Вопросы и ответы:

Решение: Для исправления данной ошибки, необходимо установить ViPNet CSP 4.2.11.58753

Решение: данная проблема возникает на устройствах, не заявленных в документации и, как следствие, официально не поддерживающихся.

Необходимо написать запрос на hotline@infotecs.ru (воспользуйтесь формой на сайте).

Решение: на клиенте невозможно сменить порт вручную. Android Client автоматически подгружается настройка межсетевого экрана с динамической трансляцией адресов. Настройки необходимо выполнять только на координаторе.

Соединение с защищенной сетью ViPNet может отсутствовать в случае одновременного возникновения следующих ситуаций:

• если с координатором установлено соединение по протоколу TCP;

• если разница во времени на координаторе и клиенте с приложением ViPNet Client 2 for Android, который стоит за этим координатором, больше разрешенной на координаторе.

Решение: в этом случае оповещение о разнице во времени с координатором не будет отображаться.

Чтобы исключить возможность этой неполадки, обратитесь к администратору сети ViPNet и узнайте время, установленное в сети ViPNet, т.е. время на координаторе, за которым расположен ваш клиент. Если системное время на вашем устройстве различается с этим временем, установите на вашем устройстве нужное время. Если разницы во времени с координатором нет, передайте сведения о неполадках в работе приложения ViPNet Client 2 for Android в АО «ИнфоТеКС».

Решение: в случае нарушения целостности компонентов приложения ViPNet Client 2 for Android (в том числе файлов справочников и файла лицензии), например, в результате вмешательства посторонних лиц, работа пользователя с приложением будет невозможна. В этом случае переустановите приложение ViPNet Client 2 for Android для восстановления его работоспособности.

В случае изменения контрольных сумм, связанных с приложением ViPNet Client 2 for Android системных библиотек, например, в результате обновления ОС Android, появится соответствующее сообщение. После этого пользователь может продолжить работу с приложением, если уверен, что контрольные суммы связанных библиотек изменились в результате действий пользователя или планового обновления ОС Android (контрольные суммы при этом пересчитываются). Если у пользователя возникли подозрения о вмешательстве посторонних лиц, установите приложение ViPNet Client 2 for Android на другое мобильное устройство.

Решение: если при включенном соединении с сетью ViPNet не удается загрузить файл вложения к письму в приложении Gmail, выполните следующие действия:

1. В приложении ViPNet Client 2 for Android выключите VPN-соединение.

2. В приложении Gmail загрузите нужный файл вложения к письму.

3. В приложении ViPNet Client 2 for Android включите VPN-соединение.

Решение: если к защищенным или туннелируемым узлам в корпоративной сети не удается обратиться по DNS-именам, убедитесь, что в программе ViPNet Центр управления сетью были выполнены следующие действия:

а) если DNS-сервер является защищенным узлом сети ViPNet, на этот узел должна быть добавлена роль «DNS-сервер» (см. глоссарий, стр. 76);

б) если DNS-сервер туннелируется координатором, на этот координатор должна быть добавлена роль «DNS-сервер», должен быть указан IP-адрес DNS-сервера;

в) заданы DNS-зоны, обслуживаемые защищенными DNS-серверами.

Невозможность подключиться к сети ViPNet может быть вызвана следующими причинами:

а) вы подключаетесь к интернету через публичную точку доступа, в которой заблокирована передача трафика по протоколу UDP;

б) по умолчанию на вашем мобильном устройстве настроено интернет-соединение по протоколу, отличному от IPv4.

Решение:

а) Если вы подключаетесь к интернету через публичную точку доступа.

Для решения проблемы с подключением к сети ViPNet через публичную точку доступа выполните следующие действия:

1. Настройте передачу данных по протоколу TCP.

2. Проверьте подключение к корпоративным ресурсам. Если подключиться к ресурсам по-прежнему не удается, выполните действия, описанные ниже.

б) Если на вашем мобильном устройстве настроено интернет-соединение по протоколу, отличному от IPv4.

Подключиться к сети ViPNet можно, только если на вашем мобильном устройстве с включенным приложением ViPNet Client 2 for Android настроено интернет-соединение по протоколу IPv4. Чтобы проверить, какой протокол назначен вашим мобильным оператором по умолчанию, и при необходимости выбрать другой, выполните следующие действия: (Примечание: в зависимости от модели устройства и версии операционной системы Android действия по выбору протокола могут отличаться от описанных ниже.)

1. Перейдите в раздел «Настройки > Мобильная сеть > Точки доступа».

2. Выберите в списке текущее интернет-соединение и на экране настроек перейдите к настройкам «Протокол APN» и «Протокол роуминга точки доступа».

3. Если в качестве протоколов APN выбран протокол IPv6, измените его:

• если в настройках текущего интернет-соединения можно изменить протокол:
• • коснитесь настройки «Протокол APN» и выберите «IPv4»;
  • коснитесь настройки «Протокол роуминга точки доступа» и выберите «IPv4»;
• если в настройках текущего интернет-соединения невозможно изменить протокол:
• • на экране «Точки доступа» коснитесь кнопки «Добавить», чтобы создать новое интернет-соединение;
  • на открывшемся экране редактирования в качестве протокола APN и протокола роуминга точки доступа выберите протокол IPv4, остальные настройки скопируйте из текущего соединения;
  • на экране «Точки доступа» с помощью переключателя назначьте созданное интернет-соединение текущим.

