Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Неполадки при подключении консоли управления ЦР к службе ЦР
Статус: Участник
Группы: Участники
Зарегистрирован: 25.05.2017(UTC) Сообщений: 17 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 6 раз
|
Здравствуйте! Не так давно наш УЦ проводил ряд запланированных мероприятий: смена сертификатов веб-серверов ЦС и ЦР, клиентского сертификата ЦР, сертификатов TSP и OCSP серверов. После чего был выпущен тестовый сертификат для проверки функционирования УЦ. Дело в том, что теперь нам приходится каждый день, помимо СОС-ов корневого УЦ, устанавливать еще и СОС-ы, непосредственно выпускаемые нами ежедневно. Если этого не сделать, то на следующий день после выпуска списка при подключении в консоли управления ЦР появляется ошибка с текстом "Не удается установить связь с центром регистрации. Не удалось проверить цепочку клиентского сертификата для соединения с центром регистрации.". Раньше все было нормально и в локальных СОС-ах не было необходимости. В чем мы могли допустить ошибку. Сертификаты перевыпускали по инструкции и по заранее подготовленным шаблонам. Все сертификаты от корневого до нашего УЦ установлены в хранилище. Отредактировано пользователем 7 февраля 2018 г. 9:36:12(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Здравствуйте.
В каждом вашем сертификате скорее всего есть URL адрес, по которому скачиваются CRL. Предположу что после смены сертификатов URL адрес изменился и теперь по этим адресам CRL не доступны. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.05.2017(UTC) Сообщений: 17 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 6 раз
|
Автор: tikhonov Здравствуйте.
В каждом вашем сертификате скорее всего есть URL адрес, по которому скачиваются CRL. Предположу что после смены сертификатов URL адрес изменился и теперь по этим адресам CRL не доступны. Я понял о чем вы. Вы имеете ввиду точку распространения CRL, указанную в сертификате? Понимаете какая ситуация, со всех АРМ-ов нашей сети, точка доступна т.е., можно скачать СОС. Но вот доступ с АРМ-а консоли ЦР эти ссылки не просматриваются. Возможно причина в сетевом взаимодействии? Просто непонятно, почему АРМ перестал "видеть" сервер с CRL после смены. Придется перевыпускать?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Да, про URL CDP. Вы же можете проверить все адреса в сертификатов на доступ, если они не доступны, то обратитесь к системному администратору. Если адреса и не будут доступны, то придется перевыпустись сертификаты с правильными адресами. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.05.2017(UTC) Сообщений: 17 Откуда: Санкт-Петербург Сказал(а) «Спасибо»: 6 раз
|
Автор: tikhonov Да, про URL CDP. Вы же можете проверить все адреса в сертификатов на доступ, если они не доступны, то обратитесь к системному администратору. Если адреса и не будут доступны, то придется перевыпустись сертификаты с правильными адресами. Спасибо за уделенное время, разобрался сам. Добавил правило в МЭ Cisco ASA и проблема с СОС-ами сразу исчезла.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.01.2014(UTC) Сообщений: 50 Откуда: Благовещенск Сказал(а) «Спасибо»: 3 раз
|
Вышла такая же ошибка, исправил только после смены обыкновенного СОС на разностный в сайте что указан в http://e-trust.gosuslugi.ru нашего УЦ.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 09.01.2014(UTC) Сообщений: 50 Откуда: Благовещенск Сказал(а) «Спасибо»: 3 раз
|
У нас консоли управления на двух компьютерах, два ЦС с гостами 2001 и 2012 на одном комп. ЦР на разных . С одной консоли упр. входит без проблем, с другого на ЦР с гостом2012 после выпуска очередного СОСа вышла ошибка: "Не удалось проверить цепочку клиентского сертификата для соединения с центром регистрации." На ЦР 2001 с обоих консолей входит без проблем. КриптоАРМом 5.3 проверил сертификат со всеми путями и способами, загрузил свежий СОС в реестр. Пробовал на http://e-trust.gosuslugi.ru нашего УЦ загружать полный СОС и разностный. Все равно выходит эта ошибка. Как её исправить, и ведётся подробный лог подключения Конс. упр. к ЦР? И ещё почему если на http://e-trust.gosuslugi.ru нашего УЦ загрузить полный (не разносный) СОС эта ошибка выходит и с консоли управления с первого компютера.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,186 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Автор: akv0571 У нас консоли управления на двух компьютерах, два ЦС с гостами 2001 и 2012 на одном комп. ЦР на разных . С одной консоли упр. входит без проблем, с другого на ЦР с гостом2012 после выпуска очередного СОСа вышла ошибка: "Не удалось проверить цепочку клиентского сертификата для соединения с центром регистрации." где вышла такая ошибка? Если в Консоли ЦР, то отсутствуют действующие CRL на ПК с Консолью ЦР и сервере ЦР Автор: akv0571 На ЦР 2001 с обоих консолей входит без проблем. КриптоАРМом 5.3 проверил сертификат со всеми путями и способами, загрузил свежий СОС в реестр. Значит CRL доступны/установлены и цепочка сертификатов установлена Автор: akv0571 Пробовал на http://e-trust.gosuslugi.ru нашего УЦ загружать полный СОС и разностный. Все равно выходит эта ошибка. Как её исправить, и ведётся подробный лог подключения Конс. упр. к ЦР? лог ведется следующим образом Автор: akv0571 И ещё почему если на http://e-trust.gosuslugi.ru нашего УЦ загрузить полный (не разносный) СОС эта ошибка выходит и с консоли управления с первого компютера. Если вы используете дельта CRL, то без их наличия цепочка сертификатов проверяться на отзыв не будет. So conceived. |
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Неполадки при подключении консоли управления ЦР к службе ЦР
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close