Восстановление сети VipNet.

[a.kovalev]

Добрый день В нашей организации есть 2 випнет координатора hw 1000, утеряны пароли к модулю випнет администратор и известно что просрочен основной сертификат пользователя администратора. Какие шаги необходимо проделать для восстановления работоспособности сети?

[Xenobius]

Если у вас нет своего АРМ администратора с ЦУС и УКЦ - обратиться к администратору сети, чтобы он проделал необходимые обновления.

[a.kovalev]

Свой АРМ администратора с ЦУС и УКЦ есть. Пароль от УКЦ утерян. Функции администратора сети придется выполнять мне. Есть инструкции по ЦУС и УКЦ.

Нет понимания последовательности необходимых шагов. Если возможно, подскажите хотя-бы схематично, дальше уже разберусь.

А также пока не понимаю общую идеологию, взаимодействия ключей-сертификатов.

[Stratos]

Если утерян пароль от УКЦ - все.... Проще переустановить все с нуля.

[Xenobius]

Если потеряли пароль от УКЦ, а ещё и к тому же срок действия сертификата администратора закончился, тут только один путь - сносить АРМ админа полностью и создавать сеть заново. В случае утраты этого пароля восстановить его невозможно. После этого генерировать новые dst-файлы (в том числе и для администратора) и заново инициализировать координаторы и клиенты.

Вообще, лучше, конечно, пойти на учебные курсы - у ОАО "ИнфоТеКС" есть свой учебный центр в Москве. Есть авторизованные учебные центры в других городах (перечень есть на сайте учебного центра). Можно купить на том же сайте учебного центра специализированные учебные пособия (собственно учеба в учебных центрах происходит по ним, плюс ещё практические занятия на виртуальных машинах (если ПО для windows или linux) и на "живых" HW1000). Более того, если не будете проходить официальное обучение - книги тем более нужно купить, раз теперь Вы будете рулить сетью. Учеба учебой, а кое-что по-быстрому вспомнить книжка очень помогает.

[a.kovalev]

Спасибо огромное. В принципе у меня есть кроме "мертвой, "также "живая" сеть, на которой я не полновластный админ, но кое-что делал, генерил дистрибутивы ключей, настраивал сами HW1000 в кластер. Книжки есть "Vipnet administrator практикум" и "Система защиты информации VipNet".

Главное, как я понял, обладание файлами лицензий infotecs.reg и infotecs.re. А остальное можно стирать, переставлять и т.д. Правильно?

[Xenobius]

Да, про регистрационные файлы (reg и re) верно. Для работы с HW1000 приобретите Программно-аппаратные комплексы ViPNet, а также Технология построения виртуальных защищенных сетей ViPNet Windows&Linux: практикум.

[KIV]

Есть один и вариант но сам не пробовал. 

На админе клиент еще работает? Если да, то можно попробовать укц развернуть с нуля, цус не трогать и разослать ключи из нового укц по узлам начиная с клиентов (кроме админа), удаленных координаторов, и координатора центра, а уж потом админа обновить.

 

[Echo]

не получится. При установке УКЦ с нуля будут сформированы вообще все ключи с нуля, в том числе и мастера, так что обновления ключей просто не примутся на узлах, даже если дойдут. Так что только ручная инициализация DST