Вопросы и ответы
ViPNet PKI Service
Причина
При выполнении перенастройки параметров ТА с дефолтного на оптический интерфейс произошел сбой.
Решение
В условиях эксплуатирующей организации проблема не может быть устранена. Требуется отправка ПАК в СЦ.
Был ли ответ полезен?
Да: 0
/
Нет: 0
Причина
На основе анализа логов сделан вывод, что РК PKIS была сделана до того, как был создан пользователь PKIS и загружен его сертификат.
Решение
Сценарий холодного резервирования не является штатным сценарием, предусмотренным эксплуатационной документацией, рекомендованной корректной схемы реализации такого сценария нет.
Технически достаточно снять актуальные РК HSM и РК PKIS с основного ПАК (так как он работоспособен) и восстановить резервный с их помощью.
Был ли ответ полезен?
Да: 0
/
Нет: 0
Причина
Публичный ключ сертификата имеет следующий набор параметров:
EA - tc26_gost_3410_2012_256_ParamSetA (1.2.643.7.1.2.1.1.1).
Издание таких сертификатов преждевременно, поскольку большинство действующих сертифицированных средств ЭП на данный момент этот идентификатор не поддерживает.
Решение
Переиздать сертификат с параметрами:
A - GostR3410_2001_CryptoPro_A_ParamSet (1.2.643.2.2.35.1).
Версия: 1.0.2.481779.
Был ли ответ полезен?
Да: 0
/
Нет: 0
Причина
За диск с материалом ДСДР принят идущий в комплекте поставки диск с документацией и ПО. В документации в явном виде не отражен внешний вид и порядок получения ДСДР-диска.
Решение
Получить ДСДР-диск у регулятора.
Версия: все.
Был ли ответ полезен?
Да: 0
/
Нет: 0
В процессе настройки ПАК столкнулся с невозможностью назначить сервис PKI сетевому интерфейсу. Сценарий следующий: для управления ПАК (по портам 8080 и 8443) назначается один интерфейс, для прикладного сервиса – другой. Каким образом это реализовать
Был ли ответ полезен?
Да: 0
/
Нет: 0
Причина
Веб-интерфейс PKI Service для роли пользователя предназначен для тестовых и демонстрационных целей, возможность корректировать назначение ключа в веб-интерфейсе отсутствует.
Решение
При отправке REST-запроса POST/requests нужно указать явно параметр (через запятую без пробелов)
"keyUsage":"digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment".
Был ли ответ полезен?
Да: 0
/
Нет: 1
Решение
Эксплуатационной документацией ПАК ViPNet PKI Service не предусматривается возможность использования каких-либо токенов, отличных от Rutoken Lite.
Версия: все.
Был ли ответ полезен?
Да: 0
/
Нет: 0
Причина
На основе анализа логов установлено, что возникла проблема с доступом к виртуальному токену.
Решение
ВНИМАНИЕ! В результате выполнения предложенного ниже сценария ключи прикладного сервиса будут удалены, что приведет к невозможности расшифровать ключи пользователей PKI Service, если они есть.
- Перевести HSM в сервисный режим работы.
- Аутентифицироваться в HSM через веб-интерфейс от имени администратора безопасности (АБ) по порту 8443.
- В разделе «Токены» выбрать токен. Выключить токен. Удалить токен.
- После данных действий в HSM не должно быть создано ни одного виртуального токена.
- Перезагрузить сервер.
- После загрузки сервера аутентифицироваться в HSM через веб-интерфейс от имени АБ по порту 8443.
- Создать новый виртуальный токен и связать его с существующим АПС.
- Будет создан новый виртуальный токен с ID 101. Токен ассоциирован с АПС.
- Включить токен.
- Перевести HSM в штатный режим работы.
- Через 2–5 минут попытаться выполнить аутентификацию в PKI Service от имени администратора прикладного сервиса (АПС) через веб-интерфейс по порту 9443.
Версия: 1.0.1.476237.
Был ли ответ полезен?
Да: 2
/
Нет: 0
Решение
Интересующий сценарий не реализуем. Все ключи должны непосредственно создаваться на PKIS через запрос на сертификат.
Был ли ответ полезен?
Да: 1
/
Нет: 0
Причина
Для взаимодействия с ПАК используются PKI Client 1.3.1.1859 и браузер Mozilla Firefox либо Microsoft Edge.
Решение
ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования. Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.
Версия: PKIS 1.0.3.885.
Был ли ответ полезен?
Да: 0
/
Нет: 0