Перевірте інсталяцію програми. Перевірте, чи існує TLS сертифікат umcaservice - umca_ssl.crt
і чи він позначений як довірений ОС або веб-браузером, його можна знайти в папці ресурсів програми (зазвичай Program files\Avtor\UmCAService
в Windows, /usr/share/avtor/umcad
в Linux, /Applications/UmCAService.app/Contents/Resources
на Mac OS X). Якщо сертифікат відсутній, потрібно перевстановити програму. Якщо ваша проблема не відповідає жодній з описаних, знайдіть креш-логи umcago*.crash
у папці профілю програми ( %APPDATA%\Avtor\UmCAService
в Windows, ~/.umcad
на Mac OS X та Linux) та надішліть їх до нашої команди підтримки.
Клікніть на пункт меню "Відправити креш дамп" при наступному запуску сервісу або ж вручну знайдіть креш-логи umcago*.crash в папці профілю користувача сервісу ( %APPDATA%\Avtor\UmCAService
в Windows, ~/.umcad
на Mac OS X та Linux) та надішліть їх до нашої команди підтримки.
Ймовірно, кореневий TLS сертифікат umcaservice не встановлений як довірений у сховищі сертифікатів Firefox через застарілу версію Firefox, ви можете спробувати оновити Firefox та встановити сертифікат самостійно або повністю перевстановити програму після цього. Також ви можете просто позначити сертифікат umcaservice як довірений для Firefox.
Політикою безпеки веб-браузерів заборонений доступ до зовнішніх ресурсів http через ресурс https. Щоб уникнути цієї проблеми та знизити ризик потенційних проблем безпеки, umcaservice захищає весь трафік за допомогою протоколу TLS. Обов’язковою умовою протоколу TLS є серверний сертифікат: він повинен бути перевірений на стороні клієнта під час рукостискання, щоб клієнт (веб-браузер у більшості випадків) виконав процедуру перевірки ланцюжка сертифікатів та встановив довіру до сертифіката сервісу. Під час установки сервісу інсталятор створює необхідний ланцюжок сертифікатів і намагається встановити кореневий сертифікат як надійний для ОС та веб-браузерів. Вищезгаданий ланцюжок сертифікатів виглядає так:
- O=Avtor LLC Local CA, OU=UmCAService distributive #4bf425d9, CN=UmCAService TLS support root
- O=Avtor LLC Local CA, OU=UmCAService distributive #4bf425d9, CN=localhost
Program Files\Avtor\UmCAService
в Windows, /usr/bin
в Linux, /Applications/UmCAService.app/MacOS
на Mac OS X).
Для того, щоб згенерувати та встановити нові сертифікати, виконайте наступні команди:umcertutil install {path to application resources folder}
Якщо вам потрібно встановити лише існуючий сертифікат без повторної генерації, застосуйте прапорець --no-generate для команди вище:
umcertutil install --no-generate {path to application resources folder}
Після цього перезавантажте сервіс. Зауважте, що для цього сценарію необхідні права адміністратора.
По-перше, переконайтеся, що ви використовуєте версію сервісу принаймні 3.7.7. Іншою ймовірною причиною може бути проксі, з яким налаштована ваша ОС. Спробуйте встановити належні параметри проксі в цьому випадку.
За замовчуванням файл конфігурації знаходиться в директорії Program Files\Avtor\UmCAService
, яка захищена від запису для звичайних користувачів. Вам потрібно запустити програму з правами адміністратора, щоб змінити будь-які налаштування. Крім того, ви можете видалити файл конфігурації з цієї директорії, щоб новий файл конфігурації був створений у директорії профілю користувача(%APPDATA%\Avtor\UmCAService
) сервісу, і він буде доступний для змін звичайному користувачу.
Ці 3 основних директорії містять різні файли програми:
-
директорія профілю користувача містить конкретні дані користувача - додаткову конфігурацію, кеш сертифікатів, локальне файлове сховище.
%APPDATA%\Avtor\UmCAService
в Windows, ~/.umcad
в Linux та Mac OS X. -
директорія ресурсів містить різні ресурси програми: сертифікати TLS, статичні файли, тощо.
Program Files\Avtor\UmCAService
в Windows,/usr/share/avtor/umcad/
в Linux,/Applications/UmCAService.app/Contents/Resources
на Mac OS X. -
директорія бінарних файлів містить бінарні файли сервісу.
Program Files\Avtor\UmCAService
в Windows,/usr/bin
в Linux,/Applications/UmCAService.app/MacOS
на Mac OS X.
Можливо, umcaservice вже містить її. Спробуйте пошукати це в офіційній документації для розробників. Якщо ні - повідомте нам на пошту.
umcaservice працює лише з PKCS#11-сумісними пристроями. Сервіс постачається разом із бібліотекою Avtor ST337/ST338 PKCS #11 за замовчуванням. Для підтримки інших пристроїв вам слід зв’язатися зі своїм постачальником, завантажити відповідну бібліотеку PKCS#11 і вказати її в конфігурації umcaservice (Pkcs11Modules
).
Для користувачів MacOS: переконайтеся, що ви використовуєте офіційний адаптер USB від Apple, ми не можемо гарантувати стабільну роботу usb-токенів з несертифікованими адаптерами.
umcaservice підтримує тільки ключі на носії, які зберігаються в активному режимі. Ключі записані в пасивному режимі не підтримуються - в разі їх наявності потрбіно переімпортувати їх в активному режимі. Сервіс працює тільки з такими апаратними ключами, які мають прив'язаний сертифікат. Сертифікат можна прив'язати вручну за допомогою спеціальної утиліти або скористатись авто-прив'язуванням за допомогою сервісу CMP(для версії сервісу не нижче 3.7.18, також потрібно задати відповідне налаштування CMPServices).
Сервіс підтримує роботу в режимі багатокористувацького термінального сервера починаючи з версії 3.8.0. Щоб включити цей режим встановіть порт за замовчуванням(з головного файлу конфігурації з папки застосунку) в нуль. Сервіс запуститься в режимі окремих файлів конфігурації для кожного користувача та обере доступний порт для запуску в інтервалі [26000, 27000] для кожного користувача. Для того щоб повідомити зовнішній додаток про порт скопіюйте ідентифікатор застосунку клікаючи на кнопку "Copy App Id" в меню або скопіюйте ідентифікатор з веб-інтерфейсу сервіса, після цього введіть отриманий ідентифікатор в зовнішній веб-додаток.
Це означає, що неможливо підтвердити довіру до сертифікату, використовуючи лише існуючий список довірених сертифікатів. Для валідації такого сертифіката потрібно додати базу ланцюжка сертифікатів (кореневий сертифікат ЦСК) до списку довірених сертифікатів(TrustedCertificatesDir
). За замовчуванням umcaservice налаштований на використання українських сертифікатів ЦЗО як довірених, а також може бути спеціально налаштований на індивідуальний довірчий список.