logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SlipKo  
#1 Оставлено : 12 мая 2020 г. 13:14:48(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Добрый день!

Провожу стендирование решения с использованием стороннего УЦ (в качестве такового выступает локальный CA на Win2012 + CryptoPro 4). Сделал по инструкции requestы, выдал в УЦ на их основании серты и установил их на все ноды стенда (1 MGMT, 1 Gate (пока), 1 АРМ администратора). При попытке привязать сертификат АРМа администратора в ng-certcfg процесс проходит успешно, службы перезапускаются, но после этого Show certificate выдает сообщение, что сертификата нет и попытка зайти на MGMT node с АРМа завершается 400ым сообщением nginx: no required ssl certificate was sent.

P.S. Тестирую сертифицированную версию, скачанную с офф сайта.
Offline Павел Заика  
#2 Отправлено: : 13 мая 2020 г. 13:21:40(UTC)
Павел Заика

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.06.2019(UTC)
Сообщений: 11
Мужчина
Российская Федерация

Добрый день!

попытка зайти на MGMT node с АРМа завершается 400ым сообщением nginx: no required ssl certificate was sent.
Какой браузер используете?
Что вводите в адресной строке?
Сертификат администратора установлен в личные пользователя с привязкой к закрытому ключу?
Техническую поддержку оказываем тут.
Наша база знаний
Offline SlipKo  
#3 Оставлено : 13 мая 2020 г. 14:38:00(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Здравствуйте!

1. Использовал Яндекс Браузер и IE
2. https://ngate-mgmt:8000
Сделал для ноды управления имя ngate-mgmt, с этим именем выдал сертификат, его же прописал в hosts на Win машине администратора.
В логах вижу:
2020/05/13 13:21:58 [emerg] 6924#0: *6 SSPI_do_handshake() failed while SSPI handshaking, client: 192.168.0.2, server: 192.168.0.1:8000
2020/05/13 13:21:58 [error] 6924#0: *7 AcceptSecurityContext failed: 0x80090326 while SSPI handshaking, client: 192.168.0.2, server: 192.168.0.1:8000
3. Сертификат установлен.

Пока ждал ответа не сидел сложа руки: попробовал переделать все на внутреннем УЦ ngate. Для этого заново поднял ngate-mgmt и ngate-1 (нода кластера). Проблема с 400 кодом осталась.

Замечание: в документации весьма слабо описаны требования к настройке сетевых интерфейсов. Нет понимания как можно комбинировать роли интерфейсов и можно ли это делать.
1. Не понятно какая роль должна быть на интерфейсе устройства управления который смотрит в сторону шлюзов.
2. Можно ли healthcheck сделать на интерфейсе управления или внутреннем интерфейсе.

Отредактировано пользователем 13 мая 2020 г. 15:15:49(UTC)  | Причина: Не указана

Offline Павел Заика  
#4 Оставлено : 13 мая 2020 г. 16:45:29(UTC)
Павел Заика

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.06.2019(UTC)
Сообщений: 11
Мужчина
Российская Федерация

На ПК администратора запустите КриптоПро CSP и выполните тестирование контейнера ЗК ключа администратора.
Результат тестирования сохраните в файл и прикрепите к сообщению.
Техническую поддержку оказываем тут.
Наша база знаний
Offline SlipKo  
#5 Оставлено : 13 мая 2020 г. 17:06:29(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Автор: Павел Заика Перейти к цитате
На ПК администратора запустите КриптоПро CSP и выполните тестирование контейнера ЗК ключа администратора.
Результат тестирования сохраните в файл и прикрепите к сообщению.


testirovanie KZK.txt (3kb) загружен 4 раз(а).
Offline Андрей Куликов  
#6 Оставлено : 13 мая 2020 г. 20:01:26(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 107
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 4 раз в 3 постах
Автор: SlipKo Перейти к цитате
Проблема с 400 кодом осталась.

400-й код и отсутствие запроса на сертификат админа в бразуере говорит о том что у вас скорее всего корневой не установлен в Trusted Root.

Offline SlipKo  
#7 Оставлено : 14 мая 2020 г. 10:32:44(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Автор: Андрей Куликов Перейти к цитате
Автор: SlipKo Перейти к цитате
Проблема с 400 кодом осталась.

400-й код и отсутствие запроса на сертификат админа в бразуере говорит о том что у вас скорее всего корневой не установлен в Trusted Root.



Ну тогда бы при клике на замочек в браузере я не видел и такой картинки.
1.png (8kb) загружен 7 раз(а).

