Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро УЦ 1.4
»
Непонятная проблема со сроком сертификата
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.02.2010(UTC)
Сообщений: 5
Откуда: russia
|
Такая ситуация, на днях переустановили УЦ, соот-но выпустили новый корневой. его сроки с 2010 по 2015 год, так же сделали новые веб для ЦС, веб и клиент для ЦР со сроками с 2010 до 2011 как и полагается регламентом. УЦ заработал полностью. В процессе работы понадобилось перевести время вперед на неск. месяцев и тут сюрприз - ЦР и ЦС встали... при просмотре корневого и остальных пишет - что-то вроде "нет доверия..." и красный крестик, хотя ихние сроки намного дольше. Стали откатывать время по дням назад и остановились на дате 18 февраля когда последний день работоспособности. Поставили ЦС 4 февраля - итого 14 дней и все..? как такое может быть7 в чем причина? думал может старые сертификаты как то двоятся но ни у одного из них не было в сроке февраля вообще. или СОС как то влияет на сроки? Не хотелось бы опять все снова переустанавливать и еще неделю сидеть без работы
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519  Откуда: Крипто-Про
|
Пришлите все сертификаты из цепочки, и скриншот "Пути сертификации" из Свойств проблемного сертификата. ivan@cryptopro.ru
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.02.2010(UTC)
Сообщений: 5
Откуда: russia
|
с этой поблемой разобрался, теперь мучаемся с другой -
Ветка первая: прислали нам запрос на кросс-сертификат, при создании пишет что пользователь с таким именем уже существует, нашли его - пытаемся удалить - безрезультатно, т.к. имеет действующий сертификат - попытка отозвать или анулировать - пишет что нельзя это выполнить на действующем сертификате. Общая ситуация такая - переустановили ЦС, создали новый корневой, ЦР остался нетронутым. ВОт и встали, не можем второй день сделать кросс по запросу партнера.
Ветка вторая: откатили базу ЦР на тот срок когда этого пользователя не было, создаем его - все создается, но при создании сертификата из этого файла запроса - пишет ошибку 2147220984 и подпись "эта операция не может быть выполнена на этом сертификате" на админа дали все права по всем действиям. Есть идея что проблема кроется в файле запроса - что там есть параметр который не прописан в политике. Пока разбираемся с этой проблемой может что подскажите с Веткой первой..,? Как удалить из списка пользователя если у него пишет действующий сертификат, причем который не проверяется, т.к. был заменен корневой на ЦС и он же не отзывается по этой же причине...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
1. На ЦР в Политике добавьте разрешение для вашей роли на "Обработку запросов на отзыв" с улучшенным клюем "ALL".
2. Думаю, аналогично, только настраивать нужно настроить "Обработку неподписанных запросов (улучшенный ключ)"
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.02.2010(UTC)
Сообщений: 5
Откуда: russia
|
По вашему совету, при отзыве сертификата, все выполнили, получилось но не до конца, начала возникать ошибка "сертификат не найден в базе ЦС"!!! Как обойти ее!? Как удалить пользователя из списка в ЦР чтобы заново его создать при запросе кросс, если в базе ЦС его нету  Отредактировано пользователем 8 февраля 2010 г. 20:11:05(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.02.2010(UTC)
Сообщений: 5
Откуда: russia
|
Уже 4 часа на почте саппорт не отвечает, может хоть здесь кто-нить подскажет???
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
Поднять базу MS CA из BuckUp, естественно, со старым ключом.
Чтобы избежать проблем рассинхонизации необходимо производить востановление баз и ЦР, и ЦС.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.02.2010(UTC)
Сообщений: 5
Откуда: russia
|
хмм восстановление базы из ЦС? так нету ключа на старый корневой серт, потому и ЦС переустанавливали... Если бекап из SQL сделать, то пробовали - не получилось, может быть из-за смены корневого и база восстановилась.
Ситуация такая - ЦР с базой, ЦС без базы, но все работает, надо всего лишь удалить пользователя из ЦР чтобы сделать кросс... Неужели такой ситуации не было ни разу?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 519 Откуда: Крипто-Про
|
Ситуация не корректная. Без ключа УЛ УЦ отозвать сертификат вы не сможете, фактически вы потеряли контроль над выпущенными сертификатами. Самый приличный вариант восстановления работы УЦ - это обновление (обнуление) баз, информирование пользователе об обновлении УЦ, выполнение процедур по вашему регламенту... Отредактировано пользователем 8 февраля 2010 г. 20:49:52(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 11.05.2011(UTC)
Сообщений: 79
Откуда: Архангельск
|
IvanZzz написал:Ситуация не корректная. Без ключа УЛ УЦ отозвать сертификат вы не сможете, фактически вы потеряли контроль над выпущенными сертификатами. Самый приличный вариант восстановления работы УЦ - это обновление (обнуление) баз, информирование пользователе об обновлении УЦ, выполнение процедур по вашему регламенту... Либо попробовать: если остался запрос на изготовление сертификата, перевыпустить его указав тот файл запроса? и отозвать?Но не факт что это верный вариант, не разу так не делал.
|
|
|
|
|
|
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро УЦ 1.4
»
Непонятная проблема со сроком сертификата
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
