Вопросы и ответы: ViPNet PKI Service

Причина: для взаимодействия с ПАК используются PKI Client 1.3.1.1859 и браузер Mozilla Firefox либо Microsoft Edge.

Решение: ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования. Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.

Версия: PKIS 1.0.3.885.

Решение: интересующий сценарий не реализуем. Все ключи должны непосредственно создаваться на PKIS через запрос на сертификат.

Причина: на основе анализа логов установлено, что возникла проблема с доступом к виртуальному токену.

Решение: ВНИМАНИЕ! В результате выполнения предложенного ниже сценария ключи прикладного сервиса будут удалены, что приведет к невозможности расшифровать ключи пользователей PKI Service, если они есть.

1. Перевести HSM в сервисный режим работы.

2. Аутентифицироваться в HSM через веб-интерфейс от имени администратора безопасности (АБ) по порту 8443.

3. В разделе «Токены» выбрать токен. Выключить токен. Удалить токен.

4. После данных действий в HSM не должно быть создано ни одного виртуального токена.

5. Перезагрузить сервер.

6. После загрузки сервера аутентифицироваться в HSM через веб-интерфейс от имени АБ по порту 8443.

7. Создать новый виртуальный токен и связать его с существующим АПС.

8. Будет создан новый виртуальный токен с ID 101. Токен ассоциирован с АПС.

9. Включить токен.

10. Перевести HSM в штатный режим работы.

11. Через 2–5 минут попытаться выполнить аутентификацию в PKI Service от имени администратора прикладного сервиса (АПС) через веб-интерфейс по порту 9443.

Версия: 1.0.1.476237.

Решение: эксплуатационной документацией ПАК ViPNet PKI Service не предусматривается возможность использования каких-либо токенов, отличных от Rutoken Lite.

Версия: все.

Причина: веб-интерфейс PKI Service для роли пользователя предназначен для тестовых и демонстрационных целей, возможность корректировать назначение ключа в веб-интерфейсе отсутствует.

Решение: при отправке REST-запроса POST/requests нужно указать явно параметр (через запятую без пробелов)

"keyUsage":"digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment".

Решение: штатно такой сценарий не предусмотрен и реализовать его в полной мере средствами только самого ПАК не удастся. На ПАК можно поднять дополнительный интерфейс (при этом критически важно не задавать для такого интерфейса шлюз — шлюз задается только для интерфейса ТА). Но при этом трафик на порты прикладного сервиса все равно будет ходить по интерфейсу, заданному в качестве интерфейса ТА. Если не ограничить трафик с помощью внешнего оборудования.

Версия: все.

Причина: за диск с материалом ДСДР принят идущий в комплекте поставки диск с документацией и ПО. В документации в явном виде не отражен внешний вид и порядок получения ДСДР-диска.

Решение: получить ДСДР-диск у регулятора.

Версия: все.

Причина: публичный ключ сертификата имеет следующий набор параметров:

EA - tc26_gost_3410_2012_256_ParamSetA (1.2.643.7.1.2.1.1.1).

Издание таких сертификатов преждевременно, поскольку большинство действующих сертифицированных средств ЭП на данный момент этот идентификатор не поддерживает.

Решение: переиздать сертификат с параметрами:

A - GostR3410_2001_CryptoPro_A_ParamSet (1.2.643.2.2.35.1).

Версия: 1.0.2.481779.

Причина: не загружена цепочка сертификации и САС.

Решение: загрузить цепочку сертификатов издателей и САС.

Версия: 1.0.2.481779.

Причина: на основе анализа логов сделан вывод, что РК PKIS была сделана до того, как был создан пользователь PKIS и загружен его сертификат.

Решение: сценарий холодного резервирования не является штатным сценарием, предусмотренным эксплуатационной документацией, рекомендованной корректной схемы реализации такого сценария нет.

Технически достаточно снять актуальные РК HSM и РК PKIS с основного ПАК (так как он работоспособен) и восстановить резервный с их помощью.

Причина: при выполнении перенастройки параметров ТА с дефолтного на оптический интерфейс произошел сбой.

Решение: в условиях эксплуатирующей организации проблема не может быть устранена. Требуется отправка ПАК в СЦ.