###
  • Програми
  • Безпека
  • Новини
  • Цікаве
  • Поради
  • Новини
  • Огляди

    • Як уникнути помилок при надсиланні межових та технічних планів каналами прямої взаємодії з програм серії «Полігон. Неможливо створити захищений канал ssl tls Неможливо створити ssl з'єднання

    08.04.2020 Програми

    У мене є веб-сервіс, який я зареєстрував через "додати посилання на службу", для якої потрібний HTTPS та сертифікат. Нижче наведено мій код для створення екземпляра мого сервісу:

    Service = new MyReferencedWebService(); X509Certificate2 cert = new X509Certificate2(); var stream = Assembly.GetExecutingAssembly().GetManifestResourceStream("Mycert.cer"); var bytes=new byte; stream.Read(bytes, 0, bytes.Length); cert.Import(bytes, MYPASSWORD, X509KeyStorageFlags.DefaultKeySet); service.ClientCredentials.ClientCertificate.Certificate = cert;

    і моя конфігурація виглядає так:

    Якщо я створюю простий winforms.exe і використовую вказаний вище код, я отримую відповідь від свого веб-сервісу. Однак, якщо я ставлю цей код у ASP.NET, я отримую наступне:

    Запит було перервано: не вдалося створити безпечний канал SSL/TLS.

    Як це зробити у ASP.NET?

    EDIT:Я мушу додати. Клієнтський сертифікат, який я використовую, прив'язаний до смарт-картки та вимагає введення PIN-коду для використання. Не впевнений, що це має значення чи ні.

    Коли клієнт входить у програму, він запитує у них свій PIN-код сертифіката. У цьому випадку вони мають картку CAC, вставлену в зчитувач CAC. Можливо, я можу якимось чином використати Request.ClientCertificate?

    3 відповіді

    Яким є ваш план тут? Іншими словами:

    Хто вводитиме СІН? Хто має намір вставляти смарт-карту?

    Ви не можете встановити безпечний канал між веб-сервером ASP.NET та веб-службою без смарт-картки та виводу, оскільки клієнт (тобто веб-сервер ASP.NET) має отримати доступ до закритого ключа на смарт-карті (і для цього потрібний штир). Я боюся, що єдиний спосіб змусити це працювати - це отримати весь сертифікат (включно із закритим ключем) від смарт-карти (що має бути дуже складно, якщо не неможливо, по дизайну).

    Ваш кращий спосібдій:

    A) Запитати "сертифікат сервера" (не смарт-карту), який може використовуватися як сертифікат клієнта для каналу між веб-сервером ASP.NET та цільовою веб-службою.

    B) Перепроектуйте рішення таким чином, щоб клієнти (люди, які мають смарт-картки та контакти) безпосередньо підключалися до захищеного веб-сервісу за допомогою смарт-картки та PIN-коду.

    Чи є сертифікат кореневого сертифіката сертифіката? Якщо ви імпортували його самостійно, він був імпортований до сховища сертифікатів користувача, до якого iis не може отримати доступ (замість цього імпортуйте його до сховища)

    Документація для конструктора класу говорить про те, що клас отримає доступ до CSP для зберігання закритого ключа сертифіката (для pfx). Це не повинно бути необхідно для файлу cer, але, можливо, ви все ще стикаєтеся з проблемами вирішення, якщо ви працюєте як користувача пула додатків?

    Спробуйте переключити пул додатків для запуску в якості користувача з дозволами і подивитися, чи це допомагає, або спробуйте імпортувати сертифікат у сховище сертифікатів машини та отримати доступ до нього.

    Конфігурація клієнта WCF

    Про всяк випадок, переконайтеся, що адреса вашої кінцевої точки має форму:

    "https://hostname[:port]/ServiceDirectory/MyService.svc"

    Припускаючи, що конфігурація вашої служби вірна, конфігурація прив'язки вашої програми ASP.NET має бути:

    Проблема, з якою ви можете зіткнутися, полягає у передачі/постачанні сертифіката клієнта на ваш сервіс.

    Якщо ваша служба розміщена в IIS 6.0 або IIS 7.0, ви повинні налаштувати IIS, на якому розміщена ваша служба WCF, для прийняття клієнтських сертифікатів.

    Ваша програма asp.net є клієнтом WCF. Див. цю сторінку щодо використання сертифіката смарт-картки та Захист служб WCF із сертифікатами .

    Вам також знадобиться сертифікат SSL-сервера, який буде встановлений в IIS, де ви розміщуєте свій сервіс WCF для підтримки HTTPS.

    Конфігурація служби WCF

    Кінцева точка служби повинна включати захищену прив'язку HTTP, а також поведінку служби, щоб увімкнути httpsGetEnabled і відключити httpGetEnabled:

    Необхідно використовувати ЕЦП, отриману від свого спецоператора зв'язку. Ту, яку Ви використовуєте для надсилання звітності до інших державних органів (ПФ, ФНП, ФСС тощо)

    2. Яку версію Шарпея встановлювати?

    Щоб дізнатися про розрядністьсвоїй Windows потрібно:

      Клацніть правою кнопкою миші на "Мій комп'ютер"

      Вибрати Властивості

      Якщо у вас в розділі "Система" - "Тип системи" буде написано 64-х розрядна система- означає 64-х розрядна, в інших випадках 32-х розрядна.

    3. Під час реєстрації у системі WEB-збору вийшло повідомлення, що така організація вже існує

    Якщо під час реєстрації буде видано помилку, що організація з таким ОКПО вже зареєстрована, отже інформація про організацію вже є у системі збору звітності. Така інформація надходить у систему з Єдиного модуля прийому звітності.

    У цьому випадку необхідно:

    1. Надіслати листа на адресу [email protected], із зазначенням ваших даних:
      • Найменування організації
      • На чиє ім'я виписано сертифікат (яким Ви підписували звітність) та ким видано
      • Контактні дані
      • адреса електронної пошти(обов'язково)
    2. Після отримання листа від Вас, співробітники ТОГС внесуть до картки Вашої організації відсутні відомості та надішлють Вам листа з інструкцією щодо зміни пароля (самі ми пароль не призначаємо).
    3. Після проходження процедури зміни пароля Ви можете починати звітувати в електронному вигляді.

    4. Під час підписання звіту виходить помилка: "Алгоритм сертифіката ключа не підтримується"

    1. Є оновлення Microsoft, які призводять до помилок при роботі з ЕЦП.
      Це такі оновлення:
      • 2604094
      • 2729450
      • 2729452
      • 2729453
      • 2742601
      Для виправлення помилки "Алгоритм сертифіката ключа не підтримується" потрібно видалити перелічені оновлення Microsoft.
      Оновлення Microsoftвидаляються через "Панель управління" - "Встановлення видалення програм".
    2. Також, дана помилкаможе виявлятися якщо SharpeiRTE встановлено доустановки Net Framework 2.0SP2. У цьому випадку запустіть інсталяцію SharpeiRTE повторно, виберіть "Змінити" і позначте включення підтримки Framework 2.

    5. При надсиланні звіту з "OffLine" виходить помилка: "Не вдалося встановити з'єднання з сайтом... Не вдалося встановити довірчі відносини для захищеного каналу SSL/TLS"

    1. Перевірте в налаштуваннях OffLine-клієнта правильність написання адрес підключення:

      Безпечне з'єднання: https://online.statrk.ru/online

    2. Встановити у сховище «Довірені кореневі центри сертифікації» сервера збору статзвітності. Дивіться інструкцію.
    3. Відкрийте Internet Explorerі перейдіть за адресою https://online.statrk.ru/online. Якщо сертифікат "УЦ ГМЦ Росстату" встановлено, то сторінка відкриється без попереджень. Інакше вийде попередження про неможливість перевірити справжність сайту.
    4. Перевірте, чи встановлено "КриптоПРО Шарпа". Його можна завантажити з сайту OnLine-збору ()

    6. Під час надсилання звіту з "OffLine-клієнта" виходить помилка: "Помилка при перевірці безпеки повідомлення"

      Перевірте правильність встановлення часу на вашому комп'ютері. При надсиланні система перевіряє збіг часу на вашому комп'ютері з часом на сервері збору звітності за всесвітнім часом (UTC), а не за місцевим. Відповідно для Республіки Калмикіячасовий пояс на вашому комп'ютері має бути виставлений як " (UTC +4:00 ) Москва, Санкт-Петербург, Волгоград " . Якщо у вас часовий пояс(UTC +3:00 ) Москва, Санкт-Петербург, Волгоград" , то вам необхідно завантажити та встановити

    » передбачена унікальна можливість відправлення межових та технічних планів до Росреєстру каналами прямої взаємодії (іншими словами, безпосередньо із програми).

    У цій статті розглянемо найпоширеніші помилки під час відправлення межових і технічних планів з прикладу програми « ».

    Для того, щоб виконати відправку межового плану із програми « », необхідно сформувати заяву в електронному вигляді. У програмі передбачена можливість формування Заяви за 2-ма XML-схемами:

    • Reguests_GZK_Realtyверсії 17 ;
    • StatmentGKNверсії 01 .

    Примітка:докладніше про те, як заповнити заяву за тією чи іншою XML-схемою див.

    Перейдемо безпосередньо до розгляду помилок, що виникають під час відправлення межових і технічних планів у Росреєстр каналами прямої взаємодії.

    1 помилка.Звертаємо Вашу увагу, що додаткові документинеобхідно надсилати через програму в Росреєстр тільки із заявою, сформованою за XML-схемою Reguests_GZK_Realtyверсії 17 .

    За новою XML-схемою StatmentGKNверсії 01 додаткові документи не проходять, а видається помилка «Перевірку не пройдено. ФЛК, або перевірка ЕЦП не пройдено. Невідомий типзаяви» .

