ЗМІНИ В ОНОВЛЕННІ 10.01.201

[priup]

Поиск на сайте http://uakey.com.ua не дал результатов, и по нашей компании нет такого номера сертифката из всех найденных.
Вывод - сертификат не относится к нашей компании и никогда не выдавался.
Может есть еще магический(ресурс) способ для поиска?

У организации с ЕДРПОУ 35877773 ( скрин Ваш) есть ....надцать комплектов действующих сертификатов и других АЦСК ( в частности ДФС http://acskidd.gov.ua/ )................
не известно сколько не действующих........

[somm]

somm
Вышлите, пожалуйста, в ЛС пример одного из файлов имя которого указано в сообщении.

Отправлено...

[olgaVM]

Нет! Просто надо адекватно пользоваться программой!

Если б я так заявлял каждому своему "накосячившему" клиенту, то остался бы без денег.

А делать лишнюю (извиняюсь за прямоту - защиту от дураков) кнопку настройки необязательно!

Защита "от дурака" лишней НИКОГДА не бывает.
"Делать необязательно" - это Ваше личное мнение. И хорошо, что оно далеко не всегда совпадает с мнением разработчиков. Иначе, например, до сих пор можно было бы безвозвратно удалять отчеты, к которым получены квитанции.

+1

[artem1y]

Прокси и ограничений нет.
Пробовал, после отката, вручную обновить со скаченного апдейта, та же ситуация.

В момент запуска службы выполняется проверка действительности сертификата безопасности которым подписаны системные библиотеки:
www.globalsign.com
В случае использования прокси, или других политик безопасности, по которым системная учетная запись от которой запущена служба не может получить доступ для проверки сертификата, может возникать ошибка запуска 1053.
Если необходимо запускать службу от системной учетной записи необходимо:
1) при использовании прокси дать разрешения для system к www.globalsign.com
2) в управлении политикой проверки отзыва для сертификатов указать параметры получения данных подтверждения по сети. В консоли ввести gpedit.msc - « Политика локального компьютера» - «Конфигурация компьютера» - «Параметры Windows» - «Параметры безопасности» выберите « Политики открытого ключа» - вкладка "Получение по сети" и поставить признак "Определить параметры политики", остальные отметки можно снять.

| Показать

Снимок121.JPG

Данная инструкция помогла запустить службу от системной учетной записи. Спасибо.

Для проверки сертификата необходим доступ к crl.globalsign.com (у которого 2 IP-адреса "светится" - 104.18.54.167, 104.18.55.167). Вопрос, почему Геннадий указал адрес www.globalsign.com

[Белокопытов Геннадий]

artem1y
Для точечной настройки доступ обязательно должен быть к crl.globalsign.com списку отозванных или заблокированных сертификатов.
На практике проверено, достаточно доступа к ресурсу globalsign.com, IP 198.41.214.154.

[Колпаков Б.И.]

Белокопытов Геннадий
А если на этот сайт нет доступа даже через браузер из-за политик безопасности https ?
Достаточно ли будет просто импорта сертификатов и есть ли какие то особенности для Windows 2003 serv?
Так же какие обновления безопасности должны обязательно быть установлены в связи с проверкой сертификатов?

[Белокопытов Геннадий]

Колпаков Б.И.
Проверка цифровых подписей выполняется непосредственно операционной системой.
Вариант загрузки сертификатов в систему вручную применим, если нет другой ограничивающей политики. Тут вопрос уже более к администраторам систем, а ресурс для проверки валидности сертификата, к которому нужен доступ, указывался в предыдущих ответах.
Для Windows server 2003 достаточно установить сертификаты с автоматическим выбором хранилища. Если используются дополнительные политики, потребуется в свойствах установленных сертификатов указать разрешения на все назначения для этого сертификата, пункт "Разрешить все назначения для этого сертификата" или выборочно указать "Разрешить только следующие назначения".
На счет обновлений ОС конечно же желательно иметь все установленные актуальные обновления, которые содержат эти корневые сертификаты.

