logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline stempid468  
#1 Оставлено : 14 февраля 2020 г. 10:47:40(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Добрый день.
Разворачиваю тестовый DSS на с помощью скрипта DSS_Quikstart c сайта. Развертывание останавливается на этапе регистрации криптопровайдера (папка с гаммой создалась на диске.)
dss_error1
Прошу подсказать в чем может быть причина ?
Offline Андрей Солдатов  
#2 Оставлено : 14 февраля 2020 г. 11:02:11(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 103
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 19 раз в 17 постах
Автор: stempid468 Перейти к цитате
Добрый день.
Разворачиваю тестовый DSS на с помощью скрипта DSS_Quikstart c сайта. Развертывание останавливается на этапе регистрации криптопровайдера (папка с гаммой создалась на диске.)
dss_error1
Прошу подсказать в чем может быть причина ?


Добрый день.
Созданную гамму нужно добавить в КриптоПро CSP.
В руководстве по использованию "Быстрого старта", в п. 4 "Установка и настройка КриптоПро CSP", написано, как добавить гамму в КриптоПро CSP.
Руководство можете скачать здесь.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
stempid468 оставлено 14.02.2020(UTC)
Offline stempid468  
#3 Оставлено : 14 февраля 2020 г. 11:23:22(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Да спасибо помогло, но теперь идет загвоздка с настройкой доверительных отношений
dss_error2
Offline Андрей Солдатов  
#4 Оставлено : 14 февраля 2020 г. 18:11:31(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 103
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 19 раз в 17 постах
Автор: stempid468 Перейти к цитате
Да спасибо помогло, но теперь идет загвоздка с настройкой доверительных отношений
dss_error2


Повторно запустите скрипт, выберите п. 4.
Далее - убедитесь, что в хранилище сертификатов "Личное" локального компьютера не осталось сертификатов, оставшихся от прошлых запусков скрипта (с именами sts, signserver, frontend и analyticsservice) и еще раз выполните настройку с помощью скрипта.

Отредактировано пользователем 14 февраля 2020 г. 20:55:19(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#5 Оставлено : 17 февраля 2020 г. 9:20:21(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
К сожалению не помогло. После выполнения 4 пункта скрипта и перезагрузки проверил хранилище Личное и Доверенные корневые центры сертификации, там все чисто, сертификатов не осталось. Запустил заново, скрипт выдает ошибку на том же месте.
dss_error4
Может быть это как то связано с сообщением которое несколько раз появлялось в процессе развертывания ?
dss_error5
Offline Андрей Солдатов  
#6 Оставлено : 17 февраля 2020 г. 9:48:22(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 103
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 19 раз в 17 постах
Автор: stempid468 Перейти к цитате

Может быть это как то связано с сообщением которое несколько раз появлялось в процессе развертывания ?
dss_error5


Доброе утро.
Связано. На сообщении из скриншота видно, что выдача прав для пула приложений, по крайней мере, Frontend-а завершилась неудачей, т.к. в момент работы скрипта в хранилище сертификатов было найдено более одного сертификата с CN=Frontend.

Проверьте хранилище сертификатов локального компьютера на предмет наличия там сертификатов, оставшихся от прошлых запусков скрипта.
Можете воспользоваться поиском по имени субъекта.

Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
stempid468 оставлено 17.02.2020(UTC)
Offline stempid468  
#7 Оставлено : 17 февраля 2020 г. 12:22:14(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Сделал как вы посоветовали, в хранилище Личные, Доверенные коренные центры сертификации и в Промежуточные центры сертификации убрал все сертификаты предыдущих установок (особенно много было в хранилище Промежуточные ). Удалил все пунктом 4 скрипта, запустил заново, но в процессе все равно появляется сообщения что в хранилище они остались, хотя их там нет. Они могут еще где то храниться помимо этого ?

Отредактировано пользователем 17 февраля 2020 г. 12:32:16(UTC)  | Причина: Не указана

Offline stempid468  
#8 Оставлено : 17 февраля 2020 г. 13:42:03(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Благодарю за помощь.
Разобрался сам, забыл удалить предыдущие сертификаты в хранилище ПК (удалял только под текущим пользователем). Скрипт отработал, все запустилось.
Offline stempid468  
#9 Оставлено : 17 февраля 2020 г. 14:43:11(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
А такой еще момент вспомнил - имеется ли на тестовом DSS создание нескольких Операторов ? На боевом с применением HSM я представляю как это сделать, а есть ли такая возможность на DSS с использованием гаммы ?
Offline Андрей Солдатов  
#10 Оставлено : 17 февраля 2020 г. 14:55:59(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 103
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 19 раз в 17 постах
Автор: stempid468 Перейти к цитате
А такой еще момент вспомнил - имеется ли на тестовом DSS создание нескольких Операторов ?

Можете дополнительно создать сколько угодно операторов. Командлет для создания оператора есть в п. 4.5.8.10 руководства администратора DSS.

Также обратите внимание - по завершению работы скрипта на ЦИ DSS создается оператор с логином "admin".

