Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline vadjunik  
#1 Оставлено : 3 ноября 2021 г. 16:00:00(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Приветствую!
По прошествии нескольких лет после того, как я разбирался с УЦ, меня опять привлекли к решению проблемы с ним, в частности "ничего не работает" )) Как я понимаю, после успешной настройки комплекса, был отлажен наш код и про сервер благополучно забыли (перешли в контур клиента). Но вот понадобилось вернуть процесс отладки у себя внутри. Выяснилось, что УЦ потерял работоспособность - попротухали сертификаты ( Судя по картине, которую я наблюдаю были некие судорожные попытки оживить, но успеха не достигли - реестр забит одноименными сертификатами админов и самого ЦС, где не попадя ( С разными сроками годности, где-то с приватными ключами, где-то нет.
Очень не хочется сносить и переставлять.
Можете помочь с оживлением полутрупа? )
Лицензии все обновил (партнерские, неограниченные).

Была идея в том, чтобы не трогая существующие настройки (сертификаты, пользователи и пр.) создать новые, оживить функционал и потом зачистить все старое. В результате неаккуратного взмаха шашкой (хотел удалить админа) удалил из ветки "Центры регистрации" сервера ЦС, существовавший там, ЦР. Однако, сама служба ЦР никуда не далась и присутствует рядом. Но при попытке добавить ЦР, консоль мне предлагает только создание новый. Есть варианты?

UserPostedImage

В итоге образовалось несколько проблем - не могу создать нового админа ЦР. Сам ЦР (через свою консоль) не может подключиться к ЦС.
При попытке зайти браузером на страницу ЦР (https://ib-crypto1/RA) - 503-я ошибка. Хотя сам сервис работает. При проверке связи с ЦС из консоли ЦР - "Не удается установить связь с центром регистрации".

По рекомендации, которую нашел тут на форуме, снял лог (https://yadi.sk/d/Q2zmv8DcWwFRDw).

Отредактировано пользователем 3 ноября 2021 г. 16:03:25(UTC)  | Причина: Симантика

Offline Захар Тихонов  
#2 Оставлено : 3 ноября 2021 г. 16:11:27(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Здравствуйте.
Если лицензии все введены, то процесс восстановления прост.
1. Требуется действующий ключ ЦС. У вас три админа, не ясно для чего, но хоть у одного должен быть действующий ключ ЦС. Если нет ни у кого действующего ключа, то выберете любого и выполните смену ключа ЦС.
2. Смените веб сертификат ЦС. Сервер ЦС - службы. Там кнопка "+". DNS имя укажите которое было в старом веб сертификате (наверно оно будет равным dns имени сервера).
3. То что вы удалили ЦР - не страшно. Добавляете там новый ЦР. Там будет предложение указать клиентский сертификат ЦР - выбирайте пункт создать новый ключ. Остальное следуйте мастеру.
4. Сервер ЦР - Изменить, следуйте мастеру, когда будет выбор клиентского сертификата, выберите тот сертификат который вы получили на шаге 3.
5. Выпускайте сертификат Администратору ЦР.

Подробно шаги по выпуску сертификатов описаны в ЖТЯИ.00078-01 90 03. ПАК КриптоПро УЦ 2.0. Руководство по эксплуатации
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#3 Оставлено : 3 ноября 2021 г. 16:48:23(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Если лицензии все введены, то процесс восстановления прост.

Это не может не радовать ))

Автор: Захар Тихонов Перейти к цитате
1. Требуется действующий ключ ЦС. У вас три админа, не ясно для чего
Два админа были сделаны не мной (зачем - хз, подозреваю, что предшественники шли примерно моим же путем)), насчет смены ключа мысль была, но решил что будет нагляднее создать начисто нового, мой - Цезарь - ключ у него актуальный. В последствии хочу старых удалить, надеюсь, это же возможно сделать безболезненно?

Автор: Захар Тихонов Перейти к цитате
3. То что вы удалили ЦР - не страшно. Добавляете там новый ЦР. Там будет предложение указать клиентский сертификат ЦР - выбирайте пункт создать новый ключ. Остальное следуйте мастеру.


UserPostedImage

ЦР создался, видимо, по имени хоста подтянулись старые уже просроченные сертификаты. Их можно как-то удалить?

