29 мая, пятница 04:01
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР-Н Пусконаладка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от diev Посмотреть сообщение
    Когда тестировал 3-й вариант защиты на АРМ КБР (делал все по инструкции) - требовалось просто попеременно запускать один и тот же uarm.exe от имени двух разных лиц с разными ключами.
    Мне кажется, обсуждали вариант параллельного одновременного запуска двух АРМ КБР на одном ПК, а не попеременный последовательный запуск.

    Комментарий


    • Сообщение от Kuban User1 Посмотреть сообщение
      Мне кажется, обсуждали вариант параллельного одновременного запуска двух АРМ КБР на одном ПК, а не попеременный последовательный запуск.
      Сообщение "Может быть запущен только единственный экземпляр АРМ" выдается в том случае, если при создании нового Mutex с тем же именем продукта (хранится в ресурсах), он уже есть в операционной системе. Защита от того, мне кажется, что Админ начнет на ходу конфиги править.

      Комментарий


      • Сообщение от diev Посмотреть сообщение
        Защита от того, мне кажется, что Админ начнет на ходу конфиги править.
        АРМ КБР может лежать на сетевом диске и админ для правки конфигов может запустить его оттуда на другой машине. Так себе защита.

        Комментарий


        • Сообщение от Kuban User1 Посмотреть сообщение
          АРМ КБР может лежать на сетевом диске и админ для правки конфигов может запустить его оттуда на другой машине. Так себе защита.
          Программисты сделали как себе проще. Или ТЗ такое было (в духе персонализации лиц, допущенных к) - обречь пользователей на ролевые игры.

          Комментарий


          • diev, предположу, что так пытались защититься от конкурентного доступа к логам. Но как подобный доступ происходит при запуске АРМ КБР с одного сетевого ресурса на двух АРМ одновременно не изучал.

            Комментарий


            • Сообщение от skj Посмотреть сообщение
              В общем, в версии 1.0.3 после обработки первого PacketEPD КБР-Н перестает писать в протокол операций инфу о проверке ЗК под ED, отличными от PacketEPD. Если же ему подложить, например, ED999 с корявым ЗК, то он выдаст ошибку. Т.е. фактически ЗК проверяется.
              А про шифрование начал в протокол писать?

              Комментарий


              • Сообщение от samret Посмотреть сообщение

                А про шифрование начал в протокол писать?
                Только при формировании ED997 (Проверка целостности ПО).

                Комментарий


                • Коллеги, приветствую!

                  Не дает покоя вопрос: можно ли в промышленной среде использовать параллельно АРМ КБР-Н и АРМ КБР (старый) с новыми ключами для АРМ КБР-Н?
                  Была документально не подтвержденная информация из ЦБ, что на новых ключах для АРМ КБР-Н старый АРМ работать не будет. Однако, на тестовом стенде я успешно принял и расшифровал входящие сообщения в старом и новом АРМ на ключе шифрования CN=ARMKBRN (1.3.6.1.4.1.3670.5.10.120).

                  Первый вопрос к колегам, кто уже перешел на АРМ КБР-Н: можно ли на новом ключе в старом АРМ КБР обрабатывать входящие?

                  Второй вопрос: кто-нибудь пробовал (на тесте или в проде) формировать исходящие сообщения в АРМ КБР (старом) на новых ключах для АРМ КБР-Н CN=PROCESSING (1.3.6.1.4.1.3670.5.10.15) и CN=CONTROL(1.3.6.1.4.1.3670.5.10.16) на 3-м варианте защиты (есть в настройках)? Что-то у меня какая-то чехарда с сертификатами - упроно не хочет подписывать, но, возможно, я сам что-то не так настроил.

                  Для нас это приципиально, т.к. разработчики не упевают на 100% покрыть УФЭБС и хочется иметь запасной "ручной" вариант.

                  Буду очень признателен за любые комментарии.

                  Комментарий


                  • Vitaly67, считаю, что не должно быть препятствий для использования АРМ КБР с "новыми" ключами и 3-им вариантом защиты. АРМ КБР пока еще поддерживается.

                    Комментарий


                    • Vitaly67
                      По моему, было даже некое информационное письмо от ЦБ, о том, как организовать работу с АРМ КБР по 3-му варианту защиты с новыми ключами.
                      Хотя. народ писал, что не всё подтвердилось в части установки нескольких АРМ КБР на один ПК. Если не ошибаюсь.
                      КМК, всё это тут уже расписывалось ранее.

