Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline NEW DME  
#1 Оставлено : 19 августа 2019 г. 11:48:26(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте,

подскажите, пожалуйста, с чем может быть связана возникающая ошибка: "Сообщение об ошибке: (10): Пользователь, подписавший запрос, не совпадает с пользователем, передавшим изменение."

Алгоритм действий, при котором возникает ошибка следующий:

1) Пользователь имеет некоторый временный сертификат.
2) Пользователь создает запрос на постоянный сертификат и подписывает его временным сертификатом.
3) Запрос на сертификат уходит от Пользователя на сервер приложения.
4) Сервер приложения передаёт запрос в УЦ2.0 через rest-API, используя для авторизации свой собственный сертификат.
(https://{веб сервер УЦ}/ui/api/{folder}/userattr ; https://{веб сервер УЦ}/ui/api/regrequest )
5) ОТ УЦ получается следующий ответ
Ошибка:
"Сообщение об ошибке: (10): Пользователь, подписавший запрос, не совпадает с пользователем, передавшим изменение."


Запрос подписывается сначала временным сертификатом пользователя, а затем серверным сертификатом приложения (некоторой ИС), потом запрос попадает в УЦ, но попадает в учётную запись ИС (то есть если обработать данный запрос, то сертификат будет выдан для ИС, а не для Пользователя)
Offline Захар Тихонов  
#2 Оставлено : 19 августа 2019 г. 16:14:49(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Здравствуйте.

Укажите используемую сборку УЦ 2.0.
Установлена ли галка в свойствах папки - Передача запроса? ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации. 1.8.2. Перечень доступных разрешений.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 19.08.2019(UTC)
Offline NEW DME  
#3 Оставлено : 19 августа 2019 г. 18:06:52(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Здравствуйте.

Укажите используемую сборку УЦ 2.0.
Установлена ли галка в свойствах папки - Передача запроса? ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации. 1.8.2. Перечень доступных разрешений.


Версия 2.0.6904.0000
У всех пользователей данной папки имеются права на отправку запросов
Offline Захар Тихонов  
#4 Оставлено : 20 августа 2019 г. 8:24:53(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Автор: NEW DME Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Здравствуйте.

Укажите используемую сборку УЦ 2.0.
Установлена ли галка в свойствах папки - Передача запроса? ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации. 1.8.2. Перечень доступных разрешений.


Версия 2.0.6904.0000
У всех пользователей данной папки имеются права на отправку запросов


А передача запроса? Это новое правило, которое появилось в сборке 2.0.6904.0000
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline Анатолий Колкочев  
#5 Оставлено : 20 августа 2019 г. 10:42:19(UTC)
Анатолий Колкочев

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 179

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 19 раз в 17 постах
Добрый день.

Подскажите пожалуйста, почему не работает веб интерфейс КриптоПро УЦ 2.0 https://testca2012.crypt....ru/ui/1/RegRequest.aspx

Сижу с Ubuntu 18.04.02. КриптоПро УЦ писался под Винду, но почему веб интерфейс не работает ?
КриптоПро 5.0, Browser-plugin 2.0, браузер Firefox 68
Сделал все по инструкции, но все равно вылезает эта ошибка

Screenshot from 2019-08-19 22-12-10.png (42kb) загружен 15 раз(а).
Offline Захар Тихонов  
#6 Оставлено : 20 августа 2019 г. 10:46:07(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Автор: TolikTipaTut1 Перейти к цитате
Добрый день.

Подскажите пожалуйста, почему не работает веб интерфейс КриптоПро УЦ 2.0 https://testca2012.crypt....ru/ui/1/RegRequest.aspx

Сижу с Ubuntu 18.04.02. КриптоПро УЦ писался под Винду


да, под Windows, только IE.

У кого нет IE, используйте cryptcp
folderid можно посмотреть здесь

Автор: TolikTipaTut1 Перейти к цитате
, но почему веб интерфейс не работает ?
КриптоПро 5.0, Browser-plugin 2.0, браузер Firefox 68
Сделал все по инструкции, но все равно вылезает эта ошибка

Screenshot from 2019-08-19 22-12-10.png (42kb) загружен 15 раз(а).


Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
Анатолий Колкочев оставлено 20.08.2019(UTC)
Offline Анатолий Колкочев  
#7 Оставлено : 20 августа 2019 г. 10:52:49(UTC)
Анатолий Колкочев

Статус: Активный участник

Группы: Участники
Зарегистрирован: 05.07.2018(UTC)
Сообщений: 179

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 19 раз в 17 постах
Подскажите пожалуйста, каким образом использовать cryptcp для работы с УЦ ? cryptcp -creatuser ?
Offline Захар Тихонов  
#8 Оставлено : 20 августа 2019 г. 10:55:17(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Автор: TolikTipaTut1 Перейти к цитате
Подскажите пожалуйста, каким образом использовать cryptcp для работы с УЦ ? cryptcp -creatuser ?


Вам достаточно перейти по ссылке представленной в предыдущем сообщении (кликнуть надо на слово cryptcp). Там подробная инструкция с примерами.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
Анатолий Колкочев оставлено 20.08.2019(UTC)
Offline NEW DME  
#9 Оставлено : 20 августа 2019 г. 11:58:49(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Автор: NEW DME Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Здравствуйте.

Укажите используемую сборку УЦ 2.0.
Установлена ли галка в свойствах папки - Передача запроса? ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации. 1.8.2. Перечень доступных разрешений.


Версия 2.0.6904.0000
У всех пользователей данной папки имеются права на отправку запросов


А передача запроса? Это новое правило, которое появилось в сборке 2.0.6904.0000



Галочка "передача запросов" установлена ( Snimok.PNG (50kb) загружен 10 раз(а).)
Offline Захар Тихонов  
#10 Оставлено : 20 августа 2019 г. 12:04:06(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Пользователь, которым ключем вы подписываете запрос, состоит в группе которой предоставлены права?

А также, в запросе и временный сертификат пользователя, компоненты имени совпадают?
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#11 Оставлено : 20 августа 2019 г. 13:22:28(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Пользователь, которым ключем вы подписываете запрос, состоит в группе которой предоставлены права?

А также, в запросе и временный сертификат пользователя, компоненты имени совпадают?



Получается так, что есть пользователь (обычный не привилегированный) который формирует запрос на новый сертификат (соответственно, в запросе на сертификат указываются компоненты имени пользователя), далее Пользователь подписывает сформированный запрос своим временным закрытым ключом (от временного сертификата) и далее указанная сущность направляется сервером в УЦ (предварительно сервер проходит аутентификацию в УЦ как привилегированный пользователь с правами 'Передача запроса', установленными на папку)
Offline Захар Тихонов  
#12 Оставлено : 20 августа 2019 г. 13:32:03(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Выглядит так.
Запрос на сертификат с компонентами имени подписывается сертификатом с такими же компонентами имени. Далее вторая подпись оператора ЦР (у которого в правах установлена галка).
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#13 Оставлено : 20 августа 2019 г. 13:41:15(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Выглядит так.
Запрос на сертификат с компонентами имени подписывается сертификатом с такими же компонентами имени. Далее вторая подпись оператора ЦР (у которого в правах установлена галка).


А без пользовательской подписи (только подпись сервера) запрос также не пройдёт?

Если так, то получается, что возможен только один вариант, когда запрос подать может только пользователи, при этом он должен быть наделён 'правом передача запроса'?
Offline Захар Тихонов  
#14 Оставлено : 20 августа 2019 г. 13:43:31(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
если две подписи оператора, то будет работать.
это штатная работа, как в Консоли ЦР.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#15 Оставлено : 20 августа 2019 г. 13:51:19(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
если две подписи оператора, то будет работать.
это штатная работа, как в Консоли ЦР.


Просьба уточнить:
т.е. в данной схеме необходимо всех пользователей, которые будут подавать запросы, подписывая их своими временными сертификатами, наделить правом 'Передача запросов';
в противном случае, не имея данного права, будет либо возникать ошибка 'Пользователь, подписавший запрос, не совпадает с пользователем, передавшим изменение', либо сертификат при обработке запроса будет выдан для Сервера ИС (который накладывает вторую подпись)?
Offline Захар Тихонов  
#16 Оставлено : 20 августа 2019 г. 13:56:31(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Передача запроса требуется иметь оператору, чьим сертификатом одобряется такой подписанный запрос.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#17 Оставлено : 20 августа 2019 г. 14:04:50(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Передача запроса требуется иметь оператору, чьим сертификатом одобряется такой подписанный запрос.



В данном случае вроде как так и есть:

Сервер приложения выступает в роли Оператора и имеет право "Передача запроса", но УЦ такой запрос не принимает:(
не нравится наличие пользовательской подписи?

Отредактировано пользователем 20 августа 2019 г. 14:08:19(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#18 Оставлено : 20 августа 2019 г. 14:52:43(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Приложите подписанный запрос.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
NEW DME оставлено 20.08.2019(UTC)
Offline NEW DME  
#19 Оставлено : 20 августа 2019 г. 15:04:00(UTC)
NEW DME

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.10.2018(UTC)
Сообщений: 101

Сказал(а) «Спасибо»: 82 раз
Поблагодарили: 1 раз в 1 постах
Автор: Захар Тихонов Перейти к цитате
Приложите подписанный запрос.


test.txt (16kb) загружен 5 раз(а).
Offline Захар Тихонов  
#20 Оставлено : 20 августа 2019 г. 16:03:32(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,546
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 29 раз
Поблагодарили: 449 раз в 433 постах
Приложите уже дважды подписанный запрос.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.