logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Devalant  
#1 Оставлено : 12 января 2018 г. 14:23:58(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Добрый день.
Сегодня возникла проблема - на УЦ невозможно отозвать сертификаты выпущенные на предыдущем сертификате подчиненного ЦС (выпущенные на последнем отзывает).
Причем ключи все загружаются успешно. Все актуальные CRL МКС установлены. Просто выпустить свежий CRL без отзыва удается.
Подскажите пожалуйста что нужно делать, чтобы исправить это?

Ошибки:

Службе регистрации Крипто-Про УЦ 2.0 не удалось обновить CDP с УЦ ...

КриптоПро TLS. Ошибка %2 при обращении к CSP: %1

КриптоПро TLS. Ошибка 0x80090016 при обращении к CSP: Набор ключей не существует

При синхронизации количества пользователей с ЦС УЦ ... получено исключение.
System.ServiceModel.Security.SecurityNegotiationException: Could not establish secure channel for SSL/TLS with authority 'uc-pk'. ---> System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
at System.Net.HttpWebRequest.GetResponse()
at System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
--- End of inner exception stack trace ---
Server stack trace:
at System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
at System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
at System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)
at System.ServiceModel.Dispatcher.RequestChannelBinder.Request(Message message, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
at System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)

Exception rethrown at [0]:
at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
at CertificateService.ServiceContracts.ICertRequestContract.UpdateRegInfo(String authority, Boolean isIncreased, Int32 updatedUserCount)
at CertificateService.Client.CertRequestContractAdapter.UpdateRegInfo(String authority, Boolean isIncreased, Int32 updatedUserCount)
at RegistrationService.RegSrv.CertAuthClient.UpdateRegInfo(String authorityName, String authorityUrl, Byte[] clientCertificate, Int32 userCount)
at RegistrationService.RegSrv.UpdateRegInfoTask.Execute(IScriptContext`1 context)

Ошибка при обращении к ЦС. System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> System.ServiceModel.Security.SecurityNegotiationException: Could not establish secure channel for SSL/TLS with authority 'uc-pk'. ---> System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
at System.Net.HttpWebRequest.GetResponse()
at System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
--- End of inner exception stack trace ---
Server stack trace:
at System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
at System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
at System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)
at System.ServiceModel.Dispatcher.RequestChannelBinder.Request(Message message, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
at System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)
Exception rethrown at [0]:
at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
at CertificateService.ServiceContracts.ICertRequestContract.RevokeCertificate(String authority, RevocationReason reason, Nullable`1 revocationTime, String serialNumber)
--- End of inner exception stack trace ---
at System.RuntimeMethodHandle.InvokeMethod(Object target, Object[] arguments, Signature sig, Boolean constructor)
at System.Reflection.RuntimeMethodInfo.UnsafeInvokeInternal(Object obj, Object[] parameters, Object[] arguments)
at System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture)
at RegistrationService.RegSrv.TransmitQueueService.OnMessage(IScriptContext`1 context, Message message)
HResult = -2146232828 (0x80131604)
=== InnerException #2 ===
System.ServiceModel.Security.SecurityNegotiationException: Could not establish secure channel for SSL/TLS with authority 'uc-pk'. ---> System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
at System.Net.HttpWebRequest.GetResponse()
at System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
--- End of inner exception stack trace ---
Server stack trace:
at System.ServiceModel.Channels.HttpChannelUtilities.ProcessGetResponseWebException(WebException webException, HttpWebRequest request, HttpAbortReason abortReason)
at System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
at System.ServiceModel.Channels.RequestChannel.Request(Message message, TimeSpan timeout)
at System.ServiceModel.Dispatcher.RequestChannelBinder.Request(Message message, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannel.Call(String action, Boolean oneway, ProxyOperationRuntime operation, Object[] ins, Object[] outs, TimeSpan timeout)
at System.ServiceModel.Channels.ServiceChannelProxy.InvokeService(IMethodCallMessage methodCall, ProxyOperationRuntime operation)
at System.ServiceModel.Channels.ServiceChannelProxy.Invoke(IMessage message)
Exception rethrown at [0]:
at System.Runtime.Remoting.Proxies.RealProxy.HandleReturnMessage(IMessage reqMsg, IMessage retMsg)
at System.Runtime.Remoting.Proxies.RealProxy.PrivateInvoke(MessageData& msgData, Int32 type)
at CertificateService.ServiceContracts.ICertRequestContract.RevokeCertificate(String authority, RevocationReason reason, Nullable`1 revocationTime, String serialNumber)
HResult = -2146233087 (0x80131501)
=== InnerException #3 ===
System.Net.WebException: The request was aborted: Could not create SSL/TLS secure channel.
at System.Net.HttpWebRequest.GetResponse()
at System.ServiceModel.Channels.HttpChannelFactory`1.HttpRequestChannel.HttpChannelRequest.WaitForReply(TimeSpan timeout)
HResult = -2146233079 (0x80131509)
.

