Error 0x80090308 returned by initializesecuritycontext 2 - Исправление ошибок и поиск оптимальных решений проблем

frolalex	#1 Оставлено : 19 октября 2015 г. 11:01:37(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.10.2015(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	Установлен CSP 3.9 Через «C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc» в личные импортирован: а) Сертификат Личный б) Доверенные корневые центры Установлен Stunnel с таким конфигом: output=c:stunneltempstun.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 debug=7 [https] client=yes accept=10.0.3.32:1500 connect=icrs.nbki.ru:80 cert=C:stunneltempnbki.cer verify=2 Сервис стартует от конкретного юзера. При любом обращении на 1500 порт через IE получаем в логах: 2015.10.19 10:02:52 LOG7[4068:3792]: https accepted FD=512 from 10.0.3.32:56232 2015.10.19 10:02:52 LOG7[4068:3792]: Creating a new thread 2015.10.19 10:02:52 LOG7[4068:3792]: New thread created 2015.10.19 10:02:52 LOG7[4068:5864]: client start 2015.10.19 10:02:52 LOG7[4068:5864]: https started 2015.10.19 10:02:52 LOG7[4068:5864]: FD 512 in non-blocking mode 2015.10.19 10:02:52 LOG7[4068:5864]: TCP_NODELAY option set on local socket 2015.10.19 10:02:52 LOG5[4068:5864]: https connected from 10.0.3.32:56232 2015.10.19 10:02:52 LOG7[4068:5864]: FD 340 in non-blocking mode 2015.10.19 10:02:52 LOG7[4068:5864]: https connecting 2015.10.19 10:02:52 LOG7[4068:5864]: connect_wait: waiting 10 seconds 2015.10.19 10:02:52 LOG7[4068:5864]: connect_wait: connected 2015.10.19 10:02:52 LOG7[4068:5864]: Remote FD=340 initialized 2015.10.19 10:02:52 LOG7[4068:5864]: TCP_NODELAY option set on remote socket 2015.10.19 10:02:52 LOG7[4068:5864]: start SSPI connect 2015.10.19 10:02:52 LOG5[4068:5864]: try to read the client certificate 2015.10.19 10:02:52 LOG7[4068:5864]: open file C:stunneltempnbki.cer with certificate 2015.10.19 10:02:52 LOG3[4068:5864]: ** Error 0x8009030d returned by AcquireCredentialsHandle 2015.10.19 10:02:52 LOG3[4068:5864]: Credentials complete 2015.10.19 10:02:52 LOG3[4068:5864]: Error creating credentials 2015.10.19 10:02:52 LOG5[4068:5864]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2015.10.19 10:02:52 LOG7[4068:5864]: free Buffers 2015.10.19 10:02:52 LOG7[4068:5864]: delete c->hContext 2015.10.19 10:02:52 LOG7[4068:5864]: delete c->hClientCreds 2015.10.19 10:02:52 LOG5[4068:5864]: incomp_mess = 0, extra_data = 0 2015.10.19 10:02:52 LOG7[4068:5864]: https finished (0 left) Без Stunnel через IE зайти на https://icrs.nbki.ru/score получается. Получаю: HTTP Status 405 — HTTP method GET is not supported by this URL…. Вопрос, что надо для Stunnel надо сделать, чтобы избавиться от «Error 0x8009030d returned by AcquireCredentialsHandle»?**

Андрей Писарев	#2 Оставлено : 19 октября 2015 г. 11:30:26(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,753 Сказал «Спасибо»: 451 раз Поблагодарили: 1840 раз в 1423 постах	Цитата: Через «C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc» в личные импортирован: а) Сертификат Личный Цитата: Сервис стартует от конкретного юзера. КриптоПРО CSPСервисПротестироватьПо сертификату — есть в списке личный сертификат? Тестирование завершается успешно?
Техническую поддержку оказываем тут Наша база знаний
	WWW

frolalex	#3 Оставлено : 19 октября 2015 г. 11:46:21(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.10.2015(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	Автор: Андрей * Цитата: Через «C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc» в личные импортирован: а) Сертификат Личный Цитата: Сервис стартует от конкретного юзера. КриптоПРО CSPСервисПротестироватьПо сертификату — есть в списке личный сертификат? Тестирование завершается успешно? При нажатии на «По сертификату…» 1. Открывается окно «Безопасность Windows», Выбор Сертификата. Выбираю сертификат по «ОК» 2. Прописываю в «Имя ключевого контейнера» = «Пользователя» 3. После «далее» вылазит окно, которое просит «Вставьте ключевой носитель «Пользователя»». С выбором «Реестр» и «Дисковод А». В первом: «Файл на найден», во втором «Отсутствует носитель». Правильно я понимаю, что надо контейнер закрытого ключа перенести сначала в реестр? В случае работы с НБКИ надо у них просить?

Андрей Писарев	#4 Оставлено : 19 октября 2015 г. 17:54:10(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,753 Сказал «Спасибо»: 451 раз Поблагодарили: 1840 раз в 1423 постах	Автор: frolalex Автор: Андрей * Цитата: Через «C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc» в личные импортирован: а) Сертификат Личный Цитата: Сервис стартует от конкретного юзера. КриптоПРО CSPСервисПротестироватьПо сертификату — есть в списке личный сертификат? Тестирование завершается успешно? При нажатии на «По сертификату…» 1. Открывается окно «Безопасность Windows», Выбор Сертификата. Выбираю сертификат по «ОК» 2. Прописываю в «Имя ключевого контейнера» = «Пользователя» 3. После «далее» вылазит окно, которое просит «Вставьте ключевой носитель «Пользователя»». С выбором «Реестр» и «Дисковод А». В первом: «Файл на найден», во втором «Отсутствует носитель». Правильно я понимаю, что надо контейнер закрытого ключа перенести сначала в реестр? В случае работы с НБКИ надо у них просить? У Вас есть пользовательский сертификат и контейнер с закрытым ключом? После пункта 1 — должно появиться имя контейнера автоматически, если личный сертификат был корректно установлен в Личное хранилище. Вы импортировали файл (.cer) через консоль управления сертификатами? Тогда у Вас нет связи сертификата с контейнером (закрытый ключ). Делайте по инструкции: Инструкция стр. 38 и далее.
Техническую поддержку оказываем тут Наша база знаний
	WWW

frolalex	#5 Оставлено : 20 октября 2015 г. 11:14:44(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.10.2015(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	Автор: Андрей * У Вас есть пользовательский сертификат и контейнер с закрытым ключом? После пункта 1 — должно появиться имя контейнера автоматически, если личный сертификат был корректно установлен в Личное хранилище. Вы импортировали файл (.cer) через консоль управления сертификатами? Тогда у Вас нет связи сертификата с контейнером (закрытый ключ). Делайте по инструкции: Инструкция стр. 38 и далее. Пользовательского сертификата и контейнера нет. Соответственно, по доке не могу сделать, так как Ключевых контейнеров нет. Письмо-ответ из НБКИ пришел, что закрытого ключа и личного сертификата не требуется. Убрал ссылку на сертификат из conf. Дошел до handshake. буду дальше копать… 2015.10.20 11:00:33 LOG7[5276:4396]: https accepted FD=228 from 10.0.3.32:60933 2015.10.20 11:00:33 LOG7[5276:4396]: Creating a new thread 2015.10.20 11:00:33 LOG7[5276:4396]: New thread created 2015.10.20 11:00:33 LOG7[5276:9632]: client start 2015.10.20 11:00:33 LOG7[5276:9632]: https started 2015.10.20 11:00:33 LOG7[5276:9632]: FD 228 in non-blocking mode 2015.10.20 11:00:33 LOG7[5276:9632]: TCP_NODELAY option set on local socket 2015.10.20 11:00:33 LOG5[5276:9632]: https connected from 10.0.3.32:60933 2015.10.20 11:00:33 LOG7[5276:9632]: FD 336 in non-blocking mode 2015.10.20 11:00:33 LOG7[5276:9632]: https connecting 2015.10.20 11:00:33 LOG7[5276:9632]: connect_wait: waiting 10 seconds 2015.10.20 11:00:33 LOG7[5276:9632]: connect_wait: connected 2015.10.20 11:00:33 LOG7[5276:9632]: Remote FD=336 initialized 2015.10.20 11:00:33 LOG7[5276:9632]: TCP_NODELAY option set on remote socket 2015.10.20 11:00:33 LOG7[5276:9632]: start SSPI connect 2015.10.20 11:00:33 LOG3[5276:9632]: Credentials complete 2015.10.20 11:00:33 LOG7[5276:9632]: 121 bytes of handshake data sent 2015.10.20 11:00:33 LOG5[5276:9632]: 2920 bytes of handshake(in handshake loop) data received. 2015.10.20 11:00:33 LOG3[5276:9632]: **** Error 0x80090308 returned by InitializeSecurityContext (2) 2015.10.20 11:00:33 LOG3[5276:9632]: Error performing handshake 2015.10.20 11:00:33 LOG5[5276:9632]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2015.10.20 11:00:33 LOG7[5276:9632]: free Buffers 2015.10.20 11:00:33 LOG7[5276:9632]: delete c->hContext 2015.10.20 11:00:33 LOG7[5276:9632]: delete c->hClientCreds 2015.10.20 11:00:33 LOG5[5276:9632]: incomp_mess = 0, extra_data = 0 2015.10.20 11:00:33 LOG7[5276:9632]: https finished (0 left)

Андрей Писарев	#6 Оставлено : 20 октября 2015 г. 11:25:05(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 11,753 Сказал «Спасибо»: 451 раз Поблагодарили: 1840 раз в 1423 постах	Цитата: connect=icrs.nbki.ru:80 Почему?
Техническую поддержку оказываем тут Наша база знаний
	WWW
1 пользователь поблагодарил Андрей * за этот пост.	frolalex оставлено 20.10.2015(UTC)

frolalex	#7 Оставлено : 20 октября 2015 г. 12:46:30(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 19.10.2015(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	Автор: Андрей * Цитата: connect=icrs.nbki.ru:80 Почему? в IE добился открытия страницы: http://10.0.3.32:1500/score2 с такими CONF: output=c:stunneltempstun.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 debug=7 [https] client=yes accept=10.0.3.32:1500 connect=icrs.nbki.ru:443 verify=0 и с таким логом: 2015.10.20 12:25:31 LOG7[4168:5432]: https accepted FD=328 from 10.0.3.32:61220 2015.10.20 12:25:31 LOG7[4168:5432]: Creating a new thread 2015.10.20 12:25:31 LOG7[4168:5432]: New thread created 2015.10.20 12:25:31 LOG7[4168:2848]: client start 2015.10.20 12:25:31 LOG7[4168:2848]: https started 2015.10.20 12:25:31 LOG7[4168:2848]: FD 328 in non-blocking mode 2015.10.20 12:25:31 LOG7[4168:2848]: TCP_NODELAY option set on local socket 2015.10.20 12:25:31 LOG5[4168:2848]: https connected from 10.0.3.32:61220 2015.10.20 12:25:31 LOG7[4168:2848]: FD 404 in non-blocking mode 2015.10.20 12:25:31 LOG7[4168:2848]: https connecting 2015.10.20 12:25:31 LOG7[4168:2848]: connect_wait: waiting 10 seconds 2015.10.20 12:25:31 LOG7[4168:2848]: connect_wait: connected 2015.10.20 12:25:31 LOG7[4168:2848]: Remote FD=404 initialized 2015.10.20 12:25:31 LOG7[4168:2848]: TCP_NODELAY option set on remote socket 2015.10.20 12:25:31 LOG7[4168:2848]: start SSPI connect 2015.10.20 12:25:32 LOG3[4168:2848]: Credentials complete 2015.10.20 12:25:32 LOG7[4168:2848]: 122 bytes of handshake data sent 2015.10.20 12:25:32 LOG5[4168:2848]: 1220 bytes of handshake(in handshake loop) data received. 2015.10.20 12:25:32 LOG5[4168:2848]: 210 bytes of handshake data sent 2015.10.20 12:25:32 LOG5[4168:2848]: 31 bytes of handshake(in handshake loop) data received. 2015.10.20 12:25:32 LOG5[4168:2848]: Handshake was successful 2015.10.20 12:25:32 LOG5[4168:2848]: PerformClientHandshake finish 2015.10.20 12:25:32 LOG5[4168:2848]: Verify_level = 0, skipping Server certificate verification 2015.10.20 12:25:32 LOG7[4168:2848]: add ssl read socket to pool 2015.10.20 12:25:32 LOG7[4168:2848]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0 2015.10.20 12:25:32 LOG7[4168:2848]: Enter pool section on transfer 2015.10.20 12:25:32 LOG7[4168:2848]: data reciev from socket = 263 ….. и т.д. Надеюсь кому-нибудь поможет. Андрей, огромное СПАСИБО!

aakosenkov	#8 Оставлено : 6 апреля 2016 г. 18:06:07(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 18.06.2015(UTC) Сообщений: 3 Откуда: Тамбов	ca4server.cer.zip (2kb) загружен 3 раз(а).Всем добрый вечер! Пытаюсь настроить stunnel на винде. Всё устанавливается как положено, но при запуске службы появляется ошибка 1067 Процесс был неожиданно завершён. Кто то сталкивался? Debug показывает лог и конфиг сервера: output=c:cryptoprostun.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [https] accept = 192.168.100.8:1502 connect = 192.168.100.160:80 cert=C:cryptoproca4.cer verify=1 Лог: 2016.04.06 16:53:22 LOG7[2420:6124]: FD 524 in non-blocking mode 2016.04.06 16:53:22 LOG7[2420:6124]: TCP_NODELAY option set on local socket 2016.04.06 16:53:22 LOG5[2420:6124]: https connected from 192.168.100.8:53864 2016.04.06 16:53:22 LOG7[2420:6124]: accept_handshake start 2016.04.06 16:53:22 LOG7[2420:6124]: SSPINegotiate start 2016.04.06 16:53:22 LOG7[2420:6124]: reading in SSPINeg err = 423 2016.04.06 16:53:22 LOG7[2420:6124]: Recieve 423 bytes from client on SSPINegotiateLoop 2016.04.06 16:53:22 LOG7[2420:6124]: AcceptSecurityContext finish, scRet = -2146893048 2016.04.06 16:53:22 LOG3[2420:6124]: Accept Security Context Failed with error code 80090308 2016.04.06 16:53:22 LOG3[2420:6124]: Couldn’t connect 2016.04.06 16:53:22 LOG5[2420:6124]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2016.04.06 16:53:22 LOG7[2420:6124]: free Buffers 2016.04.06 16:53:22 LOG7[2420:6124]: delete c->hContext 2016.04.06 16:53:22 LOG5[2420:6124]: incomp_mess = 0, extra_data = 0 2016.04.06 16:53:22 LOG7[2420:6124]: https finished (0 left) 2016.04.06 17:13:07 LOG7[2420:7536]: https accepted FD=492 from 192.168.100.180:39884 2016.04.06 17:13:07 LOG7[2420:7536]: Creating a new thread 2016.04.06 17:13:07 LOG7[2420:7536]: New thread created 2016.04.06 17:13:07 LOG7[2420:3648]: client start 2016.04.06 17:13:07 LOG7[2420:3648]: https started 2016.04.06 17:13:07 LOG7[2420:3648]: FD 492 in non-blocking mode 2016.04.06 17:13:07 LOG7[2420:3648]: TCP_NODELAY option set on local socket 2016.04.06 17:13:07 LOG5[2420:3648]: https connected from 192.168.100.180:39884 2016.04.06 17:13:07 LOG7[2420:3648]: accept_handshake start 2016.04.06 17:13:07 LOG7[2420:3648]: SSPINegotiate start 2016.04.06 17:13:17 LOG7[2420:3648]: reading in SSPINeg err = 4 2016.04.06 17:13:17 LOG7[2420:3648]: Recieve 4 bytes from client on SSPINegotiateLoop 2016.04.06 17:13:17 LOG7[2420:3648]: AcceptSecurityContext finish, scRet = -2146893032 2016.04.06 17:13:17 LOG7[2420:3648]: No data sleep, incomp_mess=0 2016.04.06 17:13:20 LOG7[2420:3648]: reading in SSPINeg err = 5 2016.04.06 17:13:20 LOG7[2420:3648]: Recieve 5 bytes from client on SSPINegotiateLoop 2016.04.06 17:13:20 LOG7[2420:3648]: AcceptSecurityContext finish, scRet = -2146893048 2016.04.06 17:13:20 LOG3[2420:3648]: Accept Security Context Failed with error code 80090308 2016.04.06 17:13:20 LOG3[2420:3648]: Couldn’t connect 2016.04.06 17:13:20 LOG5[2420:3648]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2016.04.06 17:13:20 LOG7[2420:3648]: free Buffers 2016.04.06 17:13:20 LOG7[2420:3648]: delete c->hContext 2016.04.06 17:13:20 LOG5[2420:3648]: incomp_mess = 1, extra_data = 0 2016.04.06 17:13:20 LOG7[2420:3648]: https finished (0 left) клиента: output=c:cryptoprostun.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [https] client = yes accept = 192.168.100.8:1502 connect = 192.168.100.160:80 cert=C:cryptoproca4.cer verify=1 лог: 2016.04.06 17:41:21 LOG5[3280:4560]: stunnel 4.18 on x86-pc-unknown 2016.04.06 17:41:21 LOG5[3280:4560]: Threading:WIN32 Sockets:SELECT,IPv6 2016.04.06 17:41:21 LOG5[3280:4560]: No limit detected for the number of clients 2016.04.06 17:41:21 LOG7[3280:4560]: FD 140 in non-blocking mode 2016.04.06 17:41:21 LOG7[3280:4560]: SO_REUSEADDR option set on accept socket 2016.04.06 17:41:21 LOG3[3280:4560]: Error binding https to 192.168.100.8:1502 2016.04.06 17:41:21 LOG3[3280:4560]: bind: Can’t assign requested address (WSAEADDRNOTAVAIL) (10049) Все сертификаты вставлены в личные и доверенные, контейнер без пароля.

