ViPNet ДП 3.2.13 Автопроцессинг. Внешняя подпись.

[Владислав Желтов]

Добрый день!

В настройках правила обработки входящих писем Автопроцессинга есть возможность "Проверять подпись получателей".

Автопроцессинг не обрабатывает письма, если они подписаны внешней подписью.

Есть суждение, что Автопроцессинг не обращается к внешнему хранилищу сертификатов ViPNet.

На примере: 2 узла на сети YYY, подписывают и отправляют друг-другу письма с внешними подписями сети ***.

Автопроцессинг на обоих машинах не обрабатывает такие входящие письма, если выставлена галочка "Проверять подпись пользователей".

При этом, если "Проверить подпись", нажав по конкретному письму, то подпись проверяется успешно и в настройках параметров безопасности стоит галочка "Разрешить использовать внешние сертификаты".

Прошу подсказать варианты решения проблемы.

Спасибо!

[denis.r]

Что при этом фиксируется в журнале автопроцессинга?

[Владислав Желтов]

Добрый день!

Выделяю непрочитанным определенное уникальное  входящее письмо в базе со вложением.

Захожу в список правил Автопроцессинга. Добавить(получатель, проверять подпись, действие поместить в каталог)-Проверить-Выполнить.

В Журнале Автопроцессинга ничего не фиксируется и в каталог файлы не копируются. Включена "высокая подробность" ведения журнала.

Воспроизвел также на версии ДП 3.2(12.28921).

Проблем с доступом/правами в ОС - нет.

[Vintik]

Вы сами в рукопашную можете проверить "внешний" сертификат или нет?

Мне кажется у вас лично не выстроена цепочка на внешний, потому он считается не действительным и письмо потому не проходит, т.к. нет доверия.

У вас два пути в таком случае.

1) Самому посмотреть что за сертификат и выстроить цепочку доверия.

2) Попросить администраторов вашей сети, чтоб они на УКЦ выстроили цепочку доверия и вам на автомате придут обновления и будет доверие.

Второй метод лучше, т.к. админа должны сами быть заинтересованы, а вы как пользователи вовсе не должны от этого страдать. К тому же вам постоянно надо бубет список САС обнавлять и т.п., а там они это на автомате могут сделать (если конечно есть точка расспространения) ну или так же в рукопашную добавлять, по мере необходимости. К тому же вы понимаете на УКЦ не надо им всех внешних сертификатов  "Васи, Гены, Оли, Насти..." они отвечают за головной их, а пользователи сами умеют свой сертификат и будут подписывать как подписывали, а у вас будет уже доверие и всё работать как надо.

Ну если в вашей сети админам всё равно (а такое знаю бывает, особенно в ГОС где считают им платят только чтоб в носу ковырялись, не про всех конечно!!!) то смотрите от кого и настроейте себе цепочку и всё должно заработать.   

[Владислав Желтов]

Цепочка сертификации выстроена, СоСы сети, на которой выпущена подпись, рассылаются вовремя, потому, если пкм по письму и выбрать "проверить подпись", то все галочки зеленые и письмо имеет атрибут "П". То есть, подпись автоматом проверяется при получении письма.

Я вопрос поставил, потому что поток писем большой и будет удобнее через автопроцессинг(с галкой "проверять подпись пользователей") их обрабатывать. Описанных Вами проблем нет, но спасибо за развернутый ответ!:)

[Vintik]

Не за что, я понимаю что вы проверили всё и в первом посту это отписали, но бывают случаи, когда эти "мелочи" можно упустить, так что не подумайте что совсем вас не компетентным считаю.

\У меня был случай когда мне задали вопрос - куда пропадают письма??? мы их не удалили? раньше такого не было?. А я если честно особо не когда авто и не пользовался от безнадобности, но знаю это хорошая функция, начал проверять и слово - за слово, оказалось они там случано наверно когда переносили или проверяли, но поставили галочку "после обработки удалять" - вот и причина. Но хорошо там в "логах" всё есть, видно что удалялись, а значит это не сбой был, а реально кто то удалял или .. ну вот "или" и нашлось)))\

Т.к. у вас всё хорошо получается с проверкой, то думаю надо более детально смотреть настройки.

1) Если у вас есть своя строняя подпись, то вы можете сами себе отправлять такие письма и посмотреть обработаются ли они.

2) От "ваших" клиентов, у которых обработки идёт я бы от них же отправил но подписав другим "подписантом" и посмотрел бы как тут отработал автопроцес.

Такое почему то складывается предложение, что "ваших" он проверят и продолжает след. операцию - т.е. типа всё работает.

А вот если подписать другим, то проверят (или не проверяет) и след. операцию не выполняет. Если бы у вас не проверялась цепочка, то ещё можно было бы понять, но у вас вы говорите всё проверяется и все САСы актуальны и проблем не должно быть, однако они есть. 