                      Комментарий


                      • Сообщение от Kuban User1 Посмотреть сообщение
                        Vitaly67, считаю, что не должно быть препятствий для использования АРМ КБР с "новыми" ключами и 3-им вариантом защиты. АРМ КБР пока еще поддерживается.
                        Насколько я помню, что я понял из своих тестов их обоих на одном стенде, АРМ КБР, сконфигурированный по 3-му варианту защиты на прежней паре ключей, получается переходным этапом к полному использованию КБР-Н с тремя. С новыми ключами старый АРМ КБР я не успел попробовать.

                        А из разговоров с ТУ я понял, что АРМ КБР будет и дальше параллельно использоваться (но порекомендовали на других компах, чтобы с ключами не путаться) - ибо никто СПФС и SWIFT через него не отменял! (А передачу кассовых заявок через него же - ЦБ так и не запустил - велели оставить как было - через sa ПТК ПСД, а не АРМ КБР с его ставшим непонятным будущим.)

                        Комментарий


                        • Сообщение от saches Посмотреть сообщение
                          По моему, было даже некое информационное письмо от ЦБ, о том, как организовать работу с АРМ КБР по 3-му варианту защиты с новыми ключами
                          Коллеги, поделитесь, пожалуйста, ссылкой/документом по настройке АРМ КБР (старого) по третьему варианту защиты.

                          Комментарий


                          • Vitaly67
                            http://www.cbr.ru/mcirabis/?PrtId=itest - Рекомендации по настройкам АРМ КБР 04.10.2017

                            Комментарий


                            • Коллеги, спасибо за помощь!
                              Что я понял из всех перечитанных документов: ЦБ не запрещает, и даже дает рекомендации по использованию новых ключей (выпущенных для АРМ КБР-Н по 3-му варианту защиты) для старого АРМ КБР. Под каждую функциональную роль (оператор, контролер, шифрование) отдельный АРМ - не вопрос.
                              Но мне непонятно следующее: в старом АРМ КБР оператором на OID ...15 создали ЭС и проставили ЗК; контролером на OID ...16 проставили КА (если АРМ позволяет сохранять ЭС в таком виде ЗК+КА без шифрования). Т.е. выполнили те функции, которые должны быть вынесены в АБС банка при использовании АРМ КБР-Н. И теперь это сообщение надо подать на вход АРМ КБР-Н для шифрования на OID ...120? Или шифрование на OID ...120 надо делать в старом АРМ?
                              Кто-то реально так делал?

                              Комментарий


                              • Коллеги, доброго дня!
                                Подскажите, а возможна ли работа в старом АРМ КБР с новыми ключами, но по 1 варианту защиты? И есть ли смысл? Это вариант же не предусматривает постановку ЗК? Или так же как и по 3-е му варианту делим на оператора и контроллера и по очереди обрабатываем платежку?

                                Комментарий


                                • Сообщение от Vitaly67 Посмотреть сообщение
                                  Кто-то реально так делал?
                                  Делал badik (сам !!!).
                                  Делалось у veritas-а (не сам).
                                  Начинал делать я тоже, но вовремя остановился. Нет смысла...
                                  Прочтите эту ветку хотя бы с сентября 2017-го и найдёте все (или почти все) ответы...

                                  Сообщение от kornholio Посмотреть сообщение
                                  И есть ли смысл?
                                  Скорее нет. КБР-Н умеет всё.
                                  КБР-у жить осталось примерно 6 месяцев (неточная информация, точную знают немногие, но молчат).

                                  Комментарий


                                  • Добрый день,

                                    классно что есть код для нормализации на C#, только вопрос. А кто то сумел прикрутить его к Delphi? Или все делали обертку на C# под свои языки и потом уже вызывали эту обертку на этот код C# и затем уже вызывали его?

                                    просто согласовывать установку C# опять время, причем е малое в нашем банке)))

                                    Комментарий


                                    • proxy3d
                                      Тогда Вам нужно переписать весь код с С# на Delphi. Думаю это реально. Другого выхода нет.
                                      Я когда разбирался с этим делом, я посчитал что гораздо важнее получить продукт "независящий" алгоритмически от ЦБ РФ. Что будет если в какой то момент они изменят алгоритм нормализации? Будете снова переписывать Delphi, проходить тестирование. Да, можно и так. А можно просто заменить dll из новой версии КБР-Н. Решать Вам.

