Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы«<234
Опции
К последнему сообщению К первому непрочитанному
Offline Захар Тихонов  
#61 Оставлено : 23 ноября 2021 г. 14:59:08(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Смените учетную запись, для ЦР (используйте локальную, новую). При выборе сертификата укажите этот же. Далее проверьте Ping-CA.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#62 Оставлено : 23 ноября 2021 г. 17:24:34(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Смените учетную запись, для ЦР (используйте локальную, новую)

В смысле создать нового пользователя? Я под таким в консоле ЦС вообще ничего не увидел, кстати.
Offline Захар Тихонов  
#63 Оставлено : 24 ноября 2021 г. 9:56:29(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
В прямом. Нажать в Диспетчере УЦ у ЦР - смена учетной записи, на пункте выбора учетной записи - выбрать создать новую, на пункте выбора сертификата - выбрать этот же сертификат.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#64 Оставлено : 24 ноября 2021 г. 12:43:14(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
В прямом. Нажать в Диспетчере УЦ у ЦР - смена учетной записи, на пункте выбора учетной записи - выбрать создать новую, на пункте выбора сертификата - выбрать этот же сертификат.


Переключение пользователя на нового не прошло:

Цитата:
ПОДРОБНО: Изменение свойств Центра Регистрации успешно завершено
ОШИБКА: Ошибка добавления сертификата проверки подлинности клиента TLS в таблицу сопоставления сертификатов учетным записям для веб-узла с идентификатором 1. Ошибка проверки цепочки сертификатов. RevocationStatusUnknown - Функция отзыва не смогла произвести проверку отзыва для сертификата.
, OfflineRevocation - Функция отзыва не смогла произвести проверку отзыва для сертификата.


Сейчас первым в списке сертификатов ЦР указан просроченный:

UserPostedImage

Может грохнуть тогда этот ЦР из ветки описания ЦС и создать заново для нового пользователя, создав его предварительно в системе? Вопрос тогда, указать того, под которым сейчас все манипуляции и провожу (root) я не могу - консоль ЦС ругается, что пользователь уже используется. Эт нормально?

Отредактировано пользователем 24 ноября 2021 г. 12:47:17(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#65 Оставлено : 24 ноября 2021 г. 12:45:58(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Вы же сказали что есть действующие CRL. Выполните Certutil -verify "файл сертификата клиентского ЦР".
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#66 Оставлено : 24 ноября 2021 г. 12:46:07(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#67 Оставлено : 24 ноября 2021 г. 12:57:55(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Вы же сказали что есть действующие CRL. Выполните Certutil -verify "файл сертификата клиентского ЦР".


UserPostedImage



Ну да, ошибка есть ((

ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x8009201
3 (-2146885613)


Что сделать?
Offline Захар Тихонов  
#68 Оставлено : 24 ноября 2021 г. 13:11:42(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Автор: vadjunik Перейти к цитате

Что сделать?


Предположу что вы использовать клиентский сертификат ЦР, выпущенный на ключе ЦС который выведен из эксплуатации.

Нажать в Диспетчере УЦ у ЦР - смена учетной записи, на пункте выбора учетной записи - выбрать создать новую, на пункте выбора сертификата - выбрать создать новый сертификат. В конце мастера вам продолжится сохранить сертификат - сохраните его.
Пароли на новый ключ ЦР не задавайте и сохраните его в реестре.
Далее на ЦР, через Изменить, привяжите новый выпущенный клиентский сертификат ЦР (который сохранили). Далее проверьте Ping-CA.

Если ошибка, пришлите вывод ошибки и приложите:
1. Новый клиентский сертификат ЦР
2. Веб сертbфикат, который привязан на 443 в IIS.

Отредактировано пользователем 24 ноября 2021 г. 13:12:46(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#69 Оставлено : 24 ноября 2021 г. 13:40:38(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Предположу что вы использовать клиентский сертификат ЦР, выпущенный на ключе ЦС который выведен из эксплуатации.

Связь с ЦС починилась:

Код:
PS C:\> ping-ca
Центр сертификации Пробный корневой УЦ 2012 (512) доступен и готов к выпуску сертификатов.


Но консоль ЦР по прежнему не может подключиться (( Сертификат, используемый для подключения вроде как годный:



Лог попытки проверки связи из консоли ЦР:

Код:
System.ServiceModel.ServerTooBusyException: Служба HTTP, расположенная по адресу https://ib-crypto1/RA/TableService.svc/, недоступна. Это может быть вызвано тем, что служба перегружена либо не обнаружено ни одной конечной точки, прослушивающей указанный адрес. Убедитесь в правильности адреса и попробуйте обратиться к службе позднее. ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (503) Сервер не доступен.
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   --- Конец трассировки внутреннего стека исключений ---