basid	#9 Оставлено : 7 апреля 2016 г. 8:46:43(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 935 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	WSAEADDRNOTAVAIL 10049: Cannot assign requested address

aakosenkov	#10 Оставлено : 7 апреля 2016 г. 10:09:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 18.06.2015(UTC) Сообщений: 3 Откуда: Тамбов	WSAEADDRNOTAVAIL 10049: Cannot assign requested address Невозможно присвоить требуемый адрес. Запрашиваемый адрес не является действительным в его контексте. Это обычно является результатом попытки привязать к адресу , который не действителен для локального компьютера. Это также может быть результатом подключения , SendTo , WSAConnect , WSAJoinLeaf или WSASendTo , когда удаленный адрес или порт не является допустимым для удаленного компьютера (например, адрес или порт 0). Спасибо. Я так понимаю это изза некорректно работающего сервера. Но сервер запущен в режиме дебуг. При запуске службы выскакивает ошибка 1067 Процесс был неожиданно завершён. В логах винды вот:Служба «Stunnel Service» неожиданно прервана. Это произошло (раз): 36. может кто то помоч?

Пользователи, просматривающие эту тему

Guest (2)

Быстрый переход

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Источник

Содержание

Как исправить ошибку Windows 0x80090308 Ошибка 0x80090308
Error 0x80090308 returned by initializesecuritycontext
Answered by:
Question
SEC_E_INVALID_TOKEN (0x80090308) — Jetty HTTPS servlet
1 Answer 1
Error 0x80090308 returned by initializesecuritycontext
SCCM SP1 Provisioning Problem
Error 0x80090308 returned by initializesecuritycontext
SCCM SP1 Provisioning Problem

Как исправить ошибку Windows 0x80090308 Ошибка 0x80090308

В этой статье рассматривается ошибка 0x80090308, также известная как Ошибка 0x80090308 и означающая

Информация об ошибке

Имя ошибки: Ошибка 0x80090308
Номер ошибки: 0x80090308
Применимо к: Windows 10, 8, 7, Vista, XP
Описание:

Это средство исправления может устранить такие распространенные компьютерные ошибки, как BSODs, замораживание системы и сбои. Он может заменить отсутствующие файлы операционной системы и библиотеки DLL, удалить вредоносное ПО и устранить вызванные им повреждения, а также оптимизировать ваш компьютер для максимальной производительности.

Об ошибке Windows

Операционная система Windows сегодня используется миллионами пользователей персональных компьютеров и ноутбуков. И вполне вероятно, что большинство из них в свое время сталкивались с тем или иным типом ошибки Windows. Отчеты об ошибках были представлены компанией Microsoft для обеспечения средств сбора и отправки отладочной информации после ошибки или для применения шагов по устранению неполадок в зависимости от того, получил ли пользователь синтаксическую, логическую ошибку или ошибку времени выполнения.

Если пользователь получает код остановки, то вместе с сообщением об ошибке предоставляется краткая информация по устранению неполадок. Затем пользователь может найти конкретное сообщение об ошибке и применить исправление, предоставленное на сайтах поддержки Microsoft, а также в других доступных в Интернете статьях и журналах по данной теме.

В других случаях пользователь получает только уведомление о сбое компьютера, после чего ему предлагается отправить отчет о сбое в Microsoft. Это делается для сбора данных для анализа, чтобы компания Microsoft могла отправить пользователю решение проблемы.

Каким бы ни был случай, вот некоторые общие сведения об устранении неполадок, которые можно использовать для устранения ошибок Windows.

Симптомы 0x80090308 — Ошибка 0x80090308

Ошибки Windows можно классифицировать как синтаксические ошибки, логические ошибки или ошибки времени выполнения.

Когда пользователь получает синтаксическую ошибку, компьютер просто внезапно выдает сообщение об ошибке, что в фоновом режиме произошел сбой. Программы, к которым обращается пользователь, могут застопориться или полностью завершиться. Пользователь может продолжать использовать другие приложения, но время от времени появляется непонятное сообщение о том, что запущенная программа не может запуститься, потому что какой-то процесс не работает.

Ошибки времени выполнения происходят во время работы приложения. Поэтому, когда ошибка возникает, она просто происходит без предупреждения, и компьютер выдает уведомление о том, что произошла ошибка.

Логические ошибки связаны с программированием. Ошибка вызывает непреднамеренный вывод или поведение. Если говорить о компьютерных системах, которые прошли все испытания и поступили в продажу, то логические ошибки случаются только тогда, когда произошли значительные изменения в физическом состоянии логической платы. Возможно, часть шин расплавилась или возникла подобная ситуация. Это может привести к тому, что компьютер внезапно издаст громкий звуковой сигнал или скрежещущий звук, и даже может перейти к внезапной нестабильной работе, замерзнуть или резко изменить температуру перед фактическим сбоем.

(Только для примера)

Причины ошибок Ошибка 0x80090308 — 0x80090308

Ошибки Windows могут быть вызваны неисправностью аппаратных компонентов или повреждением ОС. Некоторые из них могут быть даже связаны с проблемами программирования, которые не были решены, поскольку ошибки не были устранены на этапе проектирования. Иногда ошибки Windows могут возникать из-за изменений, внесенных в компьютер.

Методы исправления

Для разных категорий ошибок Windows существуют разные шаги по устранению неполадок. Однако существуют общие шаги, которые можно применить, столкнувшись с этими ошибками. Вот они.

Если метод ремонта вам подошел, пожалуйста, нажмите кнопку upvote слева от ответа, это позволит другим пользователям узнать, какой метод ремонта на данный момент работает лучше всего.

Источник

Error 0x80090308 returned by initializesecuritycontext

This forum is closed. Thank you for your contributions.

Answered by:

Question

I have backend authentication problem when publishing WEB-application thru UAG.
Application based on Apache Tomcat for Windows, Apache authentication is configured for Kerberos (and not for NTLM).
I use local AD forest authentication on UAG both for trunk and for published applications.
UAG itself and backend server are the domain members.

When I select «401 request» authentication method for my published app, and try to access app from UAG portal — I get
«You do not have permissions to view this folder or page» error.

I checked the UAG traffic with Network Monitor and saw there is HTTP GET request from UAG to backend
and ‘401’ response from it with WWWauthenticate option = ‘Negotiate’ — and conversation stops.

When I open backend URL in IE (from UAG server) I see the same beginning in NM, but after ‘401’ response, UAG issues TGS request to KDC
and gets service ticket for SPN of my backend server and then passes this ticket in the next HTTP GET request — then web-server replies and all works fine.

So I assume that I should use «Kerberos Constraint Delegation» for SSO, and I configure UAG for it.
But when I open application in UAG portal I get the same error — «You do not have permissions to view this folder or page».
When I check traffic in NM I see after initial ‘401’ response from backend UAG requesting KDC for service
ticket for (my UAG machine account) service (why?) and then issues HTTP GET request with NTLM negotiate message —
which is not authorized by backend.

So what’s wrong with UAG? Is there the possibility to make it work in IE-like way, get and pass correct service ticket?

Источник

SEC_E_INVALID_TOKEN (0x80090308) — Jetty HTTPS servlet

I am trying to solve an issue with my Jetty servlet running over HTTPS.

This is an error in the browser:

This is an error in the curl:

This is my batch script to create Keystore and Truststore:

keystore.jks and truststore.jks were copied to the directory of my project and code was written up to load these files.

I started my servlet with jetty and tried to connect to https://example.com/ and mentioned error appears.

I don’t know what is wrong in my case, maybe someone more experienced with jetty and certificates will help.

Thank you so much!

1 Answer 1

Your ServerConnector doesn’t do anything with the SSL, at least not directly.

It merely supports HTTP/1.1 normal plaintext, no SSL, and relies on the JVM ServiceLoader to find the appropriate SslConnectionFactory based on your SslContextFactory.Server .

Since you didn’t specify what the classloader/classpath is for your environment, nor the specific version of Jetty, I would encourage you to be more direct with your ServerConnector and your SSL/TLS desires, don’t rely on the ServiceLoader if you don’t have to.

This will likely improve things for you, but without more details I cannot tell you exactly what happened or how to fix it.

Источник

Error 0x80090308 returned by initializesecuritycontext

Success! Subscription added.

Success! Subscription removed.

Sorry, you must verify to complete this action. Please click the verification link in your email. You may re-send via your profile.

Intel Communities
Product Support Forums
Intel vPro® Platform
Re: SCCM SP1 Provisioning Problem

SCCM SP1 Provisioning Problem

Subscribe to RSS Feed
Mark Topic as New
Mark Topic as Read
Float this Topic for Current User
Bookmark
Subscribe
Mute
Printer Friendly Page

Mark as New
Bookmark
Subscribe
Mute
Subscribe to RSS Feed
Permalink
Print
Report Inappropriate Content

Hoping someone here can help me out with a problem I’m having with provisioning our HP dc 7800 vPro pc’s.

Here’s the detail.

SCCM SP1, the dc7800’s are on bios 1.24 and mBex firmware 3.2.1, we’re using an internally issued provisioning cert as I’m still effectively piloting vPro at the moment so I was hoping to avoid buying a cert before I was sure of everything. So basically here’s what I’m doing, take one fresh PC, update bios and then update mbex to 3.2.1, login to mbex and add the hash of our provisioning cert, also required to change mbex password. I’m planning on using the in band provisioning method for the time being. I have correctly set the mbex password in the OOBM component configuration and I’m confident I have everything else set up correctly as two of my PC’s have managed to provision. Trouble is I can’t seem to get the remaining PC’s to provision even though they have beenh through the exact same setup process. They are showing as AMT Status: Detected rather than not provisioned which from what I’ve read means that SCCM knows they are ATM capable but is unable to login to the mbex to take the process any further. I have checked and double checked passwords both on the mbex’s and in the OOBM Provisioning Setting tabs and I’m positive they match.

When the provisioning attempt takes place I can see it in the antopmgr.log

I can see it attempt the account I’ve put the details for and I get these messages;

Warning: Currently we don’t support mutual auth. Change to TLS server auth mode.

The provision mode for device wks188.eicltd.com is 1.

Attempting to establish connection with target device using SOAP.

Warning: We don’t have an provision certificate with old recorded hash.

Create provisionHelper with (Hash: 8571F29DFEB197A0D034C3EFC6E319EF*****)

Set credential on provisionHelper.

Try to use provisioning account to connect target machine wks188.eicltd.com.

Attempting to try all provision certificate to connect target device.

Failed to send TLS client hello message to server with errorcode=0x2733.

Error 0x6feb95c returned by ApplyControlToken

Fail to connect and get core version of machine wks188.eicltd.com using provisioning account # 0.

Then it tries with the default account and we get the same messages, then it tries with a randomly generated password account.

Then at the end of the attempts I get this message;

Error: Device internal error. Check Schannel, provision certificate, network configuration, device. (MachineId = 331).

Error: Can NOT establish connection with target device. (MachineId = 331)

At a bit of a loss as to what to try from here as I’ve tried everything I can find and every line of investigation i can see!

Источник

Error 0x80090308 returned by initializesecuritycontext

Success! Subscription added.

Success! Subscription removed.

Sorry, you must verify to complete this action. Please click the verification link in your email. You may re-send via your profile.

SCCM SP1 Provisioning Problem

Subscribe to RSS Feed
Mark Topic as New
Mark Topic as Read
Float this Topic for Current User
Bookmark
Subscribe
Mute
Printer Friendly Page

Mark as New
Bookmark
Subscribe
Mute
Subscribe to RSS Feed
Permalink
Print
Report Inappropriate Content

Hoping someone here can help me out with a problem I’m having with provisioning our HP dc 7800 vPro pc’s.

Here’s the detail.

When the provisioning attempt takes place I can see it in the antopmgr.log

I can see it attempt the account I’ve put the details for and I get these messages;

Warning: Currently we don’t support mutual auth. Change to TLS server auth mode.

The provision mode for device wks188.eicltd.com is 1.

Attempting to establish connection with target device using SOAP.

Warning: We don’t have an provision certificate with old recorded hash.

Create provisionHelper with (Hash: 8571F29DFEB197A0D034C3EFC6E319EF*****)

Set credential on provisionHelper.

Try to use provisioning account to connect target machine wks188.eicltd.com.

Attempting to try all provision certificate to connect target device.

Failed to send TLS client hello message to server with errorcode=0x2733.

Error 0x6feb95c returned by ApplyControlToken

Fail to connect and get core version of machine wks188.eicltd.com using provisioning account # 0.

Then it tries with the default account and we get the same messages, then it tries with a randomly generated password account.

Then at the end of the attempts I get this message;

Error: Device internal error. Check Schannel, provision certificate, network configuration, device. (MachineId = 331).

Error: Can NOT establish connection with target device. (MachineId = 331)

At a bit of a loss as to what to try from here as I’ve tried everything I can find and every line of investigation i can see!