Автор: Захар Тихонов Перейти к цитате
когда будет выбор клиентского сертификата, выберите тот сертификат который вы получили на шаге 3.
Однако, этот сертификат не предлагает - только веб-сертификат самого ЦС и несколько старых протухших (

Отредактировано пользователем 3 ноября 2021 г. 16:56:45(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#4 Оставлено : 3 ноября 2021 г. 16:59:44(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Автор: vadjunik Перейти к цитате

ЦР создался, видимо, по имени хоста подтянулись старые уже просроченные сертификаты. Их можно как-то удалить?


Вы указали старую учетку, они сертификаты привязаны к учетке в IIS system.webServer/security/authentication/iisClientCertificateMappingAuthentication
Да, их можно удалить, если вам они мешают.

Автор: vadjunik Перейти к цитате
Однако, этот сертификат не предлагает - только веб-сертификат самого ЦС и несколько старых протухших (


Выбирайте пункт из Файла, а не из хранилища. И выберите тот сертификат который вы сохранили из шаге 3.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#5 Оставлено : 3 ноября 2021 г. 18:15:28(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Выбирайте пункт из Файла, а не из хранилища. И выберите тот сертификат который вы сохранили из шаге 3.

Ок. Да, продвинулся. Теперь при проверки связи с ЦР из "консоли ЦР" пишет, что "произошла непредвиденная ошибка", за подробностями в журнал, в журнале следующее:

Код:
При синхронизации количества пользователей с ЦС Пробный корневой УЦ получено исключение.
System.ServiceModel.Security.MessageSecurityException: Запрос HTTP запрещен для схемы аутентификации клиентов "Anonymous". ---> System.Net.WebException: Удаленный сервер возвратил ошибку: (403) Запрещено.
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   --- Конец трассировки внутреннего стека исключений ---

Server stack trace: 
   в System.ServiceModel.Channels.HttpChannelUtilities.ValidateAuthentication(HttpWebRequest request, HttpWebResponse response, WebException responseException, HttpChannelFactory`1 factory)
   в System.ServiceModel.Channels.HttpChannelUtilities.ValidateRequestReplyResponse(HttpWebRequest request, HttpWebResponse response, HttpChannelFactory`1 factory, WebException responseException, ChannelBinding channelBinding)
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   в System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)
   в System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
   в System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
   в System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]: 
   в System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
   в System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
   в CertificateService.ServiceContracts.ICertRequestContract.UpdateRegInfo(String authority, Boolean isIncreased, Int32 updatedUserCount)
   в CertificateService.Client.CertRequestContractAdapter.UpdateRegInfo(String authority, Boolean isIncreased, Int32 updatedUserCount)
   в RegistrationService.RegSrv.CertAuthClient.UpdateRegInfo(String authorityName, String authorityUrl, Byte[] clientCertificate, Int32 userCount)
   в RegistrationService.RegSrv.UpdateRegInfoTask.Execute(IScriptContext`1 context)


Все происходит на одной физической машине, зачем консоль ходит через прокси?
И продолжает смущать, что по веб-интерфейсу ЦР (https://ib-crypto1/RA) 503-я ошибка. Или это нормально?

Отредактировано пользователем 3 ноября 2021 г. 18:18:26(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#6 Оставлено : 8 ноября 2021 г. 8:15:10(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Автор: vadjunik Перейти к цитате

Все происходит на одной физической машине, зачем консоль ходит через прокси?

Есть DNS имя на которое ходит Консоль ЦР. Видимо так устроена ваша сеть, что надо ходить на прокси. Либо исключайте прокси, либо указывайте его в конфиге

Цитата:

Настройки прокси можно регулировать с помощью элемента <defaultProxy> в конфигурационном файле Консоли управления ЦР (RegistrationService.RemoteConsole.exe.config).

Описание - https://msdn.microsoft.c...cf2ex%28v=vs.110%29.aspx

По умолчанию этого элемента нет, означает использование настроек Internet Explorer, но без использования учетных данных для доступу к прокси. Чтобы использовались учётные данные, нужно установить useDefaultCredentials в true:

<system.net>
<defaultProxy useDefaultCredentials="true"/>
</system.net>



но ошибка не похожа на прокси. Пришлите вывод выполнения команды Ping-CA в командной строке управления УЦ (администратор)
И приложите ваш веб сертификат.

Автор: vadjunik Перейти к цитате

И продолжает смущать, что по веб-интерфейсу ЦР (https://ib-crypto1/RA) 503-я ошибка. Или это нормально?

