Проверьте инсталляцию программы. Проверьте, существует ли TLS сертификат umcaservice - umca_ssl.crt
и обозначен ли он как доверенный ОС или веб-браузером, его можно найти в папке ресурсов программы (обычно Program files\Avtor\UmCAService
в Windows, /usr/share/avtor/umcad
в Linux, /Applications/UmCAService.app/Contents/Resources
на Mac OS X). Если сертификат отсутствует, нужно переустановить программу. Если ваша проблема не отвечает ни одной из описанных, найдите крэш-логи umcago*.crash
в папке профиля программы ( %APPDATA%\Avtor\UmCAService
в Windows, ~/.umcad
на Mac OS X и Linux) и отправьте их нашей команде поддержки.
Кликните на пункт меню "Отправить крэш дамп" при следующем запуске сервиса или же вручную найдите крэш-логи umcago*.crash в папке профиля пользователя сервиса ( %APPDATA%\Avtor\UmCAService
в Windows, ~/.umcad
на Mac OS X и Linux) и отправьте их нашей команде поддержки.
Вероятно, корневой TLS сертификат umcaservice не установлен как доверенный в хранилище сертификатов Firefox из-за устаревшей версии Firefox, вы можете попробовать обновить Firefox и установить сертификат самостоятельно или полностью переустановить программу для этого. Также вы можете просто указать сертификат umcaservice как доверенный для Firefox.
Политикой безопасности веб-браузеров запрещен доступ к внешним ресурсам http через ресурс https. Чтобы избежать этой проблемы и снизить риск потенциальных проблем безопасности, umcaservice защищает весь трафик с помощью протокола TLS. Обязательным условием протокола TLS является серверный сертификат: он должен быть проверен на стороне клиента во время рукопожатия, чтобы клиент (веб-браузер в большинстве случаев) выполнил процедуру проверки цепи сертификатов и установил доверие к сертификату сервиса. Во время установки сервиса инсталлятор создает необходимую цепь сертификатов и пытается установить корневой сертификат как надёжный для ОС и веб-браузеров. Вышеупомянутая цепь сертификатов выглядит так:
- O=Avtor LLC Local CA, OU=UmCAService distributive #4bf425d9, CN=UmCAService TLS support root
- O=Avtor LLC Local CA, OU=UmCAService distributive #4bf425d9, CN=localhost
Program Files\Avtor\UmCAService
в Windows, /usr/bin
в Linux, /Applications/UmCAService.app/MacOS
на Mac OS X).
Для того, чтоб сгенерировать и установить новые сертификаты, выполните следующие команды:umcertutil install {path to application resources folder}
Если вам нужно установить только существующий сертификат без повторной генерации, используйте флажок --no-generate для команды выше:
umcertutil install --no-generate {path to application resources folder}
После этого перезагрузите сервис. Заметьте, что для этого сценария необходимы права администратора.
Во-первых, убедитесь, что вы используете версию сервиса хотя бы 3.7.7. Другой вероятной причиной может быть прокси, с которым настроена ваша ОС. Попробуйте установить надлежащие параметры прокси в этом случае.
По умолчанию файл конфигурации находится в директории Program Files\Avtor\UmCAService
, которая защищена от записи для обычных пользователей. Вам нужно запустить программу с правами администратора, чтоб изменить какие-либо настройки. Помимо этого, вы можете удалить файл конфигурации из этой директории, чтоб новый файл конфигурации был создан в директории профиля пользователя(%APPDATA%\Avtor\UmCAService
) сервиса, и он будет доступен для изменений обычному пользователю.
Эти 3 основные директории содержат разные файлы программы:
-
Директория профиля пользователя содержит конкретные данные пользователя - дополнительную конфигурацию, кэш сертификатов, локальное файловое хранилище.
%APPDATA%\Avtor\UmCAService
в Windows, ~/.umcad
в Linux и Mac OS X. -
директория ресурсов содержит разные ресурсы программы: сертификаты TLS, статичные файлы и т.д.
Program Files\Avtor\UmCAService
в Windows,/usr/share/avtor/umcad/
в Linux,/Applications/UmCAService.app/Contents/Resources
на Mac OS X. -
директория бинарных файлов содержит бинарные файлы сервиса.
Program Files\Avtor\UmCAService
в Windows,/usr/bin
в Linux,/Applications/UmCAService.app/MacOS
на Mac OS X.
Возможно, umcaservice уже содержит её. Попробуйте поискать это в официальной документации для разработчиков. Если нет - сообщите нам на почту.
umcaservice работает только с PKCS#11-совместимыми устройствами. Сервис поставляется вместе с библиотекой Avtor ST337/ST338 PKCS #11 по умолчанию. Для поддержки других устройств вам стоит связаться со своим поставщиком, загрузить соответствующую библиотеку PKCS#11 и указать её в конфигурации umcaservice (Pkcs11Modules
).
Для пользователей MacOS: убедитесь, что вы используете официальный адаптер USB от Apple, мы не можем гарантировать стабильную работу usb-токенов с несертифицированными адаптерами.
umcaservice поддерживает только ключи на носителе, которые сохраняются в активном режиме. Ключи записанные в пассивном режиме не поддерживаются - в случае их наличия нужно переимпортировать их в активном режиме. Сервис работает только с такими аппаратными ключами, которые имеют привязанный сертификат. Сертификат можно привязать вручную с помощью специальной утилиты или воспользоваться авто-привязыванием с помощью сервиса CMP(для версии сервиса не ниже 3.7.18, также нужно задать соответствующие настройки CMPServices).
Сервис поддерживает работу в режиме многопользовательского терминального сервера начиная с версии 3.8.0. Чтоб включить этот режим установите порт по умолчанию(с главного файла конфигурации с папки приложения) в ноль. Сервис запуститься в режиме отдельных файлов конфигурации для каждого пользователя и выберет доступный порт для запуска в интервале [26000, 27000] для каждого пользователя. Для того чтоб уведомить внешнее приложение про порт скопируйте идентификатор приложения кликая на кнопку "Copy App Id" в меню или скопируйте идентификатор с веб-интерфейса сервиса, после этого введите полученный идентификатор во внешнее веб-приложение.
Это означает, что невозможно подтвердить доверие к сертификату, используя только существующий список доверенных сертификатов. Для валидации такого сертификата необходимо добавить базу цепи сертификатов (корневой сертификат ЦСК) в список доверенных сертификатов(TrustedCertificatesDir
). По умолчанию umcaservice настроенный на использование украинских сертификатов ЦУО как доверенных, а также может быть специально настроенный на индивидуальный доверительный список.