Источник

Dmitry-G	#11 Оставлено : 8 декабря 2022 г. 21:08:04(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва	Чтобы заработала служба Stunnel Service, конфигурационный файл stunnel.conf следует положить в System32 (использую Win10 64bit), после этого указанная служба этот файл увидит. О чем, правда, ни слова не сказано в инструкции от УЦ ЦБ РФ от 08.11.2022, но зато говорится в мануале на Stunnel, входящем в состав КриптоПро CSP. Однако, ни успешный запуск данной службы, ни рекомендации выше в данной ветке, не избавляют нас от проблемы подключения к обозначенному серверу штампов времени. Все сертификаты должным образом установлены — как в хранилище текущего пользователя (права — админ), так и в хранилище локального компьютера. Установленный в эти хранилища средствами CSP личный сертификат, выданный аккредитованным УЦ БР, расширение «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)» имеет. Все тесты контейнеров средствами CSP (по каждому из хранилищ) проходят успешно, в свойства промежуточных сертификатов ЦБ РФ соответствующие адреса OCSP добавлены, строка «127.0.0.1 localhost tsp1.ca.cbr.ru» в файл без расширения «C:WindowsSystem32driversetchosts» записана, лицензии на CSP, TSP и OCSP активны… Пробовали и в связке с Крипто АРМ ГОСТ, и в связке с КриптоПро ЭЦП Browser plug-in со страницы https://www.cryptopro.ru…/cades_xlong_sample.html — результат один и тот же. А в результате возникает окно выбора сертификата, а затем окно ввода пароля, но после соответствующих выбора и ввода, подключения все равно не происходит. Предлагаемая выше замена адресов службы времени УЦ ЦБ с «http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf» и «http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf» на «https://tsp1.ca.cbr.ru/tsp/tsp.srf» и «https://tsp2.ca.cbr.ru/tsp/tsp.srf», а также точек распространения списков отзыва на «https://tsp1.ca.cbr.ru/ocsp» и «https://tsp1.ca.cbr.ru/ocsp» ни к чему хорошему не приводит, кроме того, что по понятной причине, вместо того, чтобы использовать канал Stunnel, указанные приложения пытаются подключиться к серверу установки меток времени напрямую. А конкретика следующая: При запуске Stunnel Service от имени текущего пользователя видим следующий лог Stunnel: 2022.12.08 19:00:12 LOG5[3672:17856]: stunnel 4.18 on x86-pc-unknown 2022.12.08 19:00:12 LOG5[3672:17856]: Threading:WIN32 Sockets:SELECT,IPv6 2022.12.08 19:00:12 LOG5[3672:17856]: No limit detected for the number of clients 2022.12.08 19:00:12 LOG7[3672:17856]: FD 300 in non-blocking mode 2022.12.08 19:00:12 LOG7[3672:17856]: SO_REUSEADDR option set on accept socket 2022.12.08 19:00:12 LOG7[3672:17856]: tls1-client-https-1 bound to 127.0.0.1:10001 2022.12.08 19:00:12 LOG7[3672:17856]: FD 304 in non-blocking mode 2022.12.08 19:00:12 LOG7[3672:17856]: SO_REUSEADDR option set on accept socket 2022.12.08 19:00:12 LOG7[3672:17856]: tls1-client-https-2 bound to 127.0.0.1:10002 2022.12.08 19:10:16 LOG7[3672:17856]: tls1-client-https-1 accepted FD=308 from 127.0.0.1:60985 2022.12.08 19:10:16 LOG7[3672:17856]: Creating a new thread 2022.12.08 19:10:16 LOG7[3672:17856]: New thread created 2022.12.08 19:10:16 LOG7[3672:18488]: client start 2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 started 2022.12.08 19:10:16 LOG7[3672:18488]: FD 308 in non-blocking mode 2022.12.08 19:10:16 LOG7[3672:18488]: TCP_NODELAY option set on local socket 2022.12.08 19:10:16 LOG5[3672:18488]: tls1-client-https-1 connected from 127.0.0.1:60985 2022.12.08 19:10:16 LOG7[3672:18488]: FD 384 in non-blocking mode 2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 connecting 2022.12.08 19:10:16 LOG7[3672:18488]: connect_wait: waiting 10 seconds 2022.12.08 19:10:16 LOG7[3672:18488]: connect_wait: connected 2022.12.08 19:10:16 LOG7[3672:18488]: Remote FD=384 initialized 2022.12.08 19:10:16 LOG7[3672:18488]: TCP_NODELAY option set on remote socket 2022.12.08 19:10:16 LOG7[3672:18488]: start SSPI connect 2022.12.08 19:10:16 LOG3[3672:18488]: Credentials complete 2022.12.08 19:10:16 LOG7[3672:18488]: 166 bytes of handshake data sent 2022.12.08 19:10:16 LOG5[3672:18488]: 1318 bytes of handshake(in handshake loop) data received. 2022.12.08 19:10:16 LOG5[3672:18488]: 1627 bytes of handshake(in handshake loop) data received. 2022.12.08 19:10:16 LOG5[3672:18488]: certificate chain found 2022.12.08 19:10:16 LOG5[3672:18488]: new schannel credential created 2022.12.08 19:10:16 LOG3[3672:18488]: ** Error 0x8009030d returned by InitializeSecurityContext (2) 2022.12.08 19:10:16 LOG3[3672:18488]: Error performing handshake 2022.12.08 19:10:16 LOG5[3672:18488]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.12.08 19:10:16 LOG7[3672:18488]: free Buffers 2022.12.08 19:10:16 LOG7[3672:18488]: delete c->hContext 2022.12.08 19:10:16 LOG7[3672:18488]: delete c->hClientCreds 2022.12.08 19:10:16 LOG5[3672:18488]: incomp_mess = 0, extra_data = 1 2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 finished (0 left) А при запуске Stunnel Service от имени локальной системы — следующий: 2022.12.08 20:43:02 LOG5[16664:1744]: stunnel 4.18 on x86-pc-unknown 2022.12.08 20:43:02 LOG5[16664:1744]: Threading:WIN32 Sockets:SELECT,IPv6 2022.12.08 20:43:02 LOG5[16664:1744]: No limit detected for the number of clients 2022.12.08 20:43:02 LOG7[16664:1744]: FD 296 in non-blocking mode 2022.12.08 20:43:02 LOG7[16664:1744]: SO_REUSEADDR option set on accept socket 2022.12.08 20:43:02 LOG7[16664:1744]: tls1-client-https-1 bound to 127.0.0.1:10001 2022.12.08 20:43:02 LOG7[16664:1744]: FD 300 in non-blocking mode 2022.12.08 20:43:02 LOG7[16664:1744]: SO_REUSEADDR option set on accept socket 2022.12.08 20:43:02 LOG7[16664:1744]: tls1-client-https-2 bound to 127.0.0.1:10002 2022.12.08 20:44:38 LOG7[16664:1744]: tls1-client-https-1 accepted FD=304 from 127.0.0.1:61710 2022.12.08 20:44:38 LOG7[16664:1744]: Creating a new thread 2022.12.08 20:44:38 LOG7[16664:1744]: New thread created 2022.12.08 20:44:38 LOG7[16664:22504]: client start 2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 started 2022.12.08 20:44:38 LOG7[16664:22504]: FD 304 in non-blocking mode 2022.12.08 20:44:38 LOG7[16664:22504]: TCP_NODELAY option set on local socket 2022.12.08 20:44:38 LOG5[16664:22504]: tls1-client-https-1 connected from 127.0.0.1:61710 2022.12.08 20:44:38 LOG7[16664:22504]: FD 380 in non-blocking mode 2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 connecting 2022.12.08 20:44:38 LOG7[16664:22504]: connect_wait: waiting 10 seconds 2022.12.08 20:44:38 LOG7[16664:22504]: connect_wait: connected 2022.12.08 20:44:38 LOG7[16664:22504]: Remote FD=380 initialized 2022.12.08 20:44:38 LOG7[16664:22504]: TCP_NODELAY option set on remote socket 2022.12.08 20:44:38 LOG7[16664:22504]: start SSPI connect 2022.12.08 20:44:38 LOG3[16664:22504]: Credentials complete 2022.12.08 20:44:38 LOG7[16664:22504]: 166 bytes of handshake data sent 2022.12.08 20:44:38 LOG5[16664:22504]: 1318 bytes of handshake(in handshake loop) data received. 2022.12.08 20:44:38 LOG5[16664:22504]: 1627 bytes of handshake(in handshake loop) data received. 2022.12.08 20:44:38 LOG5[16664:22504]: CertFindChainInStore not find certificate in store. Looking at LOCAL_MACHINE 2022.12.08 20:44:38 LOG5[16664:22504]: certificate chain found 2022.12.08 20:44:38 LOG5[16664:22504]: new schannel credential created 2022.12.08 20:44:38 LOG3[16664:22504]: ** Error 0x8009035d returned by InitializeSecurityContext (2) 2022.12.08 20:44:38 LOG3[16664:22504]: Error performing handshake 2022.12.08 20:44:38 LOG5[16664:22504]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.12.08 20:44:38 LOG7[16664:22504]: free Buffers 2022.12.08 20:44:38 LOG7[16664:22504]: delete c->hContext 2022.12.08 20:44:38 LOG7[16664:22504]: delete c->hClientCreds 2022.12.08 20:44:38 LOG5[16664:22504]: incomp_mess = 0, extra_data = 1 2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 finished (0 left) Как я уже говорил, все сертификаты (включая личный) установлены средствами CSP, должным образом и корректно.

