Ghostik

Цифровая подпись в Teamcenter

43 сообщения в этой теме

Добрый день, решили на предприятии внедрить цифровую подпись. 

 

Есть ли у кого-нибудь опыт внедрения её в Teamcenter?

 

Интересует именно стандартный функционал, который появился с 10.1.4.

 

При настройке появилось много проблем, в частности смены на клиенте алгоритма по умолчанию sha-256, на sha-1.

Изменено пользователем Ghostik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах


Добрый день, решили на предприятии внедрить цифровую подпись. 

 

Есть ли у кого-нибудь опыт внедрения её в Teamcenter?

 

Интересует именно стандартный функционал, который появился с 10.1.4.

 

При настройке появилось много проблем, в частности смены на клиенте алгоритма по умолчанию sha-256, на sha-1.

а у вас получилось подписать что нибудь в тимцентре? я встал на том, что при попытке подписать объект - ругань, погляжу чо гтак скажет но мало ли вы побороли или вас ее не было, а я делаю что-то не так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подписать не получилось.

Первое, настроена модель данных. (если пишет ошибку настройки модели данных)

Второе, должен быть настроен SSO на сервере.

Третье, обойти проверку пользователя. У нас CN в сертификате не соответствует userID в Teamcenter (в коробочном варианте только так). Поэтому в tc_profilevars.bat добавляем строку set TC_DS_USERID_VALIDATION_ENABLED=false.

После этого, если сертификат имеет алгоритм хеширования SHA256, все должно заработать (в теории). У нас алгоритм SHA1, поэтому  в tc_profilevars.bat добавляем строку set TC_DS_HASH_ALGORITHMS=SHA1. 

И тут новые ошибки "Signature contains un-accepted digest algorithm: SHA256" откуда он берет sha256 не понятно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Первое, настроена модель данных. (если пишет ошибку настройки модели данных) Второе, должен быть настроен SSO на сервере. Третье, обойти проверку пользователя. У нас CN в сертификате не соответствует userID в Teamcenter (в коробочном варианте только так). Поэтому в tc_profilevars.bat добавляем строку set TC_DS_USERID_VALIDATION_ENABLED=false.

хммм, SSO сто пудово нужно для авторизации

а вот за TC_DS_USERID_VALIDATION_ENABLED пасиб, чот я проморгал.

если куда сдвинусь отпишусь тут

 

О, а вы какие сертификаты в ТЦ подкладывали и откуда брали их?

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сертификаты от нашего центра сертификации. Криптопровайдер microsoft enhanced cryptographic provider v1.0 (кстати у него я не нашел алгоритма sha256, только sha1 md5)/ была бы возможность, проверил бы на гост 34.10  с sha256.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дерьмо, придется SSO поднимать :(

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSO не нужно, если отключить проверку пользователей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSO не нужно, если отключить проверку пользователей.

А у вас получилось по смарткарте авторзовываться в тимцентре?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Авторизацию через карту не делал. Только через AD или teamcenter

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 10   Опубликовано: (изменено)

Авторизацию через карту не делал. Только через AD или teamcenter

Если будут вопросы по AD, спрашивайте, может помогу, долго провозился разбираясь в премудростях джав,подписей и пр.

 

 

Народ, а кто нить сможет проконсультировать по usb ключам?

вот у меня есть такой ключ, и чо дальше?

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так получилось у кого-то подписать? Смарт карты внедрять займет много времени, можно ли подписывать при авторизации через AD?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
21 минуту назад, tuzik сказал:

Так получилось у кого-то подписать? Смарт карты внедрять займет много времени, можно ли подписывать при авторизации через AD?

неможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
15 часов назад, tuzik сказал:

Так получилось у кого-то подписать? Смарт карты внедрять займет много времени, можно ли подписывать при авторизации через AD?

хотя.... поглядите в сторону Soft PKI

 

http://pki.dowjones.com/pkitoken/win

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

интересно. спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день. 

У кого нибудь получилось подписать в TC?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да

1 пользователю понравилось это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 17   Опубликовано: (изменено)

У меня валит вот такую ошибку. В tc_profilevars.bat прописана переменная: set TC_DS_USERID_VALIDATION_ENABLED=false

Пожалуйста помогите!

error pki.jpg

Изменено пользователем a.kvetkin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Больше инфы давайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ПО:

windows 2008R2 Standart

Oracle-11.2.0.4

java 7u71

TC Server 10.1.7

2-TierClient

Токен esmart(смарт-карта). В винде документы подписывает.

SSO не поднимал.

 

Есть 2 сертификата. корневого ЦС(положил в доверенные ЦС) и пользователя (.pfx) (положил в Личное)

В ТС при установке добавил экспортированный корневой сертификат (.cer) в кодировке DER.

