Ид. | Проблема | Возможная причина | Способы решения |
|---|---|---|---|
П001 | Заблокированы кнопки выпуска сертификатов | Истёк срок действия лицензии или исчерпан лимит доступных для выпуска сертификатов | Проверьте в окне «О программе» срок действия лицензии и количество доступных для выпуска сертификатов (см. раздел 3.1) |
П002 | Прекращение установки или обновление ПО | 1. Нехватка аппаратных ресурсов | Произведите оценку ресурса вашего ПК в соответствии с требованием к аппаратным ресурсам, указанным в первой части Руководства администратора |
2. Не корректная установка или отсутствие программного компонента, указанного в требовании | Проверьте наличие установленного ПО согласно разделу 3 Руководства администратора RU.АЛДЕ.03‑01.020‑01 32 01-1. Также проверьте и при необходимости переключите текущую версию java‑компонентов, выполнив команды: sudo update‑alternatives ‑‑config javasudo update‑alternatives ‑‑config javaсsudo update‑alternatives ‑‑config javap | ||
П003 | Нет подключения к ресурсной системе | 1. Включен протокол TLS | Измените настройку конфигурационного файла контроллера домена /etc/samba/smb.conf, добавив в раздел [global]: ldap server require strong auth = no |
2. Проверить подключение к контроллеру домена Samba | Проверьте подключение к контроллеру домена, используя инструмент ldapsearch: ‑ получение списка пользователей ldapsearch ‑D "Administrator@pki‑test.local" ‑w "Qwerty1234" ‑b "DC=pki‑test,DC=local" ‑H "ldap://192.168.111.148" "(objectCategory=user)"‑ получение списка компьютеров ldapsearch ‑D "Administrator@pki‑test.local" ‑w "Qwerty1234" ‑b "DC=pki‑test,DC=local" ‑H "ldap://192.168.111.148" "(objectCategory=computer)"‑ получение списка групп безопасности ldapsearch ‑D "Administrator@pki‑test.local" ‑w "Qwerty1234" ‑b "DC=pki‑test,DC= pki‑test " ‑H "ldap://192.168.111.148" "(objectCategory=group)"где: Administrator@pki‑test.local – имя администратора домена; Qwerty1234 – пароль администратора домена; pki‑test, pki‑test – доменное имя; 192.168.111.148 – IP‑адрес контроллера домена. В ответ на запрос вы должны получить список объектов, чтобы убедиться, что установлено соединение с LDAP‑сервером и он отвечает на запросы. | ||
3. Проверить подключение к контроллеру домена ALD PRO | Проверьте подключение к контроллеру домена, используя инструмент ldapsearch: ‑ получение списка пользователей ldapsearch ‑D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" ‑w "Qwerty1234" ‑b "dc=domain,dc=local" ‑H "ldap://192.168.0.10" "(objectclass=x‑ald‑user)"‑ получение списка компьютеров ldapsearch ‑D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" ‑w "Qwerty1234" ‑b "dc=domain,dc=local" ‑H "ldap://192.168.0.10" "(objectclass=nshost)"‑ получение списка групп безопасности ldapsearch ‑D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" ‑w "Qwerty1234" ‑b "dc=domain,dc=local" ‑H "ldap://192.168.0.10" "(objectclass=ipausergroup)"где: users, accounts Qwerty1234 – пароль администратора домена; domain, local – доменное имя; 192.168.111.148 – ip‑адрес контроллера домена. В ответ на запрос вы должны получить список объектов, чтобы убедиться, что установлено соединение с ldap‑сервером и он отвечает на запросы. | ||
П004 | Вход в интерфейс ЦС с выпущенным сертификатом невозможен в веб-браузере Chromium | Веб-браузер Chromium не поддерживает сертификаты с алгоритмом шифрования ECDSA512 | Использовать другой веб-браузер |
П005 | Вход в интерфейс ЦС невозможен в веб-браузере Firefox. Ошибка SEC_ERROR_BAD_SIGNATURE | Проблема возникает при наличии в хранилище сертификатов ОС сертификата ЦС с аналогичным SDN издателю сертификата веб‑сервера. Она связана с алгоритмом проверки сертификата веб‑сервера веб-браузером Firefox для решения уязвимости, связанной с подлогом серверного сертификата: 1. Firefox получает сертификат веб‑сервера от сервера 2. После этого выполняет поиск в хранилище сертификатов ОС сертификата ЦС по SDN издателя сертификата 3. И далее выполняет проверку цепочки по открытым ключам | 1. Проверьте состав сертификатов доверенных ЦС в хранилище ОС 2. В случае несоответствия установите сертификат издателя сертификата веб‑сервера |