dysha	#12 Оставлено : 9 декабря 2022 г. 12:12:32(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 22.03.2011(UTC) Сообщений: 2 Откуда: Kirov	В инструкции УЦ Банка России по настройке stunnel есть требование: Цитата: В свойствах сертификата перейдите на вкладку «Протокол OCSP» и добавьте следующие URL как показано на картинке ниже: http://127.0.0.1:10001/ocsp http://127.0.0.1:10002/ocsp Каким образом можно эту настройку сделать на Linux?
	WWW

ew-mc	#13 Оставлено : 12 декабря 2022 г. 18:31:23(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва	Автор: Dmitry-G Чтобы заработала служба Stunnel Service, конфигурационный файл stunnel.conf следует положить в System32 (использую Win10 64bit), после этого указанная служба этот файл увидит. О чем, правда, ни слова не сказано в инструкции от УЦ ЦБ РФ от 08.11.2022, но зато говорится в мануале на Stunnel, входящем в состав КриптоПро CSP. Однако, ни успешный запуск данной службы, ни рекомендации выше в данной ветке, не избавляют нас от проблемы подключения к обозначенному серверу штампов времени. Все сертификаты должным образом установлены — как в хранилище текущего пользователя (права — админ), так и в хранилище локального компьютера. Установленный в эти хранилища средствами CSP личный сертификат, выданный аккредитованным УЦ БР, расширение «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)» имеет. Все тесты контейнеров средствами CSP (по каждому из хранилищ) проходят успешно, в свойства промежуточных сертификатов ЦБ РФ соответствующие адреса OCSP добавлены, строка «127.0.0.1 localhost tsp1.ca.cbr.ru» в файл без расширения «C:WindowsSystem32driversetchosts» записана, лицензии на CSP, TSP и OCSP активны… Пробовали и в связке с Крипто АРМ ГОСТ, и в связке с КриптоПро ЭЦП Browser plug-in со страницы https://www.cryptopro.ru…/cades_xlong_sample.html — результат один и тот же. А в результате возникает окно выбора сертификата, а затем окно ввода пароля, но после соответствующих выбора и ввода, подключения все равно не происходит. Предлагаемая выше замена адресов службы времени УЦ ЦБ с «http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf» и «http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf» на «https://tsp1.ca.cbr.ru/tsp/tsp.srf» и «https://tsp2.ca.cbr.ru/tsp/tsp.srf», а также точек распространения списков отзыва на «https://tsp1.ca.cbr.ru/ocsp» и «https://tsp1.ca.cbr.ru/ocsp» ни к чему хорошему не приводит, кроме того, что по понятной причине, вместо того, чтобы использовать канал Stunnel, указанные приложения пытаются подключиться к серверу установки меток времени напрямую. А конкретика следующая: Как я уже говорил, все сертификаты (включая личный) установлены средствами CSP, должным образом и корректно. Добрый день, коллеги! Dmitry-G, у нас ошибка практически один-в-один как у Вас. Все сертификаты — корневой, промежуточный, личный также установлены должным образом и корректно. Но, в файле лога Stunnel говорит, что не видит сертификат локального пользователя: ……… 2022.12.12 15:25:12 LOG3[6960:9356]: Credentials complete 2022.12.12 15:25:12 LOG7[6960:9356]: 166 bytes of handshake data sent 2022.12.12 15:25:13 LOG5[6960:9356]: 2760 bytes of handshake(in handshake loop) data received. 2022.12.12 15:25:13 LOG5[6960:9356]: 641 bytes of handshake(in handshake loop) data received. 2022.12.12 15:25:13 LOG5[6960:9356]: CertFindChainInStore not find certificate in store. Looking at LOCAL_MACHINE 2022.12.12 15:25:13 LOG5[6960:9356]: certificate chain found 2022.12.12 15:25:13 LOG5[6960:9356]: new schannel credential created 2022.12.12 15:25:13 LOG3[6960:9356]: **** Error 0x8009030d returned by InitializeSecurityContext (2) 2022.12.12 15:25:13 LOG3[6960:9356]: Error performing handshake ……… Вам удалось найти причину проблемы?

ew-mc	#14 Оставлено : 12 декабря 2022 г. 19:33:28(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва	Автор: Orgia коллеги, а если туннель вообще не запускается служба? c:Stunnel>sc config stunnel start= auto & net start stunnel [SC] ChangeServiceConfig SUCCESS The Stunnel Service service is starting. The Stunnel Service service could not be started. A system error has occurred. System error 1067 has occurred. The process terminated unexpectedly. сталкивался кто? Версия криптопровайдера: 5.0.12000 OS WIN Server 2008 R2 сталкивался кто? Мы сталкивались с такой же ошибкой 1067 при попытке запустить службу Stunnel Service. Метод лечения: 1. Удалить службу Stunnel Service. Для этого в командной строке под админом написать C:Stunnelstunnel -remove 2. Скачать stunnel.conf из http://www.cbr.ru/Conten…tions_accessing_ttss.pdf в C:Stunnel 3. Только после шага №2 из командной строки установить Stunnel согласно инструкции ЦБ. 4. Скачать stunnel.conf от ЦБ в еще две папки: C:WindowsSystem32 и в C:WindowsSysWOW64 5. Пытаемся запустить службу из командной строки или через «Службы»

Dmitry-G	#15 Оставлено : 13 декабря 2022 г. 14:42:21(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва	Добрый день, коллеги! Если ничего не путаю, ошибка «CertFindChainInStore not find certificate in store. Looking at LOCAL_MACHINE» для цепочки сертификатов, установленной в хранилище локального компьютера, исчезла у нас после замены (по рекомендации сотрудников техподдержки КриптоПро) в конфиге Stunnel (повторюсь — который в 64-битных ОС должен лежать в папке System32, иначе сервис не запустится и будет ошибка 1067) строк: connect = 212.40.208.62:443 connect = 212.40.193.62:443 на соответствующие строки: connect = tsp1.ca.cbr.ru:443 connect = tsp2.ca.cbr.ru:443 Однако, как выяснилось, основная причина происходящего была скрыта в настройках нашего firewall. Пару часов назад нам удалось получить корректный ответ с метками времени от сервера АУЦ БР на компе, который смотрел в инет напрямую, причем, без особых заморочек с настройками и с применением стандартного stunnel.conf в варианте от АУЦ БР. Отредактировано пользователем 13 декабря 2022 г. 14:48:11(UTC) \| Причина: Не указана

ИгорьК	#16 Оставлено : 13 декабря 2022 г. 17:13:06(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 11.01.2017(UTC) Сообщений: 21 Откуда: Москва	у нас все запускается но не работает… странная ошибка в логе SSPI_read return SEC_I_CONTEXT_EXPIRED Есть мысли (с ЦБ уже несколько дней переписываемся — ничего не помогает, и антивирус отключали и firewall тоже…)? 2022.12.13 16:39:27 LOG7[5204:1296]: !!!!!Call s_poll_wait with timeout = -1 ((sock_rd && ssl_rd)=1) c->ssl_ptr = f1d c->sock_ptr=0 2022.12.13 16:39:27 LOG7[5204:1296]: data send to socket = 3869 2022.12.13 16:39:27 LOG7[5204:1296]: SSPI_read start 2022.12.13 16:39:27 LOG7[5204:1296]: add data from last call = 31 2022.12.13 16:39:27 LOG5[5204:1296]: SEC_I_CONTEXT_EXPIRED, 2022.12.13 16:39:27 LOG5[5204:1296]: SSPI_read return SEC_I_CONTEXT_EXPIRED 2022.12.13 16:39:27 LOG7[5204:1296]: Socket write shutdown 2022.12.13 16:39:27 LOG7[5204:1296]: c->ssl_ptr = 0 2022.12.13 16:39:27 LOG7[5204:1296]: Enter pool section on transfer 2022.12.13 16:39:27 LOG7[5204:1296]: !!!!!Call s_poll_wait with timeout = 60 ((sock_rd && ssl_rd)=0) c->ssl_ptr = 0 c->sock_ptr=0 2022.12.13 16:39:27 LOG5[5204:1296]: 31 bytes of close_notify data sent 2022.12.13 16:39:27 LOG6[5204:1296]: SSL_shutdown successfully sent close_notify 2022.12.13 16:39:27 LOG5[5204:1296]: Connection closed: 306 bytes sent to SSL, 8057 bytes sent to socket 2022.12.13 16:39:27 LOG7[5204:1296]: free Buffers 2022.12.13 16:39:27 LOG7[5204:1296]: delete c->hContext 2022.12.13 16:39:27 LOG7[5204:1296]: delete c->hClientCreds 2022.12.13 16:39:27 LOG5[5204:1296]: incomp_mess = 1, extra_data = 2 2022.12.13 16:39:27 LOG7[5204:1296]: tls1-client-https-2 finished (0 left)

Dmitry-G	#17 Оставлено : 14 декабря 2022 г. 10:51:03(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва	Да, признаю, как выяснилось, на машине с прямым инетом у нас все заработало лишь потому, что машина была новая и в личных у нее был всего лишь один сертификат — как раз тот сертификат, который требовался Stunnel для установки соединения. Когда же в справочнике имеются прочие личные сертификаты, в конфигурации Stunnel обязательно нужно указывать конкретно к какому сертификату из установленных обращаться. Как это сделать, подробно с примерами написано в мануале на Stunnel, входящем в состав КриптоПро CSP. Так что ИгорьК прав — антивирус и firewall тут оказались ни при чём. К сказанному также добавлю следующее: A. Где-то в ветках данного форума кем-то было озвучено, что указанный сертификат следует выгружать в файловую систему из справочника КриптоПро CSP, а не класть его туда методом копирования. В этом случае якобы в него (или в Stunnel) каким то образом добавляется ссылка на закрытый ключ, которую понимает Stunnel. В общем, сложно сказать, что это за ссылка, куда и как она добавляется, но в нашем случае оказалось, что это работает. Так что автору идеи, большое спасибо. Эксперименты с подключением рекомендуем вначале проводить без пароля на контейнер с ключом. B. Также выяснилось, что в процессе своей работы, служба Stunnel Service (при запуске от имени локальной системы) обращается к обозначенному личному сертификату в хранилище локального компьютера, а КриптоПро ЭЦП Browser plug-in — к такому же сертификату, лежащему в хранилище текущего пользователя. Так что по крайней мере на этапе тестирования, лучше добавлять соответствующую цепочку (с требуемыми настройками адресов OCSP в свойствах сертификатов БР) в оба эти хранилища. C. Ну и еще, пожалуй, добавлю официальный ответ техподдержки БР по данному вопросу. Нам он, правда, в итоге не помог, но может кому будет полезно: Просим проверить выполнение следующих шагов: 1. Установка цепочек сертификатов (сертификат владельца в хранилище личное текущего пользователя с привязкой к закрытому ключу, промежуточный сертификат УЦ Банка России в хранилище промежуточные центры сертификации локального компьютера, сертификат Минкомсвязи России в хранилище доверенные корневые центры сертификации локального компьютера); 2. Изменение файла C:WindowsSystem32driversetchosts — добавление строки 127.0.0.1 localhost tsp1.ca.cbr.ru tsp2.ca.cbr.ru (задвоение строк не допускается) 3. Указание в свойствах промежуточного сертификата УЦ Банка России ссылок http://127.0.0.1:10001/ocsp и http://127.0.0.1:10002/ocsp 4. Создание каталога C:Stunnel, скачать и поместить в него stunnel.conf, также скопировать stunnel.conf в каталог C:WindowsSystem32 — проверьте — данный файл не должен содержать задвоения информации 5. Скачать и поместить stunnel в каталог C:Stunnel. Программу stunnel (х64 или х32 в зависимости от разрядности ОС) предлагается скачать с официального сайтоа ООО «КРИПТО-ПРО». Инсталляция stunnel от имени администратора. Запуск службы Stunnel Service (от имени системной учетной записи) и проверка успешности его запуска (Пуск — Службы — Stunnel Service — запустить). 6. В каталоге C:Stunnel Вы должны иметь три файла: stunnel, stunnel.conf, stunnel_cli (файл лога — формируется после первого успешного запроса к службе штампов времени) 7. Проверка подписания тестовых электронных документов электронной подписью в КриптоАРМ ГОСТ без установки штампов времени и с установкой штампов времени по адресам http://tsp1.ca.cbr.ru:10001/tsp или http://tsp2.ca.cbr.ru:10002/tsp 8. Установка плагина «КриптоПро ЭЦП Browser Plug-in» 9. Тестирование ЭП в браузере на сервисе https://www.cryptopro.ru…/cades_xlong_sample.html с указанием адресов http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf или http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf При тестировании у Вас должно быть обращение к ключу с запросом пин-кода. 10. По итогам вышеуказанного можно сделать вывод об успешной работе с сервисами службы штампов времени. Отредактировано пользователем 14 декабря 2022 г. 13:23:48(UTC) \| Причина: Не указана

ИгорьК	#18 Оставлено : 14 декабря 2022 г. 13:06:57(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 11.01.2017(UTC) Сообщений: 21 Откуда: Москва	Попробовал через браузер набрал http://tsp1.ca.cbr.ru:10001/tsp в логе те же самые 2022.12.14 12:57:34 LOG5[892:16136]: SEC_I_CONTEXT_EXPIRED, 2022.12.14 12:57:34 LOG5[892:16136]: SSPI_read return SEC_I_CONTEXT_EXPIRED 2022.12.14 12:57:34 LOG7[892:16136]: Socket write shutdown Вот браузер выдал: Запрошенный URL не может быть получен При получении URL https://212.40.208.62/* произошла следующая ошибка: Не удалось установить безопасное соединение с [unknown] The system returned: [No Error] (TLS code: SQUID_TLS_ERR_CONNECT+TLS_LIB_ERR=1421C0F8+TLS_IO_ERR=1) Failed to establish a secure connection: error:1421C0F8:SSL routines:set_client_ciphersuite:unknown cipher returned Для выполнения Вашего запроса этот кэш и удаленный узел не смогли согласовать взаимоприемлемые параметры безопасности. Возможно, удаленный узел не поддерживает безопасные соединения или кэш не удовлетворён удостоверением безопасности узла.

ew-mc	#19 Оставлено : 14 декабря 2022 г. 15:59:28(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва	Добрый вечер, коллеги! Идея Dmitry-G о том, что Stunnel не переваривает наличие более одного личного сертификата в папке «Личное» раздела Текущего пользователя и в папке «Личное» раздела Сертификаты (локальный компьютер) подтвердилась!!! Мне удалось подписать данные с помощью КриптоПро ЭЦП Browser plug-in и документы с помощью КриптоАРМ только когда в папках «Личное» этих разделов было по одному личному сертификату. Параметры при которых было успешное подписание Запуск Stunnel: С системной учетной записью; Конфиг-файл Stunnel: стоковый от Банка России лежит в c:Stunnel а также в C:WindowsSystem32 Подписание происходило в сеансе Текущего пользователя без админских прав. Dmitry-G, я не нашел в мануале по Stunnel от КриптоПРО подробное описание с примерами указания пути к конкретному сертификату… http://www.cryptopro.ru/…guidestunnel_windows.pdf P.S. Да, антивирус и firewall не при чем. И права админа не влияют на успех подписания. Отредактировано пользователем 14 декабря 2022 г. 16:19:59(UTC) \| Причина: Не указана

ИгорьК	#20 Оставлено : 14 декабря 2022 г. 17:10:42(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 11.01.2017(UTC) Сообщений: 21 Откуда: Москва	Да, у нас на новой чистой машине тоже заработало, когда в Личном только один сертификат Но как с этим работать? пробовал явно указать в конфиге сертификат (cert = c:stunnelmyCert.cer) так ругается, что не находит его…

Пользователи, просматривающие эту тему

Guest (2)

Быстрый переход

Источник

Remove From My Forums

Question
Hi, All!

I have backend authentication problem when publishing WEB-application thru UAG.
Application based on Apache Tomcat for Windows, Apache authentication is configured for Kerberos (and not for NTLM).
I use local AD forest authentication on UAG both for trunk and for published applications.
UAG itself and backend server are the domain members.

When I select «401 request» authentication method for my published app, and try to access app from UAG portal — I get

«You do not have permissions to view this folder or page» error.

I checked the UAG traffic with Network Monitor and saw there is HTTP GET request from UAG to backend

and ‘401’ response from it with WWWauthenticate option = ‘Negotiate’ — and conversation stops.

When I open backend URL in IE (from UAG server) I see the same beginning in NM, but after ‘401’ response, UAG issues TGS request to KDC

and gets service ticket for SPN of my backend server and then passes this ticket in the next HTTP GET request — then web-server replies and all works fine.

So I assume that I should use «Kerberos Constraint Delegation» for SSO, and I configure UAG for it.
But when I open application in UAG portal I get the same error — «You do not have permissions to view this folder or page».
When I check traffic in NM I see after initial ‘401’ response from backend UAG requesting KDC for service

ticket for <UAGSERVER$> (my UAG machine account) service (why?) and then issues HTTP GET request with NTLM negotiate message —

which is not authorized by backend.

So what’s wrong with UAG? Is there the possibility to make it work in IE-like way, get and pass correct service ticket?

Thanks in advance!

Answers

Hi Roman,

Sound like you may be facing the following issue:
http://support.microsoft.com/kb/2475733/

—

Issue 5Kerberos Constrained Delegation (KCD) does not work if a back-end application does not support SPNEGO or is not configured to support SPNEGO. The HTTP log indicates that a «200 OK» response is returned immediately after UAG sends a Kerberos token.
The application sends a «200 OK» response. However, UAG is expecting a negotiation token.

Workaround

In an optimal scenario, the back-end web server should return error 401 when it receives a GSS_S_CONTINUE_NEEDED value to complete the negotiation. In this scenario, UAG should send a token back to the back-end web server to finish the authentication process.
However, some back-end applications do not support or are not configured to support mutual Kerberos authentication (for example, no support for the Simple and Protected Negotiate [SPNEGO] implementation). For these applications, an additional Security Service
Provider (SSP) may be used by setting the registry.

The following registry entry changes the SSP from Negotiate to
Kerberos:

Subkey: HKEY_LOCAL_MACHINESOFTWAREWhaleComeGapvonUrlFilter
Entry: KCDUseKerberosSSN
Type: REG_DWORD
Value: 1

—

I recommend to try install this hotfix and set those keys and see if this make things better …

Ophir.
- Marked as answer by
  
  Friday, August 26, 2011 10:55 PM

Источник

I am trying to solve an issue with my Jetty servlet running over HTTPS.

This is an error in the browser:

This is an error in the curl:

What I did:

I created my Keystore and Truststore as is described here: How to generate keystore and truststore and here https://serverfault.com/questions/488003/keytool-subjectalternativename

This is my batch script to create Keystore and Truststore:

keytool -keystore keystore.jks -storepass P4ssW0rd -keypass P4ssW0rd -genkey -alias example -validity 365 -dname "CN=example,OU=Example,O=Example,L=Bratislava,ST=Slovakia,C=SK" -ext "SAN=DNS:example.com,DNS:www.example.com,DNS:test.example.com"
"C:Program FilesGitusrbinopenssl.exe" req -new -x509 -subj "/C=SK/ST=Slovakia/L=Bratislava/O=Example/OU=Example/CN=Root-CA" -keyout ca-key -out ca-cert -days 365 -passout pass:P4ssW0rd
keytool -keystore truststore.jks -storepass P4ssW0rd -import -alias ca-root -file ca-cert -noprompt
keytool -keystore keystore.jks -storepass P4ssW0rd -certreq -alias exmaple -file cert-file
echo [SAN] > extFile
echo subjectAltName=DNS:example.com,DNS:www.example.com,DNS:test.example.com >> extFile
"C:Program FilesGitusrbinopenssl.exe" x509 -req -CA ca-cert -CAkey ca-key -in cert-file -out test.pem -days 365 -CAcreateserial -passin pass:P4ssW0rd -extensions SAN -extfile extFile
keytool -keystore keystore.jks -storepass P4ssW0rd -import -alias ca-root -file ca-cert -noprompt
keytool -keystore keystore.jks -storepass P4ssW0rd -import -alias metahost -file test.pem
pause

keystore.jks and truststore.jks were copied to the directory of my project and code was written up to load these files.

package sk.cood.metahost.server;

import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.eclipse.jetty.server.*;
import org.eclipse.jetty.servlet.ServletContextHandler;
import org.eclipse.jetty.servlet.ServletHolder;
import org.eclipse.jetty.util.ssl.SslContextFactory;

import java.io.*;

@WebServlet(displayName = "MetaHostServlet", urlPatterns = { "/*" })
public class MetaHostServlet extends HttpServlet {
    private static File keyStoreFile;
    private static File trustStoreFile;

    public static void main(String[] args) throws Exception {
        loadKeyStores();

        Server server = new Server(443);
        ServerConnector connector = createSSLConnector(server, "P4ssW0rd", "P4ssW0rd", false);
        server.addConnector(connector);

        ServletContextHandler context = new ServletContextHandler(ServletContextHandler.SESSIONS);
        context.addServlet(new ServletHolder(new MetaHostServlet()),"/*");
        context.setContextPath("/");
        server.setHandler(context);

        server.start();
        server.join();
    }

    private static void loadKeyStores() {
        keyStoreFile = new File("keystore.jks");
        trustStoreFile = new File("truststore.jks");
        if (!keyStoreFile.exists()) {
            throw new RuntimeException("Key store file does not exist on path '"+keyStoreFile.getAbsolutePath()+"'");
        }
        if (!trustStoreFile.exists()) {
            throw new RuntimeException("Trust store file does not exist on path '"+trustStoreFile.getAbsolutePath()+"'");
        }
    }

    private static ServerConnector createSSLConnector(Server server, String keyStorePassword, String trustStorePassword, boolean isClientAuthNeeded) {
        SslContextFactory.Server sslContextFactory = new SslContextFactory.Server();
        sslContextFactory.setKeyStorePath(keyStoreFile.getAbsolutePath());
        sslContextFactory.setKeyStorePassword(keyStorePassword);
        sslContextFactory.setTrustStorePath(trustStoreFile.getAbsolutePath());
        sslContextFactory.setTrustStorePassword(trustStorePassword);
        sslContextFactory.setNeedClientAuth(isClientAuthNeeded);

        HttpConfiguration https_config = new HttpConfiguration();
        https_config.setSendServerVersion(false);
        https_config.setRequestHeaderSize(512 * 1024);
        https_config.setResponseHeaderSize(512 * 1024);

        SecureRequestCustomizer src = new SecureRequestCustomizer();
        https_config.addCustomizer(src);

        return new ServerConnector(server, sslContextFactory, new HttpConnectionFactory(https_config));
    }

    @Override
    public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException, ServletException {
        res.setContentType("text/html");
        res.setStatus(HttpServletResponse.SC_OK);
        res.getWriter().println("<h1>Hello World!</h1>");
        res.getWriter().println("session=" + req.getSession(true).getId());
    }
}

I started my servlet with jetty and tried to connect to https://example.com/ and mentioned error appears.

I don’t know what is wrong in my case, maybe someone more experienced with jetty and certificates will help.

Thank you so much!

Источник

Hello All,

Hoping someone here can help me out with a problem I’m having with provisioning our HP dc 7800 vPro pc’s.

Here’s the detail.

When the provisioning attempt takes place I can see it in the antopmgr.log

I can see it attempt the account I’ve put the details for and I get these messages;

Warning: Currently we don’t support mutual auth. Change to TLS server auth mode.

The provision mode for device wks188.eicltd.com is 1.

Attempting to establish connection with target device using SOAP.

Warning: We don’t have an provision certificate with old recorded hash.

Create provisionHelper with (Hash: 8571F29DFEB197A0D034C3EFC6E319EF*****)

Set credential on provisionHelper…

Try to use provisioning account to connect target machine wks188.eicltd.com…

Attempting to try all provision certificate to connect target device.

Failed to send TLS client hello message to server with errorcode=0x2733.

Error 0x6feb95c returned by ApplyControlToken

Fail to connect and get core version of machine wks188.eicltd.com using provisioning account # 0.

Then it tries with the default account and we get the same messages, then it tries with a randomly generated password account.

Then at the end of the attempts I get this message;

Error: Device internal error. Check Schannel, provision certificate, network configuration, device. (MachineId = 331).

Error: Can NOT establish connection with target device. (MachineId = 331)

At a bit of a loss as to what to try from here as I’ve tried everything I can find and every line of investigation i can see!

Any help would be really apopreciated!

Adam

Источник

Как исправить ошибку Windows 0x80090308 Ошибка 0x80090308

Информация об ошибке

Об ошибке Windows

Симптомы 0x80090308 — Ошибка 0x80090308

Причины ошибок Ошибка 0x80090308 — 0x80090308

Методы исправления

Error 0x80090308 returned by initializesecuritycontext

<img decoding="async" onError="javascript: wp_broken_images = window.wp_broken_images || function(){}; wp_broken_images(this);" src="https://i1.social.s-msft.com/globalresources/Images/trans.gif" />

Answered by:

Question

SEC_E_INVALID_TOKEN (0x80090308) — Jetty HTTPS servlet

1 Answer 1

Error 0x80090308 returned by initializesecuritycontext

SCCM SP1 Provisioning Problem

Error 0x80090308 returned by initializesecuritycontext

SCCM SP1 Provisioning Problem

Question

Answers

Читайте также: