После Смены Клиента Администратора Випнет Перестали Ходить Обновления

[diip]

Добрый день всем.

Началось с того , что не успел обновить у администратора admin1 УКЦ список отоз сертификатов и пароль, ну сделал еще АП admin2 и его текущим администраторм .

Поставил его же клиента на комп где ЦУС_УКЦ.

Обновил ключи , там где был текущим admin1 (недействит. красным) меняю дистрибутив на нового admin2. Все ставится успешно.

Но после установки клиента admin2 на ЦУС_УКЦ перестали ходить обновления :

в окошке VipNet Client (Mftp) пишет:

28.05.2013 08:56:47.406 ERR: C:\Program Files\InfoTeCS\ViPNet Administrator\SS\OUT\$TMP$\ED07DE13.CTL deleted because

this is not an authorized node

Сами письма с другими клиентами admin2 успешно обменивается , все закрытые ключа действительны . Только Обновления никак не идут.

можно это "починить" как то ? А то много у меня клиентов ..

[diip]

перезагрузка не дает результат

[AnTonN(c)]

1. Чтобы обновить СОС, сертификаты, пароли сетевых групп или узлов совсем необязательно создавать нового админа УКЦ.

2. admin2 не зарегистрирован в ПЗ ЦУС и УКЦ.

[slavanchuk]

1. Чтобы обновить СОС, сертификаты, пароли сетевых групп или узлов совсем необязательно создавать нового админа УКЦ.

2. admin2 не зарегистрирован в ПЗ ЦУС и УКЦ.

Иными словами Вам, до кучи, придётся либо откатываться на старую конфигурацию, чтобы корректно произвести смену администратора, либо с учётом указанных выше замечаний произвести первичную инициализацию узлов. Никогда не поздно откатиться до рабочей конфигурации в ЦУС и УКЦ (если, конечно, бэкап настроен).

[diip]

AnTonN© спасибо . Действительно ,Забыл . Обновлять СОС и прочее он не позволил ,т.к. срок закрытого ключа уже истек , укц предложил выбрать когонить из других пользователей . Да -назначил admin2 в ЦУСе на "пз" ЦК , сделал обновление , на нем прошло успешно U+ .. Далее пустил обновление всем узлам , но оттуда пришло по каждому +? (Запрос не удалось расшифровать , сформировано подтверждение) . Собственно,проверил, у всех на АП встал закрытый ключ нового admin2 , действителен . Но пугает (+?) . Может как-то рассосется? . Сеть работает ,все ходит.

[AnTonN(c)]

Смена закрытого ключа админа УКЦ - это штатная процедура. Сделав второго админа, вы тем самым усложнили себе жизнь.

Не путайте закрытый ключ админа УКЦ и мастер ключи. Например, ЗК админа УКЦ необходим только для "заверения" других сертификатов пользователей, подписания СОС и т.д. Это никак не связано с шифрованием трафика.

slavanchuk прав. Есть два варианта. Первый и самый лучший - это восстановиться их бэкапа и провести процедуру смены ЗК админа УКЦ. Второй - провести всем первичку.

У вас следующая ситуация. Все в сети знают кто админ ЦУС. Его обновления зашифрованы на его ключе. Сменился админ. Обновления шифруются теперь на другом ключе, но об этом никто не знает, никто не знает, что сменился админ. Обновления сейчас бесполезно высылать, так как их никто не примет.

[diip]

Штатная - согласен (надо было следить) . Но еще раз повторюсь , admin1 закрытый ключ истек 28.05.13 ( там же и СОС) , просто так сменить ключ укц не разрешал , "выбирай другого поль-ля" .

есть бэкап от 18 апреля на УКЦ и несколько апрельских..майских до 27 мая для ЦУС . Ну восстановлю я их , например, на 18 апреля . Потеряю юзеров и связи за этот период, пусть . При запуске УКЦ он опять ругнется, что ключ администратора admin1 уже истек . Или можно на этом компе дату/время назад перевести? , чтоб обманом . Скажем 17 апреля ставлю. Делаю "сменить пароль " на admin1 ( ключ защиты ? надо менять там же?) .. что там еще сменить ? его admin1 корневой сертификат - создать установить .? , потом сношу клиента admin2 , ставлю кл admin1 , он (по бэкапу) будет уж в ПЗ . Вот нет только ,уверенности что гладко пройдет.

Спасибо за помощь.

[AnTonN(c)]

Если истек корневой сертификат, то и в этом случае можно его пересоздать.

...ключ защиты ? надо менять там же?...

необязательно.

Алгоритм такой:

1. Сертификат - Создать корневой сертификат.

2. Пересоздать всем КД с созданием нового сертификата (так как настоящие сертификаты недействительны).

3. Выслать Обновления ключей на всех пользователей и КД.

Пользователь получает все и у него есть новый сертификат. И дальше в зависимости от настроек и версии ПО пользователю самому придется в НПБ выбрать новый сертификат или сертификат установится автоматически.

P.S. Клиент на админе после бекапа надо заново проинициализировать заново, так как у него ключи от admin2.

[diip]

Вообщем пошел по 2му пути .Оставил этого admin2 "текущим" , сделал полные дистрибутивы (кд) на всех . Начал обновлять на АП . На те ( ближайшие) Ап ,которые дст обновил , обновления приходят c подтверждением U+ , даже на ближний координатор U+ ( хотя на него дст еще не успел поставить, странно?) . Ап и координаторы остальные пока ответ не шлют , но думаю,когда дст новые туда поставят ,начнут отвечать.. или не прав ?

[AnTonN(c)]

После инициализации с dst все будет ок.