Ошибка SSL/TLS соединения при добавлении КриптоПро УЦ в Indeed CM
Автор , Last modified by Mariya Vorozhba на 11 февраля 2024 09:55 PM

Продукты: Indeed CM

Затрагиваемые компоненты: -


Описание проблемы: При попытке добавления удостоверяющего центра КриптоПро в политику использования смарт-карт в Indeed CM появляется ошибка “Ошибка при обращении к УЦ: Не удалось установить безопасный канал для SSL/TLS с полномочиями <имя Центра Регистрации>” или “Could not establish secure channel for SSL/TLS with authority <имя Центра Регистрации>”.

 При этом в журнале приложений регистрируется событие:
КриптоПро TLS. Ошибка 0x8010006b при импорте открытого ключа: Нет доступа к карте. Введен неправильный PIN-код.

Причины возникновения:

  • На сервере Indeed CM установлен КриптоПро CSP с уровнем безопасности КС1, и при копировании контейнера закрытого ключа со смарт-карты в хранилище машины был задан PIN-код на копию контейнера переносимого ключа. 
  • Нет прав доступа пула приложений Indeed CM к закрытому ключу сертификата для работы с УЦ КриптоПро.

Варианты решения: 

  • Не задавать PIN-код при создании контейнера закрытого ключа (больше сведений на форуме КриптоПро).

    Для этого необходимо пересоздать контейнер с пустым PIN-кодом и затем повторить попытку добавления КриптоПро УЦ в политику использования смарт-карт Indeed CM либо, при указании пароля, выставить опцию "Запомнить PIN-код".
    В случае использования КриптоПро CSP с уровнями безопасности КС2 и КС3 ошибка не проявляется, но в этом случае необходимо установить опцию "Запомнить PIN-код" (в противном случае его придется вводить каждый раз при обращении сервера Indeed CM к КриптоПро УЦ).

  • Проверить права доступа пула приложений Indeed CM к закрытому ключу сертификата для работы с УЦ КриптоПро и выдать права на Полный доступ и Чтение, если их нет.
    Для этого: 
    • В оснастке Сертификаты (Certificates) компьютера, на котором установлен сервер Indeed CM кликнуть правой кнопкой мыши на сертификате и выбрать Все задачи (All tasks) – Управление закрытыми ключами... (Manage Private Keys...).
    • Нажать Добавить (Add) и указать локальную группу IIS_IUSRS (если используется IIS 7.0) или локальную учетную запись IIS AppPool\IndeedCM (если используется IIS 7.5 и более поздние версии).
    • Выставить права Полный доступ (Full Control) и Чтение (Read).
    • Нажать Применить (Apply).
(2 голос(а))
Эта статья полезна
Эта статья бесполезна

Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: