logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline admitrenko  
#1 Оставлено : 21 ноября 2018 г. 14:35:43(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Здравствуйте, планируется обновление УЦ и внедрение новых компонент к заказчику таких как КриптоПро DSS.

Поднимаем на своей инфраструктуре стенд перед внедрением с тестовым DSS без ПАКМ HSM. Все настройки выполнены согласно инструкции администратора. Использую "КриптоПро Исходный материал" с КриптоПро CSP 4.0 с выработанной внешней гаммой.

Для связи с ЦР нашел на просторах форума командлет Add-DSSCryptoProCA20Enrollment, однако после установки DSS 2.0 он отсутствует. В установке есть похожий командлет Add-DSSStsCryptoProCA20Enrollment, в связи с этим вопрос является ли они взаимозаменяемыми?

При попытке зайти на Web-интерфейс пользователя и создать запрос на сертификат для подписи выдается ошибка в браузере Object reference not set to an instance of an object. При этом тестирование связи с ЦР при помощи командлета Test-DssStsCryptoProCA20Enrollment выполняется без ошибок.


Регистрация ЦР и вывод настроек ниже:



Скриншоты ошибки и информации по сервису RegAuthLegacyService.svc:



Вывод properties СП, ЦИ и Веб-интерфейса:



Подскажите в чем может быть причина?
Offline Александр Лавник  
#2 Оставлено : 21 ноября 2018 г. 14:50:51(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 698
Мужчина
Российская Федерация

Сказал «Спасибо»: 8 раз
Поблагодарили: 147 раз в 142 постах
Добрый день.

Для подключения SignServer КриптоПро DSS 2.0 к ЦР КриптоПро УЦ 2.0 используйте командлет:

Add-DssEnrollment -Type CryptoProCA20 -CAServiceUrl "https://<ЦР hostname>/RA/RegAuthLegacyService.svc" -EnrollDisplayName "Отображаемой имя УЦ" -OperatorCertThumbprint отпечаток_сертификата_администратора_ЦР -FolderId идентификатор_папки_в_ЦР
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
admitrenko оставлено 21.11.2018(UTC)
Offline admitrenko  
#3 Оставлено : 21 ноября 2018 г. 15:01:56(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Цитата:

Добрый день.

Для подключения SignServer КриптоПро DSS 2.0 к ЦР КриптоПро УЦ 2.0 используйте командлет:

Add-DssEnrollment -Type CryptoProCA20 -CAServiceUrl "https://<ЦР hostname>/RA/RegAuthLegacyService.svc" -EnrollDisplayName "Отображаемой имя УЦ" -OperatorCertThumbprint отпечаток_сертификата_администратора_ЦР -FolderId идентификатор_папки_в_ЦР





Спасибо! Эта команда выполнилась успешно, но я все равно получаю ту же ошибку как на скриншоте в первом сообщении при попытке отправить запрос на сертификат через веб-интерфейс.
Offline Александр Лавник  
#4 Оставлено : 22 ноября 2018 г. 7:45:20(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 698
Мужчина
Российская Федерация

Сказал «Спасибо»: 8 раз
Поблагодарили: 147 раз в 142 постах
Добрый день.

Сертификат администратора ЦР установлен в хранилище сертификатов "Личное" локального компьютера с привязкой к закрытому ключу без пин-кода?

Пулу приложений SignServer выдан полный доступ на ключ, соответствующий сертификату администратора ЦР?
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
admitrenko оставлено 22.11.2018(UTC)
Offline admitrenko  
#5 Оставлено : 22 ноября 2018 г. 9:09:13(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый день.

Спасибо, все заработало, сертификат был в личном хранилище текущего пользователя
Offline admitrenko  
#6 Оставлено : 22 ноября 2018 г. 15:31:37(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый вечер, возникла теперь проблема с добавлением адреса OCSP службы для тестирования усовершенствования подписи. В руководстве администратора есть только способ как добавить TSPList, но при это не описано как добавить OcspServiceList. Из PW понял что это должна быть строка, но непонятен формат, просто URL не подходит.

Подскажите как подключить службу?

Скриншот ошибки под спойлером.



P.S. Для усовершенствования подписи планируется разворачивать на отдельный ресурс DSS Lite, в связи с этим возник вопрос по установке. Необходимо также устанавливать и настраивать ЦИ, веб-интерфейс пользователя и потом DSS Lite или просто установить DSS Lite?

Из описания не совсем понятна разница между компонентами Lite и обычным, а также что необходимо для установки DSS Lite? Есть ли руководство администратора по DSS Lite?

Заранее спасибо!
Offline Александр Лавник  
#7 Оставлено : 23 ноября 2018 г. 7:00:53(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 698
Мужчина
Российская Федерация

Сказал «Спасибо»: 8 раз
Поблагодарили: 147 раз в 142 постах
Автор: admitrenko Перейти к цитате
Добрый вечер, возникла теперь проблема с добавлением адреса OCSP службы для тестирования усовершенствования подписи. В руководстве администратора есть только способ как добавить TSPList, но при это не описано как добавить OcspServiceList. Из PW понял что это должна быть строка, но непонятен формат, просто URL не подходит.

Подскажите как подключить службу?

Скриншот ошибки под спойлером.



P.S. Для усовершенствования подписи планируется разворачивать на отдельный ресурс DSS Lite, в связи с этим возник вопрос по установке. Необходимо также устанавливать и настраивать ЦИ, веб-интерфейс пользователя и потом DSS Lite или просто установить DSS Lite?

Из описания не совсем понятна разница между компонентами Lite и обычным, а также что необходимо для установки DSS Lite? Есть ли руководство администратора по DSS Lite?

Заранее спасибо!

Добрый день.

1) Подскажите, пожалуйста, в каком командлете Вы нашли параметр OcspServiceList?

Адрес OCSP службы берется из расширения сертификата Доступ к информации о центрах сертификации и указывать его отдельно в настройках КриптоПро DSS не нужно.

2) Что Вы подразумеваете под DSS Lite - сервис для работы через API или режим работы SignServer КриптоПро DSS, при котором ключевые контейнеры пользователя хранятся на рабочем месте пользователя?
Техническую поддержку оказываем тут
Наша база знаний
Offline admitrenko  
#8 Оставлено : 23 ноября 2018 г. 7:57:07(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый день,

В командлете Set-DssProperties



DSS Lite имеется в виду режим работы SignServer КриптоПро DSS, при котором ключевые контейнеры пользователя хранятся на рабочем месте пользователя. Использовать планируется для усовершенствования подписи.

Отредактировано пользователем 23 ноября 2018 г. 11:23:05(UTC)  | Причина: Не указана

Offline Александр Лавник  
#9 Оставлено : 23 ноября 2018 г. 12:20:03(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 698
Мужчина
Российская Федерация

Сказал «Спасибо»: 8 раз
Поблагодарили: 147 раз в 142 постах
Автор: admitrenko Перейти к цитате
Добрый день,

В командлете Set-DssProperties



DSS Lite имеется в виду режим работы SignServer КриптоПро DSS, при котором ключевые контейнеры пользователя хранятся на рабочем месте пользователя. Использовать планируется для усовершенствования подписи.

1) В последних версиях КриптоПро DSS был добавлен параметр OcspServiceList в командлет Set-DssProperties.

Он должен задаваться как строка в двойных кавычках с URL адресами OCSP служб через запятую.

2) Для работы КриптоПро DSS в режиме DSS Lite через веб интерфейс необходимо изменить свойство ServiceType на значение Client для SignServer:
Код:
Set-DssProperties -ServiceType Client
Техническую поддержку оказываем тут
Наша база знаний
Offline admitrenko  
#10 Оставлено : 12 декабря 2018 г. 15:56:29(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый вечер.

Устанавливал второй сервер DSS по той же схеме и возникла вот такая ошибка. Подскажите как можно исправить, чтобы в будущем ее предотвратить?




При этом все зарегистрировано.

Отредактировано пользователем 12 декабря 2018 г. 16:33:05(UTC)  | Причина: Не указана

Offline Грибанов Антон  
#11 Оставлено : 13 декабря 2018 г. 8:22:16(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 298

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 32 раз в 32 постах
Добрый день.
Пришлите вывод Get-DssFEWSFederationSettings, Get-DssFEClaimsProviderTrust, Get-DssClaimsProviderTrust и полный вывод Get-DssRelyingPartytrust
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
admitrenko оставлено 14.12.2018(UTC)
Offline admitrenko  
#12 Оставлено : 14 декабря 2018 г. 7:12:37(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый день,

Вывод команд под спойлером:

Offline Грибанов Антон  
#13 Оставлено : 14 декабря 2018 г. 7:37:46(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 298

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 32 раз в 32 постах
Пришлите вывод по следующим командам:
Get-DssFEWSFederationSettings | Format-List
Get-DssFEProperties
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
admitrenko оставлено 14.12.2018(UTC)
Offline admitrenko  
#14 Оставлено : 14 декабря 2018 г. 7:46:09(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Вот, пожалуйста

Offline Грибанов Антон  
#15 Оставлено : 14 декабря 2018 г. 7:52:14(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 298

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 32 раз в 32 постах
Хорошо. В таком случае выполните следующую команду:
Set-DssRelyingPartyTrust -DisplayName Frontend -ID <...> -MetadataUri https://localhost/Frontend/FederationMetadata/2007-06/FederationMetadata.xml
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
admitrenko оставлено 14.12.2018(UTC)
Offline admitrenko  
#16 Оставлено : 14 декабря 2018 г. 8:14:21(UTC)
admitrenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.11.2018(UTC)
Сообщений: 9
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Спасибо, это помогло решить проблему.
Однако, возникла новая. КриптоПро CSP не видит Jacarta смарт-карту при попытке зайти на веб-интерфейс пользователя. На смарт-карте сертификат администратора ЦР. При этом через приложение CSP я могу проверить сертификат на данном носителе и вижу его, а во всплывающем окне, как на скриншоте, не видно носителя. В едином клиенте JaCarta тоже все отображается.



В прошлой инсталяции так работало. Обычно в тестовом стенде использовал реестр как устройство хранение контейнеров закрытого ключа. Для администратора ЦР пришлось использовать смар-карту, так как ключ не экспортируемый.

Отредактировано пользователем 14 декабря 2018 г. 8:16:25(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.