П006 | Вход в интерфейс ЦС невозможен. Ошибка 500 | Удалён сертификат технологического ЦС | Проверить файл opt/aeca/p12/truststore.jks на предмет содержания записи о сертификате технологического ЦС, созданного при установке ПО Aladdin еСА. Запись о сертификате технологического ЦС следующего вида: keytool ‑import ‑alias managementca ‑file cert.pem ‑keystore ./truststore.jksгде cert.pem – сертификат технологического ЦС, может быть получен в результате конвертации контейнера PKCS#12 opt/aeca/p12/superadmin.p12 : openssl pkcs12 ‑in superadmin.p12 ‑out cert.pem ‑nodes ‑clcertsПароль контейнера сертификата технологического ЦС указан в файле /opt/aeca/generated_passwords.txt |
П007 | Невозможно подключиться к токену для выпуска сертификата после установки JC‑WebClient. Сообщение «ПО JCWebClient не установлено» | Требуется разрешить ПО JC‑WebClient доступ к ресурсу | 1. В адресную строку веб-браузера введите: https://localhost:24738/admin/token_manager.html 2. Во всплывающем окне предупреждения веб-браузера подтвердите действия. |
П008 | Пустой файл шаблонов по завершению работы скрипта mscs2aeca.ps1экспорта шаблонов MSCS | Требуется настройка tls | Откройте Powershell от имени администратора и задайте версию протокола безопасности, выполнив команду: [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 |
П009 | Невозможно применить выпущенный ЦС сертификат в ОС Windows (в частности, WinServer2012/2016) | Сертификат доступа сгенерирован с использованием алгоритма хеширования sha256, и операционная система Windows не поддерживает данный алгоритм | Конвертируйте сертификат, сгенерированный с использованием алгоритма хеширования sha256, в формате .p12 в формат .pem с помощью openssl: openssl pkcs12 ‑in <имя контейнера>.p12 ‑out <имя декодированного файла>.pemopenssl pkcs12 ‑keypbe PBE‑SHA1‑3DES ‑certpbe PBE‑SHA1‑3DES ‑export ‑in <имя декодированного файла>.pem ‑out <имя контейнера>.p12 |
П010 | Ошибка Cannot read properties of undefined (reading `data`) | Установленное ранее ssl соединение недействительно. Возникает, если в момент обновления сертификата веб‑сервера было открыто несколько вкладок, либо был перезапущен (по каким‑либо причинам) веб‑сервер | Перезагрузите страницу веб-браузера |
П011 | Ошибка запроса к стороннему сервису. … | Ошибка подключения к Центру сертификации по протоколу https | Выполните настройку безопасного соединения согласно разделу 5 «Безопасность соединения» настоящего руководства |
П012 | Не удается выполнить авторизацию при ресурсной системе ALD PRO/FreeIPA. Сообщение: «Не удалось проверить цепочку сертификатов» | Клиент вводился в домен до обновления конфигурации сертификатов домена | На клиенте выполнить команды: sudo kinit <администратор домена>sudo ipa‑certupdateИ повторить попытку авторизации. |
П013 | Периодическая остановка или падение службы aecaca.service | Недостаток оперативной памяти на хосте | 1. Проверьте потребление оперативной памяти на хосте с помощью команды top: ‑ в MiB Mem значение total – это общий объем оперативной памяти; ‑ в MiB Mem значение free – это свободная оперативная память; ‑ в строке таблицы USER=aeca значение в колонке RES – это потребляемая ЦС оперативная память. Для корректной работы ЦС сумма free и RES должна быть не менее 10 Гб[1]. 2. Если полученное значение меньше 10 Гб, то при исчерпании свободной оперативной памяти oom‑killer останавливает ЦС. В данном случае рекомендуется проанализировать состав стороннего ПО на хосте и его потребление памяти, например, с помощью команд top или htop. 3. После этого следует либо добавить необходимое количество оперативной памяти, либо удалить с хоста стороннее ПО, освободив этим оперативную память. |
[1] Браузер Требования к аппаратному обеспечению см. в разделе 2.2 Руководства администратора. Часть 1. Установка и обслуживание Центра сертификации Aladdin Enterprise Certification Authority.