Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.07.2012(UTC) Сообщений: 255 Сказал «Спасибо»: 22 раз Поблагодарили: 13 раз в 9 постах
|
Насчёт непрерывности - я убил все новогодние праздники на перевод, чтобы эту непрерывность обеспечить.
Запрос на новый подчинённый можно и заранее подать, я думаю, чтобы сразу его привинтить после миграции.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.03.2013(UTC) Сообщений: 43 Откуда: Йошкар-Ола Поблагодарили: 2 раз в 2 постах
|
Доброго времени суток. Начал "боевую" миграцию. Всё вроде пошло нормально, но в итоге вернулся к ошибкам на ЦР (ранее при тестировании уже писал). Проблемы начались на ЦР: - восстановление базы с версии 1.5 прошло без проблем; - запрос на сертификат ЦР прошел без проблем; - запрос на сертификат web-узла (во время разворачивания Роли ЦР) прошел без проблем; - Ошибка во время запроса на сертификат Администратора ЦР: "ОШИБКА: Инициализатор типа "RegistrationService.BusinessEntities.RaTableSchema" выдал исключение.". Ссылается на недоступность MSDTC (даже если его принудительно напустить в Службах). Также заметил в журнале множество предупреждений и ошибок, повторяющихся с периодичностью раз в минуту-две. Плюс есть предупреждение в журнале PowerShell о недоступности службы MSDTC на машине ЦР. Цитата:Исключение при извлечении сообщения диалога c43f0c1c-b549-e711-8426-000e0c09ded6 из очереди queue/front, сервиса service/front. Истекло время ожидания сообщений из очереди queue/front. Цитата:При запросе политики с ЦС получено исключение. System.TimeoutException: Истекло время ожидания сообщений из очереди queue/front. в RegistrationService.BusinessLogic.ProcessClient.Wait(Queue queue, Conversation conversation, TimeSpan timeout) в RegistrationService.BusinessLogic.ProcessClient.<>c__DisplayClass15.<Send>b__14(TimeSpan timeout) в RegistrationService.BusinessLogic.ProcessClient.WaitComplete(TimeSpan timeout) в RegistrationService.RegSrv.PolicyUpdateTask.Execute(IScriptContext`1 context) Цитата:Инициализатор типа "RegistrationService.BusinessEntities.RaTableSchema" выдал исключение. Произошла ошибка базового поставщика в Open. Координатор MSDTC на сервере "UC-RA\CPCC" недоступен. Здесь... https://www.cryptopro.ru...aspx?g=posts&t=11256...вроде обсуждали подобную проблему, но ответов не появилось. На виртуальной машине с тех же самых дистрибутивов с тем же количеством ресурсов с тем же восстановлением баз ЦР всё сразу заработало. ОС: Windows 7 Pro (x86) (сервер не поддерживает x64) ОЗУ: 2ГБ DB: SQL Express 2012 (пробовал на 2014, когда тестировал, не заработало. заработало на 2012), позже 2008. Windows Management Framework 3.0 (из дистрибутива). ДСЧ: Аккорд АМДЗ, Биологический, Исходный материал. Может кто-то что посоветует?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
У пользователя Ghost-kun ошибка возникает из-за аппаратной части сервера. Рекомендуется обновить аппаратную часть сервера. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.02.2013(UTC) Сообщений: 25 Откуда: Москва Сказал «Спасибо»: 2 раз
|
При выполнении 9.1.7 Импорт запросов, возникли проблемы: 1. ПРЕДУПРЕЖДЕНИЕ: В сертификате по запросу (RequestId = 01c4b514-0a71-e711-8b19-000c298eff3a, CompatRequestId = 1, RequestNameId = 02c4b514-0a71-e711-8b19-000c298eff3a) отсутствует расширение AuthorityKeyIdentifier. Такое предупреждение выскакивает не на всех сертификатах. Но во всех есть информация "Идентификатор ключа субъекта" и "Идентификатор ключа центра сертификации". 2. ПРЕДУПРЕЖДЕНИЕ: Cертификат с идентификатором запроса 6 не будет импортирован, так как для него не найден сертификат издателя. Такое предупреждение выскакивает не на всех сертификатах. Сертификат который выпускался в тот же день импортируется а соседний нет. Все ключи ЦС (их 2) установлены и привязаны к Администратору ЦС. 3. ПРЕДУПРЕЖДЕНИЕ: Запрос (RequestId = d8c8b514-0a71-e711-8b19-000c298eff3a, CompatRequestId = 409, RequestNameId = d9c8b514-0a71-e711-8b19-000c298eff3a) содержит повторяющийся открытый ключ. Вообще не понятно что за таке. 4. И самое главное: импорт с ошибкой прекращается. Данный ключ это ключ ЦС. Import-CARequest.GIF (34kb) загружен 28 раз(а).
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Автор: MrFedor При выполнении 9.1.7 Импорт запросов, возникли проблемы: 1. ПРЕДУПРЕЖДЕНИЕ: В сертификате по запросу (RequestId = 01c4b514-0a71-e711-8b19-000c298eff3a, CompatRequestId = 1, RequestNameId = 02c4b514-0a71-e711-8b19-000c298eff3a) отсутствует расширение AuthorityKeyIdentifier. Такое предупреждение выскакивает не на всех сертификатах. Но во всех есть информация "Идентификатор ключа субъекта" и "Идентификатор ключа центра сертификации". без AuthorityKeyIdentifier проверить на отзыв сертификат нет возможности - следовательно и отозвать. Такие сертификаты не мигрируют. Предположу, что это самоподписанный корневой сертификат ЦС. Автор: MrFedor 2. ПРЕДУПРЕЖДЕНИЕ: Cертификат с идентификатором запроса 6 не будет импортирован, так как для него не найден сертификат издателя. Такое предупреждение выскакивает не на всех сертификатах. Сертификат который выпускался в тот же день импортируется а соседний нет. Все ключи ЦС (их 2) установлены и привязаны к Администратору ЦС. Не импортирован сертификат издателя Администратору ЦС. Автор: MrFedor 3. ПРЕДУПРЕЖДЕНИЕ: Запрос (RequestId = d8c8b514-0a71-e711-8b19-000c298eff3a, CompatRequestId = 409, RequestNameId = d9c8b514-0a71-e711-8b19-000c298eff3a) содержит повторяющийся открытый ключ. Вообще не понятно что за таке. Указанный открытый ключ в сертификате уже присутствует в БД ЦС. Второй сертификат с таким открытым ключом не будет импортирован. Автор: MrFedor 4. И самое главное: импорт с ошибкой прекращается. Данный ключ это ключ ЦС. Import-CARequest.GIF (34kb) загружен 28 раз(а). Создавайте заявку на портале ТП. В заявке укажите версию сборки УЦ 2.0 и используемую версию SQL Server. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.02.2013(UTC) Сообщений: 25 Откуда: Москва Сказал «Спасибо»: 2 раз
|
Автор: tikhonov Автор: MrFedor При выполнении 9.1.7 Импорт запросов, возникли проблемы: 1. ПРЕДУПРЕЖДЕНИЕ: В сертификате по запросу (RequestId = 01c4b514-0a71-e711-8b19-000c298eff3a, CompatRequestId = 1, RequestNameId = 02c4b514-0a71-e711-8b19-000c298eff3a) отсутствует расширение AuthorityKeyIdentifier. Такое предупреждение выскакивает не на всех сертификатах. Но во всех есть информация "Идентификатор ключа субъекта" и "Идентификатор ключа центра сертификации". без AuthorityKeyIdentifier проверить на отзыв сертификат нет возможности - следовательно и отозвать. Такие сертификаты не мигрируют. Предположу, что это самоподписанный корневой сертификат ЦС. Автор: MrFedor 2. ПРЕДУПРЕЖДЕНИЕ: Cертификат с идентификатором запроса 6 не будет импортирован, так как для него не найден сертификат издателя. Такое предупреждение выскакивает не на всех сертификатах. Сертификат который выпускался в тот же день импортируется а соседний нет. Все ключи ЦС (их 2) установлены и привязаны к Администратору ЦС. Не импортирован сертификат издателя Администратору ЦС. Автор: MrFedor 3. ПРЕДУПРЕЖДЕНИЕ: Запрос (RequestId = d8c8b514-0a71-e711-8b19-000c298eff3a, CompatRequestId = 409, RequestNameId = d9c8b514-0a71-e711-8b19-000c298eff3a) содержит повторяющийся открытый ключ. Вообще не понятно что за таке. Указанный открытый ключ в сертификате уже присутствует в БД ЦС. Второй сертификат с таким открытым ключом не будет импортирован. Автор: MrFedor 4. И самое главное: импорт с ошибкой прекращается. Данный ключ это ключ ЦС. Import-CARequest.GIF (34kb) загружен 28 раз(а). Создавайте заявку на портале ТП. В заявке укажите версию сборки УЦ 2.0 и используемую версию SQL Server. Спасибо за ответы! 1. Да действительно это корневые ЦС были. 2. Это сертификаты с неудачными запросами. Не знаю как от них избавиться, но можно закрыть глаза на их НЕ перенос. 3. Данная ошибка появилась на паре сертификатов, которые являются корневыми ЦС в момент, когда мы меняли орг форму и юр. адрес - силами (выезд к нам в офис) КриптоПРО был выпущен новый сертификат, я уж не знаю почему выдается ошибка при импорте. 4. Как я и говорил, ошибка на корневом ЦС. В итоге сам разобрался: помог ключ -SkipDuplicateCertificates в Import-CARequest, проверил все запросы и сертификаты импортнулись - за исключением пункта 2. Теперь ошибка при загрузке ключа (старого, он только для подписи CRL) в Агенте ЦС: пишет "Отказано в доступе", хотя текущий ключий загрузил без ошибок. Ключ уже переустанавливал, Агент запускается под тем же пользователем. Подскажите в чем причина?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Скорее всего вы используете CSP 4.0. Там имеется контроль срока действия ключа. Скорее всего ваш старый ключ истек. Настройка этого контроля описана подробно здесь: ЖТЯИ.00088-01 91 01. КриптоПро CSP. Руководство администратора безопасности. Общая часть. 6.8. Сроки действия пользовательских ключей. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.02.2013(UTC) Сообщений: 25 Откуда: Москва Сказал «Спасибо»: 2 раз
|
Да, CSP 4.0.9842. Я правильно понимаю, что при миграции нужно было Import-CACertificate делать только корневых ЦС (у нас их два) с привязкой к Администратору ЦС? Если да, то они оба еще действующие и один из них не получается Загрузить в Агенте ЦС.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,177 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 567 раз в 544 постах
|
Автор: MrFedor Да, CSP 4.0.9842. Я правильно понимаю, что при миграции нужно было Import-CACertificate делать только корневых ЦС (у нас их два) с привязкой к Администратору ЦС? Если да, то они оба еще действующие и один из них не получается Загрузить в Агенте ЦС. Сертификаты могут быть действительные, но не их ключи. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 26.02.2013(UTC) Сообщений: 25 Откуда: Москва Сказал «Спасибо»: 2 раз
|
Это я прекрасно понимаю. Ключ выпущен 11.02.2013 на 5 лет. Подскажите как посмотреть срок ключа у корневого, а то малоли я ошибаюсь? Т.к. сам сертификат то на 15 лет.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close