    Рішення:якщо при надсиланні додаткових документів із програми видалася дана помилка, сформуйте заяву за XML-схемою Reguests_GZK_Realtyверсії 17 та надішліть пакет заново.

    2 помилка.Помилка «Не вдалося виконати запит. Помилка: Віддалений серверповернув помилку (500). Внутрішня помилка сервера" зазвичай з'являється при надсиланні ZIP-архіву межового плану, сформованого без заяви.

    Рішення:встановіть у вікні «Налаштування»галочки:

    • «Формувати пакет (ZIP–архів та заяву) для передачі каналами прямої взаємодії»;
    • "Формувати заяву StatementGKN версії 01"
    • «Формувати заяву при розвантаження XML»;
    • "Вкладати в ZIP-архів XML-заяву".

    Рис.1. Вікно "Налаштування".

    Далі заповніть заяву (при вивантаженні буде сформовано два XML-файли: заява та межовий план) та сформуйте ZIP-архів з префіксом req. Крім цього, помилка може з'явитися, якщо вказано довгий шляхдо ZIP-архіву. У цьому випадку рекомендуємо зменшити шлях до ZIP-архіву.

    3 помилка. «Не вдалося виконати запит. Помилка: The request was aborted: Could not create SSL/TLS Secure channel»

    «Не вдалося виконати запит. Помилка: запит було перервано. Не вдалося створити SSL/TLS захищений канал»

    Рішення:для усунення цієї помилки необхідно перевірити Ваш сертифікат електронного підпису(ЕП), а саме:

    • Перевірте, чи правильно вибрано сертифікат відправника у налаштуваннях програми (у вікні «Налаштування»на вкладці «Відправка»в полі «! Сертифікат відправника»):


    Рис.2. Вікно «Налаштування», вкладка «Надсилання».

      Сертифікат ЕП обов'язково має бути встановлений в Особисте сховище;

      Перевірте, чи вставлений контейнер із закритим ключем (наприклад, смарт-картка, флешка). *Закритий ключможе зберігатися і на комп'ютері, а не на знімному носії.

      Перевірте, чи є сертифікат ЕП призначення «TLS клієнт». Для вирішення цього питання необхідно звернутися до посвідчувального центру, де Ви купували підпис.

      Має бути встановлений криптопровайдер КриптоПро CSP.

      Перевірте, чи не закінчився термін дії ЕП.

      З'ясуйте, чи призначено Вашу ЕП для роботи з Росреєстром і чи є посиленою кваліфікованою ЕП кадастрового інженера. При необхідності зверніться до центру, що посвідчує (див. «).

    Будь ласка, ознайомтесь з системними вимогамидля даного сервісуна нашому форумі за посиланням: .

    4 помилка. «Не вдалося виконати запит. Помилка: The request was aborted: The request was canceled»

    «Не вдало виконати запит. Помилка: Запит було перервано: Запит було скасовано»

    Ця помилка зазвичай пов'язана з тим, що розмір ZIP-архіву, що відправляється, занадто великий.

    Рішення:у вікні «Налаштування»на вкладці «Відправка»збільшіть таймот для порталу Росреєстру в полі «Таймаут для порталу Росреєстру (сек.)»наприклад, до 800 сек.


    Рис.3. Вікно «Налаштування», вкладка «Надсилання».

    Примітка:звертаємо Вашу увагу, що на ZIP-архіви, що надсилаються каналами прямої взаємодії, Росреєстром встановлені обмеження. Розмір ZIP-архіву, що надсилається каналами прямої взаємодії не повинен перевищувати 50 Мб.

    5 помилка. «Не вдалося відкрити модуль надсилання. Можливо, бібліотека CAPICOM.dll не встановлена ​​або неправильно встановлена. Функції надсилання запитів на портал Росреєстру недоступні»

    «Файл модуля надсилання пошкоджено. Останні змінивтрачено, відкрити останній збережений файл? Не встановлено чи неправильно встановлено СAPICOM. Функції надсилання запитів на портал Росреєстру недоступні»

    Ця помилка виникає через неповний доступ до модуля надсилання.

    Рішення:необхідно видалити та відновити лог відправок. Для цього зайдіть у папку, де встановлена ​​програма та видаліть файли exch.log і exch_bak.log . Після цього у вікні «Обмін інформацією з Росреєстром»натисніть на трикутник поруч із кнопкою «Налаштування»та виберіть "Відновити лог".

    Ми розглянули найпоширеніші помилки під час відправлення як межових, і технічних планів безпосередньо з програм серії «Полігон».

    Якщо помилка, що Вас цікавить, не описана в даній статті, Ви завжди можете зв'язатися зі спеціалістами відділу технічної підтримкидля вирішення проблеми з безкоштовний номертел. 8-800-100-58-90 чи ел.поште: .

    Завжди раді Вам допомогти!

    У разі відправлення додаткових пакетівцю галочку не встановлюйте та сформуйте заяву за схемою Reguests_GZK_Realty версії 17.


    Кількість показів: 7151