 

[Владислав Желтов]

Фишка в том, что воспроизводится и с другими АП. У абонентов А-Б вопрос, на АП-х В-Г та же ситуация получается. Все на 1 сети висят. И если  А-В, А-Г, Б-В, Б-Г - тоже самое.

Абонент А сообщил, что автопроцессинг перестал выполняться после смены подписи отправителя Б на внешнюю, но иначе никак(сеть не КЭП).

Поэтому и грешу на инфотекс:)

Попробую В-В для уверенности, спасибо за вариант.

[Vintik]

Ой, у меня в голове сейчас прям "А И Б - сидели на трубе, А - упала, Б - пропала. Кто остался на трубе?"  Тут то ответ мы уже знаем))) 

А вот у вас задачку куда посложнее))) у вас там и "В" и даже "Г" ))) жуть)))) "Г" - это вопче страшное дело)))) до "Г" лучше не доводить)))) Давайте надеятся на результат "В-В" а то совсем страшно.

Ну а теперь вернёмся к делу - то что сеть не "КЭП" это не новость, но также не новость, что в таких сетях всё работает.

Вот другой случай был, у абонента всё было прекрасно т.к. УЦ позаботился и цепочку сторонних на УЦ держал и держит, но клиент уверяет у него ошибка с проверкой и всё тут... оказалось это при отправки у них дополнительно включено уведомление и как раз там то они и видели ошибку (уж не знаю видит ли это автопоцес). И тут стало всё ясно "так это на обратной стороне не заботятся о проверки вашей КЭП, значит или или пофиг или просто не знают как и не используют, вам то главное что вы их проверяете". Ну чтоб они уже были спокойны, связались с другой стороной и оказалось, там просто не проверяли и людей не обучили как это сделать, но человек оказался интересующийся и не смотря на то что точки распр. нет, обменялись  сертификатами, САС, всё выстроили и договорились как будет срок просто будем меняться САС свежими, пока они не перейдут на другой УЦ где САС публикуются.).

По А и Б я примерно понял так 

1) А - Головной приёмник, ранее принимал без проблем от Б (и Б так же если надо принимали от А)
2) А нечего не меняли, Б поменяли сертификат - перестал работать автопрочес в сторону А от Б
3) Если что то получить от А, то всё проверяются (серт) как и должно, т.к. А не чего не менял и Б видит всё прекрасно.
4) Теперь Б отправляет А с новым сертификатом и А не может принять, потому что у них не выстроена цепочка.

\ О как я их крайними сделал))) \

Кстате вы написали у вас - галочка "Разрешить использовать внешние сертификаты" стоит. Напрашивается вопрос, это для точно чтоб на пример с КриптоПро их использовать верно? У меня были случаи, когда не как от туда. даже с этой галочкой не принимались сертификаты, потому была возможность и стороняя подпись была только для этого ВИП канала, переделали подпись под випнет, тогда все проблемы отпали, контейнер как родной принимается. 

В целом если у вас подпись на Випнетовская, то эта галочка вам не к чему, но если и так, то там ещё есть одна галочка "не проверять САС" (ну ка кто по своему написано). Т.е. бывает с внешними как раз глюки и чтоб в ОС руками САС не вносить (т.к. то что в випнете они есть не означает что ОС их видит и понятно стронние криптопровайдеры так же). Так что зайдите ещё в certmgr.msc и посмотрите есть ли там актуальные САС, т.к. КриптоПро из ОС при проверке не когда не поймёт что там у Випнета. Хотя мы вроде о ДП разговариваем, но если у вас "Г" замешана то уже лучше проверить.

 

[Владислав Желтов]

АБВГ - это равноправные узлы в сети. Изначально предположил, что проблема только у А-Б,  протестировал на В-Г.

Контейнеры випнетовские, галочки по умолчанию были, стараюсь не менять ситуацию.

Попробую в сертмжр СоСы положить напрямую и выполнить правило.

Уже есть конкретные рекомендации, спасибо, буду тестировать!:)

[Vintik]

Если контейнеры випнетовские, то Винет САСы сморит у себя, я то думал.. ну ладно. Тестируйте. Потом отпишите чем закончится.

[Владислав Желтов]

Доброе утро!

Тест окончился неудачно.

Кроссы, СоСы, корневые, другие пользователи в локальном хранилище выстроены, СоС и ключи в ViPNet актуальны.

Желательно получить комментарий разработчика.

 

[Vintik]

На пишите им в тех.п. через вэб. у них сейчас вроде улучшения и мне как то даже перезвонили, аж ужаснулся.

А что сделали то? На примере В-В чуть подробнее. Например как я просил проверили:

1) Всё как было В-В дур другу отправляете - "автопроцесингом" - всё равботает.

2) Хоть кому то из из АП стоит пременить не свою подпиь - по авто процесинку не принимается.

Я так понял. Я бы это ещё на "привидео" (скринов) сделал для сапорта и отправил. Ну не должно быть такого. Где то ошибочка закралась.