Статус: Участник
Группы: Участники
Зарегистрирован: 27.09.2019(UTC) Сообщений: 13 Сказал(а) «Спасибо»: 5 раз
|
Здравствуйте! Столкнулся с такой ситуацией: Есть уже настроенное устройство HSM со всеми необходимыми ключами. Год назад я имел возможность подключаться к Web-странице для перевыпуска клиенстких сертификатов и создания пользователей. Однако на самой карточке с Web-администратором истек срок действия сертификата. И теперь я испытываю сложности при входе, а именно ошибку "Этот сайт не может обеспечить безопасное соединение Сайт 192.168.0.1 отправил недействительный ответ" Настройки браузера я менять пробовал под рекомендуемые - это не помогло. Так же я пытаюсь обновить сертификат на карте Web-администратора на самом устройстве - получаю ошибку записи на карту. При попытке создания нового пользователя и записи его на чистую карту - получаю ошибку записи на карту, иногда ошибку "нет прав" Подскажите как мне возобновить доступ к web-интерфейсу. Может есть какой-то рекомендованный алгоритм по созданию пользователя на HSM о котором я не знаю? Как мне избавиться от ошибке ответа с HSM?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: kupriev-ap Здравствуйте! Столкнулся с такой ситуацией: Есть уже настроенное устройство HSM со всеми необходимыми ключами. Год назад я имел возможность подключаться к Web-странице для перевыпуска клиенстких сертификатов и создания пользователей. Однако на самой карточке с Web-администратором истек срок действия сертификата. И теперь я испытываю сложности при входе, а именно ошибку "Этот сайт не может обеспечить безопасное соединение Сайт 192.168.0.1 отправил недействительный ответ" Настройки браузера я менять пробовал под рекомендуемые - это не помогло. Так же я пытаюсь обновить сертификат на карте Web-администратора на самом устройстве - получаю ошибку записи на карту. При попытке создания нового пользователя и записи его на чистую карту - получаю ошибку записи на карту, иногда ошибку "нет прав" Подскажите как мне возобновить доступ к web-интерфейсу. Может есть какой-то рекомендованный алгоритм по созданию пользователя на HSM о котором я не знаю? Как мне избавиться от ошибке ответа с HSM? Здравствуйте. Перевыпустить карту привилегированного пользователя HSM (в данном случае администратора для web-интерфейса) необходимы права суперпользователя HSM (то есть карты активации - 3 из 5). Алгоритм действий примерно следующий: 1) Выключить HSM: 3 раза нажать на любые кнопки на LCD-панели HSM Halt - Yes 2) Загрузить HSM: нажать кнопку включения приложить "таблетку" Соболя при загрузке поcле загрузки HSM будет в состоянии Inactive3) Войти в меню по картам активации 3 из 5: 2 раза нажать на любые кнопки на LCD-панели HSM использовать 3 из 5 - Yes ввести любые 3 из 5 (соответствующие приглашению на LCD-панели) карты активации с вводом соответствующих пин-кодов 4) Создать новый ключ для web-администратора: Выбрать пункт меню Update keysВыбрать пункт меню ADM(in) keyПри возникновении Change ADM key? выбрать YESПри возникновении Enter admin UID ввести идентификатор администратора (например, 1001 - посмотреть идентификатор существующего администратора можно в сертификате ключа доступа) При возникновении Insert card: подключить чистую смарт-карту для нового ключа администратора и выбрать YESПри возникновении Input new pin ввести пин-код для нового ключа администратора После успешной смены ключа администратора на панели появится ADM key changedОбратите внимание, что смарт-карта должна быть из комплекта поставки HSM и должна быть "чистой" - то есть либо еще не использованной ранее для записи ключей, либо очищенной соответствующей утилитой с диска поставки HSM (в зависимости от типа смарт-карты). |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.09.2019(UTC) Сообщений: 13 Сказал(а) «Спасибо»: 5 раз
|
А можно получить ссылку на дистрибутив утилиты очистки карт, так как я не уверен, что карты абсолютно чистые?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: kupriev-ap А можно получить ссылку на дистрибутив утилиты очистки карт, так как я не уверен, что карты абсолютно чистые? Главное случайно не очистить карты активации 3 из 5! В архиве по ссылке утилиты и фото смарт-карт Магистра/Оскар (отличие в рисунке контактной группы). Для очистки смарт-карт Магистра используется утилита MagInspector. Путь к утилите MagInspector после установки: Код:C:\Program Files (x86)\SmartPark\MagInspector\MagInspector.exe