Server stack trace: 
   в System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   в System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)
   в System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
   в System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
   в System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]: 
   в System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
   в System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
   в PkiService.ServiceContracts.ITableServiceContract.EnumPredefinedView(String authority)
   в PkiService.Client.TableServiceContractAdapter.EnumPredefinedView(String authority)
   в RegistrationService.RemoteConsole.ServiceContractFactory.SwitchConnection(RegAuthConnection connection)
   в RegistrationService.RemoteConsole.ConnectionListPresenter.TestConnection(RegAuthConnection connection, IServiceContractFactory serviceContractFactory)
   в RegistrationService.RemoteConsole.ConnectionViewHelper.TestConnection(RegAuthConnection connection)
   в RegistrationService.RemoteConsole.ConnectionViewPresenter.TestConnectionRecieved()
   в RegistrationService.RemoteConsole.ConnectionForm.ButtonTestConnection_ItemClick(Object sender, ItemClickEventArgs e)
   в DevExpress.XtraBars.BarItem.OnClick(BarItemLink link)
   в DevExpress.XtraBars.BarItemLink.OnLinkClick()
   в DevExpress.XtraBars.BarButtonItemLink.OnLinkAction(BarLinkAction action, Object actionArgs)
   в DevExpress.XtraBars.ViewInfo.BarSelectionInfo.UnPressLink(BarItemLink link)
   в DevExpress.XtraBars.Ribbon.Handler.BaseRibbonHandler.OnUnPressItem(DXMouseEventArgs e, RibbonHitInfo hitInfo)
   в DevExpress.XtraBars.Ribbon.Handler.BaseRibbonHandler.OnMouseUp(DXMouseEventArgs e)
   в DevExpress.XtraBars.Ribbon.Handler.RibbonHandler.OnMouseUp(DXMouseEventArgs e)
   в DevExpress.XtraBars.Ribbon.RibbonControl.OnMouseUp(MouseEventArgs e)
   в System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks)
   в System.Windows.Forms.Control.WndProc(Message& m)
   в DevExpress.Utils.Controls.ControlBase.WndProc(Message& m)
   в DevExpress.XtraBars.Ribbon.RibbonControl.WndProc(Message& m)
   в System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)
HResult = -2146233087 (0x80131501)
=== InnerException #2 ===
System.Net.WebException: Удаленный сервер возвратил ошибку: (503) Сервер не доступен.
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
HResult = -2146233079 (0x80131509)




Offline Захар Тихонов  
#70 Оставлено : 24 ноября 2021 г. 13:49:56(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
В IE перейдите по адресу https://ib-crypto1/RA/TableService.svc/ , при запросе сертификата укажите тот что вы выбрали в Консоли ЦР. Пришлите результат.
Если ошибка так же пришлите:
1. Новый клиентский сертификат ЦР
2. Веб сертbфикат, который привязан на 443 в IIS.
3. Сертификат который используется в Консоли ЦР
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#71 Оставлено : 25 ноября 2021 г. 8:28:38(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
В IE перейдите по адресу https://ib-crypto1/RA/TableService.svc/ , при запросе сертификата укажите тот что вы выбрали в Консоли ЦР. Пришлите результат.

HTTP Error 503. The service is unavailable.

Автор: Захар Тихонов Перейти к цитате
Если ошибка так же пришлите:
1. Новый клиентский сертификат ЦР
2. Веб сертbфикат, который привязан на 443 в IIS.
3. Сертификат который используется в Консоли ЦР

Файлики пронумерованы согласно вашего списка. 2-й и 3-й - только с открытым ключом получилось (экспортом).

Offline Захар Тихонов  
#72 Оставлено : 25 ноября 2021 г. 8:57:43(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Включите журнал CAPI2, сновав в IE перейдите по адресу https://ib-crypto1/RA/TableService.svc/ и укажите сертификат (воспроизведите ошибку).
Сохраните журнал CAPI2 и приложите.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Захар Тихонов  
#73 Оставлено : 25 ноября 2021 г. 8:57:52(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#74 Оставлено : 25 ноября 2021 г. 11:49:46(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Включите журнал CAPI2, сновав в IE перейдите по адресу https://ib-crypto1/RA/TableService.svc/ и укажите сертификат (воспроизведите ошибку).
Сохраните журнал CAPI2 и приложите.
Лог IIS. Занятно, пишет, что запрос от пользователя AdminRA тогда как я сейчас залогинен другим (каким и все время - root).

Offline Захар Тихонов  
#75 Оставлено : 25 ноября 2021 г. 13:53:00(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
AdminRA - это видимо ваша новая учетная запись ЦР, которую вы создали при смене сертификата клиентского ЦР. ЦР обращается к ЦС используя данную учетку. ЦР обращается к УЦ штатно - каждую минуту, помимо выпуска сертификатов.
Все же, пришлите журнал CAPI2.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#76 Оставлено : 25 ноября 2021 г. 14:33:07(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
AdminRA - это видимо ваша новая учетная запись ЦР, которую вы создали при смене сертификата клиентского ЦР.
Да, так и есть.


Автор: Захар Тихонов Перейти к цитате
Все же, пришлите журнал CAPI2.
Так я приложил лог ИИС, это не то? ИИС 7-й у меня, подскажите ТОЧНО где этот журнал?

Отредактировано пользователем 25 ноября 2021 г. 14:34:08(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#77 Оставлено : 25 ноября 2021 г. 14:48:37(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Тут
1.png (205kb) загружен 3 раз(а).
Его надо включить, воспроизвести ошибку, выключить и сохранить.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#78 Оставлено : 25 ноября 2021 г. 15:17:08(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Тут
1.png (205kb) загружен 3 раз(а).
Его надо включить, воспроизвести ошибку, выключить и сохранить.


Журнал CAPI2. Предварительно (перед обращением к странице) зачистил.

Offline Захар Тихонов  
#79 Оставлено : 26 ноября 2021 г. 15:51:48(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
в журнале полно ошибок, что не строится цепочка сертификатов.
На сервере установлен антивирус?
Если нет, то можете предоставить удаленный доступ?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#80 Оставлено : 27 ноября 2021 г. 9:58:00(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
в журнале полно ошибок, что не строится цепочка сертификатов.
На сервере установлен антивирус?
Если нет, то можете предоставить удаленный доступ?

Антивируса нет, насчет доступа - уточню у руководства. Отпишу тогда в личку.

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы«<234
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.