diip Опубликовано 28 Мая 2013 Жалоба Поделиться Опубликовано 28 Мая 2013 Добрый день всем.Началось с того , что не успел обновить у администратора admin1 УКЦ список отоз сертификатов и пароль, ну сделал еще АП admin2 и его текущим администраторм .Поставил его же клиента на комп где ЦУС_УКЦ.Обновил ключи , там где был текущим admin1 (недействит. красным) меняю дистрибутив на нового admin2. Все ставится успешно.Но после установки клиента admin2 на ЦУС_УКЦ перестали ходить обновления :в окошке VipNet Client (Mftp) пишет:28.05.2013 08:56:47.406 ERR: C:\Program Files\InfoTeCS\ViPNet Administrator\SS\OUT\$TMP$\ED07DE13.CTL deleted becausethis is not an authorized nodeСами письма с другими клиентами admin2 успешно обменивается , все закрытые ключа действительны . Только Обновления никак не идут.можно это "починить" как то ? А то много у меня клиентов .. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
diip Опубликовано 28 Мая 2013 Автор Жалоба Поделиться Опубликовано 28 Мая 2013 перезагрузка не дает результат Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 28 Мая 2013 Жалоба Поделиться Опубликовано 28 Мая 2013 1. Чтобы обновить СОС, сертификаты, пароли сетевых групп или узлов совсем необязательно создавать нового админа УКЦ.2. admin2 не зарегистрирован в ПЗ ЦУС и УКЦ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 28 Мая 2013 Жалоба Поделиться Опубликовано 28 Мая 2013 1. Чтобы обновить СОС, сертификаты, пароли сетевых групп или узлов совсем необязательно создавать нового админа УКЦ.2. admin2 не зарегистрирован в ПЗ ЦУС и УКЦ.Иными словами Вам, до кучи, придётся либо откатываться на старую конфигурацию, чтобы корректно произвести смену администратора, либо с учётом указанных выше замечаний произвести первичную инициализацию узлов. Никогда не поздно откатиться до рабочей конфигурации в ЦУС и УКЦ (если, конечно, бэкап настроен). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
diip Опубликовано 29 Мая 2013 Автор Жалоба Поделиться Опубликовано 29 Мая 2013 AnTonN© спасибо . Действительно ,Забыл . Обновлять СОС и прочее он не позволил ,т.к. срок закрытого ключа уже истек , укц предложил выбрать когонить из других пользователей . Да -назначил admin2 в ЦУСе на "пз" ЦК , сделал обновление , на нем прошло успешно U+ .. Далее пустил обновление всем узлам , но оттуда пришло по каждому +? (Запрос не удалось расшифровать , сформировано подтверждение) . Собственно,проверил, у всех на АП встал закрытый ключ нового admin2 , действителен . Но пугает (+?) . Может как-то рассосется? . Сеть работает ,все ходит. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 29 Мая 2013 Жалоба Поделиться Опубликовано 29 Мая 2013 Смена закрытого ключа админа УКЦ - это штатная процедура. Сделав второго админа, вы тем самым усложнили себе жизнь.Не путайте закрытый ключ админа УКЦ и мастер ключи. Например, ЗК админа УКЦ необходим только для "заверения" других сертификатов пользователей, подписания СОС и т.д. Это никак не связано с шифрованием трафика.slavanchuk прав. Есть два варианта. Первый и самый лучший - это восстановиться их бэкапа и провести процедуру смены ЗК админа УКЦ. Второй - провести всем первичку.У вас следующая ситуация. Все в сети знают кто админ ЦУС. Его обновления зашифрованы на его ключе. Сменился админ. Обновления шифруются теперь на другом ключе, но об этом никто не знает, никто не знает, что сменился админ. Обновления сейчас бесполезно высылать, так как их никто не примет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
diip Опубликовано 29 Мая 2013 Автор Жалоба Поделиться Опубликовано 29 Мая 2013 Штатная - согласен (надо было следить) . Но еще раз повторюсь , admin1 закрытый ключ истек 28.05.13 ( там же и СОС) , просто так сменить ключ укц не разрешал , "выбирай другого поль-ля" .есть бэкап от 18 апреля на УКЦ и несколько апрельских..майских до 27 мая для ЦУС . Ну восстановлю я их , например, на 18 апреля . Потеряю юзеров и связи за этот период, пусть . При запуске УКЦ он опять ругнется, что ключ администратора admin1 уже истек . Или можно на этом компе дату/время назад перевести? , чтоб обманом . Скажем 17 апреля ставлю. Делаю "сменить пароль " на admin1 ( ключ защиты ? надо менять там же?) .. что там еще сменить ? его admin1 корневой сертификат - создать установить .? , потом сношу клиента admin2 , ставлю кл admin1 , он (по бэкапу) будет уж в ПЗ . Вот нет только ,уверенности что гладко пройдет.Спасибо за помощь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 29 Мая 2013 Жалоба Поделиться Опубликовано 29 Мая 2013 Если истек корневой сертификат, то и в этом случае можно его пересоздать....ключ защиты ? надо менять там же?...необязательно.Алгоритм такой:1. Сертификат - Создать корневой сертификат.2. Пересоздать всем КД с созданием нового сертификата (так как настоящие сертификаты недействительны).3. Выслать Обновления ключей на всех пользователей и КД.Пользователь получает все и у него есть новый сертификат. И дальше в зависимости от настроек и версии ПО пользователю самому придется в НПБ выбрать новый сертификат или сертификат установится автоматически.P.S. Клиент на админе после бекапа надо заново проинициализировать заново, так как у него ключи от admin2. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
diip Опубликовано 30 Мая 2013 Автор Жалоба Поделиться Опубликовано 30 Мая 2013 Вообщем пошел по 2му пути .Оставил этого admin2 "текущим" , сделал полные дистрибутивы (кд) на всех . Начал обновлять на АП . На те ( ближайшие) Ап ,которые дст обновил , обновления приходят c подтверждением U+ , даже на ближний координатор U+ ( хотя на него дст еще не успел поставить, странно?) . Ап и координаторы остальные пока ответ не шлют , но думаю,когда дст новые туда поставят ,начнут отвечать.. или не прав ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 30 Мая 2013 Жалоба Поделиться Опубликовано 30 Мая 2013 После инициализации с dst все будет ок. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.