Добрый день!
Кейс: Сетевики в целях безопасности полностью закрывают доступ на внешние ресурсы. Все необходимые ресурсы для работы открываются точечно по запросу. Соответственно, для корректного функционирования алгоритмов подписания нужен список внешних ресурсов, куда шлем запросы.
Дано: Используется типовая связка WSCrypto + Kalkan (режим работы на сервере) для взаимодействия с сервисом ИС ЭСФ.
открыли:
- ocsp.pki.gov.kz 80/443
- tsp.pki.gov.kz 80/443
- crl.pki.gov.kz 80/443
- crl1.pki.gov.kz 80/443
- kgd.gov.kz 443
- pki.gov.kz 443
Но получаем ошибку доступа к сервисам подписи при попытке открыть подписанную сессию с сервером ИС ЭСФ. Ошибка возникает в момент вызова метода GetXMLsSign нативной компоненты WSCrypto.
Если со стороны сетевой безопасности открыть неограниченный доступ, то все отрабатывает штатно, что наталкивает на мысль, что не все внешние ресурсы открыты.
Причем, создается ощущение, что это какой то ресурс на который компонента ходит редко, так как, если после открытого полного доступа, его снова закрывают, некоторое время (несколько дней) механизмы подписания продолжают работать