logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline stempid468  
#1 Оставлено : 3 апреля 2020 г. 12:39:58(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
Прошу подсказать, интересует метод первичной аутентификации по сертификату в личный кабинет пользователя. В руководстве оператора написано что нужно заполнить компоненты имени пользователя либо из уже из существующего сертификата либо заполнить профиль пользователя самому. Я выбрал первый вариант, DSS написал что все данные успешно заполнены, но кнопка выпустить сертификат все равно не доступа. При наведении выводиться сообщение "не найден активный обработчик УЦ для выпуска сертификатов". Подскажите пожалуйста в чем может быть причина ?

Отредактировано пользователем 5 апреля 2020 г. 17:09:48(UTC)  | Причина: Не указана

Offline Андрей Солдатов  
#2 Оставлено : 5 апреля 2020 г. 18:27:34(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Добрый день.

Для аутентификации пользователя по сертификату необходимо загрузить файл сертификата пользователя, выбрав метод первичной аутентификации "По сертификату", а затем - включить данный метод.
После этого - можете попробовать пройти аутентификацию, используя загруженный сертификат.
Обратите внимание - компоненты имени из загружаемого сертификата должны точно совпадать с компонентами имени пользователя DSS.

Касательно уведомления "не найден активный обработчик УЦ для выпуска сертификатов" - для выпуска сертификатов в ЛК пользователя, используемых для аутентификации, необходимо зарегистрировать отдельный обработчик УЦ с помощью командлета Add-DssStsCryptoProCA20Enrollment. Требуемые для создания обработчика параметры здесь.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#3 Оставлено : 5 апреля 2020 г. 21:12:28(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Автор: Андрей Солдатов Перейти к цитате

Обратите внимание - компоненты имени из загружаемого сертификата должны точно совпадать с компонентами имени пользователя DSS.


Вот этот момент хотел уточнить немного подробней. У меня в ЛК пользователя есть поля, которые не заполнены (например ОГРН, ОГРНИП, Должность) и они также отсутствуют в сертификате который я подгрузил. Получается мне их надо убрать из ЛК и оставить только те которые совпадают в сертификате, чтобы я мог использовать этот метод аутентификации.
Надеюсь я правильно все рассудил ?)

Offline Андрей Солдатов  
#4 Оставлено : 5 апреля 2020 г. 22:51:16(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Автор: stempid468 Перейти к цитате
Автор: Андрей Солдатов Перейти к цитате

Обратите внимание - компоненты имени из загружаемого сертификата должны точно совпадать с компонентами имени пользователя DSS.


Вот этот момент хотел уточнить немного подробней. У меня в ЛК пользователя есть поля, которые не заполнены (например ОГРН, ОГРНИП, Должность) и они также отсутствуют в сертификате который я подгрузил. Получается мне их надо убрать из ЛК и оставить только те которые совпадают в сертификате, чтобы я мог использовать этот метод аутентификации.
Надеюсь я правильно все рассудил ?)



Не совсем. Должны совпадать именно заполненные компоненты имени.
Т.е., например, если Вы зарегистрировали в КриптоПро DSS пользователя с CN="Тест" и SN="Еще один тест", то в сертификате, который Вы загружаете для пользователя должны быть заполнены те же поля, теми же значениями.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
stempid468 оставлено 06.04.2020(UTC)
Offline stempid468  
#5 Оставлено : 6 апреля 2020 г. 14:01:42(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Спасибо.
Просьба подсказать по еще паре моментов - для аутентификации в ЛК подойдет неквалифицированный сертификат на ГОСТ ? И можно ли в данном случае использовать RSA - сертификаты ?
И есть необходимость поменять в ЛК пользователя отображение имени службы TSP (т.е. параметр Title из командлета Set-DssProperties - TSPList). В связи с этим вопрос можно поменять только этот параметр или нужно заново указывать службу как показано на примере ?
dss

Отредактировано пользователем 6 апреля 2020 г. 14:34:18(UTC)  | Причина: Не указана

Offline Андрей Солдатов  
#6 Оставлено : 6 апреля 2020 г. 18:42:04(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Добрый день.
Автор: stempid468 Перейти к цитате
Спасибо.
Просьба подсказать по еще паре моментов - для аутентификации в ЛК подойдет неквалифицированный сертификат на ГОСТ ?

Технически - подойдет.
Автор: stempid468 Перейти к цитате
И можно ли в данном случае использовать RSA - сертификаты ?

Можно, но только в случае, если в Set-DssStsProperties -SslAuthPort "Порт" указать порт, на котором в IIS привязан RSA-сертификат.
Автор: stempid468 Перейти к цитате
В связи с этим вопрос можно поменять только этот параметр или нужно заново указывать службу как показано на примере ?

