1

Тема: Барьер IPSec

Добрый день!

При переходе на версию 6 ПО Барьер IPSec столкнулись со следующей проблемой. На ПЭВМ периодически всплывает окно:
"Вставьте RuToken с ключом SCEPPROTOKOLKEY-XXXX-XXXX-XXXXX-XXXXXX"

Заголовок окна : СКЗИ СКАД Сигнатура

Номер ключа в окне не соответствует номеру ключа СКАД Сигнатура, т.е. внешне это просто набор символов. На работу IPSec с текущими ключами данное окно влияния не оказывает (защищённое соединение работает). Сообщение всплывает периодически и может быть просто закрыто.
ОС Windows 10. Проявляется на 5-6% однотипных ПЭВМ (ноутбуки). Рабочие ключи СКАД Сигнатура на носителях RuToken.

2

Re: Барьер IPSec

Добрый день,
Если посмотреть Журнал Приложений (Application Log)
Там есть такая запись:
CreateRequestMessage GetCACertChain: OK Date: Fri, 12 Nov 2021 04:20:04 GMT Content-Length: 5953 Content-Type: application/x-x509-ca-ra-cert X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=31536000;includeSubDomains x-ms-request-id:   
  Method POST(20922ms)
  Stage CreateRequestMessage

Ссылается она на microsoftaik.azure.net/templates/Aik/scep

Windows Automated Installation Kit (Windows AIK или WAIK) то есть данная служба обратилась к криптопровайдеру для  генерации запроса, и что бы подписать его запросила ключ.

Данный вопрос можно адресовать в Майкрософт.

P.S.
На моем личном ноyтбуке произошло тоже самое, только носитель был не RuToken, а VdToken. После чего я обнаружил запись, что мой ноутбук подходит для установки Windows 11.

3

Re: Барьер IPSec

Добрый день!
Спасибо!

4

Re: Барьер IPSec

Добрый день!

Указанная Вами служба не найдена. Подскажите, а почему это не проявлялось на версии 5?

5

Re: Барьер IPSec

Добрый день!
На одном из ноутбуков в журнале приложений найдена указанная Вами запись об ошибке. Также на ПЭВМ присутствует служба, но окна с загрузкой ключа не появляется. Т.е. однозначной связи нет.

6

Re: Барьер IPSec

Добрый день.
Что понятно на текущий день.

SCEPPROTOKOLKEY из названия понятно что это имеет тношение к SCEP (англ. Simple Certificate Enrollment Protocol) — это протокол инфраструктуры PKI, который используется многими производителями сетевого оборудования и программного обеспечения, которые разрабатывают упрощенные способы запроса и получения сертификатов для масштабного внедрения обычных пользователей.

SCEPPROTOKOLKEY  сеодержится в C:\Windows\System32\CertEnroll.dll, для каких целей и кто вызвал пока не понятно.
Как проявится в следующий раз, попытаемся подключить отладчик к процессу.

7

Re: Барьер IPSec

Добрый день!

Проблему удалось локализовать. Источником является Task с именем AikCertEnrollTask. Данная задача принадлежит Microsoft и регистрирует сертификат ключа удостоверения подлинности.

Расположен
Планировщик заданий - Библиотека планировщик заданий - Microsoft - Windows - CertificateServicesClient - AikCertEnrollTask

Может быть возможно установить причину,  почему это стало происходить именно в 6 версии СКАД Сигнатура?

8

Re: Барьер IPSec

Добрый день,

Спасибо за информацию но в последнее время данное событие больше не проявляется.

Возможно Microsoft  чтот-о поправил