Статус: Новичок
Группы: Участники
Зарегистрирован: 05.08.2025(UTC) Сообщений: 7  Откуда: Кемеровская область Сказал(а) «Спасибо»: 3 раз
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,859
Сказал(а) «Спасибо»: 650 раз
Поблагодарили: 504 раз в 475 постах
|
Автор: buglett96  не можем зайти на казначейские сайты выдаёт ошибку ERR_TIMED_OUT
...
Пробовали увеличить время ожидания, но это ничего не дало sudo /opt/cprocsp/sbin/amd64/cpconfig -ini '\cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainUrlRetrievalTimeoutMilliseconds 900000 Используете прокси с авторизацией? Какую скорость покажет проверка загрузки этих самых списков отзывов? Код:$ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2022.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 8849k 100 8849k 0 0 2146k 0 0:00:04 0:00:04 --:--:-- 2146k
Код:$ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2023.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 9919k 100 9919k 0 0 1909k 0 0:00:05 0:00:05 --:--:-- 1910k
Код:$ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2024.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 5315k 100 5315k 0 0 1963k 0 0:00:02 0:00:02 --:--:-- 1962k
+ также можете заглянуть в системный журнал во время воспроизведения ошибки и изучить записи на предмет ошибок; Автор: buglett96 На сег.день, на указанном сайте/ портале отсутствует действительный сертификат в цепочке. Росказна уже десятый день этот вопрос решает, между ведомствами не могут контакт наладить: Цитата:Ожидание сертификата со стороны ЦОКР. Автор: buglett96 каждый отдельно скачиваем, затем удаляем. Да, установку списков отзывов в локальные хранилища можно практиковать в закрытых контурах, либо там, где имеется проблема с доступом к сети Интернет - медленный канал, наличие неподконтрольного/ "авторизованного" прокси и пр. (кстати да, в будущем вопрос с авторизацией на прокси будет решён).
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.08.2025(UTC) Сообщений: 7 Откуда: Кемеровская область Сказал(а) «Спасибо»: 3 раз
|
Цитата:Используете прокси с авторизацией? Прокси не используем Цитата:Какую скорость покажет проверка загрузки этих самых списков отзывов? Код:$ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2022.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 8849k 100 8849k 0 0 279k 0 0:00:31 0:00:31 --:--:-- 315k
Код:$ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2023.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 9919k 100 9919k 0 0 303k 0 0:00:32 0:00:32 --:--:-- 281k
Код:$ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2024.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 5315k 100 5315k 0 0 287k 0 0:00:18 0:00:18 --:--:-- 237k
+ Цитата:также можете заглянуть в системный журнал во время воспроизведения ошибки и изучить записи на предмет ошибок; На астре совсем нет опыта не уверен что проверил правильный журнал, но при вводе команды journalctl -f сыпет кучу ошибок Код:$ CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:33 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:33 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertOpenStore!failed: LastError = 0x2
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertOpenStore!failed: LastError = 0x2
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCertificateInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:38 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:43 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:43 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:43 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:43 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:48 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:48 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:48 l-boss chrome[4639]: <capi20>CertFindCRLInStore!failed: LastError = 0x80092004
авг 05 12:08:48 l-boss chrome[4639]: <libssp>CPQueryContextAttributesA!failed: LastError = 0x80090301
авг 05 12:08:59 l-boss astra-event-diagnostics[3483]: check passed
авг 05 12:09:48 l-boss drweb-configd[989]: UrlCheck idle state detected
авг 05 12:09:48 l-boss drweb-urlcheck[11232]: Termination signal received, exiting...
авг 05 12:09:48 l-boss drweb-urlcheck[11232]: Exit with status 107 (Process terminated by signal)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,859
Сказал(а) «Спасибо»: 650 раз
Поблагодарили: 504 раз в 475 постах
|
Автор: buglett96 Прокси не используем Ясно-понятно; Автор: buglett96 Код:$ /opt/cprocsp/bin/amd64/curl http://crl.roskazna.ru/crl/ucfk_2023.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 9919k 100 9919k 0 0 303k 0 0:00:32 0:00:32 --:--:-- 281k
Да, с такой скоростью ошибки таймаута будут, т.к. в лимит "по умолчанию" не укладывается; Автор: buglett96 На астре совсем нет опыта не уверен что проверил правильный журнал, но при вводе команды journalctl -f сыпет кучу ошибок Вы заглянули в правильный журнал, но, т.к. сейчас у Вас списки уже в хранилищах, то и обращения по URL не происходит и ошибки доступа cURL не фиксируются; Автор: buglett96 Пробовали увеличить время ожидания, но это ничего не дало Код:$ sudo /opt/cprocsp/sbin/amd64/cpconfig -ini '\cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainUrlRetrievalTimeoutMilliseconds 900000
1 секунда = 1000 миллисекунд, у Вас среднее время загрузки ~35 секунд, следовательно --> 35*1000=35000. Выставляйте значение не больше указанного умноженного на 1,5 - 50000 будет достаточно и проверяйте. Не исключено, что указанное Вами 900000 просто на просто не учитывается и используется то же значение "по умолчанию".
|
 1 пользователь поблагодарил nickm за этот пост.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,859
Сказал(а) «Спасибо»: 650 раз
Поблагодарили: 504 раз в 475 постах
|
Автор: nickm 1 секунда = 1000 миллисекунд, у Вас среднее время загрузки ~35 секунд, следовательно --> 35*1000=35000. Выставляйте значение не больше указанного умноженного на 1,5 - 50000 будет достаточно и проверяйте. Не исключено, что указанное Вами 900000 просто на просто не учитывается и используется то же значение "по умолчанию". Да, вот пояснение: Автор: Зубов Иван Автор: dbama
если про этот, то не помогает. ставил даже 600000
/opt/cprocsp/sbin/amd64/cpconfig -ini '\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainUrlRetrievalTimeoutMilliseconds 60000
Значение больше 65535 (т.е. чуть больше 65.5 секунд) в выпущенных версиях CSP и CADES не сработает, приведёт к тому, что будет использован таймаут по умолчанию -- 15 секунд. Мы сделали так по аналогии с документацией на Windows, но благодаря вам обнаружили, что фактически в коде Windows такого ограничения сверху нет. Спасибо вам большое! В будущих версиях CSP и CADES (в следующем релизе может ещё нет, но через один релиз -- обязательно) это будет исправлено -- можно будет и 600000 написать. Номер запроса для отслеживания в changelog: CPCSP-8672. В выпущенных версиях максимальное значение -- 65535. Также на всякий пожарный можно увеличить другой таймаут, который используется в коде более редко: /opt/cprocsp/sbin/amd64/cpconfig -ini '\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds 60000 Вряд ли это на что-то повлияет, но на всякий пожарный скажу. Там история с максимальным значением такая же самая.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,859
Сказал(а) «Спасибо»: 650 раз
Поблагодарили: 504 раз в 475 постах
|
Ну и да, следует добавить, что увеличение таймаута загрузки списков отзывов - это не панацея. Всё же следует решать вопрос иначе: увеличивать скорость доступа, "скриптовать" загрузку, использовать кэш и т.п. При работе в ИС этих списков отзывов может оказаться больше одного и на каждый будет тратиться, тех же ~30 сек., во что превратится работа пользователя, в бесконечное ожидание? Что станется, если загрузка не уложится в максимальное значение? Например: Код: $ /opt/cprocsp/bin/amd64/curl http://cdp.tax.gov.ru/cdp/d156fb382c4c55ad7eb3ae0ac66749577f87e116.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 24.4M 100 24.4M 0 0 14.3M 0 0:00:01 0:00:01 --:--:-- 14.3M
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.08.2025(UTC) Сообщений: 7 Откуда: Кемеровская область Сказал(а) «Спасибо»: 3 раз
|
Автор: nickm Ну и да, следует добавить, что увеличение таймаута загрузки списков отзывов - это не панацея. Всё же следует решать вопрос иначе: увеличивать скорость доступа, "скриптовать" загрузку, использовать кэш и т.п. При работе в ИС этих списков отзывов может оказаться больше одного и на каждый будет тратиться, тех же ~30 сек., во что превратится работа пользователя, в бесконечное ожидание? Что станется, если загрузка не уложится в максимальное значение? Например: Код: $ /opt/cprocsp/bin/amd64/curl http://cdp.tax.gov.ru/cdp/d156fb382c4c55ad7eb3ae0ac66749577f87e116.crl -o /dev/null
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 24.4M 100 24.4M 0 0 14.3M 0 0:00:01 0:00:01 --:--:-- 14.3M
Увеличение тайминга не помогло. Проверил на других компьютерах там время загрузки сертификатов доходит до 4-ёх минут. Решили пока ежедневно проверять все сертификаты. Скачиваем обновлённые на сервер, а уже остальные компьютеры их подтягивают сами с сервера скриптом Вообще проблема эта уже давно и я замечал что при использовании Яндекс Браузера все казначейские сайты работают при проверке через arm-fzs TLS ошибку не выдаёт выдаёт, но сегодня Яндекс также ругался на TLS.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,859
Сказал(а) «Спасибо»: 650 раз
Поблагодарили: 504 раз в 475 постах
|
