Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline RockIT  
#1 Оставлено : 5 июля 2021 г. 16:22:33(UTC)
RockIT

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2021(UTC)
Сообщений: 6
Российская Федерация

Добрый день.

Имеется развернутый стенд с Криптопро УЦ 2.0 и DSS 2.0 (все развернуто на одной машине, в том числе и БД).
Возникла необходимость переключить DSS на взаимодействие с другим стендом Криптопро УЦ 2.0 (на этом стенде тоже все развернуто на одной машине, кроме БД. Она на отдельной).

Я использовал командлет Add-DssEnrollment (запись вида: Add-DssEnrollment -DisplayName "SignServer" -Type CryptoProCA20 -CAServiceUrl "https://<ca2.0 host name>/RA/RegAuthLegacyService.svc" -OperatorCertThumbprint "<отпечаток сертификата привилегированного пользователя>" -EnrollDisplayName "Новый УЦ" -FolderId "<идентификатор папки>") для добавления нового обработчика УЦ и протестировал его с помощью Test-DssEnrollment. Добавление и проверка прошли без ошибок, но, после перезапуска инстанса сервиса подписи, созданный обработчик не появился в списке выбора УЦ при создании запроса на сертификат в Фронтэнде.
Помогите разобраться. Соединение с сервером УЦ имеется, указываемый сертификат привилегированного пользователя установлен в хранилище компьютера и идентификатор папки указан корректно.

Отредактировано пользователем 5 июля 2021 г. 16:23:29(UTC)  | Причина: Не указана

Offline Андрей Солдатов  
#2 Оставлено : 5 июля 2021 г. 16:26:25(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 268
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 55 раз в 51 постах
Автор: RockIT Перейти к цитате
Добрый день.

Имеется развернутый стенд с Криптопро УЦ 2.0 и DSS 2.0 (все развернуто на одной машине, в том числе и БД).
Возникла необходимость переключить DSS на взаимодействие с другим стендом Криптопро УЦ 2.0 (на этом стенде тоже все развернуто на одной машине, кроме БД. Она на отдельной).

Я использовал командлет Add-DssEnrollment (запись вида: Add-DssEnrollment -DisplayName "SignServer" -Type CryptoProCA20 -CAServiceUrl "https://<ca2.0 host name>/RA/RegAuthLegacyService.svc" -OperatorCertThumbprint "<отпечаток сертификата привилегированного пользователя>" -EnrollDisplayName "Новый УЦ" -FolderId "<идентификатор папки>") для добавления нового обработчика УЦ и протестировал его с помощью Test-DssEnrollment. Добавление и проверка прошли без ошибок, но, после перезапуска инстанса сервиса подписи, созданный обработчик не появился в списке выбора УЦ при создании запроса на сертификат в Фронтэнде.
Помогите разобраться. Соединение с сервером УЦ имеется, указываемый сертификат привилегированного пользователя установлен в хранилище компьютера и идентификатор папки указан корректно.


Добрый день.
Убедитесь, что предоставили УЗ, под которой работает пул приложений сервиса подписи, доступ к закрытому ключу сертификата, чей отпечаток указан в OperatorCertThumbprint.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline RockIT  
#3 Оставлено : 5 июля 2021 г. 16:36:03(UTC)
RockIT

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2021(UTC)
Сообщений: 6
Российская Федерация

Доступ УЗ к закрытому ключу сертификата имеется.
Offline Андрей Солдатов  
#4 Оставлено : 5 июля 2021 г. 16:39:43(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 268
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 55 раз в 51 постах
Воспроизводите проблему (т.е. перейдите на веб-интерфейс), затем выгрузите и пришлите журнал администратора сервиса подписи (обязательно с указанием времени воспроизведения проблемы).
Присылайте все в личку.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline RockIT  
#5 Оставлено : 7 июля 2021 г. 12:15:56(UTC)
RockIT

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2021(UTC)
Сообщений: 6
Российская Федерация

Андрей, добрый день.