Для очистки смарт-карт Оскар используется утилита prime. Сначала необходимо получить имя считывателя: Затем указать это имя считывателя в команде: для Оскар 1.1: Код:prime prime "имя считывателя" oscar reprime_csp -P
для Оскар 1.2 (сейчас используются такие): Код:prime prime "имя считывателя" oscar reprime_csp_20 -P
Пример: Код:prime list
Gemplus USB SmartCard Reader 0
prime prime "Gemplus USB SmartCard Reader 0" oscar reprime_csp_20 -P
Нужно убедиться, что утилита отработала без ошибок. При их обнаружении повторить процедуру. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.09.2019(UTC) Сообщений: 13 Сказал(а) «Спасибо»: 5 раз
|
Я воспользовался Вашей инструкцией и это сработало. Но не помогло решить проблему с подключением к WEB-странице. Я имею ошибку при подключении к сайту https://192.168.0.1через IE "This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner" через Chrome "Этот сайт не может обеспечить безопасное соединение Сайт 192.168.0.1 отправил недействительный ответ" при этом остальные ресурсы сети и Internet работают. Замена и перенастройка свойств сети, таких как Use TLS 1.0 Use TLS 1.1 Use TLS 1.2 не помогает. Я не знаю как мне восстановить доступ. У меня теперь есть и Web-администратор с действующим сертификатом и клиентский сертификат. Соединение от клиента до HSM устанавливается, а вот страница управления недоступна.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: kupriev-ap Я воспользовался Вашей инструкцией и это сработало. Но не помогло решить проблему с подключением к WEB-странице. Я имею ошибку при подключении к сайту https://192.168.0.1через IE "This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner" через Chrome "Этот сайт не может обеспечить безопасное соединение Сайт 192.168.0.1 отправил недействительный ответ" при этом остальные ресурсы сети и Internet работают. Замена и перенастройка свойств сети, таких как Use TLS 1.0 Use TLS 1.1 Use TLS 1.2 не помогает. Я не знаю как мне восстановить доступ. У меня теперь есть и Web-администратор с действующим сертификатом и клиентский сертификат. Соединение от клиента до HSM устанавливается, а вот страница управления недоступна. Для использования нового ключа web-администратора необходимо на рабочем месте web-администратора понизить класс защиты ключевого контейнера с KB (только такой можно использовать через LCD-панель HSM) до KC (только такой можно использовать на рабочем месте web-администратора) с помощью тестирования ключевого контейнера: Код:КриптоПро CSP
Сервис
Протестировать
выбрать нужный ключевой контейнер
Затем нужно установить сертификат ключа доступа web-администратора: Код:КриптоПро CSP
Сервис
Просмотреть сертификаты в контейнере
Обзор
выбрать нужный ключевой контейнер
ОК
Далее
Установить
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.09.2019(UTC) Сообщений: 13 Сказал(а) «Спасибо»: 5 раз
|
hsm adm 1.jpg (153kb) загружен 6 раз(а). hsm adm.jpg (180kb) загружен 5 раз(а).После установки сертификата я имею ошибку "This certificate has expired or is not yet valid.", несмотря на то, что дата актуальна. Корневой сертификат при этом валиден. Аналогично для клиентского сертификата, но при том, что клиентский сертификат не валиден - подключение к HSM устанавливается hsm connect.png (15kb) загружен 2 раз(а).Как мне решить эту проблему?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: kupriev-ap hsm adm 1.jpg (153kb) загружен 6 раз(а). hsm adm.jpg (180kb) загружен 5 раз(а).После установки сертификата я имею ошибку "This certificate has expired or is not yet valid.", несмотря на то, что дата актуальна. Корневой сертификат при этом валиден. Аналогично для клиентского сертификата, но при том, что клиентский сертификат не валиден - подключение к HSM устанавливается hsm connect.png (15kb) загружен 2 раз(а).Как мне решить эту проблему? А какое время указано в сертификате в поле Действителен с:? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.09.2019(UTC) Сообщений: 13 Сказал(а) «Спасибо»: 5 раз
|
23.03.2021, как видно на скриншоте
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,376 Сказал «Спасибо»: 53 раз Поблагодарили: 773 раз в 715 постах
|
Автор: kupriev-ap 23.03.2021, как видно на скриншоте Это я, конечно же, видел. Время какое указано? |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close