Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline Alexmgaz  
#1 Оставлено : 19 мая 2020 г. 10:35:44(UTC)
Alexmgaz

Статус: Участник

Группы: Участники
Зарегистрирован: 29.04.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Краснодар

Добрый день! Используется КриптоПРО CSP 4.0.99.63, Windows Server 2012 R2 c развернутым RD Gateway'ем.Не получается установить сертификат на IIS выданный Гостовым центром сертификатов ( Microsoft Certificat Services + Крипто ПРО CSP 4.0.99.63) ошибка следующая:

A specified logon session does not exist. It may already have been terminated.(Exception from HRESULT:0x80070520)

Права для DefaultAppPool дали, более того уже пробовали и для Everyone попробовали дать никакого результата. Tic1.png (98kb) загружен 12 раз(а). Tic2.png (73kb) загружен 8 раз(а). Tic3.png (61kb) загружен 16 раз(а).
Tic1.png (98kb) загружен 6 раз(а).

Дело все в том, что у нас две среды тестовая и боевая. В тестовой среде провели развертывание КриптоПРО + MS CA + Remote Desktop Services( c использованием RD GAteway) + Winlogon все взлетело, были проблемы на разных этапах внедрения но все решили. Пользовались инструкцией ЖТЯИ.00087-01 92 01. Инструкция по использованию. Windows

Начали развертывание в боевой среде и столкнулись с такой проблемой, куда копать пока не понятно.
Offline Максим Коллегин  
#2 Оставлено : 19 мая 2020 г. 13:28:25(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Контейнер не должен иметь пин-кода и должен быть установлен в хранишище КОМПЬЮТЕРА. Носитель должен быть несъёмный.
Проверьте, что ссылка на ключ в сертификате указывает на этот контейнер - видно при тестировании контейнера. Флаг - CRYPT_MACHINE_KEYSET 0x00000020

Отредактировано пользователем 19 мая 2020 г. 13:29:48(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline Alexmgaz  
#3 Оставлено : 19 мая 2020 г. 16:59:52(UTC)
Alexmgaz

Статус: Участник

Группы: Участники
Зарегистрирован: 29.04.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Краснодар

Сертификат установлен в хранилище компьютера.
Хранилище реестр.
Что касается ссылок:
certificate in container match private key
certificate in store My
CN=xxx.xxx.xxxxx.ru
REGISTRY\\le-GOSTWebServer-84357724-46a0-4915-92f4-980020a88b31; Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider#81; dwFlags: 0x00000020; dwKeySpec: AT_KEYEXCHANGE#1
Offline Максим Коллегин  
#4 Оставлено : 19 мая 2020 г. 17:06:44(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А что в EventLog Application? Лицензия на CSP в порядке?
Знания в базе знаний, поддержка в техподдержке
Offline Alexmgaz  
#5 Оставлено : 19 мая 2020 г. 17:49:32(UTC)
Alexmgaz

Статус: Участник

Группы: Участники
Зарегистрирован: 29.04.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Краснодар

У нас используется сейчас тестовый период 3 месяца(ключи пока не задействовали) Но на тестовом стенде все то же самое с лицензиями и работает:). Крипто Про показывает серверную лицензию.
По поводу ошибок в журнале. В журнале Application нет каких либо связанных ошибок с IIS и криптопро. А в журнале System появляется ошибка

Schannel
Event ID:36871
User SYSTEM
A fatal error occurred while creating an SSL server credentional. The internal error state is 10005.
Offline Максим Коллегин  
#6 Оставлено : 19 мая 2020 г. 17:52:49(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А у вас случайно не активирован LSA Protected mode?
https://docs.microsoft.c...dditional-lsa-protection
Лучше читать на английском.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
Андрей * оставлено 20.05.2020(UTC)
Offline Alexmgaz  
#7 Оставлено : 20 мая 2020 г. 9:49:19(UTC)
Alexmgaz

Статус: Участник

Группы: Участники
Зарегистрирован: 29.04.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Краснодар

Да, действительно у нас активирован режим LSA Protected mode.
Отключили на серверах терминальной фермы, MS CA и контроллерах домена.
Сертификат на IIS привязался.
Спасибо!
Offline Alexmgaz  
#8 Оставлено : 20 мая 2020 г. 16:16:20(UTC)
Alexmgaz

Статус: Участник

Группы: Участники
Зарегистрирован: 29.04.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Краснодар

Столкнулись сейчас с ошибкой при в ходе по смарт карте

credentials could not be verified
Offline Максим Коллегин  
#9 Оставлено : 20 мая 2020 г. 16:20:39(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Нужно больше информации, при какой операции ошибка, что в логах, что в логе CAPI2 на всех участвующих машинах?
Знания в базе знаний, поддержка в техподдержке
Offline Alexmgaz  
#10 Оставлено : 20 мая 2020 г. 16:58:12(UTC)
Alexmgaz

Статус: Участник

Группы: Участники
Зарегистрирован: 29.04.2020(UTC)
Сообщений: 28
Российская Федерация
Откуда: Краснодар

Сейчас пытаюсь заставить работать Winlogon. Ошибка возникает при выполнении авторизации по смарт-карте на рабочей станции.
В логах приложения ничего нет. В логе CAPI2 на этой рабочей станции тоже.

На контроллере домена в журнале Application:

Source: Smart Card Logon

Event ID: 8

An error occurred while verifying a signed message using the inserted smart card: The parameter is incorrect.

57000780


RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.