Решение: если пользователь ViPNet Client 2 for Android не может установить дистрибутив ключей (файл *.dst) на устройство, удостоверьтесь, что пользователь вводит правильный пароль и дистрибутив ключей соответствует следующим требованиям:

а) дистрибутив ключей создан в программном комплексе ViPNet Administrator версии 3.2.9 и выше;

б) в программном комплексе ViPNet Administrator на клиент добавлена роль «VPN Client для мобильных устройств», и для этого клиента настроено подключение через межсетевой экран с динамической трансляцией адресов с направлением трафика через координатор;

в) в дистрибутиве ключей содержится действительная лицензия на использование приложения ViPNet Client 2 for Android.

Решение: убедитесь, что устройство, на которое вы пытаетесь установить приложение, поддерживается (см. документ «ViPNet Client 2 for Android. Руководство пользователя», глава «Протестированные на совместимость устройства Android»).

В процессе применения настроек из конфигурационного файла *.vpnconfig пользователь может увидеть следующие сообщения об ошибках:

а) «Ошибка применения настроек протоколов. Обратитесь к администратору».

Решение: неверный формат записей в секции [ALG]. Убедитесь, что значения портов для обработки прикладных протоколов указаны в секции [ALG] в соответствии с синтаксисом (см. документ «ViPNet Client 2 for Android. Руководство администратора», глава «Изменение используемых портов для прикладных протоколов»).

б) «Файл *.vpnconfig не применен».

Решение: убедитесь, что конфигурационный файл содержит записи, был сохранен в кодировке UTF-8 (без BOM) и по размеру не превышает 5 Кбайт.

Такая ситуация возможна, если у вас установлено ПО СЗИ MDM SafeStore.

Решение: в настройках ПО MDM SafeStore разрешить «Обновлять/Устанавливать приложения ViPNet Client for Android 2.18.0-233».

Решение: в случае нарушения целостности компонентов приложения ViPNet Client 2 for Android (в том числе файлов справочников и файла лицензии), например, в результате вмешательства посторонних лиц, работа с приложением будет невозможна. В этом случае обратитесь к администратору вашей сети ViPNet для восстановления работоспособности приложения.

В случае изменения контрольных сумм, связанных с приложением ViPNet Client 2 for Android системных библиотек, например, в результате обновления ОС Android, появится соответствующее сообщение. После этого вы можете продолжить работу с приложением, если уверены, что контрольные суммы связанных библиотек изменились в результате ваших действий или планового обновления ОС Android (контрольные суммы при этом пересчитываются). Если у вас возникли подозрения о вмешательстве посторонних лиц, обратитесь к администратору вашей сети ViPNet.

Решение: если к защищенным или туннелируемым узлам в корпоративной сети не удается обратиться по DNS-именам, уточните у администратора защищенной сети, были ли выполнены следующие действия:

а) если DNS-сервер является защищенным узлом сети ViPNet, на этот узел должна быть добавлена роль «DNS-сервер»;

б) если DNS-сервер туннелируется координатором, на этот координатор должна быть добавлена роль «DNS-сервер», должен быть указан IP-адрес DNS-сервера.

Невозможность подключиться к сети ViPNet может быть вызвана следующими причинами:

а) вы подключаетесь к интернету через публичную точку доступа, в которой заблокирована передача трафика по протоколу UDP;

б) по умолчанию на вашем мобильном устройстве настроено интернет-соединение по протоколу, отличному от IPv4.

Решение:

а) Если вы подключаетесь к интернету через публичную точку доступа.

Для решения проблемы с подключением к сети ViPNet через публичную точку доступа выполните следующие действия:

1. В списке приложений на устройстве нажмите значок приложения ViPNet Client 2 for Android.
2. Откройте меню приложения.
3. В меню приложения выберите раздел «Настройки».
4. В разделе «Настройки» с помощью переключателя включите настройку «Использовать TCP-соединение».
5. Проверьте подключение к корпоративным ресурсам. Если подключиться к ресурсам по-прежнему не удается, выполните действия, описанные ниже.

б) Если на вашем мобильном устройстве настроено интернет-соединение по протоколу, отличному от IPv4.

Подключиться к сети ViPNet можно, только если на вашем мобильном устройстве с включенным приложением ViPNet Client 2 for Android настроено интернет-соединение по протоколу IPv4.

Чтобы проверить, какой протокол назначен вашим мобильным оператором по умолчанию, и при необходимости выбрать другой, выполните следующие действия:

(Примечание: в зависимости от модели устройства и версии операционной системы Android действия по выбору протокола могут отличаться от описанных ниже.)

1. Перейдите в раздел «Настройки > Мобильная сеть > Точки доступа».

2. Выберите в списке текущее интернет-соединение и на странице настроек перейдите к настройкам «Протокол APN» и «Протокол роуминга точки доступа».

3) Если в качестве протоколов APN выбран протокол IPv6, замените его:

• если в настройках текущего интернет-соединения можно изменить протокол:
  • нажмите настройку «Протокол APN» и выберите «IPv4»;
  • нажмите настройку «Протокол роуминга точки доступа» и выберите «IPv4»;
• если в настройках текущего интернет-соединения невозможно изменить протокол:
  • на странице «Точки доступа» нажмите «Добавить», чтобы создать новое интернет-соединение;
  • на открывшейся странице редактирования в качестве протокола APN и протокола роуминга точки доступа выберите протокол IPv4, остальные настройки скопируйте из текущего соединения;
  • на странице «Точки доступа» с помощью переключателя назначьте созданное интернет-соединение текущим.

