Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline TiGRaKiLL  
#1 Оставлено : 9 августа 2021 г. 8:15:10(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Добрый день!
После непредвиденного отключения электричества на сервере ЦС и ЦР, при загрузке их обратно в Агенте управления ключами появилась ошибка "Ошибка при обновлении". Обновление не производилось. 1628485648393.jpg (1,090kb) загружен 6 раз(а). Как можно устранить данную проблему?
Offline TiGRaKiLL  
#2 Оставлено : 9 августа 2021 г. 13:05:10(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Через Командную строку управления УЦ загрузил ключ. Ключ загрузился успешно, все заработало, но в Агенте управления ключами по прежнему осталась такая ошибка. 1.jpg (91kb) загружен 11 раз(а). В журналах Windows периодически сыпется ошибка "Не удается загрузить или проверить текущий сертификат ЦС" 2.jpg (201kb) загружен 8 раз(а).

Еще из особенностей, в мануале написано, что при загрузке ключей через командную строку сначала пишется -config, а потом -loadKey, но так не работает certutil2 не знает параметр -config. Поэтому надо наоборот, тогда работает.
Offline infocentre  
#3 Оставлено : 9 августа 2021 г. 17:17:42(UTC)
infocentre

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.07.2012(UTC)
Сообщений: 255
Мужчина
Российская Федерация

Сказал «Спасибо»: 22 раз
Поблагодарили: 13 раз в 9 постах
А сам контейнер доступен? Проверку в КриптоПро CSP проходит?
Offline TiGRaKiLL  
#4 Оставлено : 10 августа 2021 г. 7:11:06(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Да, контейнер доступен, проверку проходит. На данный момент сертификаты выпускаются и все работает за исключением ошибок в событиях системы и в Агенте по управлению ключами не отображаются ключи, пишет Ошибка при обновлении Access denied. Сверху приложил скриншот.
Offline roflanVikared  
#5 Оставлено : 10 августа 2021 г. 10:19:50(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 216
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 102 раз в 51 постах
Вероятно, у вас два ключа ЦС и срок действия одного из них истек (можно проверить список ЦС командой Get-CAReference). Также можете убрать галочку "Загружать ключи автоматически", чтобы отобразить ключи в "Управлении ключами".

Отредактировано пользователем 10 августа 2021 г. 10:26:32(UTC)  | Причина: Не указана

D2/CB-4+BF2/A-DASH-4+BF2
thanks 1 пользователь поблагодарил roflanVikared за этот пост.
TiGRaKiLL оставлено 10.08.2021(UTC)
Offline TiGRaKiLL  
#6 Оставлено : 10 августа 2021 г. 13:47:03(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Сертификатов несколько, но ни один сертификат не истек, а вот совет убрать галочку помог. Теперь ключи появились в агенте. Может подскажете с чем это связано, ранее ведь работало с галочкой, что могло произойти?

Отредактировано пользователем 10 августа 2021 г. 14:01:25(UTC)  | Причина: Не указана

Offline roflanVikared  
#7 Оставлено : 10 августа 2021 г. 14:15:02(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 216
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 102 раз в 51 постах
Нужно ориентироваться по сроку действия закрытых ключей ЭП, для ключей ЦС он составляет 3 года. Возможно, у одного из ключей 3 года истекли (проверить можно через КриптоПро CSP).
D2/CB-4+BF2/A-DASH-4+BF2
Offline TiGRaKiLL  
#8 Оставлено : 10 августа 2021 г. 14:27:36(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Да, действительно закрытый ключ истек. Есть смысл забирать у признак подписание CRL у ключей у кого истек закрытый ключ? На сколько я понимаю он пытается подгрузить ключи по порядку, и на первом же натыкается на Access denied и на этом и останавливается.
Offline roflanVikared  
#9 Оставлено : 10 августа 2021 г. 14:37:13(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 216
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 102 раз в 51 постах
Вам необходимо было вывести из эксплуатации ключи ЦС, у которых истекал срок действия, с выпуском финального CRL. В данном случае также можете вывести истекший ключ ЦС из обращения (в соответствии с рекомендациями "КриптоПро УЦ 2.0. Руководство по эксплуатации").
D2/CB-4+BF2/A-DASH-4+BF2
thanks 1 пользователь поблагодарил roflanVikared за этот пост.
TiGRaKiLL оставлено 10.08.2021(UTC)
Offline TiGRaKiLL  
#10 Оставлено : 10 августа 2021 г. 14:41:15(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Хорошо, так и поступлю. Спасибо большое.
Offline TiGRaKiLL  
#11 Оставлено : 11 августа 2021 г. 15:12:35(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
Сегодня вывел из действия ключи у которого истек срок действия закрытого ключа, но без выпуска финального CRL так как для выпуска финального CRL нужно чтобы ключ был загружен, а он не может быть загружен так как истек и вылетает ошибка Access Denied. Сегодня у клиентов у которых были выпущены сертификаты на старом корне, не проходят цепочку. ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.
Как то можно выпустить финальную CRL командой или другим методом?

ПОявилась мысль, при выпуске нового корня, требуется ли добавлять новый адрес публикации?

