Порядок Выпуска Ключей Пользователей

[Xenobius]

Здравствуйте, уважаемые специалисты!

Подскажите пожалуйста решение проблемы - при переносе дистрибутивов ключей пользователей из Удостоверяющего ключевого центра на съёмный носитель возникает сообщение "Ошибка записи в файл".

Порядок моих действий такой:

1. Создаю нового пользователя сети. Открываю раздел в Центре управления сетью в разделе Службы > Адресная администрация > Структура сети ViPNet.
   
2. Раздел Серверы-маршрутизаторы, выбираю СМ, на котором будет создан новый пользователь, открываю его. Нажамаю Alt+I, ввожу название пользователя.
   
3. Обновить таблицы маршрутизации, для этого выбрать пункт «Выдать таблицы маршрутизации». После успешного вывода таблиц выбрать «Выход».
   
4. Войти в раздел Службы > Регистрация типов коллективов, изменить имя автоматически созданного ТК, добавить в начало имени «ТК» (например, ТК Администратор).
   
5. Не выходя из раздела настройки ТК выбрать новый ТК и нажать кнопку «Связи». В появившемся окне нажать кнопку «Добавить» и выбрать один или несколько (клавишей на клавиатуре Ins) ТК, с которыми должен быть связан настраиваемый ТК. После добавления всех связей нажать кнопку «Выход», чтобы выйти из настройки.
   
6. Для передачи необходимой информации в Удостоверяющий и ключевой центр нужно выбрать раздел Службы > Сформировать все справочники. Начнется процесс передачи информации в УКЦ.
   
7. В УКЦ, после передачи информации об СУ, автоматически появится новый СУ и пользователь (Ключевой центр > Своя сеть > Пользователи, Сетевые узлы).
   
8. Перед созданием дистрибутива ключей для первичной установки ПО на СУ необходимо задать пароль администратора сетевого узла. Для этого необходимо открыть раздел Ключевой центр > Своя сеть > Сетевые узлы. В правой части окна выбрать нужный СУ и открыть его дважды щелкнув по нему указателем мыши. Выбрать вкладку Пароль администратора и нажать кнопку Создать пароль. В появившемся окне задать пароль и срок его действия. Закрыть окно.
   
9. Теперь необходимо создать дистрибутив ключей СУ. Щелкнуть правой кнопкой мыши по новому СУ и выбрать пункт меню Дистрибутивы ключей > Создать.
   
10. В процессе создания дистрибутива будет выпущен сертификат подписи и шифрования пользователя СУ. Для этого в появившемся окне «Подготовка к изданию сертификата» в ниспадающем списке нужно выбрать шаблон сертификата «Сертификат подписи и шифрования», для продолжения нажать кнопку «Далее».
    
11. В следующем окне указать срок действия сертификата.
    
12. Задать пароль пользователя СУ.
    
13. В следующем окне указать сведения о владельце сертификата.
    
14. После успешного создания дистрибутива ключа в разделе Ключевой центр > Своя сеть > Ключи > Дистрибутивы ключей появится соответствующая запись.
    
15. Установите съемный носитель информации в считыватель.
    
16. Для выгрузки дистрибутива выьрать пункт «Перенести в папку». В появившемся окне выбрать ввод пароля «С клавиатуры», считывание ключей защиты «С внешнего устройства», ключ подписи «Перенести на внешнее устройство», поставить флажок «Сохранять справочную информацию для пользователя», нажать кнопку ОК, начнётся процес выгрузки ключа.
    
17. В появившемся окне выбираю необходимое съёмное внешнее устройство хранение данных и ввожу его PIN-код.
    

И на этом этапе возникает сообщение с ошибкой.

В качестве съемных носителей использую eToken PRO Java 72 Кб. Версия драйвера eToken PKI 5.1 SP1 (5.1.82.0), взято с сертифицированного ФСТЭК диска.

Для работы под администратором сети использую так же eToken (вот на него, при первичной установке и настройке ПО почему всё нормально перенеслось), в момент переноса дистрибутива пользователя он соответственно установлен в системный блок компьютера.

Руководства пользователя для ЦУС и УКЦ штудировал, но видать плохо.

Уважаемые специалисты, помогите пожалуйста в решении проблемы, а то совсем запутался.

[AnTonN(c)]

Проинициализируйте токен заново через etoken pki client, убрав чекбокс сменить пароль при первом.....

[Xenobius]

К сожалению повторная инициализация токена не помогла - точно такая же ошибка появляется. Более того - взял из коробки вобще новый носитель.

