Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Mr. Art #1  
#1 Оставлено : 19 июня 2019 г. 19:29:28(UTC)
Mr. Art #1

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Добрый день.

Есть проблема при запуске приложения, использующего JCP, под разными пользователями.
Под одним пользователем все работает правильно, при загрузке лог такой:
Цитата:

2019-06-19 14:45:55.796 INFO 6280 --- [https-jsse-nio-8092-exec-2] ru.CryptoPro.JCP.tools.JCPLogger : Loading JCP 2.0.39893
2019-06-19 14:45:55.909 INFO 6280 --- [https-jsse-nio-8092-exec-2] ru.CryptoPro.JCP.tools.JCPLogger : JCP loaded.


Под другим пользователем (специальный "служебный") не работает, лог такой:
Цитата:

2019-06-19 14:20:52.260 INFO 10100 --- [https-jsse-nio-8092-exec-4] ru.CryptoPro.JCP.tools.JCPLogger : Loading JCP 2.0.39893
2019-06-19 14:20:52.268 INFO 10100 --- [https-jsse-nio-8092-exec-4] ru.CryptoPro.JCP.tools.JCPLogger : Need physical initialization...
2019-06-19 14:20:52.271 INFO 10100 --- [https-jsse-nio-8092-exec-4] ru.CryptoPro.JCP.tools.JCPLogger : Initializing from BIO...


Оба пользователя доменные, у обоих полные админские права на сервер, где запущено приложение, т.е. права на каталоги, реестр и т.д.

Что еще можно проверить? Может быть, библиотека пытается подключаться к внешним интернет адресам и не может это сделать под служебным пользователем?

Отредактировано пользователем 19 июня 2019 г. 19:30:26(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#2 Оставлено : 20 июня 2019 г. 15:39:32(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Здравствуйте.
Для второго пользователя, видимо, был включен усиленный контроль (галка "Включить усиленный контроль использования ключей" на вкладке "Дополнительно" панели управления JCP), появляется сообщение по ДСЧ. Сам ДСЧ отображается? Консольный или оконный. Контроль можно отключить в панели (запустив ее под данным пользователем).
thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
Mr. Art #1 оставлено 20.06.2019(UTC)
Offline Mr. Art #1  
#3 Оставлено : 20 июня 2019 г. 19:27:06(UTC)
Mr. Art #1

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 8
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Евгений Афанасьев Перейти к цитате
Здравствуйте.
Для второго пользователя, видимо, был включен усиленный контроль (галка "Включить усиленный контроль использования ключей" на вкладке "Дополнительно" панели управления JCP), появляется сообщение по ДСЧ. Сам ДСЧ отображается? Консольный или оконный. Контроль можно отключить в панели (запустив ее под данным пользователем).


Спасибо, дело оказалось, видимо, в этом - JCP потребовала неких действий от пользователя.

Обнаружили это, когда зашли на сервер под вторым пользователем, запустили батник вручную и увидели консоль (до этого батник запускался под вторым пользователем через шедулер, поэтому консоль не видели).

В консоли JCP потребовала нажимать Enter, много раз нажали, там отображались проценты 10%, 20% ...100%, после этого появилось сообщение "JCP loaded". После этого больше такого не повторялось, и в следующий раз все запустилось так, как задумано.

Цитата:

2019-06-20 13:14:42.360 INFO 10932 --- [https-jsse-nio-8099-exec-4] ru.CryptoPro.JCP.tools.JCPLogger : Loading JCP 2.0.39893
2019-06-20 13:14:42.409 INFO 10932 --- [https-jsse-nio-8099-exec-4] ru.CryptoPro.JCP.tools.JCPLogger : Need physical initialization...
2019-06-20 13:14:42.411 INFO 10932 --- [https-jsse-nio-8099-exec-4] ru.CryptoPro.JCP.tools.JCPLogger : Initializing from BIO...
2019-06-20 13:22:58.321 INFO 10932 --- [https-jsse-nio-8099-exec-4] ru.CryptoPro.JCP.tools.JCPLogger : Initializing from BIO completed.
2019-06-20 13:22:58.386 INFO 10932 --- [https-jsse-nio-8099-exec-4] ru.CryptoPro.JCP.tools.JCPLogger : JCP loaded.


Между 13:14:42 и 13:22:58 приложение "подвисло", пока не прожали Enter.
JCP что-то донастраивала или что-то генерила для этого пользователя - ДСЧ? Сейчас выбрана опция "Use strengthening key control" - это, видимо, то, о чем вы говорите.

Возможно, кому-нибудь пригодится мой опыт - два дня угрохали на это, сравнили все права этих пользователей, в т.ч. доменные и на реестр Brick wall.

И заодно вопрос: эта опция влияет на проверку усиленной защиты ключа в момент подписания? Т.е. если ключ с усиленной защитой и опция выбрана, то JCP потребует действий от пользователя (диалоговое окно с ОК)? А если опция не выбрана, то никакие окна или консольные сообщения не будут появляться, независимо от наличия или отсутствия усиленной защиты на ключе?

Спасибо!

Отредактировано пользователем 20 июня 2019 г. 19:33:55(UTC)  | Причина: Не указана

Offline Евгений Афанасьев  
#4 Оставлено : 25 июня 2019 г. 11:11:14(UTC)
Евгений Афанасьев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.12.2008(UTC)
Сообщений: 3,910
Российская Федерация
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 685 раз в 646 постах
Автор: Mr. Art #1 Перейти к цитате

JCP потребовала неких действий от пользователя.
JCP что-то донастраивала или что-то генерила для этого пользователя - ДСЧ?

Да, в случае усиленного контроля нужно доинициализировать с помощью БиоДСЧ (один раз).
Автор: Mr. Art #1 Перейти к цитате

И заодно вопрос: эта опция влияет на проверку усиленной защиты ключа в момент подписания?

Проверяется срок действия закрытого ключа и доверенность открытого.
Автор: Mr. Art #1 Перейти к цитате

Т.е. если ключ с усиленной защитой и опция выбрана, то JCP потребует действий от пользователя (диалоговое окно с ОК)?

Усиленный контроль (галка в панели) отличается от усиленной защиты ключа - "user protected" бит в ключевом контейнере. Первый контролирует срок действия закрытого ключа и доверие к источнику открытого ключа, второй - отображает окно с уведомлением, что происходит обращение к ключу (чтобы владелец знал), и задается бит один раз при генерации контейнера, а галку можно отключить.

Отредактировано пользователем 25 июня 2019 г. 11:12:21(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил Евгений Афанасьев за этот пост.
Mr. Art #1 оставлено 11.06.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.