Решение: если не удается установить дистрибутив ключей (файл *.dst) на устройство, уточните у администратора защищенной сети, соответствует ли дистрибутив ключей следующим требованиям:

а) дистрибутив ключей создан в программном комплексе ViPNet Administrator версии 3.2.9 или выше;

б) на клиент добавлена роль «VPN-клиент для мобильных устройств», если сеть ViPNet управляется с помощью программного комплекса ViPNet Administrator, и для этого клиента настроено подключение через межсетевой экран с динамической трансляцией адресов с направлением трафика через координатор.

Решение: убедитесь, что устройство, на которое вы пытаетесь установить приложение, поддерживается (см. документ «ViPNet Client 2 for Android. Руководство пользователя», глава «Протестированные на совместимость устройства Android», стр. 6).

Решение: в ЦУС следует изменить свойства роли «Registration Point», имеющей параметры ограничения, сформировать и отправить на узел Центра регистрации обновления.

Решение: в УКЦ создать ключи узла Центра регистрации и отправить из ЦУС как обновление справочно-ключевой информации.

Решение: должен использоваться Центр регистрации версии 4.6.6 и старше; если ViPNet Client 4.5 устанавливается как обновление имеющегося ViPNet Client версии 4.3, допустимо использовать версии ниже 4.6.6 Центра регистрации.

Решение: для сценария установки Центра регистрации версии 4.6.6 без ViPNet Client получить обновление до следующей версии.

Решение: запросить ключ у администратора сети и создать новый набор ключей пользователя, отправить его обновлением.

Решение: это предупреждение о скором истечении срока действия ключа электронной подписи или соответствующего ему сертификата, необходимо сформировать запрос на обновление сертификата или проверить ввод в действие последнего полученного по запросу сертификата.

Решение: назначить один из действительных сертификатов текущим; проверить подключение внешнего ключевого устройства с сертификатом пользователя узла, так как пока не получен или не введен в действие сертификат, подписание электронных документов невозможно.

Причины: в настройках параметров безопасности на вкладке «Пароль» установлен флажок и параметры «Ограничить срок действия пароля», из УКЦ получены ключи пользователя с новым паролем.

Решение: пароль необходимо сменить вручную самим пользователем.

Решение: сертификат не соответствует ключу электронной подписи, находящемуся в контейнере, необходимо проверить добавляемый сертификат на его соответствие контейнеру ключей; повторите еще раз, задавая правильный пароль контейнера.

Решение: завершите работу с настройками параметров безопасности приложения ViPNet. Проверьте наличие файлов с ответами в папке «...\ViPNet Registration Point\ccc\from_kc_s» и при наличии переместите эти файлы в «...\ViPNet Registration Point\ccc\from_kc».

Причины: внешнее ключевое устройство не поддерживает аппаратную поддержку алгоритмов ГОСТ или стандарт PKCS#11.Срок действия выбранного сертификата истек и его требуется обновить.

Выбранный сертификат присутствует в списке аннулированных сертификатов, который установлен в хранилище Windows. Выбранный сертификат не имеет назначения «Шифрование ключей».

Решение: для устранения обратитесь к администратору безопасности вашей сети ViPNet, который определит соответствие вашего устройства и драйвера рекомендованным параметрам в эксплуатационной документации раздела «Внешние устройства» или обновит вам сертификат.

Причина 1: пароль вводится неправильный; активна клавиша Caps Lock; включена другая раскладка клавиатуры.

Решение 1: проверьте правильность пароля и еще раз внимательно наберите его; если пользователь самостоятельно изменил пароль, он должен вводить тот пароль, который был задан им в последний раз.

Если результат повторяется, существует вероятность повреждения ключевого набора пользователя, для его восстановления требуется участие администратора вашей сети ViPNet.

Причина 2: ключи пользователя установлены в папку, которая отличается от папки ключей пользователя по умолчанию.

Решение 2: в окне ввода пароля щелкните значок справа от кнопки «Настройка», в меню выберите пункт «Папка ключей пользователя» и укажите путь к папке ключей пользователя. При совместной установке программы ViPNet Registration Point и ViPNet Client ключи могут быть установлены в рабочий каталог программы ViPNet Client; место их расположения уточните у администратора сети ViPNet.

Причина 1: программа ViPNet Registration Point была удалена с компьютера либо были удалены файлы, необходимые для ее работы.

Решение 1: запустить установщик приложения и восстановить компоненты.

Причина 2: срок действия лицензии истек.

Решение 2: необходимо обновить лицензию в программе ViPNet Центр управления сетью и затем применить дистрибутив ключей узла.

Причина 3: проблемы аутентификации при использовании внешнего ключевого устройства.

Решение 3: средствами драйвера производителя устройства определите его готовность, отключите в программе ViPNet CSP все другие не используемые устройства для аутентификации, а затем повторите вход перезапуском приложения.

