logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline alex61  
#1 Оставлено : 3 июня 2019 г. 9:27:07(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

Добрый день.
Возникает вот такая ошибка при запуске службы OCSP. Помогите разобраться в чем может быть проблема.

Snimok10.JPG (85kb) загружен 21 раз(а).

Snimok11.JPG (75kb) загружен 13 раз(а).

Сертификат оператора перевыпускал. Создавал нового пользователя. Эффекта никакого.

Snimok12.JPG (57kb) загружен 8 раз(а).

Snimok13.JPG (55kb) загружен 7 раз(а).
Offline Захар Тихонов  
#2 Оставлено : 3 июня 2019 г. 10:13:09(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Здравствуйте.

Какая сборка служб?
В каком режиме настроена служба?
В журнале приложений и служб находится журнал OCSP. Какая там ошибка при запуске?
Приложите сертификат оператора.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#3 Оставлено : 3 июня 2019 г. 18:02:08(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

Все версии компонент актуальные, крайние сертифицированные с сайта. SQL 2016.
Режим работы с БЦ ЦР.
ЦС, ЦС, OCSP установлены на одном сервере.
Ошибка, что не удалось подключиться к БД.

Я понял, что пропустил шаг установки запуск скрипта.
Вот что он выдает за ошибку:
Snimok4.JPG (56kb) загружен 14 раз(а).


приписывать в начале команды %windir%syswow64 тоже пробовал, ошибка такая же, только на другом языке. если запускать через powershell, то выдает другую ошибку, что нужен хост выше 32-bit.
Offline Захар Тихонов  
#4 Оставлено : 4 июня 2019 г. 8:28:38(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Автор: alex61 Перейти к цитате
Все версии компонент актуальные, крайние сертифицированные с сайта. SQL 2016.


Так какая версия? Если что, то еще нет сертифицированной версии Службы УЦ.

Автор: alex61 Перейти к цитате
Режим работы с БЦ ЦР.
ЦС, ЦС, OCSP установлены на одном сервере.
Ошибка, что не удалось подключиться к БД.

Я понял, что пропустил шаг установки запуск скрипта.
Вот что он выдает за ошибку:
Snimok4.JPG (56kb) загружен 14 раз(а).


С какой версией КриптоПро УЦ настраиваете?

Автор: alex61 Перейти к цитате
приписывать в начале команды %windir%syswow64 тоже пробовал, ошибка такая же, только на другом языке. если запускать через powershell, то выдает другую ошибку, что нужен хост выше 32-bit.


Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#5 Оставлено : 4 июня 2019 г. 9:09:57(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

Версии на скриншотах.

УЦ:

Snimok6.JPG (38kb) загружен 7 раз(а).

Компоненты:

Snimok5.JPG (28kb) загружен 8 раз(а).

Действую по этой части инструкции:

Snimok7.jpg (191kb) загружен 6 раз(а).

про добавление %windir%\syswow64 прочитал в одной из тем здесь на форуме. правда там УЦ 1.5 был.
Offline Захар Тихонов  
#6 Оставлено : 4 июня 2019 г. 9:17:24(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Автор: alex61 Перейти к цитате
Версии на скриншотах.

УЦ:

Snimok6.JPG (38kb) загружен 7 раз(а).

Компоненты:

Snimok5.JPG (28kb) загружен 8 раз(а).

Действую по этой части инструкции:

Snimok7.jpg (191kb) загружен 6 раз(а).

про добавление %windir%\syswow64 прочитал в одной из тем здесь на форуме. правда там УЦ 1.5 был.


На данный момент на сайте доступна следующая версия Службы УЦ - КриптоПро OCSP Server 2.0 (Актуальная версия - 2.0.13303, несертифицированная).
Используемая вами довольно старая и наврятли заработает с УЦ 2.0. (в режиме БД). Установите актуальную версию Службы УЦ и используйте актуальную документацию.

Для настройки Службы УЦ с УЦ 2.0 в режиме БД ЦР используются PS скрипты, которые описаны в актуальной документации
1.png (129kb) загружен 7 раз(а).

Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#7 Оставлено : 5 июня 2019 г. 15:53:16(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

Спасибо. Помогла переустановка из нового дистрибутива. По ошибке первоначально устанавливал со старого. Скрипт отработал. Служба запустилась. Автозапуск службы настроил. Но дальше начались проблемы. В настройках ЦС добавил галочку про публикацию OCSP в AIA. Установил на вторую машину, где арм администратора, крипто арм. Отозвал сертификат и проверяю его в крипто арме, указав что именно по OCSP протоколу. Показывает что сертификат действующий.
Описанные после запуска службы проверки в инструкции не выполняются. Выдает ошибку файл не найден. Хотя сам сертификат я скинул в папку с программой. Даже файл запроса создавал. результат всегда одинаков.
Snimok8.JPG (33kb) загружен 6 раз(а).


Подозреваю, что какие-то шаги не сделаны. Но в инструкции явного продолжения найти не могу.
Offline Захар Тихонов  
#8 Оставлено : 5 июня 2019 г. 16:47:37(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
В серитфикате есть правильный адрес службы OCSP? Сертификат выдан темже ЦС, что и сертификат оператора OCSP?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#9 Оставлено : 6 июня 2019 г. 12:39:15(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

Вот все адреса, что указаны в сертификате. Я перепробовал все возможные варианты (с доменным расширением и без, имя сервера и службы большими и маленькими буквами). результат один.

Цитата:
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://srv3.it.ru/ocsp/ocsp.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://srv3/ocsp/ocsp.srf
[3]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://srv3.it.ru/aia/380cb2557ed0ab4c1f3bc680c129d3d68516db02.crt


Сертификат выдан тем же ЦС.

Порядок действий такой:
1. Добавляю адрес(а) службы в настройках сведения о ЦС
2. Перезапускаю ЦС/ЦР
3. Выпускаю сертифкат
4. Проверяю наличие адресов в нем
5. Устанавливаю в хранилище пользователя
6. Запускаю КриптоАрм
7. Выбираю свойства сертификата - Проверка статуса - По протоколу OCSP - Сертификат действителен
8. Отзываю сертификат
9. п.7 - Сертификат по прежнему действителен.
Offline Захар Тихонов  
#10 Оставлено : 6 июня 2019 г. 13:27:04(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Служба в каком режиме работает?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#11 Оставлено : 6 июня 2019 г. 13:58:18(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

режим работы с БД ЦР.
ЦР, ЦС, OCSP на одном сервере.
Offline Захар Тихонов  
#12 Оставлено : 6 июня 2019 г. 13:59:52(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Вы отзываете сертификат через Консоль ЦР?
Включите журнал в службе. И после повторного обращения с проверкой от КритпоАРМ, в журнале появляются записи? И в них указано что серитфикат действительный?
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#13 Оставлено : 6 июня 2019 г. 15:53:37(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

Отзываю сертификат через консоль, все верно. Там статус меняется сразу же на отозван (прекращение работы).

Открыл журнал. Вот как он выглядит:

Snimok9.JPG (95kb) загружен 3 раз(а).

Там почему-то одни запросы.

Вот так выглядит запрос изнутри:

Snimok10.JPG (43kb) загружен 3 раз(а).


Еще один нюанс, по временам запросов видно, что есть огромный разрыв. Он произошел как раз тогда, как я начал пробовать менять адреса службы в настройках ЦС.
Экпериментальным путем выяснил, что если ставить так, то не появляется даже запросов:

Цитата:
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://srv3.it.ru/ocsp/ocsp.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://srv3/ocsp/ocsp.srf

[3]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://srv3.it.ru/aia/380cb2557ed0ab4c1f3bc680c129d3d68516db02.crt


А если поставить галочку в настройках как на скрине ниже; в сертификате это тогда будет выглядеть так:
Цитата:
[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://srv3.it.ru/ocsp/ocsp.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://srv3.it.ru/aia/380cb2557ed0ab4c1f3bc680c129d3d68516db02.crt

[3]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://srv3.it.ru/ocsp/ocsp.srf

Snimok11.JPG (58kb) загружен 9 раз(а).

То запросы начинают регистрироваться в журнале, но ни ответов, ни реального отображения статуса в криптоарм не происходит. Самое странное, что я не нашел в инструкции к OCSP server где и как вписывать адрес службы. Есть только упоминание вскользь.
Offline Захар Тихонов  
#14 Оставлено : 6 июня 2019 г. 16:14:23(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Автор: alex61 Перейти к цитате

Snimok11.JPG (58kb) загружен 9 раз(а).

То запросы начинают регистрироваться в журнале, но ни ответов, ни реального отображения статуса в криптоарм не происходит. Самое странное, что я не нашел в инструкции к OCSP server где и как вписывать адрес службы. Есть только упоминание вскользь.


Так делать не стоит, это не правильно.

Войдите в свойства экземпляра службы. Там будет указан его адрес, вместо localhost укажите правильное dsn имя.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#15 Оставлено : 7 июня 2019 г. 8:56:55(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

В настройках службы нельзя отредактировать поле пути.
Пробовал ее останавливать/запускать, не дает, можно только скопировать текущий адрес.
Удалил службу. При создании новой даже не предлагает ввести путь, нет такой настройки. В созданной службе уже прописан путь через localhost.
Offline Захар Тихонов  
#16 Оставлено : 7 июня 2019 г. 9:05:00(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Вам адрес требуется указывать в пользовательских сертификатах. Вы просто эксперементируете с адресом, я только подсказал где взять правильный.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#17 Оставлено : 7 июня 2019 г. 9:38:20(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

Я правильно понимаю, что нужно добавить адрес с днс именем полным в шаблон сертификата пользователя как адрес службы ocsp? При этом в настройках цс убрать эту строку с ocsp совсем? При этом в настройках службы останется localhost.
Просто я убрал галочку, которая вы сказали что неправильная на скриншоте и запросы опять перестали появляться в журнале.

При каждом изменении настроек цс я перевыпускаю сертификат пользователя на котором тестирую.

Отредактировано пользователем 7 июня 2019 г. 9:39:14(UTC)  | Причина: Не указана

Offline Захар Тихонов  
#18 Оставлено : 7 июня 2019 г. 9:42:53(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Можно указывать адрес как в шаблонах, так и в свойствах ЦС.
Рекомендую проверить работу службы с помощью OCSPutil, согласно эксплуатационной документации. Потом уже переходить на прикладное ПО.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline alex61  
#19 Оставлено : 7 июня 2019 г. 10:08:17(UTC)
alex61

Статус: Участник

Группы: Участники
Зарегистрирован: 05.03.2019(UTC)
Сообщений: 27
Российская Федерация
Откуда: РнД

Я в ранее в теме писал, что у меня выдает ошибку при проверке как в инструкции через командную строку. Поэтому я начал м криптоарм работать, чтоб хоть как-то проверить.
Offline Захар Тихонов  
#20 Оставлено : 7 июня 2019 г. 10:13:59(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 2,126
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 20 раз
Поблагодарили: 330 раз в 317 постах
Возможно нет прав на записл в каталоге Program Files. Скопируйте ocsputil в любую папку, например в Загрузки. И проверьте в ней выполнение команды. Файл request.orq не создавайте, он сам создасться (но указать его требуется).

Отредактировано пользователем 7 июня 2019 г. 10:20:33(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.