Да, нормально. Надо ходить либо на веб портал ЦР https://ib-crypto1/ui, либо на сервис http://ib-crypto1/RA/TableService.svc (с предъявлением сертификата)


Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#7 Оставлено : 8 ноября 2021 г. 10:23:27(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
но ошибка не похожа на прокси. Пришлите вывод выполнения команды Ping-CA в командной строке управления УЦ (администратор)


Код:
PS C:\> Get-CAReference

AuthorityName     : Пробный корневой УЦ 2012 (512)
Url               : https://ib-crypto1/ca
ClientCertificate : [Subject]
                      CN=IBRC20, CN=ib-crypto1, OU=ПЦ, O=R-Style softlab, L=Москва

                    [Issuer]
                      CN=Пробный корневой УЦ 2012 (512), O=R-Style softlab, OU=ПЦ, L=Москва, ИНН=771919844000, ОГРН=1027700301991

                    [Serial Number]
                      11E65A7C290C009A90EC11AA3C15B1B41C

                    [Not Before]
                      03.11.2021 16:19:54

                    [Not After]
                      03.02.2023 16:29:54

                    [Thumbprint]
                      B7496E5699E43115C953420CE25982CC50DA9D55

Primary           : True
RevokeOnly        : False

AuthorityName     : Пробный корневой УЦ
Url               : https://ib-crypto1/ca
ClientCertificate : [Subject]
                      CN=Пробный ЦР, CN=ib-crypto1, OU=ТЕСТ, O=ТЕСТ, L=Москва, S=Москва, C=RU

                    [Issuer]
                      CN=Пробный корневой УЦ, O=ТЕСТ, OU=ТЕСТ, STREET=ТЕСТ, L=Москва, S=Москва, C=RU, ИНН=007717107991, ОГРН=1037700085444

                    [Serial Number]
                      00E65A7C290C00EE91E7112DC90122EFD7

                    [Not Before]
                      14.11.2017 14:10:41

                    [Not After]
                      14.02.2019 14:20:41

                    [Thumbprint]
                      4AFEAFE97B65FC9CEA4CDADCAD120DFFDAAE7CC2

Primary           : False
RevokeOnly        : False



PS C:\> Ping-CA -AuthorityName "Пробный корневой УЦ 2012 (512)"
Ping-CA : Центр регистрации не имеет достаточно прав для обращения к центру сертификации Пробный корневой УЦ 2012 (512).
At line:1 char:1
+ Ping-CA -AuthorityName "Пробный корневой УЦ 2012 (512)"
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand



Обычный ЦС (с ГОСТ 2001) не используется (только с ГОСТ 2012). Видимо тож остался с прошлых экспериментов.

Автор: Захар Тихонов Перейти к цитате
И приложите ваш веб сертификат.

Речь про сертификат, который использован при добавлении ЦР в ЦС же?
Вот этот?

UserPostedImage

Положил на ЯД https://yadi.sk/d/xvCCL4e6y1DQ0w

Отредактировано пользователем 8 ноября 2021 г. 10:24:34(UTC)  | Причина: Ошибка в разметке ответа

Offline Захар Тихонов  
#8 Оставлено : 8 ноября 2021 г. 10:43:57(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
А прокси у вас используется?
Какие права у учетной записи ЦР настроены в безопасность и аудит? 2.png (73kb) загружен 3 раз(а).
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#9 Оставлено : 8 ноября 2021 г. 12:04:26(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
А прокси у вас используется?

UserPostedImage

Указан, но доступ только авторизованный (доменный логин/пароль). Проверил с отключением прокси - точно такая же картина. Консоль ЦР перезапускал.

Автор: Захар Тихонов Перейти к цитате
Какие права у учетной записи ЦР настроены в безопасность и аудит?


Права полные:
UserPostedImage

Вот еще на всяк случай - серт, определенный для админа ЦР

UserPostedImage

и он же используется для подключения к ЦР из консоли, верно?

UserPostedImage

Отредактировано пользователем 8 ноября 2021 г. 12:32:46(UTC)  | Причина: Проверка со сменой настройки прокси

Offline Захар Тихонов  
#10 Оставлено : 8 ноября 2021 г. 12:37:42(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
а точно эта учетка у ЦР (посмотреть можно перейдя на вкладку Центры регистрации)?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#11 Оставлено : 8 ноября 2021 г. 12:47:14(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
а точно эта учетка у ЦР (посмотреть можно перейдя на вкладку Центры регистрации)?
Не понял, о какой вкладке речь? ( Где конкретно глянуть - можно скрин со стрелкой?