                                      Комментарий


                                      • На рабочем месте стоит АРМ КБР , настроен по третьему варианту защиты согласно инструкции ЦБ, при запуске АРМ КБР пользователем с ролью Контролер, возникает ошибка при формировании КА, в чем может быть проблема, кто нибудь сталкивался ?

                                        Info30.01.2018 12:48:33.52PC90003mcikontrФормирование КАНачало обработки файла C:\uarm3\Exg\oper_to_cont\b1U25545.D5X
                                        Info30.01.2018 12:48:33.60PC90003mcikontrФормирование КАВходной файл b1U25545.D5X перемещён в: C:\uarm3\Exg\ctr\b1U25545.D5X
                                        Info30.01.2018 12:48:33.60PC90003mcikontrФормирование КАЗавершение обработки файла b1U25545.D5X
                                        Info30.01.2018 12:48:34.61PC90003mcikontrОтправка сообщенийНачало обработки файла C:\uarm3\Exg\ctr\b1U25545.D5X
                                        Error30.01.2018 12:48:34.70PC90003mcikontrОтправка сообщенийОшибка обработки файла 'C:\uarm3\Exg\ctr\b1U25545.D5X' - 'Wrong certificate usage (код: 0xE0700008)'
                                        at uarm.Common.Sign.SignProxy.Encode(String strDatFileName, String strEncFileName)
                                        at uarm.Gate.SAX.GateSnd.process(TFileInfo fi)
                                        at uarm.Gate.GateBase.processMain(TFileInfo fi)

                                        Warning30.01.2018 12:48:34.70PC90003mcikontrОтправка сообщенийФайл 'b1U25545.D5X' помещён в хранилище "Забракованные", RecID = 66
                                        Info30.01.2018 12:48:34.70PC90003mcikontrОтправка сообщенийЗавершение обработки файла b1U25545.D5X

                                        Комментарий


                                        • Сообщение от Андрей_ppp Посмотреть сообщение
                                          proxy3d
                                          Тогда Вам нужно переписать весь код с С# на Delphi. Думаю это реально. Другого выхода нет.
                                          Вы это серьезно? Я не ослышался? переписать фреймворк?

                                          Сообщение от Baklan Посмотреть сообщение
                                          в чем может быть проблема, кто нибудь сталкивался ?
                                          ....
                                          'Wrong certificate usage (код: 0xE0700008)'
                                          ....
                                          Вам же английским по белому написано - Неверное использование серификата.
                                          Проверьте OID в сертификате на котором загружались и какие прописаны в конфигах

                                          Комментарий


                                          • Сообщение от КрасКрипт Посмотреть сообщение
                                            Вы это серьезно? Я не ослышался? переписать фреймворк?
                                            Ослышались... что-то не помню что я вообще упоминал слово фреймворк...
                                            Я имел в виду код нормализатора, которых находится в библиотеках uarm...

                                            Комментарий


                                            • Сообщение от КрасКрипт Посмотреть сообщение
                                              Вам же английским по белому написано - Неверное использование серификата.
                                              Проверьте OID в сертификате на котором загружались и какие прописаны в конфигах
                                              В том то и дело, что согласно инструкции Формирование КА в АРМе прописан 1.3.6.1.4.1.3670.10.16 , загруженный ключ контролера имеет OID 1.3.6.1.4.1.3670.10.16 единственное что напрягает, что у ключа сфера действия подпись. А должно еще быть шифрование, как такое может быть ?

                                              Комментарий


                                              • Сообщение от Baklan Посмотреть сообщение
                                                А должно еще быть шифрование, как такое может быть ?
                                                Так и есть...
                                                Попробую покороче...
                                                Похоже на то, что ключи у вас для 3-го варианта и для кбр-н.
                                                Уже "известно", что их можно использовать и с кбр, но таких экземпляров кбр должно быть то ли 2 штуки, то ли 3.
                                                Вы пробуете обойтись 2-мя.
                                                Читая "всё на эту тему" аж с марта-апреля 17-го и по сей день, я пришел к выводу, что надо 3 штуки.
                                                1-й = Оператор, Processing, oid15, только ЗК и всё
                                                2-й = Оператор, Control, oid16, только KA и всё (убрать Отправка, Приём...)
                                                3-й = Контролер, ARMKBRN, oid120 и здесь только Отправка и Прием.
                                                Реально я сам этого НЕ ДЕЛАЛ, смысла не вижу... КБР-у скоро конец.

                                                Или ждите пока откликнется кто-нибудь из тех, кто это уже делал или пробуйте, посмотрим что получится...

                                                !!! Посмотрите все сообщения от badik в период с сентября по декабрь 2017-го по этому вопросу !!!
                                                Кто-то ещё проходил это (с АРМ КБР), но они все, я так думаю, уже перешли на АРМ КБР-Н и на темы по АРМ КБР больше не реагируют...

                                                Комментарий


                                                • Сообщение от proxy3d Посмотреть сообщение
                                                  просто согласовывать установку C# опять время, причем е малое в нашем банке)))
                                                  Компилятор C# есть в каждой установке .NET И даже MSBuild.

                                                  Комментарий


                                                  • Сообщение от Baklan Посмотреть сообщение
                                                    В том то и дело, что согласно инструкции Формирование КА в АРМе прописан 1.3.6.1.4.1.3670.10.16 , загруженный ключ контролера имеет OID 1.3.6.1.4.1.3670.10.16 единственное что напрягает, что у ключа сфера действия подпись. А должно еще быть шифрование, как такое может быть ?
                                                    Инструкцию, которую ЦБ вам давал я не видел, и прокомментировать не смогу.
                                                    Покажите настройки Сигнатуры и обработки ЭС, может возникнут умные мюсли.
                                                    Но вообще правильно говорят что про АРМ КБР пора начинать забывать. Все сегодняшние пляски с бубном через пол года могут оказаться бесполезными. Лучше сразу под новые условия заморачиваться.

                                                    Комментарий


                                                    • КБР-Н на Windows XP работает? В документации указана Windows 7. Не хочется на тестовой машине операционку менять.

                                                      Комментарий


                                                      • Коллеги,

                                                        А может кто-то поделиться работающим конфигом для КБР-Н (там вроде ничего секретного нет)?
                                                        Пытаемся проверить встраивание ЗК/КА, КБР-Н говорит Проверка КА: Message not signed or damaged (код: 0xE070001A)
                                                        Старый АРМ КБР этот конверт КА сожрал и обработал, после отправки на стенд получили ED201 ошибку на дату опердня (на стенде 13.02, у нас платёж от 31.01). Непонятно, проверял ли стенд КА или просто расшифровал, проверил дату и отфутболил. Так что в непонятках то ли КБР-Н неправильно настроен, то ли КБРу пофиг на неправильный КА, а стенд отфутболивает до проверки КА. Сформировать платёжку в будущей дате (которая на стенде) к сожалению не можем.

                                                        Комментарий


                                                        • Проблема скорее в настройках АРМ КБР. Если КБР-Н говорит что документ не подписан, я бы поверил
                                                          А касаемо настроек АРМ КБР-Н. Хотя промазать по большому счету там трудно
                                                          ЗЫЖ форум со ссылками через задницу работает %) текстом добавлю
                                                          http://kraskript.com/uploads/files/C...ойка.docx

                                                          Комментарий


                                                          • КрасКрипт
                                                            Скорее грешим на реализацию встраивания ЗК/КА. Потому как валидацию формата конверта КА (SigEnvelope) он проводит успешно. Изначально использовал тестовые ключи от КБРа. Запросил у ЦУКС тестовые ключи КБР-Н (3 штуки), настроил его по рекомендациям с cbr.ru, та же ошибка.

                                                            У вас кстати в документе по настройке OID сертификатов ЦОИ для ЗК/КА указаны такие же, как для сертификатов клиента, а в рекомендациях ЦБ стоит

                                                            ЗК 1.3.6.1.4.1.3670.5.10.7
                                                            КА 1.3.6.1.4.1.3670.5.10.8

                                                            Комментарий


                                                            • А можно приложить сам файл с ЭП до АРМ КБР
                                                              подписи ставятся у вас в PKS7 формате? какая длина ЭП?
                                                              подготовьте файл для АРМ РКС в любом АРМ КБР.
                                                              и проверти подпись в АРМ РКС.

                                                              Комментарий

                                                              Обработка...
                                                              X