Vipnet Administrator

[Jenidelfeveva]

Здравствуйте, настроили в марте сеть Випнет, подключили два клиента. На сейчас определилась необходимость подключать в сеть много других клиентов по разным типам подключения. Столкнулись с непонятными совершенно проблемами.

Конфиг:

Координатор HW1000 ПАК

Администратор 3.1 (15.7621)

Випнет клиенты 3.1 (3.7878)

Описание проблемы: координатор, администратор, випнетклиент находятся в прямой видимости.

В ЦУС заводим АП, выдаём таблицу маршрутизации, регистрируем ПЗ, коллективы и пользователи автоматически создаются в этом АП (настройка по умолчанию), формируем справочники (УКЦ их принимает, это видно), формируем наборы в УКЦ,копируем.

В УКЦ появляется абонентский пункт и пользователь. Делаем обновление ключей, создаём дистрибутив, переносим на флеш. НА компьютере где устанавливаем Клиент проводим первичную инициализацию. Антивирусов нет, фаерволов нет, виндовый фаервол отключен, часовой пояс установлен верно.

В настройках клиента: указываем координатор как для случая прямой видимости, правило доступа указываем IP адрес координатора в сети, остальное не трогаем. После настроек через некоторое время устанавливаются сертификаты в личное хранилище, сертификаты устанавливаются, сертификаты действительны если смотреть в настройках клиента.

Сами проблемы:

1. Клиент не видит координатор, ошибка координатор не доступен. В журналах координатора пишет что отсутствует ключи сетевого узла. Связи с координатором нет.

2. Старые клиенты, то есть те которые подключены два месяца назад, на них не меняются пароли, хотя обновления проходят и пароль меняем.

3. В УКЦ в разделе сертификаты, при формировании обновления ключей, создаются новые сертификаты, и так каждый раз, у нас уже на каждый АП существует несколько сертификатов с датами типа: с 1 мая по 1 мая 2017 год, с 5 мая по 5 мая 2017, с 11 мая по 11 мая 2017г и т.д.

4. Планировали создать подгруппу в сети, создали в ЦУС, она появилась в УКЦ. Потом группу удалили из ЦУС, а в УКЦ она так и осталась. Т.е. в ЦУС нет групп сетевых а в УКЦ есть группа вся сеть и группа которую мы создавали и потом удалили.

Не можем понять как и почему нельзя подключить новый АП, почему у нас создаётся куча сертификатов, почему на работающих АП не проходит обновление просроченных паролей.

Установщики, нам уже предложили всё переустановить? В чём причина? Почему так всё глючит?

[Vladimir Babarin]

В журналах координатора пишет что отсутствует ключи сетевого узла. Связи с координатором нет.

Во-первых у координатора с этим клиентом должна быть связь на уровне типа коллектива, а во-вторых после создания дистрибутива пользователю необходимо создать ключевые наборы в УКЦ, перенести их в ЦУС и отправить на координатор.

Старые клиенты, то есть те которые подключены два месяца назад, на них не меняются пароли, хотя обновления проходят и пароль меняем.

Имеется в виду пароль администратора? После смены пароля администратора сети необходимо создать обновления ключей, перенести их в ЦУС и разослать (т.к. сеть небольшая я бы вообще рекомендовал поставить галочку "Автоматически переносить в ЦУС создаваемые ключи" в настройках УКЦ).

Попробуйте сначала сделать это. Переустановка - не панацея, скорее всего через какое-то время неправильными действиями Вы загоните сеть в такое же состояние как и до переустановки.

[Jenidelfeveva]

Во-первых у координатора с этим клиентом должна быть связь на уровне типа коллектива, а во-вторых после создания дистрибутива пользователю необходимо создать ключевые наборы в УКЦ, перенести их в ЦУС и отправить на координатор.

Имеется в виду пароль администратора? После смены пароля администратора сети необходимо создать обновления ключей, перенести их в ЦУС и разослать (т.к. сеть небольшая я бы вообще рекомендовал поставить галочку "Автоматически переносить в ЦУС создаваемые ключи" в настройках УКЦ).

Попробуйте сначала сделать это. Переустановка - не панацея, скорее всего через какое-то время неправильными действиями Вы загоните сеть в такое же состояние как и до переустановки.

Что значит на уровне типа коллектива? У нас АП создаётся и к нему автоматически создаётся тип коллектива. Среди двух работающих АП настройки в этой части аналогичные. Что касается второго действия пробовали переносили много раз, всё уходит кроме нового АП.

У нас стоит эта галка, все обновления автоматически переносятся.

Сегодня попробовали откатить УКЦ на 7 апреля, теперь пароль никакой не подходит ни старый не новый.... Какие будут советы?

А сертификаты так и должны задваиваться??? при обновлении ключей??? По другим моим вопросам кто нибудь может что нибудь прояснить?

Пароль на АП, на пользователя должен сам смениться или есть какое то ожидание по срокам в случае если я его меняю принудительно и сразу рассылаю обновления. Обновления приходят я соглашаюсь на внесение изменений. А пароль остаётся прежним.

[Jenidelfeveva]

Люди, помогите. Почему сертификаты задваиваются????

Переустановили администратор заново всё. Та же самая беда. При создании обновления ключей и ключевых наборов а потом дистрибутивов создаются новые сертификаты при наличии действующих старых! Может у нас версия какая то с багами???

[Jenidelfeveva]

Вот переустановили всё что могли, координатор обновили все ключи заново, установили администратор заново, випнет клиент на него заново. Координатор и администратор видят друг друга. Вопрос: почему при создании новых КН и дистрибов создаются новые сертификаты для всех??!! Это нормально?

У кого как это происходит, у всех так что ли, куча сертификатов на одного пользователя??? Пошагово объясните как правильно добавить АП, может я чего не понимаю?

[pharaon]

Вот переустановили всё что могли, координатор обновили все ключи заново, установили администратор заново, випнет клиент на него заново. Координатор и администратор видят друг друга. Вопрос: почему при создании новых КН и дистрибов создаются новые сертификаты для всех??!! Это нормально?

У кого как это происходит, у всех так что ли, куча сертификатов на одного пользователя??? Пошагово объясните как правильно добавить АП, может я чего не понимаю?

дык не надо каждый раз создавать дистрибутивы и\или ключевые диски

ключевые наборы не создают сертификаты.

[biont]

Вот переустановили всё что могли, координатор обновили все ключи заново, установили администратор заново, випнет клиент на него заново. Координатор и администратор видят друг друга. Вопрос: почему при создании новых КН и дистрибов создаются новые сертификаты для всех??!! Это нормально?

У кого как это происходит, у всех так что ли, куча сертификатов на одного пользователя??? Пошагово объясните как правильно добавить АП, может я чего не понимаю?

Уберите у клиентов возможность использования ЭЦП, тогда остануться только сертификаты на шифрование

[Echo]

Уберите у клиентов возможность использования ЭЦП, тогда остануться только сертификаты на шифрование

Шифрование происходит на симметричных ключах, к сертификатам не имеет никакого отношения.

Сертификаты генерятся _каждый раз_ при создании ключевой дискеты (персональных ключей пользователя). Если, к тому же, в настройках УКЦ задано не отображать сертификат при автоматической генерации, то Вы вообще этот процесс не увидите.

Соответственно, поскольку КД входит в дистрибутив, то при создании нового дистрибутива генерится новый сертификат.

Вообще, часто генерить КД особой необходимости нет, обновления СОС, корневых сертификатов и ключей шифрования формируются и распространяются на узлы чрез ключевые наборы (ключи сетевого узла).

Если в ЦУС пользователям удалить право подписи, то УКЦ (после получения справочной информации из ЦУС) генерить ЭЦП не будет, на шифрование трафика это никак не скажется.

[Jenidelfeveva]

Всё переустановил заново вместе с ПАК hw1000 (ЦУС, УКЦ, дст файлы всё заново), локально всё заработало, удалённо подцепиться не могу, но это уже другая тема. Так и не выяснил в чём были первоначальные проблемы.