Что делать если не получается зайти на веб интерфейс УЦ на ОС Linux
Опубликовано Илья Харченко on 2024-02-29 12:07
|
|
Проверить запрашивается ли сертификат, при входе на веб интерфейс Если не запрашивается: - Проверить клиентскую машину · Есть ли сетевой доступ к серверу, с помощью telnet · Что установлен браузер с поддержкой ГОСТ ТЛС- Яндекс браузер/Хромиум GOST · Что установлен КриптоПро CSP с действующей лицензией · Что установлен личный сертификат с привязкой к закрытому ключу (https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/259) · Установлены ли корневой и промежуточные сертификаты и строится цепочка доверия на ОС Windows можно проверить в CMD certutil - verify <путь к файлу сертификата> на ОС Linux можно проверить c помошью утилиты certmgr(входит в состав КриптоПРО CSP) /opt/cprocsp/bin/amd64/certmgr -list -cert -f "<путь к файлу сертификата>" -verbose -chain · Можно проверить построение TLS с помошью утилиты csptest "<C:\Program Files\Crypto Pro\CSP\csptest.exe>" -tlsc -server <DNSname> -v -port 443 "<C:\Program Files\Crypto Pro\CSP\csptest.exe>" -tlsc -server <DNSname> -v -port 443 -cert <отпечаток сертификата оператора> - Проверить сервер · Проверить nginx конфиг на корректность Конфиг может распологаться в: /etc/opt/cprocsp/cpnginx/cpnginx.conf /etc/nginx/nginx.conf · Что включен демон nginx sudo systemctl status nginx.service #или cpnginx.service · Что введена лицензия CSP типа TLS сервер /opt/cprocsp/sbin/amd64/cpconfig -license -view · Что нет пароля на ЗК веб сертификата, для этого необходимо протестировать контейнер /opt/cprocsp/bin/amd64/csptestf -keys -check -cont <имя контейнера> · Что в nginx конфиге прописан верный серийный номер веб серфтиката · Что сертификат веб сервера подходит для данного использования · У сертификата есть SAN с верным DNS именем · -В расширенном использовании ключа есть Проверка подлинности сервера
Если запрашивается: · Проверить accses и error лог nginx. (расположение можно посмотреть в конфиге nginx) · Проверить что файлы УЦ лежат в папках, указанных в nginx конфиге. · Проверить что на файлы УЦ есть права у пользователя из под которого запускается nginx. · Проверить ч то в файле "/opt/cpca/CryptoPro.Ra.Web.Ui/init.json" указан верный URL (и порт при надобности) · Проверить что запущен демон/процесс Ra.Web · Смотреть логи сервисов УЦ начиная с Ra.Web · Проверить что сертификат, используемый для входа назначен оператору УЦ · Вывести список операторов можно командой: pkica ra operator list · Просмотреть отпечаток сертификата назначенному конкретному оператору и убедится что он включен можно командой · pkica ra operator get --login <логин оператора> · В выводе обращаем внимание на TlsCert и значение в параметра IsActive | |
|