В BMIDE для itemRevision установил константы

Fnd0AllowDigitalSignature=true

Fnd0DigitalSignatureAttributes={item_id,object_desc}

Fnd0DigitalSignatureChildObjects={}

 

В логах:

ERROR - 2018/3/30-11:36:28.589 UTC - TcServer.36075.01.infodba.00030 - 51034: The user validation has failed. Please contact your system administrator. - An error has occurred in validateCreateInputBase for Fnd0DigitalSignature - Teamcenter.CoreModelGeneral.tccore at D:\workdir\tc10171w1128_win64\src\core\tccore\Fnd0DigitalSignatureImpl.cxx(646)

 

ERROR - 2018/3/30-11:36:29.136 UTC - TcServer.36075.01.infodba.00030 - 51034: The user validation has failed. Please contact your system administrator. - An error has occurred in POM_application_objectImpl::applyDigitalSignature() - Teamcenter.CoreModelGeneral.tccore at D:\workdir\tc10171w1128_win64\src\core\tccore\POM_application_objectImpl.cxx(1978)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я буду не оригинален,но что говорит документация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у вас при попытке обратится за подписью, должен срабатывать драйвер вашей карты, я так понимаю он не вызывается?

у вас должны быть загружены все корневые сертификаты (я просто всопоминаю свои шашни с эцп)
 

 

см. еще вот
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Драйвер смарт карты запрашивается и требует ввести пароль. После ввода пароля смарт карты выскакивает та самая ошибка. У меня в тестовых целях одноуровневый ЦС

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 23   Опубликовано: (изменено)

К предыдущему посту не прицепилось,
см.:

 

Цитата

Also for Step 1: When generating the cert files for the Root CA chain, you must choose the Base-64 encoded X.509 (.CER) file. This is because the server (using openssl functions) only works with this format.

 

Цитата

    • TC_DS_HASH_ALGORITHMS
Specifies a list of hash algorithms that are accepted by Teamcenter when creating new PKI digital signatures.
The default Teamcenter installation is configured to use strong hash algorithms as specified in the default value (SHA256, SHA224,SHA386,SHA512 ). You can add hash algorithms that are unavailable in the default value, such as SHA1 .
You can add this variable to your tc_profilevars.bat property file or your tc_profilevars.sh property file to override the default values.
         • If you add digital signature during a patch, check that this variable is set in yourtc_profilevars.bat file or your tc_profilevars.sh file and provide the default list of values (SHA256, SHA224,SHA386,SHA512 ).
          • Using weak has algorithm, such as MD2, MD5 , may allow PKI digital signature forgery. Analyze the security risk before adding weak algorithms.

 

я может глупость спрошу (или скажу) в сертификате на карте имя не кириллицей?

поглядите в %TEMP% корневой сертификат из Teamcenter выгружается? (он должен выгружаться)

и киньте сюда syslog

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1.Имя сертификата на карте латиницей.

2.Корневой сертификат из Teamcenter выгружается.

3.syslog приложил

tcserver.exeb8857be

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, a.kvetkin сказал:

1.Имя сертификата на карте латиницей.

2.Корневой сертификат из Teamcenter выгружается.

3.syslog приложил

tcserver.exeb8857be

Какой у вас SHA ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SHA1. Переменную для SHA1 тоже прописал в tc_profilevars

кстати вот только заметил что у меня в сертификате присутствует кирилица: Сертификат E=a-ivanov@csm.ru, CN=Иванов Иван Иванович, OU=Управляющий директор,OU=Управляющий директор,OU=Управляющий директор, DC=local, DC=local

Не знаю почему OU=Управляющий директор продублировано 3 раза! Но это факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 27   Опубликовано: (изменено)

По вебадресу в сертификате - вирусная угроза. :-D

Это если авасту верить.

Изменено пользователем Алексей256

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

см.

наведите порядок с вашими сертификатами, думаю наличие в них кириллицы мягко говоря не гуд, как бы русофилам не хотелось:)
разрабы хотели вообще отказаться от поддержки SHA-1 где бы то ни было.
в вашей tcss стоит по дефолту SHA-256,

 

из.документации:

Цитата

 

By default, the Teamcenter client communication system (TCCS) component uses the SHA-256 hash algorithm. However, you can change this algorithm to match your need.

1.Open your configuration file. For example:
%USERPROFILE%\Siemens\cfg\tccs\Teamcenter\tcserverproxy.xml


2.Edit the hash algorithm tag value to include the appropriate hash algorithm, such as SHA-256 or SHA-384 or SHA-512 or SHA-1.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Находил эту выдержку про tcserverproxy.xml. Там тоже менял на SHA1. Не помогло

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот из вашего лог-файла

INFO  - 2018/3/30-13:16:02.335 UTC - TcServer.24816.01.infodba.00083 - Signature contains un-accepted digest algorithm: SHA256 - Teamcenter.POM at D:\workdir\tc10171w1128_win64\src\foundation\pom\pom\pom_tcsso.cxx(342)
ERROR - 2018/3/30-13:16:02.351 UTC - TcServer.24816.01.infodba.00083 - 51034: The user validation has failed. Please contact your system administrator. - An error has occurred in validateCreateInputBase for Fnd0DigitalSignature - Teamcenter.CoreModelGeneral.tccore at D:\workdir\tc10171w1128_win64\src\core\tccore\Fnd0DigitalSignatureImpl.cxx(646)

 

Пляшите вокруг этого.

1 час назад, a.kvetkin сказал:

Сертификат E=a-ivanov@csm.ru, CN=Иванов Иван Иванович, OU=Управляющий директор,OU=Управляющий директор,OU=Управляющий директор, DC=local, DC=local

так, делайте все на латинице, это постная х-я.
вас даже скорее всего GTAC завернет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ID: 31   Опубликовано: (изменено)

и еще, обратите внмание, что TC хочет запись в виде SHA тире Номер, т.е. SHA-1 это правильно,  SHA1 - нет.

Изменено пользователем Krusty

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@a.kvetkinну как там у вас?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Гуру Спасибо.Пока никак. Развернул собственных 2 центра сертификации, пытаюсь выдать сертификат клиента и что нибудь подписать в винде, пока не получается. Я никогда не работал с сертификатами, поэтому тяжеловато с этим. Для выдачи сертификата Вы использовали шаблон "Пользователь со смарт картой"? И какого поставщика шифрования выбирали? У меня в инструкции написано, что по умолчанию поставщик шифрования должен стоять Microsoft Base Smart Card Cripto Provider, но в списке его нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 час назад, a.kvetkin сказал:

@Гуру Спасибо.Пока никак. Развернул собственных 2 центра сертификации, пытаюсь выдать сертификат клиента и что нибудь подписать в винде, пока не получается. Я никогда не работал с сертификатами, поэтому тяжеловато с этим. Для выдачи сертификата Вы использовали шаблон "Пользователь со смарт картой"? И какого поставщика шифрования выбирали? У меня в инструкции написано, что по умолчанию поставщик шифрования должен стоять Microsoft Base Smart Card Cripto Provider, но в списке его нет.

с сертификатами я вам не помогу, у меня это все делают совершенно другие люди.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Гуру Я прописал в

1.tc_profilevars.bat:

set TC_DS_USERID_VALIDATION_ENABLED=false

set TC_DS_HASH_ALGORITHMS=SHA-1

 

2.tcserverproxy.xml:

<hashalgorithm name="SHA-1" />

 

В syslog присутствует строка:

INFO  - 2018/4/04-08:30:49.797 UTC - TcServer.91197.01.infodba.00030 - Signature contains un-accepted digest algorithm: SHA256 - Teamcenter.POM at D:\workdir\tc10171w1128_win64\src\foundation\pom\pom\pom_tcsso.cxx(342)
ERROR - 2018/4/04-08:30:49.797 UTC - TcServer.91197.01.infodba.00030 - 51034: The user validation has failed. Please contact your system administrator. - An error has occurred in validateCreateInputBase for Fnd0DigitalSignature - Teamcenter.CoreModelGeneral.tccore at D:\workdir\tc10171w1128_win64\src\core\tccore\Fnd0DigitalSignatureImpl.cxx(646)

 

Есть мысли, почему не съел настройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подобное сообщение было у вас и ранее.

из него я могу лишь сделать один вывод, что в вашей подписи используется алгоритм SHA256 и тц к ней почему-то не готов,

см. чего в моем сертификате написано

 

 

 

3cert.png

2cert.png

1cert.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Гуру Решили проблему! В tc_profilevars.bat необходимо было прописать все алгоритмы шифрования set TC_DS_HASH_ALGORITHMS=SHA1,SHA256,SHA224,SHA386,SHA512

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
18 часов назад, a.kvetkin сказал:

@Гуру Решили проблему! В tc_profilevars.bat необходимо было прописать все алгоритмы шифрования set TC_DS_HASH_ALGORITHMS=SHA1,SHA256,SHA224,SHA386,SHA512

Здорово, что вы решили свой вопрос, но ваше решение говорит о том, что нужно бы покурить побольше мануалов про сертификаты, или отдать ими заниматься специально обученным людями
гляньте в логе какой по факту у вас срабатывает SHA

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Krusty Добрый день! Есть ли возможность выгрузить из подписанного объекта Teamcenter цифровой подписью хэш-сумму? Есть необходимость выгрузить подписанный объект из Teamcenter на файловую систему и проверить каким сертификатом он был подписан и действителен ли он!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 10.07.2018 в 11:03, a.kvetkin сказал:

@Krusty Добрый день! Есть ли возможность выгрузить из подписанного объекта Teamcenter цифровой подписью хэш-сумму? Есть необходимость выгрузить подписанный объект из Teamcenter на файловую систему и проверить каким сертификатом он был подписан и действителен ли он!

посмотрите в атрибутах подписи, я где-то её встречал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу