Xenobius Опубликовано 2 Июня 2013 Жалоба Поделиться Опубликовано 2 Июня 2013 Здравствуйте, уважаемые специалисты!Подскажите пожалуйста решение проблемы - при переносе дистрибутивов ключей пользователей из Удостоверяющего ключевого центра на съёмный носитель возникает сообщение "Ошибка записи в файл".Порядок моих действий такой:Создаю нового пользователя сети. Открываю раздел в Центре управления сетью в разделе Службы > Адресная администрация > Структура сети ViPNet.Раздел Серверы-маршрутизаторы, выбираю СМ, на котором будет создан новый пользователь, открываю его. Нажамаю Alt+I, ввожу название пользователя.Обновить таблицы маршрутизации, для этого выбрать пункт «Выдать таблицы маршрутизации». После успешного вывода таблиц выбрать «Выход».Войти в раздел Службы > Регистрация типов коллективов, изменить имя автоматически созданного ТК, добавить в начало имени «ТК» (например, ТК Администратор).Не выходя из раздела настройки ТК выбрать новый ТК и нажать кнопку «Связи». В появившемся окне нажать кнопку «Добавить» и выбрать один или несколько (клавишей на клавиатуре Ins) ТК, с которыми должен быть связан настраиваемый ТК. После добавления всех связей нажать кнопку «Выход», чтобы выйти из настройки.Для передачи необходимой информации в Удостоверяющий и ключевой центр нужно выбрать раздел Службы > Сформировать все справочники. Начнется процесс передачи информации в УКЦ.В УКЦ, после передачи информации об СУ, автоматически появится новый СУ и пользователь (Ключевой центр > Своя сеть > Пользователи, Сетевые узлы).Перед созданием дистрибутива ключей для первичной установки ПО на СУ необходимо задать пароль администратора сетевого узла. Для этого необходимо открыть раздел Ключевой центр > Своя сеть > Сетевые узлы. В правой части окна выбрать нужный СУ и открыть его дважды щелкнув по нему указателем мыши. Выбрать вкладку Пароль администратора и нажать кнопку Создать пароль. В появившемся окне задать пароль и срок его действия. Закрыть окно.Теперь необходимо создать дистрибутив ключей СУ. Щелкнуть правой кнопкой мыши по новому СУ и выбрать пункт меню Дистрибутивы ключей > Создать.В процессе создания дистрибутива будет выпущен сертификат подписи и шифрования пользователя СУ. Для этого в появившемся окне «Подготовка к изданию сертификата» в ниспадающем списке нужно выбрать шаблон сертификата «Сертификат подписи и шифрования», для продолжения нажать кнопку «Далее».В следующем окне указать срок действия сертификата.Задать пароль пользователя СУ.В следующем окне указать сведения о владельце сертификата.После успешного создания дистрибутива ключа в разделе Ключевой центр > Своя сеть > Ключи > Дистрибутивы ключей появится соответствующая запись.Установите съемный носитель информации в считыватель.Для выгрузки дистрибутива выьрать пункт «Перенести в папку». В появившемся окне выбрать ввод пароля «С клавиатуры», считывание ключей защиты «С внешнего устройства», ключ подписи «Перенести на внешнее устройство», поставить флажок «Сохранять справочную информацию для пользователя», нажать кнопку ОК, начнётся процес выгрузки ключа.В появившемся окне выбираю необходимое съёмное внешнее устройство хранение данных и ввожу его PIN-код.И на этом этапе возникает сообщение с ошибкой.В качестве съемных носителей использую eToken PRO Java 72 Кб. Версия драйвера eToken PKI 5.1 SP1 (5.1.82.0), взято с сертифицированного ФСТЭК диска.Для работы под администратором сети использую так же eToken (вот на него, при первичной установке и настройке ПО почему всё нормально перенеслось), в момент переноса дистрибутива пользователя он соответственно установлен в системный блок компьютера.Руководства пользователя для ЦУС и УКЦ штудировал, но видать плохо.Уважаемые специалисты, помогите пожалуйста в решении проблемы, а то совсем запутался. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 3 Июня 2013 Жалоба Поделиться Опубликовано 3 Июня 2013 Проинициализируйте токен заново через etoken pki client, убрав чекбокс сменить пароль при первом..... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 3 Июня 2013 Автор Жалоба Поделиться Опубликовано 3 Июня 2013 К сожалению повторная инициализация токена не помогла - точно такая же ошибка появляется. Более того - взял из коробки вобще новый носитель.Скажите, порядок действий, который я описал, вообще правильный? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 3 Июня 2013 Жалоба Поделиться Опубликовано 3 Июня 2013 Порядок правильный.Есть фишка - проинициализируйте через Клиента: Настройка параметров безопасности - Устройства. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 3 Июня 2013 Автор Жалоба Поделиться Опубликовано 3 Июня 2013 Через ViPNet Client, установленный на рабочем месте администратора, выбрал пункты меню Сервис > Настройки параметров безопасности > вкладка "Устройства". Там вижу соответственно для токена: админский, в контейнере которого находятся ключи, и чистый, тот на который нужно писать ключи нового пользователя. Выбираю нужный, жму кнопку "Инициализировать", ввожу новый пароль пользователя и старый пароль администратора. Машина ненадолго задумывается, и отвисает без каких либо сообщений об успешной или не успешной инициализации. Пробую выгрузить ключи на вновь проинициализированный токен. Тоже самое - "Ошибка записи в файл".НО! Перегрузил УКЦ, ещё раз проинициализировал токен - сработало. В итоге на вкладке "Устройства" я вижу, что на токене, на который я только что выгружал ключи, есть контейнеры cur_pers и sgn_cont. Завтра буду ставить клиента, пробовать запускать.Огромное спасибо за помощь!Жаль, что эта особенность со съемными носителями не задокументирована в руководстве администратора УКЦ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 3 Июня 2013 Жалоба Поделиться Опубликовано 3 Июня 2013 Мы же наблюдали обратную ситуацию, через УКЦ токены нормально форматируются. А через клиента - не может. Хотя, на клиенте и более новые драйвера стоят. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 4 Июня 2013 Автор Жалоба Поделиться Опубликовано 4 Июня 2013 Если не секрет - как решили проблему? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 4 Июня 2013 Жалоба Поделиться Опубликовано 4 Июня 2013 Если не секрет - как решили проблему?К сожалению, в проблему не углублялись. Токены у нас используются не только в VipNet и мы их до использования инициализируем. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Июня 2013 Жалоба Поделиться Опубликовано 4 Июня 2013 ViPNet такая гадость, что контейнер его лучше на чистый токен писать, а потом все остальное. Не знаю как в 4-ке, но в 3-шке частенько из-за этого возникали проблемы.А свободное место на токене имеется? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 4 Июня 2013 Автор Жалоба Поделиться Опубликовано 4 Июня 2013 Если вопрос ко мне, то да - на токене чистое место есть, он был новый из коробки.У меня версия ViPNet 3.2.10.15314. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 4 Июня 2013 Жалоба Поделиться Опубликовано 4 Июня 2013 Да, токены были 64К и свободные (или практически свободные). Тем не менее, инициализация не проводилась. Да и не так уж много места VipNet на токенах съедает. УКЦ максимум 10КБ, а клиент около 6КБ (при полном переноси КД cur_pers и ключей подписи sign_cont). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 8 Июня 2013 Автор Жалоба Поделиться Опубликовано 8 Июня 2013 Немного освежу тему своими наблюдениями по проблеме.После создания нового пользователя и всего, что для этого нужно, при выгрузке ключей на внешний носитель решаю проблему тем, что просто перегружаю УКЦ. Причём, внешний носитель совершенно не нужно инициализировать заново ни в eToken PKI Client, ни средствами ViPNet. Причём перегрузка УКЦ, так сказать, заранее - перед выгрузкой ключей, не помогоает. Нужно попытаться выгрузить ключи на токен, полчуить сообщение об ошибке выгрузки в файл, перегрузить УКЦ, и вот уже в этот раз всё нормально выгружается. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kondigor Опубликовано 27 Ноября 2013 Жалоба Поделиться Опубликовано 27 Ноября 2013 Есть эта же проблема при использовании Vipnet Administrator 3.2.9.14008 (с диска с сертифицированным Vipnet Custom 3.2)Уже 30 пользователей завел так:1 - подключаю токен очередно пользователя2 - захожу в УКЦ, выгружаю ключевой дистрибутив - с сохранением ключей на токен3 - выхожу их УКЦ4 - goto 1 Если подключить токен следующего пользователя, не выходя из УКЦ - получаю ошибку записи в файлp.s. для админа УКЦ и пользователя Vipnet Client на машине с Vipnet Administrator - созданы свои токены. т.е. в момент выгрузки очередного ключевого дистрибутива к машине подключено 3 токена одновременно Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 28 Ноября 2013 Автор Жалоба Поделиться Опубликовано 28 Ноября 2013 У меня проблема решилась полностью, когда я перенёс ключи админа из токена в каталог на локальном диске. Конечно по соображениям безопасности это совсем не хорошо, но всё же. Сейчас ключи пользователей записываются на токены без ошибок, всё нормально работает. У меня возникло такое предположение, что УКЦ как бы путается между токенами, и вываливается ошибка записи. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kondigor Опубликовано 28 Ноября 2013 Жалоба Поделиться Опубликовано 28 Ноября 2013 У меня проблема решилась полностью, когда я перенёс ключи админа из токена в каталог на локальном диске.Как Вам это удалось? В соседнем топике как раз обсуждаем, что полностью перенести ключи админа ЦУС из токена в файл - не возможноИли просто переустановили УКЦ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 28 Ноября 2013 Автор Жалоба Поделиться Опубликовано 28 Ноября 2013 Так случилось, что пришлось переустановить УКЦ. Само собой при установке указал не токен, а каталог на локальном диске. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.