ГТД Терминальная. Косячная реализация проставления ЭЦП?

[prizrock]

Сделал интересное наблюдение, касаемо терминальной версии Альты.
Проблема: после перехода на терминальную версию наблюдаются подвисания при отправки-приеме сообщени ЭД у всех декларантов , хотя отправкой и обработкой сообщений занимается один.
Что только не делали, чтоб решить проблему (увеличивали производительность сервера, проверяли каналы связи и т.д.)

В итоге пришел к выводу, что при разработке терминальной версии Альты не менялся алгоритм проставления подписи.
Остался такой же как в локальной версии.
Поэтому создается некоторое подобие очереди, которая последовательно обрабатывается.
из-за чего возникают зависания.

Для меня это очень критичный вопрос, так как в терминальной версии работает 30 человек.
Что скажете?

[Nick]

Конечно алгоритм проставления подписи не менялся. А с чего бы? Таможне не важно, стоит файл gtdw.exe на одной машине, или на разных. Ей важно только, чтобы каждая декларация была подписана ЭЦП именно ее конкретного декларанта. А кто потом уже подписанные сообщения отсылает в интернет - это совсем другая песня.

Подпись опять таки ставим не совсем мы, а ГОСТ-овая программа "Крипто-ПРО". Мы ее только зовем - и ждем пока отработает. Поэтому насчет оптимизации работы с терминалками наверное в первую очередь стоит поговорить с их техподдержкой.

От себя скажу что при тормозах с подписью очень часто помогало:
1) В "Панели управления" Windows найти и запустить "КриптоПро CSP".
2) На закладке "Общие" нажать "Запустить с правами администратора".
3) На закладке "Безопасность" поставить галочку "включить кэширование" и увеличить размер кэша до числа пользователей с некоторым запасом.
4) Возможно потребуется перезапуск.

[prizrock]

От себя скажу что при тормозах с подписью очень часто помогало:
1) В "Панели управления" Windows найти и запустить "КриптоПро CSP".
2) На закладке "Общие" нажать "Запустить с правами администратора".
3) На закладке "Безопасность" поставить галочку "включить кэширование" и увеличить размер кэша до числа пользователей с некоторым запасом.
4) Возможно потребуется перезапуск.

Это уже сделано. Без этой настройки нормально не возможно было работать.

Вы в принципе логично все расписали про КриптоПро.

Ваш программный продукт работает исключительно с КриптоПро, при этом вы с ними никак не взаимодействуете?
Почему вы не стремитесь улучшить конечный продукт?

[Nick]

Мы и Крипто-ПРО, это почти что как мы и Microsoft. Просто пользователи. Если что-то не так - звоним им в техподдержку, без всяких привилегий, точно так же как и вы.

А вопрос здесь уже скорее не к нам, а к организации работы Крипто-ПРО на сервере. Я так понял, что в момент подписи в ОДНОЙ из сессий подвисают ВСЕ? Вообще-то такое поведение для терминального сервера нетипично, должны же быть изолированные потоки для каждого юзера. Значит блокируется какой-то критический ресурс.

Например не проходит запрос "проверить все вставленные ключи".
Попробуйте включить в едином списке настроек в положение "1" переменную
; Проверять ключ ЭЦП
; 0 - при каждой отправке сообщения
; 1 - только один раз, когда его вставляют в USB
UpdateCertsIfDeviceChange=1

Она уменьшит число опросов электронных ключей, то есть будет производить его только при вставке/отключении eToken. Это если у вас USB, конечно, а не дискеты и не реестр.

Сейчас еще дам ссылку на эту ветку нашему программисту который конкретно реализовывал ЭЦП, может у него появятся еще идеи...

[prizrock]

Спасибо за помощь и желание разобраться в проблеме!

А вопрос здесь уже скорее не к нам, а к организации работы Крипто-ПРО на сервере. Я так понял, что в момент подписи в ОДНОЙ из сессий подвисают ВСЕ? Вообще-то такое поведение для терминального сервера нетипично, должны же быть изолированные потоки для каждого юзера. Значит блокируется какой-то критический ресурс.

Уточню ситуацию:
Работает предположим 8 декларантов, каждый соответственно в разных сессиях. Работают очень активно - постоянно отправляют, подписывают.
И в какой-то момент в разных сессиях подвисает именно программа Альта. Например у Декларантов которые просто бьют декларацию.
Под доставку и отправку выделен отдельный компьютер (сессия).

[Nick]

Если на всех машинах в настройке ЭД стоит "доставкой почты занимается другой компьютер" - то они не могут ставить подписи в процессе обычной работы. А только после нажатия кнопки "молния" или еще каком-то таком сознательном действии.