Решение: список связей не может быть шире имеющихся связей самого узла Центра регистрации, требуемые связи можно добавить сначала самому Центру регистрации и только затем они будут доступны при формировании запроса; связи может добавить администратор ЦУС сети ViPNet после удовлетворения запроса на дистрибутив.

Причина: авторизовавшийся пользователь узла не имеет сертификата, выданного в УКЦ для этого узла сети ViPNet.

Решение: запросить у администратора сети ViPNet ключи пользователя, содержащие сертификат пользователя узла регистрированного в роли «Registration Point».

Решение 1:

Определить наличие и доступность конфигурационных файлов в каталоге \Users\ProfileName\AppData\Local\InfoTeCS\ViPNet Publication Service\1.0\ или \Documents and Settings\UserName\Application Data\InfoTeCS\ViPNet Publication Service\1.0

При отсутствии в разделе «User Profile» текущего пользователя определите их наличие в каталогах других учетных записей пользователей Windows, затем примите решение о возможности их применения вашей учетной записью или восстановите импортом ранее сохраненные настройки.

Решение 2:

Откройте на просмотр ViPNet Publication Service.publist из каталога UserProfile\AppData\Local\InfoTeCS\ViPNet Publication Service\1.0\ При его наличии, но недоступности чтения удалите атрибут защиты этого файла средствами шифрования EFS Windows.

При утрате ключевого файла EFS-системы защиты конфигурационный файл .publist восстанавливается импортом из экспортируемых настроек формата «Настройки ViPNet Publication Service yyyy.MM.dd-H.mm.ss».

Для работы ViPNet Деловая почта без клиента необходимо:

• Прописать адрес координатора в настройках mftp, если не задан в ЦУС.

• На координаторе в правилах открытого локального трафика разрешить прохождение tcp:5000-5002.

• Обязательно наличие связи на уровне узлов с координатором.

Открыть в панели управления настройку «Язык и региональные стандарты».

Перейти на вкладку «Дополнительно»> «Изменить язык системы...».

В качестве текущего языка системы из списка выбрать тот язык, спецсимволы которого присутствуют в имени файла, который необходимо передать в качестве вложения.

Перезагрузить ОС.

Если работал автопроцессинг без архивации писем, а потом в настройках деловой почты «Инструменты – Настройки – Архивация – Автоматическая архивация» включили автоматическую архивацию, поставили флажок «Размер хранилища меньше» или значение меньше текущего размера файла базы данных ms4.db, то при следующей архивации возникает ошибка «Обнаружена исключительная ситуация в модуле wmail.exe» и после нажатия «OK» в окне ошибки Деловая почта падает.

Решение: в ViPNet Деловой почте отключить (снять флажок) параметр «Инструменты – Настройка – Архивация – Автоматическая архивация – Размер хранилища меньше» и нажать «Применить настройки».

Если выбрать такое письмо, вместо его текста на панели чтения будет отображаться информация о номере, теме, отправителе письма и коде ошибки.

В папку «Поврежденные» перемещаются входящие письма, если:

1. При обработке письма произошла критическая ошибка.

2. Письмо было отправлено 30 дней назад, но не доставлено, потому что программа ViPNet Деловая почта не запускалась в течение 30 дней.

Письмо в папке «Поврежденные» невозможно восстановить. Если в папке «Поврежденные» появилась новая запись, сообщите о ней администратору сети ViPNet.

В папку «Проблемные» перемещаются входящие письма, которые не удалось расшифровать. Если в папке «Проблемные» появилась новая запись, выполните одно или несколько следующих действий:

1. Перезапустите программу ViPNet Деловая почта. После повторного запуска программа выполнит повторную обработку проблемного письма. В случае успешной обработки письма в папке «Входящие» появится новое письмо. При этом проблемное письмо также останется в папке «Проблемные».

2. Если на одном сетевом узле зарегистрировано несколько пользователей, возможно, проблемное входящее письмо адресовано другому пользователю. Сообщите другому пользователю, который зарегистрирован на этом узле, чтобы он попытался открыть проблемное письмо, когда войдет в программу ViPNet Деловая почта под своим именем.

3. Если письмо все же не удалось открыть, возможно, на вашем сетевом узле необходимо обновить справочники и ключи. Сообщите о проблемном письме и типе ошибки администратору сети ViPNet и следуйте его рекомендациям.

Если вам не удается войти в программу ViPNet Деловая почта, используя для аутентификации сертификат и соответствующий ему ключ электронной подписи, которые хранятся на внешнем устройстве, это может быть вызвано одной из следующих причин:

1. Внешнее устройство не обеспечивает аппаратную поддержку алгоритмов ГОСТ.

2. Внешнее устройство хранения данных не поддерживает стандарт PKCS#11. Проверить, поддерживает ли ваше устройство этот стандарт, можно в разделе «Внешние устройства».

3. Срок действия выбранного сертификата истек. При выборе недействительного сертификата появится соответствующее сообщение. В этом случае следует передать сертификат администратору вашего удостоверяющего центра для обновления.

4. Выбранный сертификат присутствует в списке аннулированных сертификатов, который установлен в хранилище данного узла. При выборе аннулированного сертификата появится соответствующее сообщение. В этом случае следует обратиться к администратору вашего удостоверяющего центра.

5. Выбранный сертификат не имеет назначения «Шифрование ключей». Это расширение должно отображаться в окне «Сертификат», на вкладке «Состав», в поле «Использование ключа». В этом случае следует обратиться к администратору вашего удостоверяющего центра для переиздания сертификата.

6. Вы используете внешнее устройство JaCarta с апплетом PKI. Запрос на сертификат для этого устройства следует создавать в ПО «Единый клиент JaCarta» версии 2.12 и выше, поскольку только в этом ПО возможна запись открытого ключа на устройство. Если использование «Единого клиента» невозможно, передайте устройство производителю для записи на него открытого ключа.

Пришлите обращение на e-mail: hotline@infotecs.ru с указанием версии ПО ViPNet, приложив к письму скриншот ошибки и файл wmail.err из папки C:\ProgramData\InfoTeCS.

• Если подпись не нужна, в правиле автопроцессинга нужно снять флажок «Подписывать письмо при отправке».

• Если подпись нужна, обратитесь к администратору сети ViPNet за обновлением сертификата (документация к ViPNet Деловая почта).

• Следует обратиться в ОТС ИнфоТеКС для получения утилиты восстановления базы.

• Если восстановление базы не помогает, требуется переименовать папку C:\ProgramData\InfoTeCS\Address book.

При создании группы IP-адресов в Policy Manager указываем сеть в формате 010.162.89.176

Не использовать 0 в первом октете.

Решение: Для успешной установки PM достаточно пустой папки по пути C:\Program Files (x86)\InfoTeCS\ViPNet Client. В дальнейшем она не потребуется (можно удалить). PM 4.5.3 совместим с Клиентом от версии 4.3.3 и выше.

В предыдущих версиях программы допускалось использование одинаковых названий для разных шаблонов политики безопасности. Теперь каждый шаблон должен иметь уникальное имя. Поэтому при попытке изменить шаблон с повторяющимся именем появляется сообщение об ошибке.

Чтобы исправить эту ошибку, задайте шаблону уникальное имя.

Данная проблема может возникать в том случае, если вы удалили учетную запись администратора в ОС Windows, под которой первоначально разворачивались ПО ViPNet Policy Manager и база данных SQL, либо стали использовать доменную учетную запись.

Чтобы устранить указанную проблему:

1. Добавьте на SQL-сервер пользователя ОС, от имени которого вы устанавливаете ViPNet Policy Manager.

2. Назначьте этому пользователю SQL-сервера роль sysadmin.

Причина: для взаимодействия с ПАК используются PKI Client 1.3.1.1859 и браузер Mozilla Firefox либо Microsoft Edge.

Решение: ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования. Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.

Версия: PKIS 1.0.3.885.

Решение: интересующий сценарий не реализуем. Все ключи должны непосредственно создаваться на PKIS через запрос на сертификат.

Причина: на основе анализа логов установлено, что возникла проблема с доступом к виртуальному токену.

Решение: ВНИМАНИЕ! В результате выполнения предложенного ниже сценария ключи прикладного сервиса будут удалены, что приведет к невозможности расшифровать ключи пользователей PKI Service, если они есть.

1. Перевести HSM в сервисный режим работы.

2. Аутентифицироваться в HSM через веб-интерфейс от имени администратора безопасности (АБ) по порту 8443.

3. В разделе «Токены» выбрать токен. Выключить токен. Удалить токен.

4. После данных действий в HSM не должно быть создано ни одного виртуального токена.

5. Перезагрузить сервер.

6. После загрузки сервера аутентифицироваться в HSM через веб-интерфейс от имени АБ по порту 8443.

7. Создать новый виртуальный токен и связать его с существующим АПС.

8. Будет создан новый виртуальный токен с ID 101. Токен ассоциирован с АПС.

9. Включить токен.

10. Перевести HSM в штатный режим работы.

11. Через 2–5 минут попытаться выполнить аутентификацию в PKI Service от имени администратора прикладного сервиса (АПС) через веб-интерфейс по порту 9443.

Версия: 1.0.1.476237.

Решение: эксплуатационной документацией ПАК ViPNet PKI Service не предусматривается возможность использования каких-либо токенов, отличных от Rutoken Lite.

Версия: все.

Причина: веб-интерфейс PKI Service для роли пользователя предназначен для тестовых и демонстрационных целей, возможность корректировать назначение ключа в веб-интерфейсе отсутствует.

Решение: при отправке REST-запроса POST/requests нужно указать явно параметр (через запятую без пробелов)

"keyUsage":"digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment".

Решение: штатно такой сценарий не предусмотрен и реализовать его в полной мере средствами только самого ПАК не удастся. На ПАК можно поднять дополнительный интерфейс (при этом критически важно не задавать для такого интерфейса шлюз — шлюз задается только для интерфейса ТА). Но при этом трафик на порты прикладного сервиса все равно будет ходить по интерфейсу, заданному в качестве интерфейса ТА. Если не ограничить трафик с помощью внешнего оборудования.

Версия: все.

Причина: за диск с материалом ДСДР принят идущий в комплекте поставки диск с документацией и ПО. В документации в явном виде не отражен внешний вид и порядок получения ДСДР-диска.

Решение: получить ДСДР-диск у регулятора.

Версия: все.

Причина: публичный ключ сертификата имеет следующий набор параметров:

EA - tc26_gost_3410_2012_256_ParamSetA (1.2.643.7.1.2.1.1.1).

Издание таких сертификатов преждевременно, поскольку большинство действующих сертифицированных средств ЭП на данный момент этот идентификатор не поддерживает.

Решение: переиздать сертификат с параметрами:

A - GostR3410_2001_CryptoPro_A_ParamSet (1.2.643.2.2.35.1).

Версия: 1.0.2.481779.

Причина: не загружена цепочка сертификации и САС.

Решение: загрузить цепочку сертификатов издателей и САС.

Версия: 1.0.2.481779.

Причина: на основе анализа логов сделан вывод, что РК PKIS была сделана до того, как был создан пользователь PKIS и загружен его сертификат.

Решение: сценарий холодного резервирования не является штатным сценарием, предусмотренным эксплуатационной документацией, рекомендованной корректной схемы реализации такого сценария нет.

Технически достаточно снять актуальные РК HSM и РК PKIS с основного ПАК (так как он работоспособен) и восстановить резервный с их помощью.

Причина: при выполнении перенастройки параметров ТА с дефолтного на оптический интерфейс произошел сбой.

Решение: в условиях эксплуатирующей организации проблема не может быть устранена. Требуется отправка ПАК в СЦ.

Причина: для взаимодействия с ПАК ViPNet PKI Service используется браузер Mozilla Firefox либо Microsoft Edge.

ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования.

Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.

Причина: конфликт со сторонним криптопровайдером.

В состав ПО ViPNet PKI Client входит обязательный для функционирования ПО компонент криптопровайдер ViPNet CSP, имеющий ряд ограничений по совместному использованию с КриптоПро CSP. В частности для выполнения криптографических операций в поддерживаемых приложениях, где требуется использовать криптопровайдер ViPNet CSP в программе ViPNet CSP в разделе «Дополнительно» должен быть активирован чек-бокс «Поддержка работы ViPNet CSP через Microsoft CryptoAPI», а также не должен быть установлен компонент ПО КриптоПро CSP «Совместимость с продуктами Microsoft». В состав СКЗИ «Континент-АП» (согласно информации, размещенной на официальном сайте производителя данного продукта) входит ПО «Код Безопасности CSP». Совместимость ПО ViPNet CSP и ПО «Код Безопасности CSP» не заявлена.

Причина: установка сертификатов и САС производилась бессистемно. Частично через оснастку ОС, частично из интерфейса ViPNet PKI Client.

Удаление сертификатов и САС через оснастку ОС и последующая установка полного комплекта из интерфейса ViPNet PKI Client.

Причина: в основе ViPNet PKI Client лежит криптопровайдер ViPNet CSP. Для корректной работы контейнеры должны быть сформированы средствами CSP. С контейнерами, созданными криптопровайдером КриптоПРО, ViPNetCSP работать не сможет, так как форматы контейнеров не совместимы.

Устанавливать сертификаты и САС следует не с помощью оснастки ОС, а из интерфейса ViPNet PKI Client. Сертификат в контейнер, созданный средствами стороннего криптопровайдера, при этом установить невозможно. Контейнер должен быть создан криптопровайдером ViPNet CSP.

Причина: учетная запись пользователя ОС не обладает правами администратора.

Для того чтобы ViPNet PKI Client функционировал, указанная служба в обязательном порядке должна быть запущена.

Следовательно, учетная запись пользователя ОС должна обладать соответствующими правами для запуска этой службы.

При использовании ПО ViPNet Coordinator на виртуальной машине на платформе VMware Workstation наблюдается дублирование IP-пакетов, что приводит к следующим неполадкам в корпоративной сети ViPNet:

• Дубликаты писем в программе ViPNet Деловая почта.
• Отсутствие голосовой и видеосвязи в программе ViPNet Connect при низкой скорости подключения.
• Медленное подключение к туннелируемым ресурсам.

Данная проблема может возникнуть при использовании на виртуальной машине сетевых интерфейсов в режиме Bridged.

Во избежание этой проблемы необходимо перейти на использование режима сетевых интерфейсов NAT. Для этого выполните следующие действия:

1. В программе VMware Workstation создайте виртуальную сеть с типом подключения NAT, если она не была создана автоматически. Для этого в меню «Edit» выберите пункт «Virtual Network Editor», в открывшемся окне создайте виртуальную сеть с типом подключения NAT и необходимыми вам настройками.
2. В настройках виртуальной машины укажите тип сетевого подключения NAT. Для этого в меню «VM» выберите пункт «Settings», в открывшемся окне выберите нужные сетевые интерфейсы и установите для них режим NAT.

Если нет уверенности в том, были ли получены нужные обновления для ViPNet Coordinator и каков статус их выполнения, можно воспользоваться файлом, в котором хранятся записи обо всех обновлениях. Для этого:

1. В папке установки ПО ViPNet Coordinator (по умолчанию С:\Program Files\InfoTeCS\ViPNet Coordinator\) найдите файл \ССС\log\update.log.
2. Откройте этот файл с помощью текстового редактора и найдите записи о нужных обновлениях.

Возможно, причиной неполадки является сбой одного из компонентов программы ViPNet Coordinator. Для решения данной проблемы выполните следующие действия:

1. В командной строке Windows выполните команду: regsvr32 /u C:\Windows\System32\itcssp.dll.
2. Измените имя файла itcssp.dll, находящегося в папке «C:\Windows\System32», на любое другое.
   Если на компьютере была установлена программа ViPNet CSP с поддержкой 64-разрядных операционных систем, в папке «C:\Windows\SysWOW64» также существует файл itcssp.dll, который нужно переименовать.
3. Перезагрузите компьютер.

Данная проблема может возникать, когда туннелируемые узлы находятся в одной локальной подсети с координатором. При этом на сетевом интерфейсе координатора, за которым стоят туннелируемые узлы, задан шлюз по умолчанию.

Когда трафик от туннелируемых узлов, передаваемый на удаленные защищенные узлы, поступает на координатор, туннелируемым узлам по стеку TCP/IP координатора посылаются сообщения по протоколу ICMP 5 о необходимости направлять трафик не на него, а напрямую на шлюз, заданный на координаторе. В результате туннелируемый трафик перестает передаваться на координатор и отправляется напрямую на шлюз по умолчанию.

Для устранения этой проблемы необходимо заблокировать отправку координатором сообщений по протоколу ICMP 5. Для этого в программе ViPNet Coordinator Монитор требуется создать фильтры открытой сети, блокирующие отправку данных сообщений. Вместе с этим также рекомендуется создать аналогичные фильтры защищенной сети.

Возможные причины:

• Сетевой узел выключен или на нем не запущена программа ViPNet Монитор.
• Нет ключей, необходимых для связи с сетевым узлом. Обратитесь к администратору сети ViPNet.
• Ваш компьютер физически не подключен к сети или не имеет выхода в интернет.

Возможные причины:

• Соединение с ресурсами интернета заблокировано фильтрами открытой сети или заблокирован IP-трафик компьютера. Убедитесь, что настроены сетевые фильтры, разрешающие соединение с требуемыми адресами, а также в том, что IP-трафик компьютера не заблокирован (об этом свидетельствует, например, наличие в меню «Файл» конфигурации команды «Блокировать IP-трафик»).
• На компьютере установлена версия антивируса Avast, конфликтующая с ПО ViPNet. Чтобы обеспечить нормальное совместное функционирование антивируса Avast и программного обеспечения ViPNet, обновите программу Avast до версии 10.3.223 или более новой.

Если вам не удается войти в программу ViPNet Coordinator, используя для аутентификации сертификат и соответствующий ему ключ электронной подписи, которые хранятся на внешнем устройстве, это может быть вызвано одной из следующих причин:

• Сертификат не соответствует стандарту RSA или ГОСТ.
• Внешнее устройство хранения данных не поддерживает стандарт PKCS#11. Проверить, поддерживает ли ваше устройство этот стандарт, можно в разделе «Внешние устройства».
• Срок действия выбранного сертификата истек. При выборе недействительного сертификата появится соответствующее сообщение. В этом случае следует передать сертификат администратору вашего удостоверяющего центра для обновления.
• Выбранный сертификат присутствует в списке аннулированных сертификатов, который установлен в хранилище данного узла. При выборе аннулированного сертификата появится соответствующее сообщение. В этом случае следует обратиться к администратору вашего удостоверяющего центра.
• Выбранный сертификат не имеет назначения «Шифрование ключей». Это расширение должно отображаться в окне «Сертификат», на вкладке «Состав», в поле «Использование ключа». В этом случае следует обратиться к администратору вашего удостоверяющего центра для переиздания сертификата.
• Сертификат издателя не установлен в системное хранилище «Доверенные корневые сертификаты». В этом случае следует получить сертификат издателя у администратора вашего удостоверяющего центра и установить его в указанное системное хранилище. Для этого дважды щелкните по сертификату и следуйте указаниям мастера установки сертификатов.

Возможные варианты решения проблемы:

• Проверьте состояние клавиши Caps Lock.
• Проверьте раскладку клавиатуры, используя соответствующий индикатор в окне ввода пароля. Если используется случайный пароль, его следует набирать в английской раскладке клавиатуры.
• Проверьте правильность пароля и еще раз внимательно наберите его.
• Возможно, ключи пользователя установлены в папку, которая отличается от папки ключей пользователя по умолчанию.

В этом случае в окне ввода пароля щелкните значок справа от кнопки «Настройка», в меню выберите пункт «Папка ключей пользователя» и укажите путь к папке ключей пользователя.

Если операционная система еще не загружена, в окне ввода пароля ViPNet нажмите кнопку «Отмена». После загрузки операционной системы запустите ViPNet Монитор и укажите путь к папке ключей пользователя.

Если у вас установлен антивирус Касперского, установка или обновление ViPNet Coordinator могут быть заблокированы самозащитой антивируса.

Для установки программы отключите самозащиту антивируса.

Внимание! Если вы приостановите антивирусную защиту или выйдете из программы Kaspersky Anti-Virus, проблема не будет решена. Необходимо отключить самозащиту антивируса нижеописанным способом.

Для решения проблемы выполните следующие действия:

1. В окне программы Kaspersky Anti-Virus на нижней панели нажмите ссылку «Настройка».
2. На странице «Настройка» выберите раздел «Дополнительно» и нажмите ссылку «Самозащита».
3. На странице «Параметры самозащиты» снимите флажок «Включить самозащиту».
4. В окне подтверждения нажмите кнопку «Продолжить».

После отключения самозащиты антивируса Касперского заново начните установку ViPNet Coordinator. Отключение самозащиты требуется только на время установки.

Ошибка проявляется если в выборку событий попадает событие, сформированное правилом анализа Журнал ОС или правилом, которое обрабатывает журнал ОС узла

Для того чтобы сделать выгрузку событий, необходимо исключить из выборки правил анализа правило Журнал ОС или правило, которое обрабатывает журнал ОС узла. Исправлено в версии 4.9.2.

В программе ViPNet Монитор на родительском и дочернем Серверах мониторинга создайте фильтры открытой сети:

– фильтр, пропускающий входящий трафик по протоколу TCP и порту 8080 (или по другому порту, если он был изменен) от одного Сервера мониторинга к другому;

– фильтр, пропускающий исходящий трафик по протоколу TCP и портам 1154, 1132, 1210 от одного Сервера мониторинга к другому.

Служба Apache Tomcat запущена не с использованием учетной записи администратора ОС. Запустите Apache Tomcat с использованием учетной записи администратора ОС.

– Предварительно создайте резервную копию базы данных Сервера мониторинга.

– Постепенно уменьшайте значения параметров OlapDBMaxSize и RawDataMaxSize из секции [control] файла server.ini (см. Секция [control] на стр. 178), например, на 5 и 15 Гбайт соответственно, пока не начнет выполняться ротация базы данных. При этом одновременно уменьшите значения параметров OlapDBMaxTime и RawDataMaxTime до значений 90 и 30 соответственно.

– Вручную удалите данные из таблиц monitoring_event и response базы данных (обычно эти таблицы имеют наибольший объем).

– Запустите службу Apache Tomcat.

– Подождите, пока выполнится ротация базы данных (примерно 15 минут).

Возникли проблемы с доступом к исполняемому файлу службы Apache Tomcat. Подобные ошибки могут появляться, например, если включен контроль учетных записей пользователей.

Для решения проблемы выполните следующие действия:

– Перейдите в папку C:\Program Files\Apache Software Foundation\Tomcat 8.0\bin.

– Щелкните правой кнопкой мыши файл Tomcat8w.exe и выберите пункт «Свойства».

– В открывшемся окне перейдите на вкладку «Совместимость».

– В группе «Уровень прав» установите флажок «Выполнять эту программу от имени администратора».

– Нажмите кнопку «OK».

– Запустите службу Apache Tomcat.

При этом в лог-файле службы присутствуют подобные записи:

[2010-02-02 14:25:23] [174 javajni.c] [error] Не найден указанный модуль. [2010-02-02 14:25:23] [994 prunsrv.c] [error] Failed creating java C:\Program Files\Java\jre8\bin\client\jvm.dll. [2010-02-02 14:25:23] [1269 prunsrv.c] [error] ServiceStart returned 1

Если во время работы системы мониторинга на жестком диске заканчивается свободное место, останавливается запись событий мониторинга в базу данных. При освобождении свободного места запись событий в базу данных не возобновляется

Чтобы возобновить запись событий мониторинга в базу данных, перезапустите службы Apache Tomcat и PostgreSQL.

Если база данных начинает неограниченно расти, в журнале PostgreSQL (при стандартной настройке журнал располагается по следующему пути Диск:\Program Files\PostgresSQL\9.1\data\pg_log\) появляются сообщения следующего вида: 2012-01-10 23:52:06 MSK ERROR: could not read block 51 of relation base/18747802/2619: read only 0 of 8192 bytes.

Данная ошибка может возникать в результате неисправности диска. Для проверки состояния диска воспользуйтесь программой Windows chkdsk или другой программой для проверки состояния диска и проверьте диск на наличие испорченных секторов. При их наличии замените диск и восстановите Сервер мониторинга из резервной копии либо заново установите Сервер мониторинга.

Данная ошибка отмечена для Серверов мониторинга, в операционной системе которых выбран часовой пояс (UTC+03:00) Волгоград, Москва, Санкт-Петербург (RTZ 2).

Проблема связана с тем, что для виртуальной машины Java не обновлены часовые пояса, которые были изменены в связи с отменой перехода на летнее время и обратно, а также с особенностями выбора данного часового пояса. Обновите часовые пояса для виртуальной машины Java. Для этого выполните следующие действия:

– Войдите в операционную систему под учетной записью администратора.

– Задайте часовой пояс (UTC+03:00) Минск.

– Скопируйте на жесткий диск файл архива utimezone.zip, входящий в комплект поставки (на стр. 18).

– Создайте на диске C: папку TZUPDATE и извлеките в эту папку файлы из архива utimezone.zip.

– В командной строке Windows в папке C:\TZUPDATE последовательно выполните следующие команды:

• copy.bat

• utimezone.bat

• upgrade.bat

Отчет о выполнении записывается в файл C:\TZUPDATE\result.log. Убедитесь, что в файле есть сообщение об успешном обновлении и отсутствуют сообщения об ошибках.

– Подключитесь к Серверу мониторинга с помощью АРМ мониторинга и на странице «Мониторинг > Список» выполните опрос какого-либо узла мониторинга.

– Убедитесь, что время опроса узла совпадает с текущим временем операционной системы.

Убедитесь, что сторонние службы (например, Служба IIS Admin или Служба веб-публикаций) не используют порты 80 и 81, которые нужны для запуска веб-интерфейса StateWatcher.