Отредактировано пользователем 11 августа 2021 г. 15:17:45(UTC)  | Причина: Не указана

Offline roflanVikared  
#12 Оставлено : 11 августа 2021 г. 15:52:20(UTC)
roflanVikared

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2017(UTC)
Сообщений: 216
Мужчина
Финляндия
Откуда: Helsinki

Сказал «Спасибо»: 2 раз
Поблагодарили: 102 раз в 51 постах
Чтобы выпустить финальный CRL нужен ключ с действующим закрытым ключом. Финальный CRL вам нужно было выпустить, когда еще не истек срок действия ключа ЦС (который сейчас не загружается в Агенте). Сейчас уже поздно, да и если нет действующих сертификатов, которые были выпущены этим ключом, то нет особого смысла пытаться выпустить финальный CRL, т.к. нечего проверять. Вы вывели из обращения точно истекший ключ?
А по клиентским сертификатам, которые не проверяются на отзыв, уточните доступность адреса публикации CRL, которые в них указаны, а также действительность корневого сертификата, под которым они выпущены (надеюсь, вывели из обращения не его).

D2/CB-4+BF2/A-DASH-4+BF2
Offline two_oceans  
#13 Оставлено : 12 августа 2021 г. 7:47:11(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 318 раз в 300 постах
Добрый день.
Поддержу прошлое сообщение и добавлю, что по идее клиентские сертификаты должны всегда иметь окончание действия ранее чем окончание сертификата УЦ. Иначе просто не построится корректная цепочка сертификатов при проверке после окончания сертификата УЦ. Финальный CRL имеет смысл, если клиентскими сертификатами делались усовершенствованные подписи, так как неусовершенствованные подписи (без метки времени) "протухнут" вместе с клиентским сертификатом и проверять будет нечего.

Если же у Вас истекает срок действия закрытого ключа, но сертификат УЦ еще действует несколько лет, то тут теоретически есть 3 пути (и к сожалению все пути неприменимы к аккредитованным УЦ):
1) экспортировать в pfx/p12, импортировать ключ (при этом дата действия закрытого ключа в новом контейнере будет отсчитываться от текущей даты, бесполезно если в сертификата указана меньшая дата действия закрытого ключа). Технически это нарушает норму закона о сроке действия ключа, так что неприменимо на аккредитованных УЦ;
2) отключить контроль ключей (что делает СКЗИ несертифицированным);
3) выпустить кросс-сертификат с нового сертификата УЦ на старый сертификат УЦ (то есть превратить старый сертификат в запрос и выпустить сертификат на этот запрос) (при этом увеличится длина цепочки, то есть клиентам придется переустановить сертификаты для того чтобы сертификаты подхватились на цепочку с новым корневым, на аккредитованных УЦ это часто невозможно из-за ограничения длины цепочки (то есть аккредитованные УЦ не смогут выдавать сертификаты другим УЦ).

Если у Вас речь о корневом сертификате и УЦ не аккредитованный, то метод 1 позволит загрузить новый экземпляр истекшего ключа и сделать что Вы хотите - финальный CRL и/или кросс с нового корневого.

Отредактировано пользователем 12 августа 2021 г. 7:50:16(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
TiGRaKiLL оставлено 12.08.2021(UTC)
Offline TiGRaKiLL  
#14 Оставлено : 12 августа 2021 г. 13:51:44(UTC)
TiGRaKiLL

Статус: Участник

Группы: Участники
Зарегистрирован: 11.07.2016(UTC)
Сообщений: 23
Российская Федерация

Сказал(а) «Спасибо»: 10 раз
У нас получилось так: Корневой сертификат был выпущен на 5 лет и заканчивается он в 2022 году, а вот закрытый ключ к нему был на 3 года и закончился он в декабре 2020 года и каким то чудесным образом до августа выпускались сертификаты под этим корнем. Перестало работать после того как перезагрузились сервера и ключи не смогли автоматически подгрузиться в Агент управления ключами. Вывел из действия сертификат с закончившимся закрытым ключом, но все сертификаты до августа (а они действуют 15 месяцев) были выданы на старом корне у которого уже закончился срок закрытого ключа.
После выпуска нового корня пришлось перевыпустить все сертификаты, т.к. пропала связь с ЦС (пропала не сразу, по всей видимости после того как должны были выпуститься планово crl): веб серверов, связь ЦР и ЦС, Администратора ЦР и т д. Но у клиентов у кого старый корень пока сохраняется ошибка проверки цепочки. Пока выключили проверку, но вариант так себе (временный). Буду пробовать что то из того, что посоветовал two_oceans, т.к. УЦ не аккредитованный. Спасибо за рекомендации.
Offline infocentre  
#15 Оставлено : 12 августа 2021 г. 16:22:20(UTC)
infocentre

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.07.2012(UTC)
Сообщений: 255
Мужчина
Российская Федерация

Сказал «Спасибо»: 22 раз
Поблагодарили: 13 раз в 9 постах
А ведь по библии сервера УЦ нужно раз в сутки перезагружать :-)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.