Автор: buglett96 Увеличение тайминга не помогло. Какие сейчас настройки таймаутов в СКЗИ "КриптоПро CSP"? Автор: buglett96 Проверил на других компьютерах там время загрузки сертификатов доходит до 4-ёх минут. У Вас действительно имеются такие задержки с доступом к сети Интернет? Сильно ограниченный канал доступа? Автор: buglett96 при проверке через arm-fzs TLS ошибку не выдаёт выдаёт, но сегодня Яндекс также ругался на TLS. Ещё раз - на сег. день у указанного портала имеется проблема с сертификатом сайта. Тех.поддержка Росказны в курсе, но исправляют уже 10-ый день. Да, и... от этого сайта мало толку, так, для отвода глаз, т.к. чуть ранее, он вообще был "не работоспособен", точнее от него толку было мало, да и нынче не много; Автор: buglett96 Решили пока ежедневно проверять все сертификаты. Скачиваем обновлённые на сервер, а уже остальные компьютеры их подтягивают сами с сервера скриптом Если других решений для решения вопроса не предвидится, то только так и остаётся действовать.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 05.08.2025(UTC) Сообщений: 7 Откуда: Кемеровская область Сказал(а) «Спасибо»: 3 раз
|
Цитата:Какие сейчас настройки таймаутов в СКЗИ "КриптоПро CSP"? Код:/opt/cprocsp/sbin/amd64/cpconfig -ini '\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config' -add long ChainUrlRetrievalTimeoutMilliseconds 65535
Цитата:У Вас действительно имеются такие задержки с доступом к сети Интернет? Сильно ограниченный канал доступа? У нас сейчас вообще проблемы со скоростью сервер smb на винде нормально работает, а на астре невозможно даже между папками переключаться и документы очень долго открываются. Вообще скорость в принципе не большая всего 100 мбит. Ещё есть мысля что это из-за скрипта который я сделал для автоматической замены .crl Вот так выглядит скрипт который при запуске компьютера заменяет установленные у пользователя .crl на те что скачались на сервер: Цитата:#!/bin/bash
#USER=$(whoami)
#if[ "$USER" == "root" ]; then
#echo 'пароль' | sudo -S su -c whoami
#else
# echo 'пароль' | sudo -S su -c whoami
#fi
cd путь_к_папке_с_сертификатами
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file guc2021.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file guc2022.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file guc.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file guc_gost12.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file guc_gost12.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk_2020.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk_2021.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk_2022.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk_2022_1.1.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk_2023.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk_2024.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk_2025_1.crl -crl
sudo /opt/cprocsp/bin/amd64/certmgr -inst -store mca -file ucfk_2025.crl -crl
#read -p "Нажмите любую клавишу для завершения..."
Запускаем его при запуке ПК как сервис: Цитата:[Unit]
Description=Перезапись сертификатов
After=mnt-M.mount
Requires=mnt-M.mount
[Service]
ExecStart=путь к скрипту
User=root
Restart=always
[Install]
WantedBy=multi-user.target graphical.target Почему-то он отрабатывает не 1 раз, а постоянно висит и обращается к серверной папке где хранятся сертификаты, поэтому и думаем что из-за него грузится сервер. Подскажите ещё какие-нибудь варианты автоматической установки .crl чтобы не грузило систему. КриптоПРО по прежнему 5.0.11455
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,859
Сказал(а) «Спасибо»: 650 раз
Поблагодарили: 504 раз в 475 постах
|
Автор: buglett96 Вот так выглядит скрипт который при запуске компьютера заменяет установленные у пользователя .crl на те что скачались на сервер: Вполне, но можно чуть-чуть упростить, завернув перебор *.crl-файлов и команду установки в цикл; Автор: buglett96 Почему-то он отрабатывает не 1 раз, а постоянно висит и обращается к серверной папке где хранятся сертификаты, поэтому и
думаем что из-за него грузится сервер. Вот это и есть причина: Автор: buglett96 Автор: buglett96 Вообще скорость в принципе не большая всего 100 мбит. Ведь это речь о доступе к сети Интернет/ ширине канала, он 100 Мбит/с? При грамотной настройке, такого канала должно с лихвой хватать на несколько сотен устройств; Автор: buglett96 поэтому и думаем что из-за него грузится сервер Что бы не гадать, отключите юнит и проверьте поведение сетевого каталога; Автор: buglett96 Подскажите ещё какие-нибудь варианты автоматической установки .crl чтобы не грузило систему В зависимости от способа монтирования сетевого каталога выполнять установку единожды при входе пользователя в графическую оболочку и/ или по запросу.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