Отредактировано пользователем 14 мая 2020 г. 10:33:38(UTC)  | Причина: Не указана

Offline Павел Заика  
#8 Оставлено : 14 мая 2020 г. 16:22:48(UTC)
Павел Заика

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.06.2019(UTC)
Сообщений: 11
Мужчина
Российская Федерация

Используйте csptest для проверки:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server <servername> -port 8000 -u <CN_from_admin_cert> -v


Приложите результат выполнения команды полностью.
Техническую поддержку оказываем тут.
Наша база знаний
Offline SlipKo  
#9 Оставлено : 14 мая 2020 г. 17:43:31(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Автор: Павел Заика Перейти к цитате
Используйте csptest для проверки:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server <servername> -port 8000 -u <CN_from_admin_cert> -v


Приложите результат выполнения команды полностью.


C:\Program Files\Crypto Pro\CSP>csptest.exe -tlsc -server ngate-mgmt -port 8000
-u arm -v
An error occurred in running the program.
tmain.c:1650:CertFindCertificateInStore
Error number 0x80092004 (-2146885628).
Объект или свойство не найдено.


**** Error 0x80092004 returned by CertFindCertificateInStore
An error occurred in running the program.
WebClient.c:607:Error creating credentials.
Error number 0x8009030e (-2146893042).
В пакете безопасности отсутствуют учетные данные

Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,031 sec
[ErrorCode: 0x8009030e]


Прикладываю серт и изображение оснастки сертификатов. 2.png (35kb) загружен 6 раз(а). arm.cer (1kb) загружен 0 раз(а).

Отредактировано пользователем 14 мая 2020 г. 17:44:12(UTC)  | Причина: Не указана

Offline Андрей Куликов  
#10 Оставлено : 14 мая 2020 г. 21:25:29(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 107
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 4 раз в 3 постах
Поставьте сертификат текущему пользователю в хранилище.
Сейчас он у вас в хранилище локального компьютера.

Отредактировано пользователем 14 мая 2020 г. 21:26:48(UTC)  | Причина: Не указана

Offline SlipKo  
#11 Оставлено : 15 мая 2020 г. 11:00:25(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Автор: Андрей Куликов Перейти к цитате
Поставьте сертификат текущему пользователю в хранилище.
Сейчас он у вас в хранилище локального компьютера.


C:\Program Files\Crypto Pro\CSP>csptest.exe -tlsc -server ngate-mgmt -port 8000 -u arm -v
#0:
Subject: CN=arm, C=RU, O=SlipKo, OU=Serv
Valid : 13.05.2020 09:54:12 - 13.05.2023 09:54:12 (UTC)
Issuer : CN=nGate Management Console, C=RU, O=SlipKo, OU=nGate MC Certificate Au
thority


Client certificate:
Subject: CN=arm, C=RU, O=SlipKo, OU=Serv
Valid : 13.05.2020 09:54:12 - 13.05.2023 09:54:12 (UTC)
Issuer : CN=nGate Management Console, C=RU, O=SlipKo, OU=nGate MC Certificate Au
thority

Error 0x80092012 ((unknown)) returned by CertVerifyCertificateChainPolicy!
Error 0x80092012 authenticating client credentials
An error occurred in running the program.
WebClient.c:607:Error creating credentials.
Error number 0x80092012 (-2146885614).
Функция отзыва не смогла произвести проверку отзыва для сертификата.

Total: SYS: 0,047 sec USR: 0,016 sec UTC: 0,108 sec
[ErrorCode: 0x80092012]


Скопировал контейнер закрытого ключа из "Компьютера" в "Пользователя" и установил сертификат в "Текущего пользователя" с привязкой закрытого ключа.

Также в процессе публикации конфигурации возникает ошибка.
3.png (61kb) загружен 3 раз(а).

Отредактировано пользователем 15 мая 2020 г. 17:20:37(UTC)  | Причина: Исправил вывод команды

Offline Андрей Куликов  
#12 Оставлено : 15 мая 2020 г. 13:57:00(UTC)
Андрей Куликов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.10.2010(UTC)
Сообщений: 107
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 2 раз
Поблагодарили: 4 раз в 3 постах
Автор: SlipKo Перейти к цитате

Также в процессе публикации конфигурации возникает ошибка.

Сгенерируйте ключи защиты сессий и ключа синхронизации с помощью утилиты ng-certcfg

Offline SlipKo  
#13 Оставлено : 15 мая 2020 г. 15:01:13(UTC)
SlipKo

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.05.2020(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Автор: Андрей Куликов Перейти к цитате
Автор: SlipKo Перейти к цитате

Также в процессе публикации конфигурации возникает ошибка.

Сгенерируйте ключи защиты сессий и ключа синхронизации с помощью утилиты ng-certcfg



Действительно - упустил данный момент. Спасибо!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.