Jump to content

Recommended Posts

Добрый день!

В настройках правила обработки входящих писем Автопроцессинга есть возможность "Проверять подпись получателей".

Автопроцессинг не обрабатывает письма, если они подписаны внешней подписью.

Есть суждение, что Автопроцессинг не обращается к внешнему хранилищу сертификатов ViPNet.

На примере: 2 узла на сети YYY, подписывают и отправляют друг-другу письма с внешними подписями сети ***.

Автопроцессинг на обоих машинах не обрабатывает такие входящие письма, если выставлена галочка "Проверять подпись пользователей".

При этом, если "Проверить подпись", нажав по конкретному письму, то подпись проверяется успешно и в настройках параметров безопасности стоит галочка "Разрешить использовать внешние сертификаты".

Прошу подсказать варианты решения проблемы.

Спасибо!

Share this post


Link to post
Share on other sites

Добрый день!

Выделяю непрочитанным определенное уникальное  входящее письмо в базе со вложением.

Захожу в список правил Автопроцессинга. Добавить(получатель, проверять подпись, действие поместить в каталог)-Проверить-Выполнить.

В Журнале Автопроцессинга ничего не фиксируется и в каталог файлы не копируются. Включена "высокая подробность" ведения журнала.

Воспроизвел также на версии ДП 3.2(12.28921).

Проблем с доступом/правами в ОС - нет.

Share this post


Link to post
Share on other sites

Вы сами в рукопашную можете проверить "внешний" сертификат или нет?

Мне кажется у вас лично не выстроена цепочка на внешний, потому он считается не действительным и письмо потому не проходит, т.к. нет доверия.

У вас два пути в таком случае.

1) Самому посмотреть что за сертификат и выстроить цепочку доверия.

2) Попросить администраторов вашей сети, чтоб они на УКЦ выстроили цепочку доверия и вам на автомате придут обновления и будет доверие.

Второй метод лучше, т.к. админа должны сами быть заинтересованы, а вы как пользователи вовсе не должны от этого страдать. К тому же вам постоянно надо бубет список САС обнавлять и т.п., а там они это на автомате могут сделать (если конечно есть точка расспространения) ну или так же в рукопашную добавлять, по мере необходимости. К тому же вы понимаете на УКЦ не надо им всех внешних сертификатов  "Васи, Гены, Оли, Насти..." они отвечают за головной их, а пользователи сами умеют свой сертификат и будут подписывать как подписывали, а у вас будет уже доверие и всё работать как надо.

Ну если в вашей сети админам всё равно (а такое знаю бывает, особенно в ГОС где считают им платят только чтоб в носу ковырялись, не про всех конечно!!!) то смотрите от кого и настроейте себе цепочку и всё должно заработать.   

Share this post


Link to post
Share on other sites

Цепочка сертификации выстроена, СоСы сети, на которой выпущена подпись, рассылаются вовремя, потому, если пкм по письму и выбрать "проверить подпись", то все галочки зеленые и письмо имеет атрибут "П". То есть, подпись автоматом проверяется при получении письма.

Я вопрос поставил, потому что поток писем большой и будет удобнее через автопроцессинг(с галкой "проверять подпись пользователей") их обрабатывать. Описанных Вами проблем нет, но спасибо за развернутый ответ!:)

Share this post


Link to post
Share on other sites

Не за что, я понимаю что вы проверили всё и в первом посту это отписали, но бывают случаи, когда эти "мелочи" можно упустить, так что не подумайте что совсем вас не компетентным считаю.

\У меня был случай когда мне задали вопрос - куда пропадают письма??? мы их не удалили? раньше такого не было?. А я если честно особо не когда авто и не пользовался от безнадобности, но знаю это хорошая функция, начал проверять и слово - за слово, оказалось они там случано наверно когда переносили или проверяли, но поставили галочку "после обработки удалять" - вот и причина. Но хорошо там в "логах" всё есть, видно что удалялись, а значит это не сбой был, а реально кто то удалял или .. ну вот "или" и нашлось)))\

Т.к. у вас всё хорошо получается с проверкой, то думаю надо более детально смотреть настройки.

1) Если у вас есть своя строняя подпись, то вы можете сами себе отправлять такие письма и посмотреть обработаются ли они.

2) От "ваших" клиентов, у которых обработки идёт я бы от них же отправил но подписав другим "подписантом" и посмотрел бы как тут отработал автопроцес.

Такое почему то складывается предложение, что "ваших" он проверят и продолжает след. операцию - т.е. типа всё работает.

А вот если подписать другим, то проверят (или не проверяет) и след. операцию не выполняет. Если бы у вас не проверялась цепочка, то ещё можно было бы понять, но у вас вы говорите всё проверяется и все САСы актуальны и проблем не должно быть, однако они есть. 

 

Share this post


Link to post
Share on other sites

Фишка в том, что воспроизводится и с другими АП. У абонентов А-Б вопрос, на АП-х В-Г та же ситуация получается. Все на 1 сети висят. И если  А-В, А-Г, Б-В, Б-Г - тоже самое.

