=Центр регистрации, CN=omega-ra, OU=Удостоверяющий центр, O="ООО ""Омега""", L=Ростов-на-Дону,
S=61 Ростовская область, C=RU
[Issuer]
CN="ООО ""Омега""", O="ООО ""Омега""", OU=Удостоверяющий центр, STREET=Ул. Евдокимова д. 102Б, L=
Ростов-на-Дону, S=61 Ростовская область, C=RU, ИНН=006161078418, ОГРН=1166196092413, E=ca@omega-ros
tov.ru
[Serial Number]
2D476200C5AA97B0407E78BFDCE6E7A7
[Not Before]
11.09.2019 8:47:50
[Not After]
11.12.2020 8:47:50
[Thumbprint]
CEFE4243F6775A185279FA842B3C840A728EFB12
Primary : True
RevokeOnly : False
Retired : False

AuthorityName : ООО "Омега"
Url : https://omega-ca/CA
ClientCertificate : [Subject]
CN=Центр регистрации, CN=omega-ra, OU=Удостоверяющий центр, O="ООО ""Омега""", L=Ростов-на-Дону,
S=61 Ростовская область, C=RU
[Issuer]
CN="ООО ""Омега""", O="ООО ""Омега""", OU=Удостоверяющий центр, STREET=Ул. Евдокимова д. 102Б, L=
Ростов-на-Дону, S=61 Ростовская область, C=RU, ИНН=006161078418, ОГРН=1166196092413, E=ca@omega-ros
tov.ru
[Serial Number]
0099731B6B1FACC080E81161B31750DC04
[Not Before]
08.09.2018 15:06:32
[Not After]
08.12.2019 15:16:32
[Thumbprint]
C35506BB17C47E30A0FE6AE7BCFF6ED2C6BAA126
Primary : False
RevokeOnly : False
Retired : False

Я пытался выполнить действия согласно рекомендации перехода на новый ГОСТ https://support.cryptopr...dgebase/Article/View/256 .
Но там в конце описан способ привязки нового ЦС, а существующий он привязывать не хочет.
Подскажите как его заставить использовать новый сертификат?
Offline Захар Тихонов  
#6 Оставлено : 11 сентября 2019 г. 12:11:06(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,197
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 22 раз
Поблагодарили: 348 раз в 335 постах
т.е. вы не можете привязать новый клиентский сертификат для ЦС ООО "Омега"?
Если да, то команда:
$ClientCertificate = Get-Item Cert:\LocalMachine\My\<thumbprint>
где <thumbprint> - отпечаток клиентского сертификата ЦР
Update-CAReference -AuthorityName "имя экземпляра ЦС" -Url "https://omega-ca/CA" -ClientCertificate $ClientCertificate
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Роман130189  
#7 Оставлено : 11 сентября 2019 г. 12:35:05(UTC)
Роман130189

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.04.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ростов-на-Дону

Может с кавычками есть нюансы?
PS C:\> $ClientCertificate = Get-Item Cert:\LocalMachine\My\BB97CFCF396EC061F4464C85F2D7C0D61412BEDE
PS C:\> Update-CAReference -AuthorityName "ООО "Омега"" -Url "https://omega-ca/" -ClientCertificate $ClientCertificate
Update-CAReference : Не удается найти позиционный параметр, принимающий аргумент "Омега".
строка:1 знак:1
+ Update-CAReference -AuthorityName "ООО "Омега"" -Url "https://omega-ca/" -Client ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidArgument: (:) [Update-CAReference], ParameterBindingException
+ FullyQualifiedErrorId : PositionalParameterNotFound,RegistrationService.Management.Commands.UpdateCAReferenceCom
mand
Offline Захар Тихонов  
#8 Оставлено : 11 сентября 2019 г. 12:36:26(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,197
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 22 раз
Поблагодарили: 348 раз в 335 постах
конечно.
Вы не помните как экранировали когда добавляли?

попробуйте вот так "ООО ""Омега"""
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Роман130189  
#9 Оставлено : 11 сентября 2019 г. 13:12:08(UTC)
Роман130189

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.04.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ростов-на-Дону

Все получилось, отпечаток сертификата был изменен.
Но как оказалось это был не корень моей проблемы, её корень пока установить не удалось.
Сей час опять уперся: сертификат веб-сервера на ЦР выпускаться отказывается, все делаю по инструкции, но в конце вместо сертификата получается только запрос который обработываться нигде не хочет.
Offline Захар Тихонов  
#10 Оставлено : 11 сентября 2019 г. 13:23:17(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,197
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 22 раз
Поблагодарили: 348 раз в 335 постах
Автор: Роман130189 Перейти к цитате
Все получилось, отпечаток сертификата был изменен.
Но как оказалось это был не корень моей проблемы, её корень пока установить не удалось.
Сей час опять уперся: сертификат веб-сервера на ЦР выпускаться отказывается, все делаю по инструкции, но в конце вместо сертификата получается только запрос который обработываться нигде не хочет.


Описание вроде понял, а лог бы увидеть при выпуске сертификата (в конце мастера предлогается сохранить его). А также, журнал приложения Windows с ЦС.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Роман130189  
#11 Оставлено : 11 сентября 2019 г. 13:49:32(UTC)
Роман130189

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.04.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Ростов-на-Дону

Zhurnal vypolnenija mastera.log (8kb) загружен 3 раз(а). 1.txt (471kb) загружен 2 раз(а).

Это то, что нужно?
Offline Захар Тихонов  
#12 Оставлено : 11 сентября 2019 г. 16:27:04(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,197
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 22 раз
Поблагодарили: 348 раз в 335 постах
Автор: Роман130189 Перейти к цитате
Zhurnal vypolnenija mastera.log (8kb) загружен 3 раз(а). 1.txt (471kb) загружен 2 раз(а).

Это то, что нужно?


request denied.
Запрос (03d8aa56-784f-4e42-9f3d-aac500abc72b) отклонён. Сертификат с алгоритмом открытого ключа ГОСТ Р 34.10-2012 не может быть подписан сертификатом ЦС с алгоритмом открытого ключа ГОСТ Р 34.10-2001.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.