Еще раз все перепроверил на предмет ошибок, но ничего не обнаружил кроме одной странности. Если в IE попытаться забить адрес ЦР (CAServiceUrl), который указывается при создании обработчика УЦ, то соединение проходит, а если забить его в Chrome, то появляется ошибка "этот сайт не может обеспечить безопасное соединение". Сертификат веб-сервера выпускался по ГОСТ Р 34.10-2012.
Может ли данная ошибка коррелировать с ошибкой, которая пишется в логах администратора сервиса подписи (Не удалось установить безопасный канал для SSL/TLS с полномочиями "DNS-имя сервера")?
Offline Андрей Солдатов  
#6 Оставлено : 7 июля 2021 г. 16:36:21(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 268
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 55 раз в 51 постах
Добрый день.
В браузере Chrome нет поддержки ГОСТ TLS, отсюда и ошибка при попытке открыть адрес службы - это нормально.
Присылайте вывод командлета:
(Get-DssEnrollment).settings
Техническую поддержку оказываем тут.
Наша база знаний.
Offline RockIT  
#7 Оставлено : 7 июля 2021 г. 17:22:26(UTC)
RockIT

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2021(UTC)
Сообщений: 6
Российская Федерация

Спасибо за пояснение по поводу Chrome. Буду знать.
Высылаю скриншот [img=https://pastenow.ru/9325b5ef7d2bbebd9f7b7cb5b89b6e64]dssEnrollment[/img]
Offline Андрей Солдатов  
#8 Оставлено : 7 июля 2021 г. 19:20:36(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 268
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 55 раз в 51 постах
А можете прислать вывод в текстовом виде.
И еще - вывод командлета Get-CAReference с сервера ЦР.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline RockIT  
#9 Оставлено : 7 июля 2021 г. 19:40:31(UTC)
RockIT

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2021(UTC)
Сообщений: 6
Российская Федерация

PS C:\Users\Администратор> (Get-DssEnrollment).Settings

Key Value
--- -----
DisplayName OOB
RdnConfig <ArrayOfSubjectNameComponent xmlns:i="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://ds...
TemplatesConfig <ArrayOfKeyValueOfstringArrayOfstringty7Ep6D1 xmlns:i="http://www.w3.org/2001/XMLSchema-instance"...
DisplayName Тестовый УЦ для стенда DSS 2012
Url https://<DNS-имя машины>/RA/RegAuthLegacyService.svc
OperatorThumbprint 7E90A2986AFB59AB46B1C99DF5E78280AB512021
FolderId e5713e41-ceae-409b-b5fc-ad3801316a0d
AuthorityName Тестовый УЦ для стенда DSS 2012
DisplayName Корневой ЦС
Url https://<DNS-имя машины>/RA/RegAuthLegacyService.svc
OperatorThumbprint AA4460BB9E877746C646BB4B7A49A2D4B235DE84
FolderId 22996d2f-bb44-4da8-989e-ac3000b557f1
AuthorityName Корневой ЦС



PS C:\> Get-CAReference


AuthorityName : Корневой ЦС
Url : https://<DNS-имя машины>/CA
ClientCertificate : [Subject]
CN=Центр Регистрации, CN=<DNS-имя машины>

[Issuer]
CN=Корневой ЦС

[Serial Number]
74B0B30030AC3FB442B1A0B1EA48E685

[Not Before]
08.09.2020 13:44:14

[Not After]
08.12.2021 13:54:14

[Thumbprint]
3AB7D5A364853B77F399C163F70B97DA9E0A2891

Primary : True
RevokeOnly : False
Retired : False
Offline Андрей Солдатов  
#10 Оставлено : 8 июля 2021 г. 0:24:29(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 268
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 55 раз в 51 постах
Удаленный доступ можете предоставить, с использованием TeamViewer?
Если да - пришлите данные в личку. Подключиться смогу завтра, во второй половине дня.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Андрей Солдатов  
#11 Оставлено : 8 июля 2021 г. 16:19:39(UTC)
Андрей Солдатов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 12.03.2019(UTC)
Сообщений: 268
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 55 раз в 51 постах
Проблема решена путем переустановки сертификата с привязкой к ЗК, переназначением прав на доступ к ЗК для УЗ пула приложений сервиса подписи и ребутом пулов приложений сервиса подписи и Фронтенда.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline RockIT  
#12 Оставлено : 8 июля 2021 г. 16:23:00(UTC)
RockIT

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.07.2021(UTC)
Сообщений: 6
Российская Федерация

Андрей, огромное спасибо за помощь.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.