Абонент А сообщил, что автопроцессинг перестал выполняться после смены подписи отправителя Б на внешнюю, но иначе никак(сеть не КЭП).

Поэтому и грешу на инфотекс:)

Попробую В-В для уверенности, спасибо за вариант.

Share this post


Link to post
Share on other sites

Ой, у меня в голове сейчас прям "А И Б - сидели на трубе, А - упала, Б - пропала. Кто остался на трубе?" :rolleyes::D Тут то ответ мы уже знаем))) 

А вот у вас задачку куда посложнее))) у вас там и "В" и даже "Г" ))) жуть)))) "Г" - это вопче страшное дело)))) до "Г" лучше не доводить)))) Давайте надеятся на результат "В-В" а то совсем страшно.

Ну а теперь вернёмся к делу - то что сеть не "КЭП" это не новость, но также не новость, что в таких сетях всё работает.

Вот другой случай был, у абонента всё было прекрасно т.к. УЦ позаботился и цепочку сторонних на УЦ держал и держит, но клиент уверяет у него ошибка с проверкой и всё тут... оказалось это при отправки у них дополнительно включено уведомление и как раз там то они и видели ошибку (уж не знаю видит ли это автопоцес). И тут стало всё ясно "так это на обратной стороне не заботятся о проверки вашей КЭП, значит или или пофиг или просто не знают как и не используют, вам то главное что вы их проверяете". Ну чтоб они уже были спокойны, связались с другой стороной и оказалось, там просто не проверяли и людей не обучили как это сделать, но человек оказался интересующийся и не смотря на то что точки распр. нет, обменялись  сертификатами, САС, всё выстроили и договорились как будет срок просто будем меняться САС свежими, пока они не перейдут на другой УЦ где САС публикуются.).

По А и Б я примерно понял так 

1) А - Головной приёмник, ранее принимал без проблем от Б (и Б так же если надо принимали от А)
2) А нечего не меняли, Б поменяли сертификат - перестал работать автопрочес в сторону А от Б
3) Если что то получить от А, то всё проверяются (серт) как и должно, т.к. А не чего не менял и Б видит всё прекрасно.
4) Теперь Б отправляет А с новым сертификатом и А не может принять, потому что у них не выстроена цепочка.

\ О как я их крайними сделал))) \

Кстате вы написали у вас - галочка "Разрешить использовать внешние сертификаты" стоит. Напрашивается вопрос, это для точно чтоб на пример с КриптоПро их использовать верно? У меня были случаи, когда не как от туда. даже с этой галочкой не принимались сертификаты, потому была возможность и стороняя подпись была только для этого ВИП канала, переделали подпись под випнет, тогда все проблемы отпали, контейнер как родной принимается. 

В целом если у вас подпись на Випнетовская, то эта галочка вам не к чему, но если и так, то там ещё есть одна галочка "не проверять САС" (ну ка кто по своему написано). Т.е. бывает с внешними как раз глюки и чтоб в ОС руками САС не вносить (т.к. то что в випнете они есть не означает что ОС их видит и понятно стронние криптопровайдеры так же). Так что зайдите ещё в certmgr.msc и посмотрите есть ли там актуальные САС, т.к. КриптоПро из ОС при проверке не когда не поймёт что там у Випнета. Хотя мы вроде о ДП разговариваем, но если у вас "Г" замешана то уже лучше проверить.

 

Share this post


Link to post
Share on other sites

АБВГ - это равноправные узлы в сети. Изначально предположил, что проблема только у А-Б,  протестировал на В-Г.

Контейнеры випнетовские, галочки по умолчанию были, стараюсь не менять ситуацию.

Попробую в сертмжр СоСы положить напрямую и выполнить правило.

Уже есть конкретные рекомендации, спасибо, буду тестировать!:)

Share this post


Link to post
Share on other sites

Если контейнеры випнетовские, то Винет САСы сморит у себя, я то думал.. ну ладно. Тестируйте. Потом отпишите чем закончится.

Share this post


Link to post
Share on other sites

Доброе утро!

Тест окончился неудачно.

Кроссы, СоСы, корневые, другие пользователи в локальном хранилище выстроены, СоС и ключи в ViPNet актуальны.

Желательно получить комментарий разработчика.

 

Share this post


Link to post
Share on other sites

На пишите им в тех.п. через вэб. у них сейчас вроде улучшения и мне как то даже перезвонили, аж ужаснулся.

А что сделали то? На примере В-В чуть подробнее. Например как я просил проверили:

1) Всё как было В-В дур другу отправляете - "автопроцесингом" - всё равботает.

2) Хоть кому то из из АП стоит пременить не свою подпиь - по авто процесинку не принимается.

Я так понял. Я бы это ещё на "привидео" (скринов) сделал для сапорта и отправил. Ну не должно быть такого. Где то ошибочка закралась.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.