[Колпаков Б.И.]

Колпаков Б.И. .... На счет обновлений ОС конечно же желательно иметь все установленные актуальные обновления, которые содержат эти корневые сертификаты.

Спасибо за расширенный ответ.
А какие именно обновления ОС, которые содержат эти корневые сертификаты?

[Angry]

Черт дернул под руку обновиться на 201...что называется "ОГРОМНОЕ спасибо", сейчас программа не работает, разбираемся с ситуацией! (Windows 2012 R2 находится в другом городе на виртуалке, запуск службы ZvitGrp происходит под system.). После обновления ошибка "Ошибка 1053: Служба не ответила на запрос своевременно." Попросил админа дернуть сеть и перегрузить сервер. Служба запустилась, но клиент не может соединиться из-за ошибки соединения (пробовал на сервере где установлен сетевой медок и на удаленном ПК). Можно это как-то исправить в следующем обновлении? Тем более что служба ZvitGrp на 2012 сервере бывает сама по себе иногда останавливается... только не говорите что придется каждый раз дергать сетевой интерфейс для запуска, там работают еще другие сетевые программы. Или это надо обязательно менять политики безопасности на сервере?

[Колпаков Б.И.]

Angry
По серверу:

В момент запуска службы выполняется проверка действительности сертификата безопасности которым подписаны системные библиотеки:
www.globalsign.com
В случае использования прокси, или других политик безопасности, по которым системная учетная запись от которой запущена служба не может получить доступ для проверки сертификата, может возникать ошибка запуска 1053.
Если необходимо запускать службу от системной учетной записи необходимо:
1) при использовании прокси дать разрешения для system к www.globalsign.com
2) в управлении политикой проверки отзыва для сертификатов указать параметры получения данных подтверждения по сети. В консоли ввести gpedit.msc - « Политика локального компьютера» - «Конфигурация компьютера» - «Параметры Windows» - «Параметры безопасности» выберите « Политики открытого ключа» - вкладка "Получение по сети" и поставить признак "Определить параметры политики", остальные отметки можно снять.

| Показать

Снимок121.JPG

Так же расскажите из-за чего не запускается станция - какая ошибка?

[Бджілка_К]

Добрий день! Додаток до Критеріїв - J/F 1322302. Згідно змін до Критеріїв
Для всех плательщиков НДС. Судя из обновленного п. 3 Критериев, Таблицу можно будет теперь подать на рассмотрение комиссии ГФСУ заранее — до осуществления операции, т. е. до фактической блокировки налоговых накладных. .....
Вместе с Таблицей нужно еще подать пояснения, в которых указывается специфика хозяйственной деятельности, имеющая неизменный характер.
Как сформировать J/F 1360102 (Документ довільного формату..), чтобы он был создан в пакете с Додатком до критериев J/F 1322302?
На горячей линии - говорят - подавать Таблицу необходимо с поясненнями. В Кабинете - при создании J/F 1322302 - автоматически формируется Документ довильного формату, как додаток. Уже нормально сохраняется. И отправляется.

Как в Медке создать это реализовать?

[Angry]

Так же расскажите из-за чего не запускается станция - какая ошибка?

Screen1.jpg (62.11 Кіб) Переглянуто 4794 разів

Screen2.jpg (25.52 Кіб) Переглянуто 4794 разів

Почему для работоспособности программы мы должны давать какие-то дополнительные разрешения при использовании прокси и менять политики безопасности сервера если до этого все нормально работало! Что-то подозрительно

[Колпаков Б.И.]