Скажите, порядок действий, который я описал, вообще правильный?

[AnTonN(c)]

Порядок правильный.

Есть фишка - проинициализируйте через Клиента: Настройка параметров безопасности - Устройства.

[Xenobius]

Через ViPNet Client, установленный на рабочем месте администратора, выбрал пункты меню Сервис > Настройки параметров безопасности > вкладка "Устройства". Там вижу соответственно для токена: админский, в контейнере которого находятся ключи, и чистый, тот на который нужно писать ключи нового пользователя. Выбираю нужный, жму кнопку "Инициализировать", ввожу новый пароль пользователя и старый пароль администратора. Машина ненадолго задумывается, и отвисает без каких либо сообщений об успешной или не успешной инициализации. Пробую выгрузить ключи на вновь проинициализированный токен. Тоже самое - "Ошибка записи в файл".

НО! Перегрузил УКЦ, ещё раз проинициализировал токен - сработало. В итоге на вкладке "Устройства" я вижу, что на токене, на который я только что выгружал ключи, есть контейнеры cur_pers и sgn_cont. Завтра буду ставить клиента, пробовать запускать.

Огромное спасибо за помощь!

Жаль, что эта особенность со съемными носителями не задокументирована в руководстве администратора УКЦ.

[slavanchuk]

Мы же наблюдали обратную ситуацию, через УКЦ токены нормально форматируются. А через клиента - не может. Хотя, на клиенте и более новые драйвера стоят.

[Xenobius]

Если не секрет - как решили проблему?

[slavanchuk]

Если не секрет - как решили проблему?

К сожалению, в проблему не углублялись. Токены у нас используются не только в VipNet и мы их до использования инициализируем.

[AnTonN(c)]

ViPNet такая гадость, что контейнер его лучше на чистый токен писать, а потом все остальное. Не знаю как в 4-ке, но в 3-шке частенько из-за этого возникали проблемы.

А свободное место на токене имеется?

[Xenobius]

Если вопрос ко мне, то да - на токене чистое место есть, он был новый из коробки.

У меня версия ViPNet 3.2.10.15314.

[slavanchuk]

Да, токены были 64К и свободные (или практически свободные). Тем не менее, инициализация не проводилась. Да и не так уж много места VipNet на токенах съедает. УКЦ максимум 10КБ, а клиент около 6КБ (при полном переноси КД cur_pers и ключей подписи sign_cont).

[Xenobius]

Немного освежу тему своими наблюдениями по проблеме.

После создания нового пользователя и всего, что для этого нужно, при выгрузке ключей на внешний носитель решаю проблему тем, что просто перегружаю УКЦ. Причём, внешний носитель совершенно не нужно инициализировать заново ни в eToken PKI Client, ни средствами ViPNet. Причём перегрузка УКЦ, так сказать, заранее - перед выгрузкой ключей, не помогоает. Нужно попытаться выгрузить ключи на токен, полчуить сообщение об ошибке выгрузки в файл, перегрузить УКЦ, и вот уже в этот раз всё нормально выгружается.

[kondigor]

Есть эта же проблема при использовании Vipnet Administrator 3.2.9.14008 (с диска с сертифицированным Vipnet Custom 3.2)

Уже 30 пользователей завел так:

1 - подключаю токен очередно пользователя

2 - захожу в УКЦ, выгружаю ключевой дистрибутив - с сохранением ключей на токен

3 - выхожу их УКЦ

4 - goto 1

Если подключить токен следующего пользователя, не выходя из УКЦ - получаю ошибку записи в файл

p.s. для админа УКЦ и пользователя Vipnet Client на машине с Vipnet Administrator - созданы свои токены. т.е. в момент выгрузки очередного ключевого дистрибутива к машине подключено 3 токена одновременно

[Xenobius]

У меня проблема решилась полностью, когда я перенёс ключи админа из токена в каталог на локальном диске. Конечно по соображениям безопасности это совсем не хорошо, но всё же. Сейчас ключи пользователей записываются на токены без ошибок, всё нормально работает. У меня возникло такое предположение, что УКЦ как бы путается между токенами, и вываливается ошибка записи.

[kondigor]

У меня проблема решилась полностью, когда я перенёс ключи админа из токена в каталог на локальном диске.

Как Вам это удалось? В соседнем топике как раз обсуждаем, что полностью перенести ключи админа ЦУС из токена в файл - не возможно

Или просто переустановили УКЦ?

[Xenobius]

Так случилось, что пришлось переустановить УКЦ. Само собой при установке указал не токен, а каталог на локальном диске.