Про это?

UserPostedImage

Действительно, не тот акаунт был выбран и прав у него не было. Установил, но разницы нет.

UserPostedImage

Перезапустить все сервисы?

Отредактировано пользователем 8 ноября 2021 г. 13:09:09(UTC)  | Причина: Добавил параметры акаунта

Offline Захар Тихонов  
#12 Оставлено : 8 ноября 2021 г. 13:20:48(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Да, можно посмотреть учетку если не выбрать ваш ЦР, а кликнув на Центры Регистрации (чуть выше)

Да, перезапустите IIS и проверьте связь (Ping-CA с отключенным прокси). Или весь сервер, если есть возможность.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#13 Оставлено : 8 ноября 2021 г. 15:12:31(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Да, можно посмотреть учетку если не выбрать ваш ЦР, а кликнув на Центры Регистрации (чуть выше)


Угу, с системным акаунтом понятно.

Автор: Захар Тихонов Перейти к цитате
Да, перезапустите IIS и проверьте связь (Ping-CA с отключенным прокси). Или весь сервер, если есть возможность.


Картина поменялась (но идентична, что с активированным прокси, что без него):

Код:
PS C:\> Ping-CA -AuthorityName "Пробный корневой УЦ 2012 (512)"
Ping-CA : Ошибка соединения с центром сертификации Пробный корневой УЦ 2012 (512).
Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигур
ирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером.
Базовое соединение закрыто: Непредвиденная ошибка при передаче.
Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение.
Удаленный хост принудительно разорвал существующее подключение
At line:1 char:1
+ Ping-CA -AuthorityName "Пробный корневой УЦ 2012 (512)"
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [Ping-CA], InvalidOperationException
    + FullyQualifiedErrorId : UnhandledError,RegistrationService.Commands.PingCACommand


Сертификат для HTTPS - валидный.
Сам комп не перезапускал - только службы ИИС и ЦС (ЦС, ЦР и службу управления ключами). Стоит все же перезапустить и комп?

Отредактировано пользователем 8 ноября 2021 г. 15:15:49(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#14 Оставлено : 8 ноября 2021 г. 16:06:30(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Вы в прошлый раз не приложили веб сертификат. Приложите его сейчас.
А также, выпустите внеочередные CRL.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#15 Оставлено : 8 ноября 2021 г. 17:20:07(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Вы в прошлый раз не приложили веб сертификат. Приложите его сейчас.


Веб-сертификат? В 7-м посту же, внизу, вот еще раз https://yadi.sk/d/xvCCL4e6y1DQ0w.

Автор: Захар Тихонов Перейти к цитате
А также, выпустите внеочередные CRL.


UserPostedImage

Упс... такой вот облом (

Отредактировано пользователем 8 ноября 2021 г. 17:32:09(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#16 Оставлено : 9 ноября 2021 г. 9:45:03(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Автор: vadjunik Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
Вы в прошлый раз не приложили веб сертификат. Приложите его сейчас.


Веб-сертификат? В 7-м посту же, внизу, вот еще раз https://yadi.sk/d/xvCCL4e6y1DQ0w.


Клиентский сертификат ЦР - это не веб сертификат. У вас даже имя у файла "Сертификат аутентификации ЦР".

Автор: vadjunik Перейти к цитате

UserPostedImage
Упс... такой вот облом (


Загрузите в 'агенте управления ключами' ключи и проверьте выпуск CRL.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#17 Оставлено : 9 ноября 2021 г. 10:26:24(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Клиентский сертификат ЦР - это не веб сертификат. У вас даже имя у файла "Сертификат аутентификации ЦР".
Не допонял про какой сертификат речь (( Вот серт используемый для подключения к ЦР из "Консоли ЦР" https://yadi.sk/d/_VEnc7pcy4GxKA или речь про какой?

Автор: Захар Тихонов Перейти к цитате
Загрузите в 'агенте управления ключами' ключи и проверьте выпуск CRL.
С ключами какая-то проблема имеет место быть ( Почему-то отвалился ключ "Цезарева" для выпуска сертификатов - а был! Отломал что-то ((

UserPostedImage

Ключ для выпуска CRL был доступе для загрузки, загрузил. Список отзыва перевыпустил, но изменений особо нет.

UserPostedImage

Лог ошибки при попытке подключения к ЦР из консоли:

Код:
При запросе политики с ЦС получено исключение.
System.ServiceModel.CommunicationException: Ошибка при отправке запроса HTTP к https://ib-crypto1/ca/CertRequestService.svc/. Возможно, это вызвано тем, что сертификат сервера не сконфигурирован с HTTP.SYS для случая HTTPS. Это может быть также вызвано несоответствием привязки безопасности между клиентом и сервером. ---> System.Net.WebException: Базовое соединение закрыто: Непредвиденная ошибка при передаче. ---> System.IO.IOException: Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение. ---> System.Net.Sockets.SocketException: Удаленный хост принудительно разорвал существующее подключение
   в System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size)
   --- Конец трассировки внутреннего стека исключений ---
   в System.Net.Sockets.NetworkStream.Read(Byte[] buffer, Int32 offset, Int32 size)
   в System.Net.FixedSizeReader.ReadPacket(Byte[] buffer, Int32 offset, Int32 count)
   в System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.StartSendBlob(Byte[] incoming, Int32 count, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest)
   в System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult)
   в System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
   в System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx)
   в System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state)
   в System.Net.TlsStream.ProcessAuthentication(LazyAsyncResult result)
   в System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size)
   в System.Net.PooledStream.Write(Byte[] buffer, Int32 offset, Int32 size)
   в System.Net.ConnectStream.WriteHeaders(Boolean async)
   --- Конец трассировки внутреннего стека исключений ---
   в System.Net.HttpWebRequest.GetResponse()
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   --- Конец трассировки внутреннего стека исключений ---

Server stack trace: 
   в System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
   в System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
   в System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)
   в System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
   в System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
   в System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]: 
   в RegistrationService.BusinessLogic.ProcessClient.Wait(Queue queue, Conversation conversation, TimeSpan timeout)
   в RegistrationService.BusinessLogic.ProcessClient.WaitComplete(TimeSpan timeout)
   в RegistrationService.RegSrv.PolicyUpdateTask.Execute(IScriptContext`1 context)




Offline Захар Тихонов  
#18 Оставлено : 9 ноября 2021 г. 10:35:19(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Автор: vadjunik Перейти к цитате
или речь про какой?


вот этот 1.png (574kb) загружен 3 раз(а).

Автор: Захар Тихонов Перейти к цитате
С ключами какая-то проблема имеет место быть ( Почему-то отвалился ключ "Цезарева" для выпуска сертификатов - а был! Отломал что-то ((
UserPostedImage


А что с ключами которые не загружены, истекли? Если да, то выведите их из эксплуатации.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vadjunik  
#19 Оставлено : 9 ноября 2021 г. 12:58:35(UTC)
vadjunik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.12.2016(UTC)
Сообщений: 102
Мужчина
Российская Федерация
Откуда: Таганрог

Сказал «Спасибо»: 13 раз
Автор: Захар Тихонов Перейти к цитате
Автор: vadjunik Перейти к цитате
или речь про какой?


вот этот 1.png (574kb) загружен 3 раз(а).

https://yadi.sk/d/S-vHswOHLqhovg

Автор: Захар Тихонов Перейти к цитате
А что с ключами которые не загружены, истекли? Если да, то выведите их из эксплуатации.
Как это узнать? Так понимаю, через консоль ЦС, подскажите в каком доке описано?

"Недоступные" ключи, я так понимаю, уже никак нельзя "вывести из эксплуатации". Потому и думаю в последствии грохнуть "левых" админов ЦС.
UserPostedImage

Для Цезарева (https://yadi.sk/d/Nt56pTBEll9SJw пароль на контейнер 123) точно не истек, ибо я выпускал сертификат на днях (как начал этой проблемой заниматься). Остальные - артефакты прошлых времен, планирую зачистить после того, как восстановлю работоспособность комплекса.

Отредактировано пользователем 9 ноября 2021 г. 13:03:03(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#20 Оставлено : 9 ноября 2021 г. 13:43:01(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,880
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 32 раз
Поблагодарили: 520 раз в 497 постах
Любой ключ можно вывести из эксплуатации. С права есть этот пункт в Диспетчере УЦ, после выделения любого ключа ЦС.

Укажите установленную версию КриптоПро CSP.
Пришлите вывод Get-CAReference
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.