Ответы на вопросы о продукте ViPNet PKI Service | «ИнфоТеКС» — разработчик средств защиты информации

Не удается авторизоваться через веб-интерфейс по портам 9443 8443 на ViPNet HSM PKIS

Причина

При выполнении перенастройки параметров ТА с дефолтного на оптический интерфейс произошел сбой.

Решение

В условиях эксплуатирующей организации проблема не может быть устранена. Требуется отправка ПАК в СЦ.

Был ли ответ полезен?
Да: 0 / Нет: 0

Были установлены два ПАК ViPNet PKI Service в конфигурации холодного резерва. Основной ПАК ViPNet PKI Service по невыясненной причине перешел в стартовый режим, было решено восстановить второй ПАК из резервной копии. При восстановлении не удалось авторизоваться АПС и развернуть РК PKIS

Причина

На основе анализа логов сделан вывод, что РК PKIS была сделана до того, как был создан пользователь PKIS и загружен его сертификат.

Решение

Сценарий холодного резервирования не является штатным сценарием, предусмотренным эксплуатационной документацией, рекомендованной корректной схемы реализации такого сценария нет.

Технически достаточно снять актуальные РК HSM и РК PKIS с основного ПАК (так как он работоспособен) и восстановить резервный с их помощью.

Был ли ответ полезен?
Да: 0 / Нет: 0

Задать вопрос

Не удается загрузить сертификат издателя

Причина

Публичный ключ сертификата имеет следующий набор параметров:

EA - tc26_gost_3410_2012_256_ParamSetA (1.2.643.7.1.2.1.1.1).

Издание таких сертификатов преждевременно, поскольку большинство действующих сертифицированных средств ЭП на данный момент этот идентификатор не поддерживает.

Решение

Переиздать сертификат с параметрами:

A - GostR3410_2001_CryptoPro_A_ParamSet (1.2.643.2.2.35.1).

Версия: 1.0.2.481779.

Был ли ответ полезен?
Да: 0 / Нет: 0

Задать вопрос

При попытке обновления ДСДР появляется сообщение «Неизвестная ошибка»

Причина

За диск с материалом ДСДР принят идущий в комплекте поставки диск с документацией и ПО. В документации в явном виде не отражен внешний вид и порядок получения ДСДР-диска.

Решение

Получить ДСДР-диск у регулятора.

Версия: все.

Был ли ответ полезен?
Да: 0 / Нет: 0

Задать вопрос

В процессе настройки ПАК столкнулся с невозможностью назначить сервис PKI сетевому интерфейсу. Сценарий следующий: для управления ПАК (по портам 8080 и 8443) назначается один интерфейс, для прикладного сервиса – другой. Каким образом это реализовать

Был ли ответ полезен?
Да: 0 / Нет: 0

Задать вопрос

Выписываем запрос на сертификат, в назначении ключа автоматом проставляется «Согласование ключей». Для работы с ЕБС необходимы следующие назначения: цифровая подпись, неотрекаемость, шифрование ключей, шифрование данных. Как убрать лишнее назначение

Причина

Веб-интерфейс PKI Service для роли пользователя предназначен для тестовых и демонстрационных целей, возможность корректировать назначение ключа в веб-интерфейсе отсутствует.

Решение

При отправке REST-запроса POST/requests нужно указать явно параметр (через запятую без пробелов)

"keyUsage":"digitalSignature,nonRepudiation,keyEncipherment,dataEncipherment".

Был ли ответ полезен?
Да: 0 / Нет: 0

Задать вопрос

Для создания новых ключей администраторов инициализации можно использовать токен Rutoken S

Решение

Эксплуатационной документацией ПАК ViPNet PKI Service не предусматривается возможность использования каких-либо токенов, отличных от Rutoken Lite.

Версия: все.

Был ли ответ полезен?
Да: 0 / Нет: 0

Задать вопрос

При проведении мероприятий по вводу в эксплуатацию ViPNet PKI Service дошли до шага «Введите лицензию в действие» (стр. 39 Руководства администратора). При подключении к серверу подписи через веб-интерфейс администратором прикладного сервиса загружается зеленая страница, затем появляется окно: «Сообщение с веб-страницы: PKI Service не запущен»

Причина

На основе анализа логов установлено, что возникла проблема с доступом к виртуальному токену.

Решение

ВНИМАНИЕ! В результате выполнения предложенного ниже сценария ключи прикладного сервиса будут удалены, что приведет к невозможности расшифровать ключи пользователей PKI Service, если они есть.

Перевести HSM в сервисный режим работы.
Аутентифицироваться в HSM через веб-интерфейс от имени администратора безопасности (АБ) по порту 8443.
В разделе «Токены» выбрать токен. Выключить токен. Удалить токен.
После данных действий в HSM не должно быть создано ни одного виртуального токена.
Перезагрузить сервер.
После загрузки сервера аутентифицироваться в HSM через веб-интерфейс от имени АБ по порту 8443.
Создать новый виртуальный токен и связать его с существующим АПС.
Будет создан новый виртуальный токен с ID 101. Токен ассоциирован с АПС.
Включить токен.
Перевести HSM в штатный режим работы.
Через 2–5 минут попытаться выполнить аутентификацию в PKI Service от имени администратора прикладного сервиса (АПС) через веб-интерфейс по порту 9443.

Версия: 1.0.1.476237.

Был ли ответ полезен?
Да: 2 / Нет: 0

Задать вопрос

Есть ли возможность импорта ключей и сертификатов из хранилища КриптоПро JCP в PKI Service или все ключи должны непосредственно создаваться на PKIS через запрос на сертификат

Решение

Интересующий сценарий не реализуем. Все ключи должны непосредственно создаваться на PKIS через запрос на сертификат.

Был ли ответ полезен?
Да: 1 / Нет: 0

Задать вопрос

Не происходит сохранение ключей на Рутокен при выполнении процедуры плановой смены ключей администраторов ПАК

Причина

Для взаимодействия с ПАК используются PKI Client 1.3.1.1859 и браузер Mozilla Firefox либо Microsoft Edge.

Решение

ViPNet PKI Client является одним из двух альтернативных СКЗИ, которые могут использоваться на терминале администрирования. Применение PKI Client не влечет за собой расширение перечня браузеров, в которых гарантируется корректная работа веб-интерфейса HSM/PKI Service. Следует использовать браузер Microsoft Internet Explorer.

Версия: PKIS 1.0.3.885.

Был ли ответ полезен?
Да: 0 / Нет: 0

Задать вопрос

Вопросы и ответы

ViPNet PKI Service

Причина

Решение

Причина

Решение

Причина

Решение

Причина

Решение

Причина

Решение

Решение

Причина

Решение

Решение

Причина

Решение