Отредактировано пользователем 12 января 2018 г. 14:25:37(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#2 Оставлено : 12 января 2018 г. 14:30:04(UTC)
Захар Тихонов


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,552
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 15 раз
Поблагодарили: 237 раз в 229 постах
Автор: Devalant Перейти к цитате
Добрый день.
Сегодня возникла проблема - на УЦ невозможно отозвать сертификаты выпущенные на предыдущем сертификате подчиненного ЦС (выпущенные на последнем отзывает).


Здравствуйте.

А какая ошибка при отзыве?
Offline Devalant  
#3 Оставлено : 12 января 2018 г. 14:33:31(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
Автор: Devalant Перейти к цитате
Добрый день.
Сегодня возникла проблема - на УЦ невозможно отозвать сертификаты выпущенные на предыдущем сертификате подчиненного ЦС (выпущенные на последнем отзывает).


Здравствуйте.

А какая ошибка при отзыве?


Вообще никакой, нажимаешь аннулировать и все, в ответ ничего нет.
В журналах windows ошибки только те, что я скопировал.
Offline Захар Тихонов  
#4 Оставлено : 12 января 2018 г. 14:37:15(UTC)
Захар Тихонов


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,552
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 15 раз
Поблагодарили: 237 раз в 229 постах
а запрос то на отзыв создается? статус его какой?
Offline Devalant  
#5 Оставлено : 12 января 2018 г. 14:46:21(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
а запрос то на отзыв создается? статус его какой?


Да, создается, статус - "принят".
Offline Захар Тихонов  
#6 Оставлено : 12 января 2018 г. 14:51:21(UTC)
Захар Тихонов


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,552
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 15 раз
Поблагодарили: 237 раз в 229 постах
Ping-CA -AuthorityName ИмяЦС какой результат? ЦСов сколько?
Offline Devalant  
#7 Оставлено : 12 января 2018 г. 15:02:44(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
Ping-CA -AuthorityName ИмяЦС какой результат? ЦСов сколько?

ЦС доступен и готов к выпуску сертификатов:
1.jpg (12kb) загружен 38 раз(а).

Экземпляра ЦС два, а так вообще всё на одной машине.

Offline Захар Тихонов  
#8 Оставлено : 12 января 2018 г. 16:50:52(UTC)
Захар Тихонов


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,552
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 15 раз
Поблагодарили: 237 раз в 229 постах
а сертификат выпущен на каком из них?
тот который вы пингуете на скриншоте или на другом?
Offline Devalant  
#9 Оставлено : 12 января 2018 г. 16:52:02(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
а сертификат выпущен на каком из них?
тот который вы пингуете на скриншоте или на другом?


пингую я последний, а не отзывает на первом (всего их два), хотя отзывал 27-го числа, потом после НГ праздников попробовали отозвать только сегодня.

Отредактировано пользователем 12 января 2018 г. 16:52:42(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#10 Оставлено : 12 января 2018 г. 16:57:08(UTC)
Захар Тихонов


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,552
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 15 раз
Поблагодарили: 237 раз в 229 постах
Автор: Devalant Перейти к цитате
Автор: tikhonov Перейти к цитате
а сертификат выпущен на каком из них?
тот который вы пингуете на скриншоте или на другом?


пингую я последний, а не отзывает на первом (всего их два), хотя отзывал 27-го числа, потом после НГ праздников попробовали отозвать только сегодня.


Скажу по другому.
выполните команду Ping-CA -AuthorityName ИмяЦС того ЦС, на котором отзываете сертификат.
Offline Devalant  
#11 Оставлено : 12 января 2018 г. 17:07:18(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
Автор: Devalant Перейти к цитате
Автор: tikhonov Перейти к цитате
а сертификат выпущен на каком из них?
тот который вы пингуете на скриншоте или на другом?


пингую я последний, а не отзывает на первом (всего их два), хотя отзывал 27-го числа, потом после НГ праздников попробовали отозвать только сегодня.


Скажу по другому.
выполните команду Ping-CA -AuthorityName ИмяЦС того ЦС, на котором отзываете сертификат.


2.jpg (68kb) загружен 38 раз(а).
Offline Захар Тихонов  
#12 Оставлено : 12 января 2018 г. 17:11:07(UTC)
Захар Тихонов


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,552
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 15 раз
Поблагодарили: 237 раз в 229 постах
проверьте что клиентский сертификат ЦР действительный и проверяется на отзыв.
Offline Devalant  
#13 Оставлено : 12 января 2018 г. 17:21:58(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
проверьте что клиентский сертификат ЦР действительный и проверяется на отзыв.


Цепочка строится, действует до 29.11.2018
Подскажите пожалуйста, а как его проверить на отзыв? если просто отозван он или нет, то нет не отозван.

Отредактировано пользователем 12 января 2018 г. 17:35:55(UTC)  | Причина: Не указана

Offline roflanVikared  
#14 Оставлено : 12 января 2018 г. 17:44:30(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 41
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 1 раз
Поблагодарили: 3 раз в 3 постах
Думаю, проблема в сертификате веб-сервера первого ЦС, возможно, срок действия истек, или просто стоит перепривязать.
Offline Devalant  
#15 Оставлено : 12 января 2018 г. 17:51:48(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Автор: roflanVikared Перейти к цитате
Думаю, проблема в сертификате веб-сервера первого ЦС, возможно, срок действия истек, или просто стоит перепривязать.


Сертификат веб сервера действует также до 29.11.2018, он не отозван.
Не знаю на счет перепривязать, есть ли в этом какой-то смысл если выпуск сертификатов и отзыв серт-ов, выпущенных на новом серте ЦС идет нормально.

PS у меня windows 7
Offline Захар Тихонов  
#16 Оставлено : 12 января 2018 г. 17:57:51(UTC)
Захар Тихонов


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,552
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 15 раз
Поблагодарили: 237 раз в 229 постах
С веб сертификатом ЦС точно все хорошо, т.к. другой бы ЦС не пинговался.
Проблема в клиентском ключе ЦР.
Проверьте его еще раз, предполагаю что вы посмотрели клиентский сертификат для подключению к другому ЦС.
Для убедительности, пришлите выполнения команды: Get-CAReference
Offline Devalant  
#17 Оставлено : 12 января 2018 г. 18:33:57(UTC)
Devalant

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.03.2015(UTC)
Сообщений: 294

Сказал(а) «Спасибо»: 106 раз
Поблагодарили: 4 раз в 4 постах
Автор: tikhonov Перейти к цитате
С веб сертификатом ЦС точно все хорошо, т.к. другой бы ЦС не пинговался.
Проблема в клиентском ключе ЦР.
Проверьте его еще раз, предполагаю что вы посмотрели клиентский сертификат для подключению к другому ЦС.
Для убедительности, пришлите выполнения команды: Get-CAReference


3.jpg (111kb) загружен 37 раз(а).
Offline Захар Тихонов  
#18 Оставлено : 15 января 2018 г. 12:56:10(UTC)
Захар Тихонов


Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 1,552
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 15 раз
Поблагодарили: 237 раз в 229 постах
Теперь пришлите выполнения команды Certutil -verify "клиентский сертификат ЦР"
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.