Заново.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#7 Оставлено : 6 апреля 2020 г. 19:01:29(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Ок, тогда прошу подсказать такой момент - в комадлете присутствует параметр TSPlist Name – строковой идентификатор службы. Его изменение на что то повлияет если я задам другое значение или нужно использовать то которое было задано при первоначальной настройке ?
Offline Андрей Солдатов  
#8 Оставлено : 6 апреля 2020 г. 19:14:46(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Не повлияет.
Просто добавьте новую службу с нужными Вам настройками.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#9 Оставлено : 6 апреля 2020 г. 22:57:47(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Если я правильно понял то после добавления службы у меня в выпадающем списке в ЛК пользователя будет новая нужная мне служба. А есть возможность убрать старую, чтобы она не сбивала пользователя с толку ?
Offline Андрей Солдатов  
#10 Оставлено : 6 апреля 2020 г. 23:02:08(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Нет, если Вы будете следовать руководству по добавлению новой службы - после выполнения всех командлетов в списке у Вас будет одна служба, с новыми параметрами.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Андрей Солдатов за этот пост.
stempid468 оставлено 07.04.2020(UTC)
Offline stempid468  
#11 Оставлено : 7 апреля 2020 г. 9:59:31(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Все получилось, большое спасибо за помощь.
Offline stempid468  
#12 Оставлено : 7 апреля 2020 г. 19:53:53(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый вечер.
Хотел снова вернуться к аутентификации по сертификату для пользователя. Вопрос касательно синтаксиса команды Add-DssStsCryptoProCA20Enrollment. Подскажите пожалуйста что означают параметры CAServiceUrl и FolderID и где их можно посмотреть.
Заранее благодарен.
Offline Андрей Солдатов  
#13 Оставлено : 8 апреля 2020 г. 10:20:57(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Добрый день.

CAServiceUrl - адрес службы ЦР, вида https://hostname/RA/RegAuthLegacyService.svc
FolderID - идентификатор папки на ЦР, куда будут попадать пользователи и сертификаты, создаваемые через обработчик.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#14 Оставлено : 8 апреля 2020 г. 14:07:30(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Спасибо, буду пробовать.
Такой вопрос еще хотел задать, чтобы не плодить несколько веток на форуме.
Смотрел вашу презентацию про DSS и на слайде который на скриншоте указан тип аутентификации SSL-ГОСТ с использованием логина и пароля. Из описания вроде понятно что речь об первичной аутентификации с использованием логина и пароля пользователя, но прошу подсказать что данном контексте означает SSL-ГОСТ.

press
Offline Андрей Солдатов  
#15 Оставлено : 8 апреля 2020 г. 16:34:13(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Подключение к серверу DSS по протоколу TLS с использованием российских криптоалгоритмов с двусторонней аутентификацией.
Говоря проще - вход в ЛК DSS с предъявлением клиентского ГОСТ-сертификата.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#16 Оставлено : 8 апреля 2020 г. 17:39:32(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Хорошо, а в чем тогда его отличие от первого пункта (использование сертификата X.509) ?
Просто я это понимаю как, что в первом пункте подразумевается аутентификация с по сертификату, а вторая - по логину и пароль и с использованием защищенного протокола TLS.
Offline Андрей Солдатов  
#17 Оставлено : 8 апреля 2020 г. 18:56:40(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
1 вариант - установка защищенного соединения по ГОСТ, с предъявлением клиентского сертификата;
2 вариант - установка защищенного соединения ПО ГОСТ, с предъявлением связки логин-пароль.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#18 Оставлено : 9 апреля 2020 г. 15:53:42(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Добрый день.
Решил для пробы подключить на тестовом DSS, команда отработала успешно, но судя по команде запросы туда не доходят.
Подскажите пожалуйста в чем может быть причина ?
CA
Offline Андрей Солдатов  
#19 Оставлено : 9 апреля 2020 г. 18:21:14(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 156
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 1 раз
Поблагодарили: 32 раз в 29 постах
Добрый день.
Вероятно, указана некорректная ссылка в Url обработчика.
Попробуйте перейти по данной ссылке в браузере на сервере DSS.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline stempid468  
#20 Оставлено : 9 апреля 2020 г. 19:45:01(UTC)
stempid468

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.11.2019(UTC)
Сообщений: 137
Российская Федерация

Сказал(а) «Спасибо»: 40 раз
Да адрес был указан некорректно, он пока недоступен, но по другой причине.
А есть возможность убрать предыдущее подключение ?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.