Ид.

Проблема

Возможная причина

Способы решения

П001

Заблокированы кнопки выпуска сертификатов

Истёк срок действия лицензии или исчерпан лимит доступных для выпуска сертификатов

Проверьте в окне «О программе» срок действия лицензии и количество доступных для выпуска сертификатов (см. раздел 3.1)

П002

Прекращение установки или обновление ПО

1. Нехватка аппаратных ресурсов

Произведите оценку ресурса вашего ПК в соответствии с требованием к аппаратным ресурсам, указанным в первой части Руководства администратора

2. Не корректная установка или отсутствие программного компонента, указанного в требовании

Проверьте наличие установленного ПО согласно разделу 3 Руководства администратора RU.АЛДЕ.03‑01.020‑01 32 01-1.

Также проверьте и при необходимости переключите текущую версию java‑компонентов, выполнив команды:

sudo update‑alternatives ‑‑config java
 
sudo update‑alternatives ‑‑config javaс
 
sudo update‑alternatives ‑‑config javap

П003

Нет подключения к ресурсной системе

1. Включен протокол TLS

Измените настройку конфигурационного файла контроллера домена /etc/samba/smb.conf, добавив в раздел [global]:

ldap server require strong auth = no

2. Проверить подключение к контроллеру домена Samba

Проверьте подключение к контроллеру домена, используя инструмент ldapsearch:

‑ получение списка пользователей

ldapsearch ‑D "Administrator@pki‑test.local" ‑w "Qwerty1234" ‑b "DC=pki‑test,DC=local" ‑H "ldap://192.168.111.148" "(objectCategory=user)"

‑ получение списка компьютеров

ldapsearch ‑D "Administrator@pki‑test.local" ‑w "Qwerty1234" ‑b "DC=pki‑test,DC=local" ‑H "ldap://192.168.111.148" "(objectCategory=computer)"

‑ получение списка групп безопасности

ldapsearch ‑D "Administrator@pki‑test.local" ‑w "Qwerty1234" ‑b "DC=pki‑test,DC= pki‑test " ‑H "ldap://192.168.111.148" "(objectCategory=group)"

где:

Administrator@pki‑test.local – имя администратора домена;

Qwerty1234 – пароль администратора домена;

pki‑test, pki‑test – доменное имя;

192.168.111.148 – IP‑адрес контроллера домена.

В ответ на запрос вы должны получить список объектов, чтобы убедиться, что установлено соединение с LDAP‑сервером и он отвечает на запросы.

3. Проверить подключение к контроллеру домена ALD PRO

Проверьте подключение к контроллеру домена, используя инструмент ldapsearch:

‑ получение списка пользователей

ldapsearch ‑D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" ‑w "Qwerty1234" ‑b "dc=domain,dc=local" ‑H "ldap://192.168.0.10" "(objectclass=x‑ald‑user)"

‑ получение списка компьютеров

ldapsearch ‑D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" ‑w "Qwerty1234" ‑b "dc=domain,dc=local" ‑H "ldap://192.168.0.10" "(objectclass=nshost)"

‑ получение списка групп безопасности

ldapsearch ‑D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" ‑w "Qwerty1234" ‑b "dc=domain,dc=local" ‑H "ldap://192.168.0.10" "(objectclass=ipausergroup)"

где:

users, accounts

Qwerty1234 – пароль администратора домена;

domain, local – доменное имя;

192.168.111.148 – ip‑адрес контроллера домена.

В ответ на запрос вы должны получить список объектов, чтобы убедиться, что установлено соединение с ldap‑сервером и он отвечает на запросы.

П004

Вход в интерфейс ЦС с выпущенным сертификатом невозможен в веб-браузере Chromium

Веб-браузер Chromium не поддерживает сертификаты с алгоритмом шифрования ECDSA512

Использовать другой веб-браузер

П005

Вход в интерфейс ЦС невозможен в веб-браузере Firefox.

Ошибка SEC_ERROR_BAD_SIGNATURE

Проблема возникает при наличии в хранилище сертификатов ОС сертификата ЦС с аналогичным SDN издателю сертификата веб‑сервера.

Она связана с алгоритмом проверки сертификата веб‑сервера веб-браузером Firefox для решения уязвимости, связанной с подлогом серверного сертификата:

1. Firefox получает сертификат веб‑сервера от сервера

2. После этого выполняет поиск в хранилище сертификатов ОС сертификата ЦС по SDN издателя сертификата

3. И далее выполняет проверку цепочки по открытым ключам

1. Проверьте состав сертификатов доверенных ЦС в хранилище ОС

2. В случае несоответствия установите сертификат издателя сертификата веб‑сервера

П006

Вход в интерфейс ЦС невозможен.

Ошибка 500

Удалён сертификат технологического ЦС

Проверить файл opt/aeca/p12/truststore.jks на предмет содержания записи о сертификате технологического ЦС, созданного при установке ПО Aladdin еСА.

Запись о сертификате технологического ЦС следующего вида:

keytool ‑import ‑alias managementca ‑file cert.pem ‑keystore ./truststore.jks

где cert.pem – сертификат технологического ЦС, может быть получен в результате конвертации контейнера PKCS#12 opt/aeca/p12/superadmin.p12 :

openssl pkcs12 ‑in superadmin.p12 ‑out cert.pem ‑nodes ‑clcerts

Пароль контейнера сертификата технологического ЦС указан в файле /opt/aeca/generated_passwords.txt

П007

Невозможно подключиться к токену для выпуска сертификата после установки JC‑WebClient. Сообщение «ПО JCWebClient не установлено»

Требуется разрешить ПО JC‑WebClient доступ к ресурсу

1. В адресную строку веб-браузера введите:

https://localhost:24738/admin/token_manager.html

2. Во всплывающем окне предупреждения веб-браузера подтвердите действия.

П008

Пустой файл шаблонов по завершению работы скрипта mscs2aeca.ps1экспорта шаблонов MSCS

Требуется настройка tls

Откройте Powershell от имени администратора и задайте версию протокола безопасности, выполнив команду:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

П009

Невозможно применить выпущенный ЦС сертификат в ОС Windows (в частности, WinServer2012/2016)

Сертификат доступа сгенерирован с использованием алгоритма хеширования sha256, и операционная система   Windows не поддерживает данный алгоритм

Конвертируйте сертификат, сгенерированный с использованием алгоритма хеширования sha256, в формате .p12 в формат .pem с помощью openssl:

openssl pkcs12 ‑in <имя контейнера>.p12 ‑out <имя декодированного файла>.pem
 
openssl pkcs12 ‑keypbe PBE‑SHA1‑3DES ‑certpbe PBE‑SHA1‑3DES ‑export ‑in <имя декодированного файла>.pem ‑out <имя контейнера>.p12

П010

Ошибка

Cannot read properties of undefined (reading `data`)

Установленное ранее ssl соединение недействительно. Возникает, если в момент обновления сертификата веб‑сервера было открыто несколько вкладок, либо был перезапущен (по каким‑либо причинам) веб‑сервер

Перезагрузите страницу веб-браузера

П011

Ошибка запроса к стороннему сервису. …

Ошибка подключения к Центру сертификации по протоколу https

Выполните настройку безопасного соединения согласно разделу 5 «Безопасность соединения» настоящего руководства

П012

Не удается выполнить авторизацию при ресурсной системе ALD PRO/FreeIPA.

Сообщение: «Не удалось проверить цепочку сертификатов»

Клиент вводился в домен до обновления конфигурации сертификатов домена

На клиенте выполнить команды:

sudo kinit <администратор домена>
 
sudo ipa‑certupdate

И повторить попытку авторизации.

П013

Периодическая остановка

или падение службы

aecaca.service

Недостаток оперативной памяти на хосте

1. Проверьте потребление оперативной памяти на хосте с помощью команды top:

‑ в MiB Mem значение total – это общий объем оперативной памяти;

‑ в MiB Mem значение free – это свободная оперативная память;

‑ в строке таблицы USER=aeca значение в колонке RES – это потребляемая ЦС оперативная память.

Для корректной работы ЦС сумма free и RES должна быть не менее 10 Гб[1].

2. Если полученное значение меньше 10 Гб, то при исчерпании свободной оперативной памяти oom‑killer останавливает ЦС.

В данном случае рекомендуется проанализировать состав стороннего ПО на хосте и его потребление памяти, например, с помощью команд top или htop.

3. После этого следует либо добавить необходимое количество оперативной памяти, либо удалить с хоста стороннее ПО, освободив этим оперативную память.


[1] Браузер Требования к аппаратному обеспечению см. в разделе 2.2 Руководства администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority.