Вопросы и ответы: ViPNet PKI Service
Вопросы и ответы: ViPNet PKI Service
Причина: для взаимодействия с ПАК используются PKI Client 1.3.1.1859 и браузер Mozilla Firefox либо Microsoft Edge.
Решение: ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования. Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.
Версия: PKIS 1.0.3.885.
Решение: интересующий сценарий не реализуем. Все ключи должны непосредственно создаваться на PKIS через запрос на сертификат.
Причина: на основе анализа логов установлено, что возникла проблема с доступом к виртуальному токену.
Решение: ВНИМАНИЕ! В результате выполнения предложенного ниже сценария ключи прикладного сервиса будут удалены, что приведет к невозможности расшифровать ключи пользователей PKI Service, если они есть.
1. Перевести HSM в сервисный режим работы.
2. Аутентифицироваться в HSM через веб-интерфейс от имени администратора безопасности (АБ) по порту 8443.
3. В разделе «Токены» выбрать токен. Выключить токен. Удалить токен.
4. После данных действий в HSM не должно быть создано ни одного виртуального токена.
5. Перезагрузить сервер.
6. После загрузки сервера аутентифицироваться в HSM через веб-интерфейс от имени АБ по порту 8443.
7. Создать новый виртуальный токен и связать его с существующим АПС.
8. Будет создан новый виртуальный токен с ID 101. Токен ассоциирован с АПС.
9. Включить токен.
10. Перевести HSM в штатный режим работы.
11. Через 2–5 минут попытаться выполнить аутентификацию в PKI Service от имени администратора прикладного сервиса (АПС) через веб-интерфейс по порту 9443.
Версия: 1.0.1.476237.
Решение: эксплуатационной документацией ПАК ViPNet PKI Service не предусматривается возможность использования каких-либо токенов, отличных от Rutoken Lite.
Версия: все.
Причина: веб-интерфейс PKI Service для роли пользователя предназначен для тестовых и демонстрационных целей, возможность корректировать назначение ключа в веб-интерфейсе отсутствует.
Решение: при отправке REST-запроса POST/requests нужно указать явно параметр (через запятую без пробелов)
"keyUsage":"digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment".
Решение: штатно такой сценарий не предусмотрен и реализовать его в полной мере средствами только самого ПАК не удастся. На ПАК можно поднять дополнительный интерфейс (при этом критически важно не задавать для такого интерфейса шлюз — шлюз задается только для интерфейса ТА). Но при этом трафик на порты прикладного сервиса все равно будет ходить по интерфейсу, заданному в качестве интерфейса ТА. Если не ограничить трафик с помощью внешнего оборудования.
Версия: все.
Причина: за диск с материалом ДСДР принят идущий в комплекте поставки диск с документацией и ПО. В документации в явном виде не отражен внешний вид и порядок получения ДСДР-диска.
Решение: получить ДСДР-диск у регулятора.
Версия: все.
Причина: публичный ключ сертификата имеет следующий набор параметров:
EA - tc26_gost_3410_2012_256_ParamSetA (1.2.643.7.1.2.1.1.1).
Издание таких сертификатов преждевременно, поскольку большинство действующих сертифицированных средств ЭП на данный момент этот идентификатор не поддерживает.
Решение: переиздать сертификат с параметрами:
A - GostR3410_2001_CryptoPro_A_ParamSet (1.2.643.2.2.35.1).
Версия: 1.0.2.481779.
При проверке подписи с помощью PKI Service часть подписей определяется как невалидная со статусами: «Cтатус сертификата недействителен», «Статус подписи: ошибка». При проверке этих же подписей на сайте Госуслуги (https://www.gosuslugi.ru/pgu/eds) они считаются валидными
Причина: не загружена цепочка сертификации и САС.
Решение: загрузить цепочку сертификатов издателей и САС.
Версия: 1.0.2.481779.
Причина: на основе анализа логов сделан вывод, что РК PKIS была сделана до того, как был создан пользователь PKIS и загружен его сертификат.
Решение: сценарий холодного резервирования не является штатным сценарием, предусмотренным эксплуатационной документацией, рекомендованной корректной схемы реализации такого сценария нет.
Технически достаточно снять актуальные РК HSM и РК PKIS с основного ПАК (так как он работоспособен) и восстановить резервный с их помощью.
Причина: при выполнении перенастройки параметров ТА с дефолтного на оптический интерфейс произошел сбой.
Решение: в условиях эксплуатирующей организации проблема не может быть устранена. Требуется отправка ПАК в СЦ.