umcaservice / FAQ

Q: umcaservice не запустился и значок белого медведя не появился на панели задач. Что я должен сделать?

Проверьте инсталляцию программы. Проверьте, существует ли TLS сертификат umcaservice - umca_ssl.crt и обозначен ли он как доверенный ОС или веб-браузером, его можно найти в папке ресурсов программы (обычно Program files\Avtor\UmCAService ​в Windows, /usr/share/avtor/umcad в Linux, /Applications/UmCAService.app/Contents/Resources ​на Mac OS X). Если сертификат отсутствует, нужно переустановить программу. Если ваша проблема не отвечает ни одной из описанных, найдите крэш-логи umcago*.crash в папке профиля программы (​ %APPDATA%\Avtor\UmCAService​ в Windows,​ ~/.umcad на Mac OS X и Linux) и отправьте их нашей команде поддержки.

Q: umcaservice неожиданно завершил роботу. Что я должен сделать?

Кликните на пункт меню "Отправить крэш дамп" при следующем запуске сервиса или же вручную найдите крэш-логи umcago*.crash в папке профиля пользователя сервиса (​ %APPDATA%\Avtor\UmCAService​ в Windows, ​~/.umcad ​на Mac OS X и Linux) и отправьте их нашей команде поддержки.

Q: Программа не отвечает на вызов веб-приложения в Mozilla Firefox. Что я должен сделать?

Вероятно, корневой TLS сертификат umcaservice не установлен как доверенный в хранилище сертификатов Firefox из-за устаревшей версии Firefox, вы можете попробовать обновить Firefox и установить сертификат самостоятельно или полностью переустановить программу для этого. Также вы можете просто указать сертификат umcaservice как доверенный для Firefox.

Q: Как я могу сгенерировать или установить новый TLS сертификат umcaservice?

Политикой безопасности веб-браузеров запрещен доступ к внешним ресурсам http через ресурс https. Чтобы избежать этой проблемы и снизить риск потенциальных проблем безопасности, umcaservice защищает весь трафик с помощью протокола TLS. Обязательным условием протокола TLS является серверный сертификат: он должен быть проверен на стороне клиента во время рукопожатия, чтобы клиент (веб-браузер в большинстве случаев) выполнил процедуру проверки цепи сертификатов и установил доверие к сертификату сервиса. Во время установки сервиса инсталлятор создает необходимую цепь сертификатов и пытается установить корневой сертификат как надёжный для ОС и веб-браузеров. Вышеупомянутая цепь сертификатов выглядит так:

  • O=Avtor LLC Local CA, OU=UmCAService distributive #4bf425d9, CN=UmCAService TLS support root
  • O=Avtor LLC Local CA, OU=UmCAService distributive #4bf425d9, CN=localhost
Номер дистрибутива генерируется случайным образом во время инсталляции сервиса. Если вам нужно (повторно) установить или (повторно) сгенерировать сертификат, вы можете использовать программу umcertutil, которую можно найти в директории бинарных файлов программы (Обычно Program Files\Avtor\UmCAService​ в Windows, /usr/bin​ в Linux, /Applications/UmCAService.app/MacOS​ на Mac OS X). Для того, чтоб сгенерировать и установить новые сертификаты, выполните следующие команды:
umcertutil install {path to application resources folder}
Если вам нужно установить только существующий сертификат без повторной генерации, используйте флажок --no-generate для команды выше:
umcertutil install --no-generate {path to application resources folder}
После этого перезагрузите сервис. Заметьте, что для этого сценария необходимы права администратора.

Q: Я постоянно получаю сетевые ошибки во время запроса TSP или другого сетевого сервиса.

Во-первых, убедитесь, что вы используете версию сервиса хотя бы 3.7.7. Другой вероятной причиной может быть прокси, с которым настроена ваша ОС. Попробуйте установить надлежащие параметры прокси в этом случае.

Q: В Windows я не смог изменить настройки на веб-странице конфигурации сервиса из-за ошибки

По умолчанию файл конфигурации находится в директории Program Files\Avtor\UmCAService, которая защищена от записи для обычных пользователей. Вам нужно запустить программу с правами администратора, чтоб изменить какие-либо настройки. Помимо этого, вы можете удалить файл конфигурации из этой директории, чтоб новый файл конфигурации был создан в директории профиля пользователя(​%APPDATA%\Avtor\UmCAService)​ сервиса, и он будет доступен для изменений обычному пользователю.

Q: Что такое директория профиля пользователя, директория ресурсов и директория бинарных файлов?

Эти 3 основные директории содержат разные файлы программы:

  • Директория профиля пользователя​ содержит конкретные данные пользователя - дополнительную конфигурацию, кэш сертификатов, локальное файловое хранилище.
    %APPDATA%\Avtor\UmCAService в Windows, ​~/.umcad​ в Linux и Mac OS X.
  • директория ресурсов ​содержит разные ресурсы программы: сертификаты TLS, статичные файлы и т.д.
    Program Files\Avtor\UmCAService в Windows, ​/usr/share/avtor/umcad/​ в Linux, /Applications/UmCAService.app/Contents/Resources ​на Mac OS X.
  • директория бинарных файлов ​содержит бинарные файлы сервиса.​
    Program Files\Avtor\UmCAService​ в Windows, /usr/bin​ в Linux, /Applications/UmCAService.app/MacOS​ на Mac OS X.

Q: Почему вы не реализовали функцию "X"?

Возможно, umcaservice уже содержит её. Попробуйте поискать это в официальной документации для разработчиков. Если нет - сообщите нам на почту.

Q: Почему umcaservice не отображает мой usb-токен/смарт-карту?

umcaservice работает только с PKCS#11-совместимыми устройствами. Сервис поставляется вместе с библиотекой Avtor ST337/ST338 PKCS #11 по умолчанию. Для поддержки других устройств вам стоит связаться со своим поставщиком, загрузить соответствующую библиотеку PKCS#11 и указать её в конфигурации umcaservice (Pkcs11Modules ).

Для пользователей MacOS: убедитесь, что вы используете официальный адаптер USB от Apple, мы не можем гарантировать стабильную работу usb-токенов с несертифицированными адаптерами.

Q: umcaservice видит мой токен/смарт-карту, но не может найти ни одного сертификата

umcaservice поддерживает только ключи на носителе, которые сохраняются в активном режиме. Ключи записанные в пассивном режиме не поддерживаются - в случае их наличия нужно переимпортировать их в активном режиме. Сервис работает только с такими аппаратными ключами, которые имеют привязанный сертификат. Сертификат можно привязать вручную с помощью специальной утилиты или воспользоваться авто-привязыванием с помощью сервиса CMP(для версии сервиса не ниже 3.7.18, также нужно задать соответствующие настройки CMPServices).

Q: umcaservice работает в режиме многопользовательского терминального сервера?

Сервис поддерживает работу в режиме многопользовательского терминального сервера начиная с версии 3.8.0. Чтоб включить этот режим установите порт по умолчанию(с главного файла конфигурации с папки приложения) в ноль. Сервис запуститься в режиме отдельных файлов конфигурации для каждого пользователя и выберет доступный порт для запуска в интервале [26000, 27000] для каждого пользователя. Для того чтоб уведомить внешнее приложение про порт скопируйте идентификатор приложения кликая на кнопку "Copy App Id" в меню или скопируйте идентификатор с веб-интерфейса сервиса, после этого введите полученный идентификатор во внешнее веб-приложение.

Я столкнулся с ошибкой неизвестного ЦСК (код -8). Что это означает?

Это означает, что невозможно подтвердить доверие к сертификату, используя только существующий список доверенных сертификатов. Для валидации такого сертификата необходимо добавить базу цепи сертификатов (корневой сертификат ЦСК) в список доверенных сертификатов(​TrustedCertificatesDir). По умолчанию umcaservice настроенный на использование украинских сертификатов ЦУО как доверенных, а также может быть специально настроенный на индивидуальный доверительный список.