В этом случае источником тормоза является вовсе не ЭЦП. А например MS SQL и автосохранение на него тысячетоварного инвойса каждую минуту. Логи SQL-сервера и его загрузку смотрели?

Если же в настройке ЭД стоит "Только обработка без доставки" - тогда да, каждый ставит на свои автоответы свою ЭЦП и главный подозреваемый в подвисаниях - Крипто-ПРО.

[prizrock]

Если на всех машинах в настройке ЭД стоит "доставкой почты занимается другой компьютер" - то они не могут ставить подписи в процессе обычной работы. А только после нажатия кнопки "молния" или еще каком-то таком сознательном действии.

Вы все верно говорите.
Это справедливо и отлично работает, если Альта установлена локально на компьютеры.
И под отправку-доставку выделен отдельный компьютер.

В моем же случае используется терминальная версия Альты. Один компьютер-сервер и разные сессии.
Так вот под одной сессией происходит отправка-доставка сообщений и подписание.
Под остальными сессиями декларанты просто работают.
Подвисания возникают именно при данной схеме.

[Nick]

В моем же случае используется терминальная версия Альты. Один компьютер-сервер и разные сессии. Так вот под одной сессией происходит отправка-доставка сообщений и подписание.
Под остальными сессиями декларанты просто работают.
Подвисания возникают именно при данной схеме.

Ну, то есть все-таки проблема формулируется как "на терминал-сервере одна сессия завешивает все остальные". Я честно говоря не знаю как такое можно сделать программно, по мне так это "болезнь" конкретной реализации терминал-сервера.

Чисто эмпирически можно попробовать переложить подпись и отправку сообщений на отдельную физическую машину (которая смотрит на ту же самую SQL БД). Причем не обязательно для этого ставить на нее полную "Альту". Существует edservice.exe в составе ПК "ГТД-Сервер" (он от 10 рабочих мест дается бесплатно). Который умеет на любой виндовый сервак сервисом ставиться. Коротенькая инструкция по настройке здесь

[prizrock]

Чисто эмпирически можно попробовать переложить подпись и отправку сообщений на отдельную физическую машину (которая смотрит на ту же самую SQL БД). Причем не обязательно для этого ставить на нее полную "Альту". Существует edservice.exe в составе ПК "ГТД-Сервер" (он от 10 рабочих мест дается бесплатно). Который умеет на любой виндовый сервак сервисом ставиться. Коротенькая инструкция по настройке здесь

Да, спасибо, про это в курсе. В крайнем случае попробуем. Просто не хочется еще один костыль ставить.

Ну, то есть все-таки проблема формулируется как "на терминал-сервере одна сессия завешивает все остальные". Я честно говоря не знаю как такое можно сделать программно, по мне так это "болезнь" конкретной реализации терминал-сервера.

Если грубо формулировать проблему, то можно и так
По факту не понятно как реализована работа КриптоПро с несколькими сессиями. Например в одной сессии идет отправка-доставка служебных сообщений (с подписанием ЭЦП), в другой декларант нажимает на молнию( и тоже идет подписание ЭЦП).
Умеет ли Крипто Про одновременно параллельно подписывать в двух сессиях? Или создается очередь?

У нас в компании в планах полностью переход на терминальную версию Альты с количеством лицензий 30-40 человек и вот боюсь что комфортно работать не сможем.

[Nick]

По факту не понятно как реализована работа КриптоПро с несколькими сессиями. Умеет ли Крипто Про одновременно параллельно подписывать в двух сессиях? Или создается очередь?

Вот тут моя компетенция, к сожалению, заканчивается, это уже вопрос явно сюда http://www.cryptopro.ru/forum2/

У нас в компании в планах полностью переход на терминальную версию Альты с количеством лицензий 30-40 человек и вот боюсь что комфортно работать не сможем.

Если ближе к сентябрю вопрос не решится - пишите сюда еще раз или звоните в техподдержку. Должны выйти из отпуска еще двое специалистов, кто с Крипто Про больше работал.

[Ranger_Z]

Ну, то есть все-таки проблема формулируется как "на терминал-сервере одна сессия завешивает все остальные". Я честно говоря не знаю как такое можно сделать программно, по мне так это "болезнь" конкретной реализации терминал-сервера.

Чисто эмпирически можно попробовать переложить подпись и отправку сообщений на отдельную физическую машину (которая смотрит на ту же самую SQL БД). Причем не обязательно для этого ставить на нее полную "Альту". Существует edservice.exe в составе ПК "ГТД-Сервер" (он от 10 рабочих мест дается бесплатно). Который умеет на любой виндовый сервак сервисом ставиться. Коротенькая инструкция по настройке здесь

Что-то не работает такая система. Сервис видит базу и даже пытается отправлять, но в логе пишется что папка отправки пуста, хотя в папке лежат сообщения.
А инструкция вообще-то древняя

[alta_olg]

Ну, то есть все-таки проблема формулируется как "на терминал-сервере одна сессия завешивает все остальные". Я честно говоря не знаю как такое можно сделать программно, по мне так это "болезнь" конкретной реализации терминал-сервера.

Чисто эмпирически можно попробовать переложить подпись и отправку сообщений на отдельную физическую машину (которая смотрит на ту же самую SQL БД). Причем не обязательно для этого ставить на нее полную "Альту". Существует edservice.exe в составе ПК "ГТД-Сервер" (он от 10 рабочих мест дается бесплатно). Который умеет на любой виндовый сервак сервисом ставиться. Коротенькая инструкция по настройке здесь

Что-то не работает такая система. Сервис видит базу и даже пытается отправлять, но в логе пишется что папка отправки пуста, хотя в папке лежат сообщения.
А инструкция вообще-то древняя

Должна работать, и работает такая схема!
Причем ЭД сервис как служба работает.
Надо разбираться, звоните.

[nibras]

Вопрос про ЭЦП на терминальной версии.
Возможно сделать чтоб ЭЦП стояла только на сервере и все пользователи пользовались ей.
Сейчас терминал цепляет локально установленные ЭЦП, а так как пользователей достаточно много хочется убрать большую часть эцп.

[alex_200]

При терминальном подключении к удаленному рабочему столу, локальные ЭЦП системой не видятся.

[nibras]

При терминальном подключении к удаленному рабочему столу, локальные ЭЦП системой не видятся.

т.е. данный вариант вообще не реален?

[Nick]

Вот здесь обсуждалось, вроде как всё получилось
viewtopic.php?f=36&t=20965

crexa 22 фев 2012 09:58
При использовании ЭЦП с локальных компов, подключённых к терминальной сессии на локальных компах должен стоять драйвер etoken, также как на терминальном сервере, а Крипто-про достаточно иметь только на терминальном сервере. Технология выглядит так: ЭЦП локального компа через драйвер на нём подключается к локальной системе, через проброс смарт-карт перекидывается в терминальную сессию, драйвером на терминалке подключается к системе в терминальной сессии и используется установленной на терминале Крипто-про для подписывания.

[nibras]

мне как раз надо наоборот. ЭЦП нужно чтоб стояло только на сервере.

[Nick]

Извиняюсь, не так понял. Почитайте форумы Крипто-Про, например вот:
http://www.cryptopro.ru/forum2/default. ... 10#post810

Это вопрос уже настройки именно Крипто-Про на сервере, а не Альты на рабочих местах.
И учтите что такой метод (собрать все ЭЦП на сервер) очень сомнителен в смысле безопасности.
Ну разве одну, служебную, для подписи автоматических подтверждений доставки сообщений.

[aiki]

Сама концепция использования смарт-карт и подобных устройств не допускает такого использования. При использовании ТС ваша схема работать не будет. Только через левый костыли, правки библиотек ТС, где то встречал. Но, имхо, это не верно. ЭП должна быть у подписанта в руках, иначе теряется смысл.

[Yevgenij78]

Имеется в работе терминальный сервер для работы декларантов с ЭД-2. Да, были серьезные подвисания при подписании документов ЭЦП, пока в техподдержке Альта-Софт не порекомендовали включить кэширование в настройках Крипто-Про. Кстати, сама поддержка Крипто-Про не особо контактная в отличие Альта-Софт и кроме стандартных "Спасибо, что выбрали наш продукт" по существу никаких решений не выдает.
Отправкой сообщений занимается установленная на этом же сервере служба ЭД-Сервис, в настройках которой стоит переключатель "Только отправка без обработки". В настройках ЭД ГТД-Про у декларантов установлен переключатель "Только обработка без доставки". Таким образом подписания осуществляются с каждого декларантского рабочего места ЭЦП подключенной к локальному компьютеру. На сервере никаких ЭЦП физически не установлено и да, они не видны в терминальных сессиях, если их все же попытаться к серверу подключить.
По поводу подвисаний. Да, есть в сравнении с локальной реализацией работы ЭД-2 заметные тормоза, когда осуществляет процесс подписания сообщений. И да, он влияет не только на конкретную сессию, но и другие декларанты в эти моменты замечают подвисание. Но в целом не так критично, чтобы отказаться от всех прочих преимуществ такой схемы работы.