Статус: Новичок
Группы: Участники
Зарегистрирован: 20.09.2017(UTC) Сообщений: 7  Сказал(а) «Спасибо»: 3 раз
|
Собственно, есть тестовая инсталяция DSS и УЦ, по отдельности оба сервиса работают, заказ сертификатов в интерфейсе УЦ идет без проблем, но при попытке связать оба сервиса между собой в интерфейсе DSS возникает ошибка "Сервер Подписи не настроен на взаимодействие ни с одним УЦ" get-dssenrollment выдает Код:
7 test crypto pro ca Недоступен
Адрес Крипто-Про УЦ 2.0: https://ca-tst/ra/ra.asp
Сертификат оператора: 8FFD78D7A77220E3FD34C42FC51442152A29F714
Идентификатор папки: 8122f2a0-5e9d-e711-80d3-00155de40e09
Схема выпуска сертификатов: Централизованная
Редактирование имени пользователем: Запрещено
Имя Центра Сертификации: test ca
Подскажите что мы упустили при настройке?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.09.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
В логах появляется: Код:Идентификатор экземпляра: 1/STS.
В процессе работы Центра Идентификации произошла ошибка:
Сообщение с Action "http://cryptopro.ru/pki/registration/service/2010/03/RegAuthLegacyContract/GetCertTemplateList" не может быть обработано на стороне получателя из-за несоответствия ContractFilter на EndpointDispatcher. Возможно, это связано с несоответствием контрактов (несогласованность действий на стороне отправителя и получателя) или несоответствием привязка/защита на стороне отправителя и получателя. Убедитесь, что отправитель и получатель имеют один и тот же контракт и одинаковые привязки (включая требования к защите, например, Message, Transport или None).
System.ServiceModel.ActionNotSupportedException: Сообщение с Action "http://cryptopro.ru/pki/registration/service/2010/03/RegAuthLegacyContract/GetCertTemplateList" не может быть обработано на стороне получателя из-за несоответствия ContractFilter на EndpointDispatcher. Возможно, это связано с несоответствием контрактов (несогласованность действий на стороне отправителя и получателя) или несоответствием привязка/защита на стороне отправителя и получателя. Убедитесь, что отправитель и получатель имеют один и тот же контракт и одинаковые привязки (включая требования к защите, например, Message, Transport или None).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,383  Сказал «Спасибо»: 53 раз
Поблагодарили: 776 раз в 718 постах
|
Добрый день.
Командлет Add-DssCryptoProCA20Enrollment:
Add-DssCryptoProCA20Enrollment [–DisplayName <string>] -CAServiceUrl <string> -EnrollName <string> -OperatorCertThumbprint <string> -FolderID <string>
где CAServiceUrl - URL адрес Центра Регистрации удостоверяющего центр в формате https://<ca2.0 host name>/RA/RegAuthLegacyService.svc
Попробуйте сменить параметр CAServiceUrl через командлет Set-DssCryptoProCA20Enrollment:
Set-DssCryptoProCA20Enrollment -ID 7 -CAServiceUrl https://ca-tst/ra/RegAuthLegacyService.svc
|
|
 1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.09.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
Попробовал, в логах стало меньше ошибок, но при рестарте iis сначала возникает указанная выше ошибка, при этом Task Category: EnrollCa15ConstructorErrorEvent, а затем следует 4 события что "Идентификатор экземпляра: 1/SignServer Модуль УЦ с идентификатором 7 успешно загружен."
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,383 Сказал «Спасибо»: 53 раз
Поблагодарили: 776 раз в 718 постах
|
Приложите вывод команды get-dssenrollment и журнал DSS SignServer. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.09.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
Оказалось что не указан сертификат оператора, при этом команда Set-DSSCryptoProCA20Enrollment -EnrollIdentifier 7 -OperatorCertThumbprint "8ffd78d7a77220e3fd34c42fc51442152a29f714" никаких изменений не вносила, добавил CA заново Код:------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ID Имя Статус Политика имени субъекта Шаблоны ...
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
8 test crypto pro ca 2.0 Доступен Общее имя Корневой Центр сертификации ...
Адрес Крипто-Про УЦ 2.0: https://ca-tst/ra/RegAuthLegacyService.svc 2.5.4.3 0 Опционально 1.2.643.2.2.46.0.0 ...
Сертификат оператора: 8FFD78D7A77220E3FD34C42FC51442152A29F714 Страна/регион Подчиненный Центр сертификации ...
Идентификатор папки: 8122f2a0-5e9d-e711-80d3-00155de40e09 2.5.4.6 1 Опционально 1.2.643.2.2.46.0.1 ...
Схема выпуска сертификатов: Централизованная Область Перекрёстный Центр сертификации ...
Редактирование имени пользователем: Запрещено 2.5.4.8 2 Опционально 1.2.643.2.2.46.0.2 ...
Имя Центра Сертификации: Город Веб-сервер ...
2.5.4.7 3 Опционально 1.2.643.2.2.46.0.3 ...
Организация Веб-сервер инфраструктуры УЦ ...
2.5.4.10 4 Опционально 1.2.643.2.2.46.0.4 ...
Подразделение Проверка подлинности рабочей станции или сервера и...
2.5.4.11 5 Опционально 1.2.643.2.2.46.0.5 ...
Адрес E-Mail Проверка подлинности клиента ...
1.2.840.113549.1.9.1 6 Опционально 1.2.643.2.2.46.0.6 ...
Проверка подлинности клиента Защита электронной почты ...
1.2.643.2.2.46.0.6 7 Опционально 1.2.643.2.2.46.0.7 ...
Пользователь ...
1.2.643.2.2.46.0.8 ...
Временный Пользователь ...
1.2.643.2.2.46.0.9 ...
При этом при попытке заказать сертификат: Цитата:•Криптографическая ошибка.: Произошла ошибка при создании ключа пользователя. Подробности во вложенном сообщении. Вложенное сообщение: Win32Exception: Provider could not perform the action since the context was acquired as silent в логах Код:
Идентификатор экземпляра: 1/SignServer. Произошла ошибка на Сервисе Подписи: CryptoPro.DSS.Common.Cryptography.DssCryptoProviderException: Криптографическая ошибка.: Произошла ошибка при создании ключа пользователя. Подробности во вложенном сообщении.
Вложенное сообщение:
Win32Exception: Provider could not perform the action since the context was acquired as silent
at CryptoPro.DSS.Common.Cryptography.Objects.PrivateKeyInternalStored`1.Create()
at CryptoPro.DSS.SignatureServer.Managers.Cryptography.DSSInternalStoredPrivateKey.Create()
at CryptoPro.DSS.SignatureServer.Managers.DSSWraps.DSSCertRequestImpl..ctor(DSSServiceContext srvCtx, String userId, String dName, Int32 caId, String pinCode, IDictionary`2 requestParams)
at CryptoPro.DSS.SignatureServer.Services.SignService.ProcessRequestByAdmin(String dName, String pinCode, IDictionary`2 parameters, IDSSEnroll enroll, DSSCertificateImpl& cert)
at CryptoPro.DSS.SignatureServer.Services.SignService.CreateRequestEx(String dName, String pinCode, Int32 caId, Dictionary`2 requestParams)
at SyncInvokeCreateRequestEx(Object , Object[] , Object[] )
at System.ServiceModel.Dispatcher.SyncMethodInvoker.Invoke(Object instance, Object[] inputs, Object[]& outputs)
at System.ServiceModel.Dispatcher.DispatchOperationRuntime.InvokeBegin(MessageRpc& rpc)
at System.ServiceModel.Dispatcher.ImmutableDispatchRuntime.ProcessMessage5(MessageRpc& rpc)
at System.ServiceModel.Dispatcher.ImmutableDispatchRuntime.ProcessMessage11(MessageRpc& rpc)
at System.ServiceModel.Dispatcher.MessageRpc.Process(Boolean isOperationContextSet)
--->System.ComponentModel.Win32Exception: Provider could not perform the action since the context was acquired as silent
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,383 Сказал «Спасибо»: 53 раз
Поблагодарили: 776 раз в 718 постах
|
Вы для тестирования используете КриптоПро CSP в качестве криптопровайдера на DSS?
Если да, то в КриптоПро CSP должен использоваться аппаратный ДСЧ или гамма (КриптоПро Исходный материал).
DSS не работает с Биологическим ДСЧ. |
|
1 пользователь поблагодарил Александр Лавник за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.09.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
Да, как в инструкции, что вместо HSM в целях тестирования можно использовать "Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider". Пытаемся понять как встроить это все в существующие процессы. я правильно понимаю что мне надо добавить новый датчик cryptopro source data и указать где лежит гамма? Отредактировано пользователем 22 сентября 2017 г. 16:15:34(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.09.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
Добавил датчик, сгенерировал гамму, сертификат выпустился, пробные документы подписали, разбираемся дальше. Спасибо.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 20.09.2017(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
Теперь у нас новая проблема: если через вебинтерфейс все работает, то при попытках сделать что либо через api сервис отдает 500, а в логах System.InvalidOperationException: Не найдена проверяющая сторона с идентификатором https://sign-tst/SignServer/rest/api/.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
