logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Павел (DIRECTUM)  
#1 Оставлено : 22 ноября 2019 г. 6:42:00(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Тестовый стенд развернут.
Но, видимо, что-то при конфигурировании упустил. При попытке доступа к службе подписей из web интерфейса получаю ошибку.
Идет перенаправление на страницу центра идентификации для аутентификации.
Код:

Во время работы приложения произошла ошибка.

Информация об ошибке:


Cannot find a sign in context


В логах, как обычно, ничего нет.

Причем в центр идентификации удалось зайти и создать нового пользователя через web интерфейс.

Собственно вопрос, куда копать дальше?
Offline Грибанов Антон  
#2 Оставлено : 22 ноября 2019 г. 11:03:30(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
Добрый день.
Приложите пожалуйста скриншоты всей последовательности действий, вплоть до получения ошибки
Техническую поддержку оказываем тут
Наша база знаний
Offline Павел (DIRECTUM)  
#3 Оставлено : 22 ноября 2019 г. 11:59:24(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Собственно и прикладывать нечего особенно. В админской документации указан шаблон адреса для доступа к сервису подписей. По этому шаблону и ввожу адрес, с учетом имени приложения сайта.
1.png (7kb) загружен 12 раз(а). 2.png (25kb) загружен 16 раз(а).

Отредактировано пользователем 22 ноября 2019 г. 12:01:13(UTC)  | Причина: Не указана

Offline Грибанов Антон  
#4 Оставлено : 22 ноября 2019 г. 12:10:22(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
Скорее всего, проблема в cookie. Возможные причины:
1. В браузере какие-то ограничения на установку cookie. Можно попробовать добавить сайт в надёжные узлы.
2. Проверить зарегистрированные адреса, там где происходит редирект с HTTPS на HTTP
В идеале все ссылки на STS должны быть с HTTPS.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
Павел (DIRECTUM) оставлено 03.12.2019(UTC)
Offline Павел (DIRECTUM)  
#5 Оставлено : 22 ноября 2019 г. 14:10:01(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Все манипуляции идут на том же стенде, где развернуты службы. Все службы на одном стенде. В свойствах web ui адреса заданы через https протокол. Привязки настроены и через http, и через https. Прокси для домена не используется. Куки разрешены. Возможно, напортачил при конфигурировании сервиса подписей? Может быть предоставить какие-нибудь выводы командлетов?
Вот конфигурация web-ui (со страницей по умолчанию CertificatesList тоже пробовал)
PS C:\DSSFiles> Get-DSSFEProperties

SignServerAddress : https://<host>/SignServerApp/SignServiceExR.svc/token/nosc
StsAddress : https://<host>/STSApp/Active.svc/service
ServiceCertificate : <ServiceCertificate>
VsAddress :
CmisAddress :
AnalyticsServiceAddress :
IndexPage : Sign
RequireMutualHttps : False
EndpointRecieveTimeOut : 00:15:00
EndpointSendTimeOut : 00:15:00
MaxIisContentLength : 4194304
DisplayedAuditRecordsCount : 3
DisplayedAuditRecordsCodes : {34, 37, 62, 93}
ServiceIdentifier : urn:cryptopro:dss:frontend:dsswebuiapp
DisplayName : DssWebUI
Offline Грибанов Антон  
#6 Оставлено : 22 ноября 2019 г. 16:26:31(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
1.Адрес SignServerAddress должен быть с http:
https://<host>/SignServerApp/SignServiceExR.svc/token/nosc
2.Пришлите вывод следующих команд:
Get-DssSTSProperties
Get-DssFeWSFederationSettings | fl
Get-DssRelyingPartyTrust
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
Павел (DIRECTUM) оставлено 03.12.2019(UTC)
Offline Павел (DIRECTUM)  
#7 Оставлено : 25 ноября 2019 г. 7:36:24(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Спасибо за советы.

1. Изначально был настроен на http, затем уже искал варианты. Перенастроил. Привязки работают все: и http, и https. Проверял на доступ к файлам служб (svc) - описание доступно.
2.
Код:

PS C:\DSSFiles> Get-DssSTSProperties
ServiceCertificate                        : <ServiceCertificate>
LocalAuthorityName                        : realsts
AllowUserRegistration                     : True
PhoneConfirmation                         : False
PhoneConfirmationByOperator               : False
EmailConfirmation                         : False
EmailConfirmationByOperator               : False
DefaultTokenLifetime                      : 600
MaximumTokenLifetime                      : 1800
TransactionTimeOut                        : 300
OtpConfirmationTimeOut                    : 300
SslAuthPort                               :
SslAuthHostName                           :
MaxDocumentInfoSize                       : 256
MinOtpConfirmationTimeOut                 : 300
AvailableIdentitifers                     : {Login}
AppliesToValidationRequired               : True
AnalyticsServiceAddress                   :
AllowUserPrimaryAuthChange                : True
AllowUserSecondaryAuthChange              : True
RequireMutualHttps                        : False
AllowUserProfileChange                    : False
PasswordDisplayFormatList                 : {Screen}
LockUserAfterRegistration                 : False
TransactionMonitorInterval                : 10
ClientAuthenticationIssuersStoreName      : STSApp Client Authentication Issuers
IsClientAuthenticationIssuersStoreEnabled : True
MaxTransactionLifetime                    : 0
AllowCloudCspLicenseActivationByUser      : False
AllowedCorsOrigins                        :
CpMonitoringTimeout                       : 20
LicenseMonitoringTimeout                  : 600
DisplayName                               : STS


Код:

PS C:\DSSFiles> Get-DssFeWSFederationSettings | fl
HomeRealm    :
Issuer       : https://<host>/STSApp/sts/issue/
Realm        : https://<host>/DssWebUIApp
RequireHttps : False


Код:

PS C:\DSSFiles> Get-DssRelyingPartyTrust
Id                     : 4
DisplayName            : WebUI
Description            : Сервер электронной подписи КриптоПро DSS
EncryptionCertificate  : <EncryptionCertificate1>
DisableTokenEncryption : False
ForOperator            : True
AdministrativeUrl      : https://<host>/DssWebUIApp/Admins/
Enabled                : True
DisableActAs           : False
SupportsBackChannel    : False
BackChannelUrl         :
Identities             : {A235D3DFBC07591F86D2C53F09739C60C45421B7, https://<host>/DssWebUIApp, https://<host>/DssWebUIApp/Admins/, urn:cryptopro:dss:frontend:dsswebuiapp}

Id                     : 5
DisplayName            : SignServer
Description            :
EncryptionCertificate  : <EncryptionCertificate2>
DisableTokenEncryption : False
ForOperator            : False
AdministrativeUrl      :
Enabled                : True
DisableActAs           : True
SupportsBackChannel    : True
BackChannelUrl         : https://<host>/SignServerApp/SignService.svc/transactiontokens
Identities             : {https://<host>/SignServerApp/rest, https://<host>/SignServerApp/rest/api, https://<host>/SignServerApp/SignService.svc/transactiontokens, urn:cryptopro:dss:signserver:signserverapp}
Offline Грибанов Антон  
#8 Оставлено : 26 ноября 2019 г. 12:43:42(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
В выводе Get-DssFeWSFederationSettings | fl
у Вас параметр Realm : https://<host>/DssWebUIApp
Измените его на https://<host>/DssWebUIApp/
Перезапустите пулл, проверьте работу
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
Павел (DIRECTUM) оставлено 03.12.2019(UTC)
Offline Грибанов Антон  
#9 Оставлено : 26 ноября 2019 г. 13:00:27(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
В случае повторения ошибки, откройте IE, нажмите F12, перейдите на вкладку "сеть", нажмите зелёный треугольник, воспроизведите ошибку.
Сохраните лог в HAR-формате и пришлите.

Отредактировано пользователем 26 ноября 2019 г. 13:01:14(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
Павел (DIRECTUM) оставлено 03.12.2019(UTC)
Offline Павел (DIRECTUM)  
#10 Оставлено : 26 ноября 2019 г. 13:26:02(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Эффекта не дало.

У меня вопрос по выводу Get-DssRelyingPartyTrust
Для web морды в выводе есть какой-то хеш (м.б. слепок сертификата) - Identities: {A235D3DFBC07591F86D2C53F09739C60C45421B7
А для сервиса подписи его нет... Может быть какой-то косяк при конфигурировании в самом сервисе подписи?
Offline Павел (DIRECTUM)  
#11 Оставлено : 26 ноября 2019 г. 13:40:46(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Прилагаю трейс. Надеюсь хоть что-то прояснится. trace.har (346kb) загружен 1 раз(а).
Offline Грибанов Антон  
#12 Оставлено : 27 ноября 2019 г. 11:30:22(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
По присланному логу видно, что Ваш браузер не отправляет куки. Попробуйте выполнить полный сбор настроек, а затем добавить в доверенные сам сайт, и проверить работу

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
Павел (DIRECTUM) оставлено 03.12.2019(UTC)
Offline Павел (DIRECTUM)  
#13 Оставлено : 28 ноября 2019 г. 12:30:25(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Спасибо.
Удалил из разрешенных домен. Добавил полное имя хоста.
Внешне в настройках ничего не изменилось. Сбросил кеш.
Удалось зарегистрировать пользователя. Но после входа получаю ошибку.
Код:

Во время работы приложения произошла ошибка.

Информация об ошибке:
Запрос HTTP запрещен для схемы аутентификации клиентов "Anonymous".


По трейсу обламываются два первых запроса. Возможно, на уровне IIS'а что-то надо подправить? С ходу не нашел параметры конфигурирования... Не силен в IIS. Сейчас рою интернеты. Что-то найду - допишу решение. Но, возможно, что-то элементарное пропустил и быстрее тут ткнут в нужном направлении...
trace.har (497kb) загружен 0 раз(а).
Offline Грибанов Антон  
#14 Оставлено : 29 ноября 2019 г. 9:08:24(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
Ошибка "Запрос HTTP запрещен для схемы аутентификации клиентов "Anonymous""
Причины и как исправить:
1. Нет доступа к закрытому ключу сервисного сертификата.
2. У сервисного сертификата нет клиентской аутентификации.
3. В доверенных корневых есть не самоподписанный сертификат. Посмотреть это можно командой:
Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Грибанов Антон за этот пост.
Павел (DIRECTUM) оставлено 03.12.2019(UTC)
Offline Павел (DIRECTUM)  
#15 Оставлено : 29 ноября 2019 г. 15:41:36(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Спасибо.

1. Доступ к закрытым ключам есть - перепроверили - наколенная утилита, которая по слепку сертификата подписывает им произвольные данные. Запросов пинов не было. Работала от пользователя пула приложений DSS.
2. Тоже есть - перепроверили.
3. Доменными политиками зачем-то ставились несколько таких сертификатов. Удалили из доверенных корневых.

Но ошибка осталась. Может быть проблема с сервисными сертификатами? Это самоподписанные RSA по SHA1. Может быть стоит заменить их на ГОСТ?

Отредактировано пользователем 29 ноября 2019 г. 15:45:10(UTC)  | Причина: Не указана

Offline Грибанов Антон  
#16 Оставлено : 29 ноября 2019 г. 16:01:15(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
DSS умеет работать как с ГОСТ так и с RSA. Для каждого из компонентов DSS был создан отдельный сертификат?
Сертификат создавали по примеру из документации?
Техническую поддержку оказываем тут
Наша база знаний
Offline Павел (DIRECTUM)  
#17 Оставлено : 2 декабря 2019 г. 6:59:24(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Сертификаты созданы разные по примерам из документации.
Offline Грибанов Антон  
#18 Оставлено : 3 декабря 2019 г. 9:01:12(UTC)
Грибанов Антон

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.06.2014(UTC)
Сообщений: 404

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 48 постах
>Но после входа получаю ошибку.
Опишите подробнее, как происходит вход, какие средства аутентификации Вы используете? Ошибка как под пользователем, так и админом?
Техническую поддержку оказываем тут
Наша база знаний
Offline Павел (DIRECTUM)  
#19 Оставлено : 3 декабря 2019 г. 10:30:05(UTC)
Павел (DIRECTUM)

Статус: Участник

Группы: Участники
Зарегистрирован: 27.08.2019(UTC)
Сообщений: 19
Российская Федерация

Сказал(а) «Спасибо»: 6 раз
Спасибо большое за советы. Благодаря им удалось пройти больше итераций настройки. Разработка закончена. Ваш демо стенд в этом помог. Работы по локальному стенду приостановлены. Возможно, была допущена ошибка при начальном конфигурировании. При возобновлении работ либо тут отпишется ответственный сотрудник, либо через поддержку будет обращение.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.