Ghostik

Цифровая подпись в Teamcenter

Добрый день, решили на предприятии внедрить цифровую подпись. 

 

Есть ли у кого-нибудь опыт внедрения её в Teamcenter?

 

Интересует именно стандартный функционал, который появился с 10.1.4.

 

При настройке появилось много проблем, в частности смены на клиенте алгоритма по умолчанию sha-256, на sha-1.

Изменено пользователем Ghostik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах


Добрый день, решили на предприятии внедрить цифровую подпись. 

 

Есть ли у кого-нибудь опыт внедрения её в Teamcenter?

 

Интересует именно стандартный функционал, который появился с 10.1.4.

 

При настройке появилось много проблем, в частности смены на клиенте алгоритма по умолчанию sha-256, на sha-1.

а у вас получилось подписать что нибудь в тимцентре? я встал на том, что при попытке подписать объект - ругань, погляжу чо гтак скажет но мало ли вы побороли или вас ее не было, а я делаю что-то не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подписать не получилось.

Первое, настроена модель данных. (если пишет ошибку настройки модели данных)

Второе, должен быть настроен SSO на сервере.

Третье, обойти проверку пользователя. У нас CN в сертификате не соответствует userID в Teamcenter (в коробочном варианте только так). Поэтому в tc_profilevars.bat добавляем строку set TC_DS_USERID_VALIDATION_ENABLED=false.

После этого, если сертификат имеет алгоритм хеширования SHA256, все должно заработать (в теории). У нас алгоритм SHA1, поэтому  в tc_profilevars.bat добавляем строку set TC_DS_HASH_ALGORITHMS=SHA1. 

И тут новые ошибки "Signature contains un-accepted digest algorithm: SHA256" откуда он берет sha256 не понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Первое, настроена модель данных. (если пишет ошибку настройки модели данных) Второе, должен быть настроен SSO на сервере. Третье, обойти проверку пользователя. У нас CN в сертификате не соответствует userID в Teamcenter (в коробочном варианте только так). Поэтому в tc_profilevars.bat добавляем строку set TC_DS_USERID_VALIDATION_ENABLED=false.

хммм, SSO сто пудово нужно для авторизации

а вот за TC_DS_USERID_VALIDATION_ENABLED пасиб, чот я проморгал.

если куда сдвинусь отпишусь тут

 

О, а вы какие сертификаты в ТЦ подкладывали и откуда брали их?

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сертификаты от нашего центра сертификации. Криптопровайдер microsoft enhanced cryptographic provider v1.0 (кстати у него я не нашел алгоритма sha256, только sha1 md5)/ была бы возможность, проверил бы на гост 34.10  с sha256.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дерьмо, придется SSO поднимать :(

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSO не нужно, если отключить проверку пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSO не нужно, если отключить проверку пользователей.

А у вас получилось по смарткарте авторзовываться в тимцентре?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Авторизацию через карту не делал. Только через AD или teamcenter

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 10   Опубликовано: (изменено)

Авторизацию через карту не делал. Только через AD или teamcenter

Если будут вопросы по AD, спрашивайте, может помогу, долго провозился разбираясь в премудростях джав,подписей и пр.

 

 

Народ, а кто нить сможет проконсультировать по usb ключам?

вот у меня есть такой ключ, и чо дальше?

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так получилось у кого-то подписать? Смарт карты внедрять займет много времени, можно ли подписывать при авторизации через AD?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
21 минуту назад, tuzik сказал:

Так получилось у кого-то подписать? Смарт карты внедрять займет много времени, можно ли подписывать при авторизации через AD?

неможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 часов назад, tuzik сказал:

Так получилось у кого-то подписать? Смарт карты внедрять займет много времени, можно ли подписывать при авторизации через AD?

хотя.... поглядите в сторону Soft PKI

 

http://pki.dowjones.com/pkitoken/win

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

интересно. спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день. 

У кого нибудь получилось подписать в TC?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да

1 пользователю понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 17   Опубликовано: (изменено)

У меня валит вот такую ошибку. В tc_profilevars.bat прописана переменная: set TC_DS_USERID_VALIDATION_ENABLED=false

Пожалуйста помогите!

error pki.jpg

Изменено пользователем a.kvetkin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Больше инфы давайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ПО:

windows 2008R2 Standart

Oracle-11.2.0.4

java 7u71

TC Server 10.1.7

2-TierClient

Токен esmart(смарт-карта). В винде документы подписывает.

SSO не поднимал.

 

Есть 2 сертификата. корневого ЦС(положил в доверенные ЦС) и пользователя (.pfx) (положил в Личное)

В ТС при установке добавил экспортированный корневой сертификат (.cer) в кодировке DER.

В BMIDE для itemRevision установил константы

Fnd0AllowDigitalSignature=true

Fnd0DigitalSignatureAttributes={item_id,object_desc}

Fnd0DigitalSignatureChildObjects={}

 

В логах:

ERROR - 2018/3/30-11:36:28.589 UTC - TcServer.36075.01.infodba.00030 - 51034: The user validation has failed. Please contact your system administrator. - An error has occurred in validateCreateInputBase for Fnd0DigitalSignature - Teamcenter.CoreModelGeneral.tccore at D:\workdir\tc10171w1128_win64\src\core\tccore\Fnd0DigitalSignatureImpl.cxx(646)

 

ERROR - 2018/3/30-11:36:29.136 UTC - TcServer.36075.01.infodba.00030 - 51034: The user validation has failed. Please contact your system administrator. - An error has occurred in POM_application_objectImpl::applyDigitalSignature() - Teamcenter.CoreModelGeneral.tccore at D:\workdir\tc10171w1128_win64\src\core\tccore\POM_application_objectImpl.cxx(1978)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я буду не оригинален,но что говорит документация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у вас при попытке обратится за подписью, должен срабатывать драйвер вашей карты, я так понимаю он не вызывается?

у вас должны быть загружены все корневые сертификаты (я просто всопоминаю свои шашни с эцп)
 

 

см. еще вот
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Драйвер смарт карты запрашивается и требует ввести пароль. После ввода пароля смарт карты выскакивает та самая ошибка. У меня в тестовых целях одноуровневый ЦС

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 23   Опубликовано: (изменено)

К предыдущему посту не прицепилось,
см.:

 

Цитата

Also for Step 1: When generating the cert files for the Root CA chain, you must choose the Base-64 encoded X.509 (.CER) file. This is because the server (using openssl functions) only works with this format.

 

Цитата

    • TC_DS_HASH_ALGORITHMS
Specifies a list of hash algorithms that are accepted by Teamcenter when creating new PKI digital signatures.
The default Teamcenter installation is configured to use strong hash algorithms as specified in the default value (SHA256, SHA224,SHA386,SHA512 ). You can add hash algorithms that are unavailable in the default value, such as SHA1 .
You can add this variable to your tc_profilevars.bat property file or your tc_profilevars.sh property file to override the default values.
         • If you add digital signature during a patch, check that this variable is set in yourtc_profilevars.bat file or your tc_profilevars.sh file and provide the default list of values (SHA256, SHA224,SHA386,SHA512 ).
          • Using weak has algorithm, such as MD2, MD5 , may allow PKI digital signature forgery. Analyze the security risk before adding weak algorithms.

 

я может глупость спрошу (или скажу) в сертификате на карте имя не кириллицей?

поглядите в %TEMP% корневой сертификат из Teamcenter выгружается? (он должен выгружаться)

и киньте сюда syslog

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1.Имя сертификата на карте латиницей.

2.Корневой сертификат из Teamcenter выгружается.

3.syslog приложил

tcserver.exeb8857be

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, a.kvetkin сказал:

1.Имя сертификата на карте латиницей.

2.Корневой сертификат из Teamcenter выгружается.

3.syslog приложил

tcserver.exeb8857be

Какой у вас SHA ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SHA1. Переменную для SHA1 тоже прописал в tc_profilevars

кстати вот только заметил что у меня в сертификате присутствует кирилица: Сертификат E=a-ivanov@csm.ru, CN=Иванов Иван Иванович, OU=Управляющий директор,OU=Управляющий директор,OU=Управляющий директор, DC=local, DC=local

Не знаю почему OU=Управляющий директор продублировано 3 раза! Но это факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 27   Опубликовано: (изменено)

По вебадресу в сертификате - вирусная угроза. :-D

Это если авасту верить.

Изменено пользователем Алексей256

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

см.

наведите порядок с вашими сертификатами, думаю наличие в них кириллицы мягко говоря не гуд, как бы русофилам не хотелось:)
разрабы хотели вообще отказаться от поддержки SHA-1 где бы то ни было.
в вашей tcss стоит по дефолту SHA-256,

 

из.документации:

Цитата

 

By default, the Teamcenter client communication system (TCCS) component uses the SHA-256 hash algorithm. However, you can change this algorithm to match your need.

1.Open your configuration file. For example:
%USERPROFILE%\Siemens\cfg\tccs\Teamcenter\tcserverproxy.xml


2.Edit the hash algorithm tag value to include the appropriate hash algorithm, such as SHA-256 or SHA-384 or SHA-512 or SHA-1.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Находил эту выдержку про tcserverproxy.xml. Там тоже менял на SHA1. Не помогло

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот из вашего лог-файла

INFO  - 2018/3/30-13:16:02.335 UTC - TcServer.24816.01.infodba.00083 - Signature contains un-accepted digest algorithm: SHA256 - Teamcenter.POM at D:\workdir\tc10171w1128_win64\src\foundation\pom\pom\pom_tcsso.cxx(342)
ERROR - 2018/3/30-13:16:02.351 UTC - TcServer.24816.01.infodba.00083 - 51034: The user validation has failed. Please contact your system administrator. - An error has occurred in validateCreateInputBase for Fnd0DigitalSignature - Teamcenter.CoreModelGeneral.tccore at D:\workdir\tc10171w1128_win64\src\core\tccore\Fnd0DigitalSignatureImpl.cxx(646)

 

Пляшите вокруг этого.

1 час назад, a.kvetkin сказал:

Сертификат E=a-ivanov@csm.ru, CN=Иванов Иван Иванович, OU=Управляющий директор,OU=Управляющий директор,OU=Управляющий директор, DC=local, DC=local

так, делайте все на латинице, это постная х-я.
вас даже скорее всего GTAC завернет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 31   Опубликовано: (изменено)

и еще, обратите внмание, что TC хочет запись в виде SHA тире Номер, т.е. SHA-1 это правильно,  SHA1 - нет.

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@a.kvetkinну как там у вас?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Гуру Спасибо.Пока никак. Развернул собственных 2 центра сертификации, пытаюсь выдать сертификат клиента и что нибудь подписать в винде, пока не получается. Я никогда не работал с сертификатами, поэтому тяжеловато с этим. Для выдачи сертификата Вы использовали шаблон "Пользователь со смарт картой"? И какого поставщика шифрования выбирали? У меня в инструкции написано, что по умолчанию поставщик шифрования должен стоять Microsoft Base Smart Card Cripto Provider, но в списке его нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 час назад, a.kvetkin сказал:

@Гуру Спасибо.Пока никак. Развернул собственных 2 центра сертификации, пытаюсь выдать сертификат клиента и что нибудь подписать в винде, пока не получается. Я никогда не работал с сертификатами, поэтому тяжеловато с этим. Для выдачи сертификата Вы использовали шаблон "Пользователь со смарт картой"? И какого поставщика шифрования выбирали? У меня в инструкции написано, что по умолчанию поставщик шифрования должен стоять Microsoft Base Smart Card Cripto Provider, но в списке его нет.

с сертификатами я вам не помогу, у меня это все делают совершенно другие люди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Гуру Я прописал в

1.tc_profilevars.bat:

set TC_DS_USERID_VALIDATION_ENABLED=false

set TC_DS_HASH_ALGORITHMS=SHA-1

 

2.tcserverproxy.xml:

<hashalgorithm name="SHA-1" />

 

В syslog присутствует строка:

INFO  - 2018/4/04-08:30:49.797 UTC - TcServer.91197.01.infodba.00030 - Signature contains un-accepted digest algorithm: SHA256 - Teamcenter.POM at D:\workdir\tc10171w1128_win64\src\foundation\pom\pom\pom_tcsso.cxx(342)
ERROR - 2018/4/04-08:30:49.797 UTC - TcServer.91197.01.infodba.00030 - 51034: The user validation has failed. Please contact your system administrator. - An error has occurred in validateCreateInputBase for Fnd0DigitalSignature - Teamcenter.CoreModelGeneral.tccore at D:\workdir\tc10171w1128_win64\src\core\tccore\Fnd0DigitalSignatureImpl.cxx(646)

 

Есть мысли, почему не съел настройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подобное сообщение было у вас и ранее.

из него я могу лишь сделать один вывод, что в вашей подписи используется алгоритм SHA256 и тц к ней почему-то не готов,

см. чего в моем сертификате написано

 

 

 

3cert.png

2cert.png

1cert.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Гуру Решили проблему! В tc_profilevars.bat необходимо было прописать все алгоритмы шифрования set TC_DS_HASH_ALGORITHMS=SHA1,SHA256,SHA224,SHA386,SHA512

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
18 часов назад, a.kvetkin сказал:

@Гуру Решили проблему! В tc_profilevars.bat необходимо было прописать все алгоритмы шифрования set TC_DS_HASH_ALGORITHMS=SHA1,SHA256,SHA224,SHA386,SHA512

Здорово, что вы решили свой вопрос, но ваше решение говорит о том, что нужно бы покурить побольше мануалов про сертификаты, или отдать ими заниматься специально обученным людями
гляньте в логе какой по факту у вас срабатывает SHA

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Krusty Добрый день! Есть ли возможность выгрузить из подписанного объекта Teamcenter цифровой подписью хэш-сумму? Есть необходимость выгрузить подписанный объект из Teamcenter на файловую систему и проверить каким сертификатом он был подписан и действителен ли он!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 10.07.2018 в 11:03, a.kvetkin сказал:

@Krusty Добрый день! Есть ли возможность выгрузить из подписанного объекта Teamcenter цифровой подписью хэш-сумму? Есть необходимость выгрузить подписанный объект из Teamcenter на файловую систему и проверить каким сертификатом он был подписан и действителен ли он!

посмотрите в атрибутах подписи, я где-то её встречал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу



  • Реклама

  • Сообщения

    • Fedor
      https://ru.wikipedia.org/wiki/Закон_сохранения_энергии    Кстати в теории пластичности обычно тепловые эффекты не учитываются, то есть даже если принимать теплоту как энергию, а это не так, энергия не консервативна. Часть работы идет на накопление энергии, но далеко не вся. В жестко-пластической модели вообще пренебрегают энергие и считают что вся работа внешних сил переходит в пластическую работу. Пример - образование пластических шарниров в балках .... :) 
    • soklakov
      Они были правы. Дело не в приблизительности. Дело в надежности. Вы бы нескоро об этом узнали, но когда Вы стали бы бить кривыми тетрами свои тончайшие профлисты, то добавили бы в модель столько избыточной жесткости, что ошиблись бы в предсказании поведения конструкции... в опасную сторону. Учитывая Ваши замашки, однажды Вы уменьшите коэффициент запаса до единицы. После чего в лучшем случае будет приличный материальный ущерб, а о худшем не хочется думать.   Теперь Вы, вроде, это знаете. Можете даже еще пополнить знания, погуглив Shear Locking. Но спасет ли это Вас? Понимаете ли Вы, почему не должны рассчитывать на профлист? Или планируете всерьез уменьшить запас до единицы? Если да, то вот еще мысль: при проведении линейного расчета (о, чёрт, есть еще и нелинейные) Ваши профлисты не потеряют устойчивость - опять избыточная жесткость. Проводить нелинейные долго и дорого. Как быть? Реальность такова, что контейнеры следует считать в балках. Где этому научиться? Что нужно сказать, чтобы Вы поверили?
    • SAPRonOff
      да, давненько уже есть  
    • k_v
      @SAPRonOff во флексе есть создание листовой детали по граням твердого тела/поверхности?
    • soklakov
      если нас простят за оффтоп, то хотелось бы подробностей. при трении работа в итоге в тепло уйдет, но так чтобы энергия исчезла? с пластикой в целом та же песня - в тепло. видится мне, к примеру, непонятки с исчезновением энергии при создании и обработке информации. работа вроде была, а куда энергия делась... если поделитесь фантазиями, а то и теоремами в этом направлении - заранее спасибо))
    • Skinwalker
      Друг мой, я подразумевал не "нажимание кнопок". Я имел ввиду знание именно сопромата, элементарных вещей. Без которых все сведется именно к бездумному "нажиманию кнопок". И какая там система...Компас, SW или Ансис - это глубоко вторично. Начните читать что-нибудь из Беляева, с азов. 
    • kirillvostok
      Продаем станки с ЧПУ из Китая , офис в Москве . А так же продаем проволоку, СОЖ для эрозионных станков  Занимаемся изготовлением деталей в пос. Софрино Моск. Обл. Есть станки  с ЧПУ токарный, фрезерный , эрозионные и др. Кирилл 8 (977)489 9101
    • Slot555
      Доброго коллеги!   Как в NX привязать СКС к заготовке что бы она при повороте перемещалась вместе с заготовкой, но направление осей не менялось?
    • r_roman_r
      Ну не 3 года же учиться? В компасе есть эта функция, но работает плохо. Отдельные элементы считает, а большие сборки - виснет через несколько часов расчета.
    • Skinwalker
      Почитать? Этому надо учиться. Как-то так... МКЭ надо пользоваться...не бездумно.