Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.10.2024(UTC) Сообщений: 48  Сказал(а) «Спасибо»: 2 раз
|
Автор: Санчир Момолдаев  создайте обращение на портале техподдержки.
выкрутим логи и увидим где у вас затык.
у вас что-то не так настроено в сети, возможен долгий резолв одного из адресов, возможет drop, а не reject - тратим время на ожидание ответа.
можно поднять свой реплицирующий сервер.
много вариантов, просто надо разобраться.
или хотя бы покажите вывод команд certmgr -list -chain ... как в моем предыдущем посте. Попросил сотрудника вкл комп. { time certmgr -list -chain -file fk.cer > /dev/null 2>&1 ; } 2>&1 | grep real real 0m0,003s Порылся в логах увидел это:
nmcades[28736]: <capi10>CryptAcquireContextA!failed: LastError = 0x8010006E nmcades[28736]: <capi20>CryptAcquireCertificatePrivateKey!(failed: LastError = 0x8010006e) <capi20> CertOpenStore!failed: LastError = 0x2 nmcades[28736]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.roskazna.ru/crl/ucfk_2023.crl).nmcades[28736]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Пользователь в тоже время без проблем скачивает /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2022.crl 20241005_010449.jpg (305kb) загружен 5 раз(а).Год назад поднималась тема https://www.cryptopro.ru...aspx?g=posts&t=22340А воз и ныне там?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,657
Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 459 раз в 433 постах
|
Автор: dbama Автор: nickm Можно предположить, что из-за размера списка и времени его загрузки просто прерывается по таймауту.
Может разработчики прояснят ситуацию?
Может какие настройки имеются по указанию тайм-аута загрузки и проверке списка отзыва в таких случаях?
А так, да почти 20Мб в одном списке отзывов... и как его грузить на медленных каналах связи? На все эти вопросы уже были даны ответы в этой теме; Автор: dbama Попросил сотрудника вкл комп.
{ time certmgr -list -chain -file fk.cer > /dev/null 2>&1 ; } 2>&1 | grep real
real 0m0,003s
Порылся в логах увидел это: Кэш и хранилища списков отзывов и предварительно очищались? Автор: dbama Порылся в логах увидел это: Код:nmcades[28736]: <capi10>CryptAcquireContextA!failed: LastError = 0x8010006E
nmcades[28736]: <capi20>CryptAcquireCertificatePrivateKey!(failed: LastError = 0x8010006e)
<capi20> CertOpenStore!failed: LastError = 0x2
nmcades[28736]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.roskazna.ru/crl/ucfk_2023.crl).
nmcades[28736]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Пользователь в тоже время без проблем скачивает /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2022.crl Не следует указывать/ приводить для равнения разные URL списков отзывов. Желательно проверять работу на каких-то постоянных данных и из-под одного пользователя (некоторые пользователи, часть работ команд из-под одного (например root), часть команд из-под другого и возникает путаница). При этом отчётливо видна маленькая скорость загрузки, поэтому решением могли бы быть - увеличение таймаутов, либо поиск других способов доставки и установки списков отзывов. Ожидаемо вернулись к самому началу - отвал по таймауту: Цитата:ERROR_WINHTTP_TIMEOUT12002 The request has timed out. This error can be returned as a result of TCP/IP time-out behavior, regardless of time-out values set in Windows HTTP Services. Отредактировано пользователем 5 октября 2024 г. 10:30:41(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.10.2024(UTC) Сообщений: 48 Сказал(а) «Спасибо»: 2 раз
|
Автор: nickm Автор: dbama Автор: nickm Можно предположить, что из-за размера списка и времени его загрузки просто прерывается по таймауту.
Может разработчики прояснят ситуацию?
Может какие настройки имеются по указанию тайм-аута загрузки и проверке списка отзыва в таких случаях?
А так, да почти 20Мб в одном списке отзывов... и как его грузить на медленных каналах связи? На все эти вопросы уже были даны ответы в этой теме; Автор: dbama Попросил сотрудника вкл комп.
{ time certmgr -list -chain -file fk.cer > /dev/null 2>&1 ; } 2>&1 | grep real
real 0m0,003s
Порылся в логах увидел это: Кэш и хранилища списков отзывов и предварительно очищались? Автор: dbama Порылся в логах увидел это: Код:nmcades[28736]: <capi10>CryptAcquireContextA!failed: LastError = 0x8010006E
nmcades[28736]: <capi20>CryptAcquireCertificatePrivateKey!(failed: LastError = 0x8010006e)
<capi20> CertOpenStore!failed: LastError = 0x2
nmcades[28736]: <capi20>LogUrlRetrieverError!() UrlRetriever failed (CURLcode: 12002 URL: http://crl.roskazna.ru/crl/ucfk_2023.crl).
nmcades[28736]: <capi20>CryptRetrieveObjectByUrlAInternal!DownloadFromNetwork failed, error code : 80092004
Пользователь в тоже время без проблем скачивает /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2022.crl Не следует указывать/ приводить для равнения разные URL списков отзывов. Желательно проверять работу на каких-то постоянных данных и из-под одного пользователя (некоторые пользователи, часть работ команд из-под одного (например root), часть команд из-под другого и возникает путаница). При этом отчётливо видна маленькая скорость загрузки, поэтому решением могли бы быть - увеличение таймаутов, либо поиск других способов доставки и установки списков отзывов. Ожидаемо вернулись к самому началу - отвал по таймауту: Цитата:ERROR_WINHTTP_TIMEOUT12002 The request has timed out. This error can be returned as a result of TCP/IP time-out behavior, regardless of time-out values set in Windows HTTP Services. Ну так год назад единственное что ответили - сделайте быстрый канал. Бредовый ответ честно говоря... Скрипт качает курлом 2022,23 и 24 год отзывы и никаких проблем нет. И ЕЩЕ РАЗ - Windows пофигу на узкий канал. Линукс сам не качает, а КриптоПРО не умеет как винда. Вот о чем и пишу. Простой скрипт тем же курлом Крипто все скачивает и ставит без проблем. Значит всего лишь нужно добавить скачивание в саму Крипто. Например, пользователь вкл комп. Крипто смотрит серт и ищет там сос урл. Проверяет связность и скачивает сос. Если возврат "ок" - устанавливает. Если "error" делает таймаут и повтор через некоторое время. Допустим 3 раза ошибка - останов. Все! Почему нужно костыли делать? В виде скриптов? И эта проблема, то,что практически везде требуется костыли делать, выплывает сейчас на каждом шагу при импортозамещении. Взять нормальный дебиан, испортить так, что приходится костыли везде ставить. Натянуть на это ипу, которая совсем не совместима и брать миллионы - обалденная вещь Кстати, ваши ответы и советы прямь как оиветы от ТП Астры. "Ну что что у вас все работало под Windows. Это было вчера и неправда. Вот вам костыли. Ну и что что работало на автомате и искаропки. Тут вы должны ручками на сотни машин делать"
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,657
Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 459 раз в 433 постах
|
Автор: dbama Кстати, ваши ответы и советы прямь как оиветы от ТП Астры.
"Ну что что у вас все работало под Windows. Это было вчера и неправда. Вот вам костыли. Ну и что что работало на автомате и искаропки. Тут вы должны ручками на сотни машин делать" Беда-печаль, Вы так не и не поняли всё то, о чём Вам пытались донести и просто упёрлись рогом, пытаясь отрастить его ещё больше с каждым сообщением. Сам, как и многие другие пользователи, в тех случаях, когда возникала подобная ситуация, которая требовала изменять настройки "по умолчанию", либо изменял эти самые настройки (не всегда является допустимым увеличение таймаута ожидания загрузки списков отзывов), либо реализовывал др. доступный функционал.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,657
Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 459 раз в 433 постах
|
Автор: dbama Ну так год назад единственное что ответили - сделайте быстрый канал.
Бредовый ответ честно говоря... Нет не бредовый, это один из способов решения вопроса. Каждый выбирает тот, который возможно реализовать; Автор: dbama Скрипт качает курлом 2022,23 и 24 год отзывы и никаких проблем нет. Автор: dbama Линукс сам не качает, а КриптоПРО не умеет как винда. Вот о чем и пишу. Ну, так СКЗИ и использует curl из состава дистрибутива для загрузки списков отзывов, а Вы этого не знали? Автор: dbama И ЕЩЕ РАЗ - Windows пофигу на узкий канал. Нет не пофиг, пруф специально для Вас и был предоставлен в теме выше и ссылка на тему с таймаутами в ОС "Microsoft Windows"; Автор: dbama
Простой скрипт тем же курлом Крипто все скачивает и ставит без проблем.
Значит всего лишь нужно добавить скачивание в саму Крипто.
Например, пользователь вкл комп. Крипто смотрит серт и ищет там сос урл.
Проверяет связность и скачивает сос. Если возврат "ок" - устанавливает. Если "error" делает таймаут и повтор через некоторое время. Допустим 3 раза ошибка - останов.
Все!
А ещё лучше сразу выдавать сообщение, по типу: Цитата:"С Вашим медленным каналом подключения к сети Интернет загрузка списка отзыва займёт примерно 3-5 минут, поэтому можете налить чашечку кофе и ожидать.
И пару кнопок "Да, согласен ожидать", "Нет, не согласен".
Ещё можно прикрутить обратный отсчёт и кнопку прерывания/ ожидания загрузки.
Не, если уж делать, то сразу как положено, для людей.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,225 Сказал(а) «Спасибо»: 101 раз
Поблагодарили: 291 раз в 271 постах
|
Автор: dbama Тут вы должны ручками на сотни машин делать" сделайте внутренний резолв на свои сервера, либо увеличивайте таймауты. Автор: dbama И ЕЩЕ РАЗ - Windows пофигу на узкий канал. поставьте винду и приложите вывод из powershell |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.10.2024(UTC) Сообщений: 48 Сказал(а) «Спасибо»: 2 раз
|
Автор: Санчир Момолдаев Автор: dbama Тут вы должны ручками на сотни машин делать" сделайте внутренний резолв на свои сервера, либо увеличивайте таймауты. Автор: dbama И ЕЩЕ РАЗ - Windows пофигу на узкий канал. поставьте винду и приложите вывод из powershell если про этот, то не помогает. ставил даже 600000 /opt/cprocsp/sbin/amd64/cpconfig -ini '\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainUrlRetrievalTimeoutMilliseconds 60000 Поставить обратно wnndows не представляется возможным можно проверить как работает на другой, схожей площадке Давайте удалим там все сосы и посмотрим? Как полностью подчистую удалить все сосы на 7? И как включить логгирование чтобы видно было
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,657
Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 459 раз в 433 постах
|
Автор: dbama Давайте удалим там все сосы и посмотрим?
Как полностью подчистую удалить все сосы на 7? Ранее установленные списки отзывов удалить самостоятельно через оснастку сертификатов; Автор: dbama И как включить логгирование чтобы видно было Вот тут выше предлагалось, для W11 (возможно, что и в W7 отработает вторая часть кода в powershell, по замеру времени): Очистить кэш списков отзывов: Автор: Санчир Момолдаев Код:PS C:\Users\test> certutil -urlcache * delete | Out-Null
Замерить время проверки цепочки пользовательского сертифката: Автор: Санчир Момолдаев Код:PS C:\Users\test> Measure-Command -Expression {certutil -verify -urlfetch C:\Users\test\Downloads\fk.cer} | Select-Object -Property
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.10.2024(UTC) Сообщений: 48 Сказал(а) «Спасибо»: 2 раз
|
Автор: nickm Автор: dbama Давайте удалим там все сосы и посмотрим?
Как полностью подчистую удалить все сосы на 7? Ранее установленные списки отзывов удалить самостоятельно через оснастку сертификатов; Автор: dbama И как включить логгирование чтобы видно было Вот тут выше предлагалось, для W11 (возможно, что и в W7 отработает вторая часть кода в powershell, по замеру времени): Очистить кэш списков отзывов: Автор: Санчир Момолдаев Код:PS C:\Users\test> certutil -urlcache * delete | Out-Null
Замерить время проверки цепочки пользовательского сертифката: Автор: Санчир Момолдаев Код:PS C:\Users\test> Measure-Command -Expression {certutil -verify -urlfetch C:\Users\test\Downloads\fk.cer} | Select-Object -Property
Аналогичная площадка с каналом 2 мб Windows 7 Screenshot_64.png (8kb) загружен 11 раз(а).Astra Linux Screenshot_65.png (24kb) загружен 9 раз(а).Отредактировано пользователем 7 октября 2024 г. 16:12:43(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,657
Сказал(а) «Спасибо»: 614 раз
Поблагодарили: 459 раз в 433 постах
|
Автор: dbama Аналогичная площадка с каналом 2 мб Похоже на то, что Вы что-то не то замерили. 2 Мбит/ сек, это ~245 Кбайт/ сек и это только в лучшем случае. Тот же список отзывов 6,5Мб (ucfk_2023.crl) и/ или 8.8Мб (ucfk_2022.crl) Вы за указанное время ну никак не сможете прогрузить.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
