umcaservice / FAQ

Q: umcaservice не запустився і значок білого ведмедя не з’явився на панелі завдань. Що я повинен зробити?

Перевірте інсталяцію програми. Перевірте, чи існує TLS сертифікат umcaservice - umca_ssl.crt і чи він позначений як довірений ОС або веб-браузером, його можна знайти в папці ресурсів програми (зазвичай Program files\Avtor\UmCAService ​в Windows, /usr/share/avtor/umcad в Linux, /Applications/UmCAService.app/Contents/Resources ​на Mac OS X). Якщо сертифікат відсутній, потрібно перевстановити програму. Якщо ваша проблема не відповідає жодній з описаних, знайдіть креш-логи umcago*.crash у папці профілю програми (​ %APPDATA%\Avtor\UmCAService​ в Windows,​ ~/.umcad на Mac OS X та Linux) та надішліть їх до нашої команди підтримки.

Q: umcaservice несподівано завершив роботу. Що я повинен зробити?

Клікніть на пункт меню "Відправити креш дамп" при наступному запуску сервісу або ж вручну знайдіть креш-логи umcago*.crash в папці профілю користувача сервісу (​ %APPDATA%\Avtor\UmCAService​ в Windows, ​~/.umcad ​на Mac OS X та Linux) та надішліть їх до нашої команди підтримки.

Q: Програма не відповідає на виклик веб-застосунку в Mozilla Firefox. Що я повинен зробити?

Ймовірно, кореневий TLS сертифікат umcaservice не встановлений як довірений у сховищі сертифікатів Firefox через застарілу версію Firefox, ви можете спробувати оновити Firefox та встановити сертифікат самостійно або повністю перевстановити програму після цього. Також ви можете просто позначити сертифікат umcaservice як довірений для Firefox.

Q: Як я можу згенерувати або встановити новий TLS сертифікат umcaservice?

Політикою безпеки веб-браузерів заборонений доступ до зовнішніх ресурсів http через ресурс https. Щоб уникнути цієї проблеми та знизити ризик потенційних проблем безпеки, umcaservice захищає весь трафік за допомогою протоколу TLS. Обов’язковою умовою протоколу TLS є серверний сертифікат: він повинен бути перевірений на стороні клієнта під час рукостискання, щоб клієнт (веб-браузер у більшості випадків) виконав процедуру перевірки ланцюжка сертифікатів та встановив довіру до сертифіката сервісу. Під час установки сервісу інсталятор створює необхідний ланцюжок сертифікатів і намагається встановити кореневий сертифікат як надійний для ОС та веб-браузерів. Вищезгаданий ланцюжок сертифікатів виглядає так:

  • O=Avtor LLC Local CA, OU=UmCAService distributive #4bf425d9, CN=UmCAService TLS support root
  • O=Avtor LLC Local CA, OU=UmCAService distributive #4bf425d9, CN=localhost
Номер дистрибутиву генерується випадковим чином під час інсталяції сервісу. Якщо вам потрібно (повторно) встановити або (повторно) згенерувати сертифікат, ви можете використати програму umcertutil, яку можна знайти в директорії бінарних файлів програми (Зазвичай Program Files\Avtor\UmCAService​ в Windows, /usr/bin​ в Linux, /Applications/UmCAService.app/MacOS​ на Mac OS X). Для того, щоб згенерувати та встановити нові сертифікати, виконайте наступні команди:
umcertutil install {path to application resources folder}
Якщо вам потрібно встановити лише існуючий сертифікат без повторної генерації, застосуйте прапорець --no-generate для команди вище:
umcertutil install --no-generate {path to application resources folder}
Після цього перезавантажте сервіс. Зауважте, що для цього сценарію необхідні права адміністратора.

Q: Я постійно отримую мережеві помилки під час запиту TSP або іншого мережевого сервісу.

По-перше, переконайтеся, що ви використовуєте версію сервісу принаймні 3.7.7. Іншою ймовірною причиною може бути проксі, з яким налаштована ваша ОС. Спробуйте встановити належні параметри проксі в цьому випадку.

Q: У Windows я не зміг змінити налаштування на веб-сторінці конфігурації сервісу через помилку

За замовчуванням файл конфігурації знаходиться в директорії Program Files\Avtor\UmCAService, яка захищена від запису для звичайних користувачів. Вам потрібно запустити програму з правами адміністратора, щоб змінити будь-які налаштування. Крім того, ви можете видалити файл конфігурації з цієї директорії, щоб новий файл конфігурації був створений у директорії профілю користувача(​%APPDATA%\Avtor\UmCAService)​ сервісу, і він буде доступний для змін звичайному користувачу.

Q: Що таке директорія профілю користувача, директорія ресурсів та директорія бінарних файлів?

Ці 3 основних директорії містять різні файли програми:

  • директорія профілю користувача​ містить конкретні дані користувача - додаткову конфігурацію, кеш сертифікатів, локальне файлове сховище.
    %APPDATA%\Avtor\UmCAService в Windows, ​~/.umcad​ в Linux та Mac OS X.
  • директорія ресурсів ​містить різні ресурси програми: сертифікати TLS, статичні файли, тощо.
    Program Files\Avtor\UmCAService в Windows, ​/usr/share/avtor/umcad/​ в Linux, /Applications/UmCAService.app/Contents/Resources ​на Mac OS X.
  • директорія бінарних файлів ​містить бінарні файли сервісу.​
    Program Files\Avtor\UmCAService​ в Windows, /usr/bin​ в Linux, /Applications/UmCAService.app/MacOS​ на Mac OS X.

Q: Чому ви не реалізували функцію "X"?

Можливо, umcaservice вже містить її. Спробуйте пошукати це в офіційній документації для розробників. Якщо ні - повідомте нам на пошту.

Q: Чому umcaservice не відображає мій usb-токен/смарт-карту?

umcaservice працює лише з PKCS#11-сумісними пристроями. Сервіс постачається разом із бібліотекою Avtor ST337/ST338 PKCS #11 за замовчуванням. Для підтримки інших пристроїв вам слід зв’язатися зі своїм постачальником, завантажити відповідну бібліотеку PKCS#11 і вказати її в конфігурації umcaservice (Pkcs11Modules ).

Для користувачів MacOS: переконайтеся, що ви використовуєте офіційний адаптер USB від Apple, ми не можемо гарантувати стабільну роботу usb-токенів з несертифікованими адаптерами.

Q: umcaservice бачить мій токен/смарт-карту, але не може знайти жодного сертифікату

umcaservice підтримує тільки ключі на носії, які зберігаються в активному режимі. Ключі записані в пасивному режимі не підтримуються - в разі їх наявності потрбіно переімпортувати їх в активному режимі. Сервіс працює тільки з такими апаратними ключами, які мають прив'язаний сертифікат. Сертифікат можна прив'язати вручну за допомогою спеціальної утиліти або скористатись авто-прив'язуванням за допомогою сервісу CMP(для версії сервісу не нижче 3.7.18, також потрібно задати відповідне налаштування CMPServices).

Q: umcaservice працює в режимі багатокористувацького термінального сервера?

Сервіс підтримує роботу в режимі багатокористувацького термінального сервера починаючи з версії 3.8.0. Щоб включити цей режим встановіть порт за замовчуванням(з головного файлу конфігурації з папки застосунку) в нуль. Сервіс запуститься в режимі окремих файлів конфігурації для кожного користувача та обере доступний порт для запуску в інтервалі [26000, 27000] для кожного користувача. Для того щоб повідомити зовнішній додаток про порт скопіюйте ідентифікатор застосунку клікаючи на кнопку "Copy App Id" в меню або скопіюйте ідентифікатор з веб-інтерфейсу сервіса, після цього введіть отриманий ідентифікатор в зовнішній веб-додаток.

Я зіткнувся з помилкою невідомого ЦСК (код -8). Що це означає?

Це означає, що неможливо підтвердити довіру до сертифікату, використовуючи лише існуючий список довірених сертифікатів. Для валідації такого сертифіката потрібно додати базу ланцюжка сертифікатів (кореневий сертифікат ЦСК) до списку довірених сертифікатів(​TrustedCertificatesDir). За замовчуванням umcaservice налаштований на використання українських сертифікатів ЦЗО як довірених, а також може бути спеціально налаштований на індивідуальний довірчий список.