Почему для работоспособности программы мы должны давать какие-то дополнительные разрешения при использовании прокси и менять политики безопасности сервера если до этого все нормально работало! Что-то подозрительно

Angry
Ответ на Ваш вопрос:

В момент запуска службы выполняется проверка действительности сертификата безопасности которым подписаны системные библиотеки:
www.globalsign.com
В случае использования прокси, или других политик безопасности, по которым системная учетная запись от которой запущена служба не может получить доступ для проверки сертификата, может возникать ошибка запуска 1053.
Если необходимо запускать службу от системной учетной записи необходимо:
1) при использовании прокси дать разрешения для system к www.globalsign.com
2) в управлении политикой проверки отзыва для сертификатов указать параметры получения данных подтверждения по сети. В консоли ввести gpedit.msc - « Политика локального компьютера» - «Конфигурация компьютера» - «Параметры Windows» - «Параметры безопасности» выберите « Политики открытого ключа» - вкладка "Получение по сети" и поставить признак "Определить параметры политики", остальные отметки можно снять.

| Показать

Снимок121.JPG

По поводу станции: проверьте доступность порта и IP сервера со станции.

[Kusaka]

"Тестовый контур" из 2-х серверов (2012 r2; кругом-бигом, около 60-ти предприятий) обновлен од 201-й версии. Все прочие - до 199.
После обновления до 201-й версии моментально начинаются проблемы с запуском службы zvitgrp. При попытке запуска имею "Ошибка 1053: Служба не ответила на запрос своевременно." Что странно, если отключить сетевой интерфейс, служба запускается.
После неоднократных обращений получаю два набора сертификатов, после установки которых проблема с запуском службы сохраняется. На серверах используется проксирование, доступ к сайтам globalsign и cert.globalsign (через проксю) открыт, однако мониторинг прокси в течении 1,5-ра суток не выявил ни одного обращения в этом направлении.
Каждую ночь, планировщиком ОС, настроена остановка служб и процессов программы «M.E.Doc» с последующим запуском резервным копированием.
Далее привожу хронологию которая которая становится все более странной день ото дня:
6.11 – утро. Ручное обновление программы. Проблемы с запуском служб, решение вопроса, способом описанным ранее. Установка сертификатов. Запуск мониторинга обращений к globalsign-у
7.11 – регламентные задания (остановка/запуск служб) проходят в штатном режиме.
8.11 – регламентные задания (остановка) проходят в штатном режиме, однако запуск служб не производится автоматически. Вопрос решается способом указанным ранее. Завершение мониторинга прокси-сервера на предмет обращений к сайту globalsign. Обращений не выявленно.
9.11 - регламентные задания (остановка) проходят в штатном режиме, однако запуск служб не производится автоматически. К проблемам добавляется еще и потеря «тестовыми» серверами сети.
10.11 - будет завтра. Что же добавится? Коллеги уже начинают делать ставки.
Ситуация повторяется в случае «чистой» установки дистрибутива 194-й версии и обновлением его до 201-й версии на win 7 x 64.
А теперь чисто человеческий вопрос:
СКОЛЬКО ЕЩЕ БУДУТ «КЛЕПАТЬСЯ» ЭТ И НЕПРОВЕРЕННЫЕ ПОДЕЛЬЯ ?!?
У Вас истек комодовский сертификат или же таки нужно было быстро-решительно нужно было избавится от «засвеченного», зарегистрированного на известно куда?
Запуск службы от системной учетной записи? А почему, тогда, не от Enterprise Admin-a? А то доменный – это уже, видимо, как-то мелко…

[Белокопытов Геннадий]

Kusaka
Как уже сообщали в сообщениях выше этой темы, в момент запуска службы ZvitGrp операционной системой выполняется
проверка действительности сертификата которым подписаны системные библиотеки, на международном ресурсе www.globalsign.com (cert.globalsign.com).
Так как служба ZvitGrp может быть запущена от имени системной учетной записи (LOCAL SERVICE), которая по требованиям политики
безопасности может не иметь доступа к указанному ресурсу, в момент попытки проверки подписей ОС возвращает код ошибки 1053.
В таком случаем рекомендуем Вам выполнить запуск службы от имени учетной записи NETWORK SERVICE, либо разрешить необходимые
подключения для LOCAL SERVICE.
Если необходимо запускать службу от системной учетной записи, для проверки ОС сертификатов выданных международным сертификационным центром необходимо :
1) при использовании прокси дать разрешения для учетной записи к cert.globalsign.com (www.globalsign.com);
2) в управлении политикой проверки отзыва для сертификатов указать параметры получения данных подтверждения по сети.
В консоли ввести gpedit.msc - «Политика локального компьютера» - «Конфигурация компьютера» - «Параметры Windows» - «Параметры безопасности» выберите «Политики открытого ключа» - вкладка "Получение по сети" и поставить признак "Определить параметры политики", остальные отметки можно снять.

[wp2]

А у меня уже сколько всё работало, пока я не перезагрузил сервер (win2003).
Установка запуска от Network Service не помогла.

gpedit.msc - «Политика локального компьютера» - «Конфигурация компьютера» - «Параметры Windows» - «Параметры безопасности» выберите «Политики открытого ключа»

там у меня вообще пусто.

Помогло выключением сетевой платы. Подумываю, может, наоборот надо запретить этот globalsign.com чтобы думало, что нет сети (ну, или что-то другое запретить).

[Белокопытов Геннадий]

wp2

Для Windows server 2003 достаточно установить сертификаты с автоматическим выбором хранилища. Если используются дополнительные политики, потребуется в свойствах установленных сертификатов указать разрешения на все назначения для этого сертификата, пункт "Разрешить все назначения для этого сертификата" или выборочно указать "Разрешить только следующие назначения".

[Angry]

Как уже сообщали в сообщениях выше этой темы, в момент запуска службы ZvitGrp операционной системой выполняется
проверка действительности сертификата которым подписаны системные библиотеки, на международном ресурсе www.globalsign.com

Можно как-то сделать включение/выключение этой обязательной проверки опционально по выбору администратора?

[Белокопытов Геннадий]

Как уже сообщали в сообщениях выше этой темы, в момент запуска службы ZvitGrp операционной системой выполняется
проверка действительности сертификата которым подписаны системные библиотеки, на международном ресурсе www.globalsign.com

Можно как-то сделать включение/выключение этой обязательной проверки опционально по выбору администратора?

Это можно сделать только средствами администрирования политик операционной системы

[Kusaka]

2) в управлении политикой проверки отзыва для сертификатов указать параметры получения данных подтверждения по сети. В консоли ввести gpedit.msc - « Политика локального компьютера» - «Конфигурация компьютера» - «Параметры Windows» - «Параметры безопасности» выберите « Политики открытого ключа» - вкладка "Получение по сети" и поставить признак "Определить параметры политики", остальные отметки можно снять.

Подскажите пожалуйста, из какой-именно(точно) ОС взят этот путь?
Спрашиваю оттого, что ни в 2012 r2 ни в win7 x64 во вкладке "Политики открытого ключа" нет описанных Вами последующих пунктов.

Белокопытов Геннадий » Вчера, 17:00

Angry писал(а): ↑
Вчера, 16:14

Белокопытов Геннадий писал(а): ↑
Вчера, 14:13
Как уже сообщали в сообщениях выше этой темы, в момент запуска службы ZvitGrp операционной системой выполняется
проверка действительности сертификата которым подписаны системные библиотеки, на международном ресурсе www.globalsign.com

Можно как-то сделать включение/выключение этой обязательной проверки опционально по выбору администратора?

Это можно сделать только средствами администрирования политик операционной системы

Хочу уточнить: зачем было делать это именно так?
Насколько помню, для компьютера локальные политики всегда имеют приоритет в сравнении с доменными, к слову, вспомнится ли через , скажем, месяца 3, где именно вносились изменения в локальные политики?