Автор: stempid468 Перейти к цитате
На боевом с применением HSM я представляю как это сделать, а есть ли такая возможность на DSS с использованием гаммы ?

Гамма для создания операторов не тратится. Она тратится в данном случае для создания сертификатов операторов.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#11 Оставлено : 17 февраля 2020 г. 15:01:47(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
В том то и вопрос - как мне выпустить сертификат оператора ? В командлете указано что нужно прописать к нему путь.
Offline Андрей Солдатов  
#12 Оставлено : 17 февраля 2020 г. 17:07:46(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 103
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 19 раз в 17 постах
Автор: stempid468 Перейти к цитате
В том то и вопрос - как мне выпустить сертификат оператора ? В командлете указано что нужно прописать к нему путь.


Если интересует создание RSA-сертификата - в п. 6.2 руководства администратора DSS есть пример создания сервисного rsa-сертификата (можете использовать его для оператора).
Если нужен ГОСТ-сертификат - можете выпустить сертификат, например, на любом из тестовых УЦ.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#13 Оставлено : 17 февраля 2020 г. 17:33:01(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Выпустил сертификат на тестовом УЦ КриптоПро. Подскажите пожалуйста данных OID в сертификате хватит для регистрации Оператора ?
dss_error5
Offline Андрей Солдатов  
#14 Оставлено : 17 февраля 2020 г. 17:42:19(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 103
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 19 раз в 17 постах
Автор: stempid468 Перейти к цитате
Выпустил сертификат на тестовом УЦ КриптоПро. Подскажите пожалуйста данных OID в сертификате хватит для регистрации Оператора ?
dss_error5


Да, хватит.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#15 Оставлено : 18 февраля 2020 г. 10:09:54(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Добрый день.
Подскажите пожалуйста, выпустил сертификат, добавил оператора, но зайти под ним все равно не могу. Страница в браузере не отображается.
Offline Андрей Солдатов  
#16 Оставлено : 18 февраля 2020 г. 10:54:28(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 103
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 19 раз в 17 постах
Автор: stempid468 Перейти к цитате
Добрый день.
Подскажите пожалуйста, выпустил сертификат, добавил оператора, но зайти под ним все равно не могу. Страница в браузере не отображается.


Добрый день.
Прежде, чем Вы сможете использовать ГОСТ-сертификат оператора для аутентификации - нужно сделать следующее:
1. Создать ГОСТ-сертификат веб-сервера;
2. В диспетчере IIS Вашего сервера создать привязку на порт 4430 и указать сертификат, созданный в п. 1;
3. Выполнить на ЦИ настройку с помощью командлета: Set-DssStsProperties -SslAuthPort 4430
4. Перезагрузить пул приложений ЦИ.

Либо - создать RSA-сертификат оператора. В таком случае доп. привязок делать не нужно.

Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#17 Оставлено : 18 февраля 2020 г. 11:21:36(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Спасибо за разъяснение, мне для тестов будет достаточно RSA, но я застопорился на этапе выдачи разрешений на закрытую часть.
Выпустил сертификат согласно мануалу, но почему то пункт на выдачу отсутствует .
dss_qution
Offline Андрей Солдатов  
#18 Оставлено : 18 февраля 2020 г. 11:34:55(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 103
Мужчина
Российская Федерация
Откуда: Москва

Поблагодарили: 19 раз в 17 постах
Автор: stempid468 Перейти к цитате
Спасибо за разъяснение, мне для тестов будет достаточно RSA, но я застопорился на этапе выдачи разрешений на закрытую часть.
Выпустил сертификат согласно мануалу, но почему то пункт на выдачу отсутствует .
dss_qution


Выдавать права пулам приложений на ключ оператора не нужно.
Скопируйте ключ и сертификат в хранилище пользователя или перегенерируйте сертификат, указав в шаблоне для генерации "MachineKeySet=false" вместо true.

Далее - создайте оператора с новым сертификатом или укажите для уже существующего оператора новый сертификат.
Не забудьте добавить сертификат оператора в хранилище сертификатов ЦИ локального компьютера (по умолчанию - STS Client Authentication Issuers).
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
stempid468 оставлено 19.02.2020(UTC)
Offline stempid468  
#19 Оставлено : 18 февраля 2020 г. 12:13:27(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Параметр MachineKey не изменял (брал в исходном виде из мануала).
Добавил оператора, но в админскую часть все равно не пускает
dss_error45


отбой, догадался)

Отредактировано пользователем 18 февраля 2020 г. 17:03:00(UTC)  | Причина: Не указана

Offline stempid468  
#20 Оставлено : 19 февраля 2020 г. 9:59:57(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 43
Российская Федерация

Сказал(а) «Спасибо»: 18 раз
Добрый день.
Прошу подсказать - как поместить пользователя в группу, чтобы потом эту группу мог видеть только один оператор ?
Группы создал, но не могу понять как поместить туда пользователей. В веб-интерфейсе она не выбирается, стоит только группа по умолчанию.

Отбой, уже нашел)

Отредактировано пользователем 19 февраля 2020 г. 10:58:58(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.