Ошибка 0x80092010 сертификат был отозван

Ошибка при тестировании сертификата - Доброго дня, при входе в личный кабинет налоговой высвечивается ошибка "Невозможно использовать данный сертификат." Когда проверяю сертификат через плагин выходит ошибка "Статус:...

Offline

АлександрEng

 


#1
Оставлено
:
10 февраля 2023 г. 15:16:14(UTC)

АлександрEng

Статус: Новичок

Группы: Участники

Зарегистрирован: 10.02.2023(UTC)
Сообщений: 1
Российская Федерация
Откуда: Саратов

Доброго дня, при входе в личный кабинет налоговой высвечивается ошибка «Невозможно использовать данный сертификат.»
Когда проверяю сертификат через плагин выходит ошибка «Статус: Ошибка при проверке цепочки сертификатов. Возможно на компьютере не установлены сертификаты УЦ, выдавшего ваш сертификат», хотя при проверке сертификата через Крипто-Про все нормально. И все корневые сертификаты установлены. Далее при тестировании сертификата через «Инструменты Крипто-Про» вылезает ошибка «цепочка сертификата Ошибка 0x80092010: Сертификат был отозван».
Множество раз переустанавливал корневые сертификаты в «Доверенные корневые центры сертификации», устанавливал списки отзывовBrick wall . Проштудировал кучу статей, прошу у вас помощи!
Skrin3.PNG (11kb) загружен 8 раз(а). Skrin2.PNG (19kb) загружен 7 раз(а). Skrin1.PNG (77kb) загружен 7 раз(а).

Вверх

Offline

nickm

 


#2
Оставлено
:
10 февраля 2023 г. 15:26:22(UTC)

nickm

Статус: Активный участник

Группы: Участники

Зарегистрирован: 31.05.2016(UTC)
Сообщений: 801

Сказал(а) «Спасибо»: 239 раз
Поблагодарили: 129 раз в 119 постах

Автор: АлександрEng Перейти к цитате

Ошибка 0x80092010: Сертификат был отозван

Серийный номер сертификата какой?
Т.е. проверьте его по этому № в CRL списке;

Цитата:

при тестировании сертификата через «Инструменты Крипто-Про» вылезает ошибка

Или приведите результаты тестирования сертификата в виде текста, приватную информацию можете потереть, но не № сертификата.

Можно поискать в CRL № личного сертификата самостоятельно, может сертификат действительно отозван?
Например так:

Код:

chcp 1251 &&  powershell -c "wget -Uri http://pki.tax.gov.ru/cdp/4e5c543b70fefd74c7597304f2cacad7967078e4.crl -OutFile '%temp%fns.crl'"  && powershell -c "Certutil -dump '%temp%fns.crl' | Select-String -Pattern 'здесь_указываем_искомый_№_сертификата' -Context 0, 5" && del /f /q "%temp%fns.crl"

В итоге можем получить результат, например:

Цитата:

Текущая кодовая страница: 1251

> Серийный номер: 0f4fdf008cae8e9d42a133814f942eaf
Дата отзыва: 16.09.2022 15:44
Расширения: 1
2.5.29.21: Флаги = 0, Длина = 3
Код причины списка отзыва (CRL)
Изменение принадлежности (3)

Отредактировано пользователем 10 февраля 2023 г. 16:47:21(UTC)
 | Причина: Не указана

Вверх
Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Источник
  • Remove From My Forums

  • Question

  • I am attempting to use Forefront TMG 2010 to securely publish a website.

    I am using Keberos constrained delegation.  My Listener is is configured
    with SSL Client Certificate Authentication with Windows (Active Directory)
    validation method.

    I am getting the following error whenever I attempt to access MYAPP from
    an external computer.  Has anybody seen this error before?  Does anybody
    have any idea what I should be checking to correct this error?

    Failed Connection Attempt
    Log type:
    Web Proxy (Reverse)
    Status:
    0x80092010
    Rule: MYAPP
    Source:
    X.X.X.X:XXXX
    Destination: Y.Y.Y.Y:YYYY
    Request:
    GET http://myapp.mycompany.com/
    Filter information:
    Req ID: 12143299; Compression: client=Yes, server=No, compress rate=0% decompress rate=0%
    Protocol: https
    User: anonymous

Answers

  • Hi,

    the error is «the remote certificate has been revoked»:

    CRYPT_E_REVOKED
    0x80092010

    The certificate is revoked.

    Verify the certificate on the published server. Note that TMG will verify the certificate on the published server as follows:

    — the CN or SAN must match the name in the request

    — the certificate must be valid (within range of valid from and valid to)

    — the cert is not on the CRL

    Hth, Anders Janson Enfo Zipper

    • Marked as answer by

      Thursday, August 18, 2011 5:03 AM

Источник
  • Remove From My Forums

  • Question

  • I am attempting to use Forefront TMG 2010 to securely publish a website.

    I am using Keberos constrained delegation.  My Listener is is configured
    with SSL Client Certificate Authentication with Windows (Active Directory)
    validation method.

    I am getting the following error whenever I attempt to access MYAPP from
    an external computer.  Has anybody seen this error before?  Does anybody
    have any idea what I should be checking to correct this error?

    Failed Connection Attempt
    Log type:
    Web Proxy (Reverse)
    Status:
    0x80092010
    Rule: MYAPP
    Source:
    X.X.X.X:XXXX
    Destination: Y.Y.Y.Y:YYYY
    Request:
    GET http://myapp.mycompany.com/
    Filter information:
    Req ID: 12143299; Compression: client=Yes, server=No, compress rate=0% decompress rate=0%
    Protocol: https
    User: anonymous

Answers

  • Hi,

    the error is «the remote certificate has been revoked»:

    CRYPT_E_REVOKED
    0x80092010

    The certificate is revoked.

    Verify the certificate on the published server. Note that TMG will verify the certificate on the published server as follows:

    — the CN or SAN must match the name in the request

    — the certificate must be valid (within range of valid from and valid to)

    — the cert is not on the CRL

    Hth, Anders Janson Enfo Zipper

    • Marked as answer by

      Thursday, August 18, 2011 5:03 AM

Источник
  1. Автоматическая установка.

Выбрать меню «Пуск» («Настройки») > «Панель управления» > «Свойства обозревателя» («Свойства браузера»). Перейти на вкладку «Содержание» и нажать на кнопку «Сертификаты».

1

Выбираем сертификат.

2

Если видим ошибку не удалось проверить этот сертификат, значит цепочка сертификата была потеряна.

3

Для восстановления цепочки сертификатов, скачиваем наше приложение по ссылки,

Далее запускаем наше приложение certs.exe.

В открывшемся окне нажимаете кнопку установить.

4

После это перезагрузите компьютер. 

Далее переходим в сертификаты, при открывании вашего сертификата должно уйти сообщение об ошибке.

2. Ручная установка корневого сертификата.

Выбрать меню «Пуск» («Настройки») > «Панель управления» > «Свойства обозревателя» («Свойства браузера»). Перейти на вкладку «Содержание» и нажать на кнопку «Сертификаты».

1

Выбираем сертификат.

2

Если видим ошибку не удалось проверить этот сертификат, значит цепочка сертификата была потеряна.

3

Выбираем вкладку «Путь сертификации» и откройте тот сертификат, который выделен красным крестом.

В открывшемся окне необходимо выбрать «Установить сертификат».

Выбираем куда установить сертификат в текущего пользователя системы или же в локальный компьютер (на каждого пользователя системы).

Выбираем обязательно «Поместить все сертификаты в следующее хранилище» и наживаем «Обзор».

В появившемся окне необходимо выбрать куда установить сертификат, есть критерии установки, если:

  • Ошибка на 1 сертификате цепочки, выбираем для установки «Доверенные корневые центры сертификации»

  • Ошибка на 2 сертификате цепочки, выбираем для установки «Промежуточные центры сертификации»

После выбора куда устанавливать сертификат нажимаем «ОК», нажимаем «Далее», затем «Готово».
Соглашаемся со всеми «Предупреждениями системы безопасности».

Завершающим этапом появится сообщение «Импорт успешно выполнен», вернитесь к вкладке «Путь сертификации», обновите ее и проверьте, что ошибка прошла.

3. Если установка корневых сертификатов не решило проблему

Необходимо выполнить следующее:

Выбрать меню «Пуск» («Настройки») > «Панель управления» > «Программы» («Удаление программы»).

Выбираем КриптоПро CSP и нажать на кнопку «Изменить»> выбираем «Исправить» и нажать на кнопку «Далее»> «Установить»>Готово.

Выбираем «Исправить» и нажать на кнопку «Далее»> «Установить»>Готово.

После окончания установки перезагрузите компьютер.



Остались вопросы? Как мы можем помочь?

Как мы можем помочь?

При входе на Сбербанк-АСТ ошибка: «Клиентский сертификат не сопоставлен с пользователем»

Источник

Offline

alvserg

 


#1
Оставлено
:
3 февраля 2022 г. 17:39:32(UTC)

alvserg

Статус: Участник

Группы: Участники

Зарегистрирован: 04.12.2013(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз

Добрый день!

Имеется АРМ на Astra Linux SE 1.6

Установлена КриптоПро CSP 5.0.11455

Изначально компьютер не подключен к сети. При попытке создания ЭП выдаёт ошибку:

Процесс отмены не может быть продолжен — проверка сертификатов недоступна.
Код ошибки: 0х800B010E (2148204814)

При подключении к сети всё ОК. После вторичного отключения тоже подписывает, но не понятно как долго он не будет производить проверку.

Предполагается, что АРМ не должен подключаться к сети. Как отключить проверку сертификата по сети или решить проблему иначе?

Отредактировано пользователем 3 февраля 2022 г. 17:42:47(UTC)
 | Причина: Не указана

Вверх

Offline

Александр Лавник

 


#2
Оставлено
:
4 февраля 2022 г. 9:24:10(UTC)

Александр Лавник

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,205
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 723 раз в 675 постах

Автор: alvserg Перейти к цитате

Добрый день!

Имеется АРМ на Astra Linux SE 1.6

Установлена КриптоПро CSP 5.0.11455

Изначально компьютер не подключен к сети. При попытке создания ЭП выдаёт ошибку:

Процесс отмены не может быть продолжен — проверка сертификатов недоступна.
Код ошибки: 0х800B010E (2148204814)

При подключении к сети всё ОК. После вторичного отключения тоже подписывает, но не понятно как долго он не будет производить проверку.

Предполагается, что АРМ не должен подключаться к сети. Как отключить проверку сертификата по сети или решить проблему иначе?

Здравствуйте.

Когда есть подключения по сети, то автоматически скачиваются в кэш списки отзыва сертификатов для всей цепочки сертификатов (конечного сертификата и сертификатов промежуточных удостоверяющих центров).

Когда нет подключения по сети, то идет проверка по спискам отзыва из кэша или установленным локально.

То есть подписание будет выполняться пока срок действия этих списков отзыва не истечет.

Соответственно, или нужно локально устанавливать актуальные списки отзыва из цепочки или отключать проверку цепочки сертификатов на отзыв.

Возможно ли отключить проверку на отзыв и как это сделать зависит от того каким образом создается подпись.

Техническую поддержку оказываем тут
Наша база знаний

Вверх

Offline

alvserg

 


#3
Оставлено
:
4 февраля 2022 г. 9:52:04(UTC)

alvserg

Статус: Участник

Группы: Участники

Зарегистрирован: 04.12.2013(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз

Подпись создаётся через графический интерфейс КриптоПро 5. Можно ли в данном случае отключить проверки?

Если нет, то подскажите как установить актуальный список отзыва?

Скачал список отзыва. Там указано:
Действителен с 4 февраля
Следующее обновление 11 февраля.

Я правильно понимаю, что при необходимости список отзыва можно обновлять раз в неделю?

Вверх

Offline

Александр Лавник

 


#4
Оставлено
:
4 февраля 2022 г. 10:07:09(UTC)

Александр Лавник

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,205
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 723 раз в 675 постах

Цитата:

Подпись создаётся через графический интерфейс КриптоПро 5. Можно ли в данном случае отключить проверки?

Вы имеете ввиду панель Инструменты КриптоПро?

Цитата:

Если нет, то подскажите как установить актуальный список отзыва?

В панели Инструменты КриптоПро в CSP 5.0 R3 это можно сделать в разделе Списки отзыва (раздел доступен после нажатия кнопки Показать расширенные).

В более старых сборках это можно сделать только через командную строку:

Код:

/opt/cprocsp/bin/amd64/certmgr -inst -crl -store ca -file /path/to/crl/file

Это команда для текущего пользователя, чтобы установить список отзыва глобально для всего компьютера (будет действовать для всех пользователей) ca надо заменить на mca и выполнять от root или через sudo.

Цитата:

Скачал список отзыва. Там указано:
Действителен с 4 февраля
Следующее обновление 11 февраля.

Я правильно понимаю, что при необходимости список отзыва можно обновлять раз в неделю?

В данном случае да.

Необходимо также следить за сроком действия списков отзыва (обычно срок их действия сильно больше, чем для сертификатов конечных пользователей) промежуточных удостоверяющих центров в цепочке при их наличии в цепочке.

Техническую поддержку оказываем тут
Наша база знаний

Вверх

Offline

alvserg

 


#5
Оставлено
:
4 февраля 2022 г. 13:00:08(UTC)

alvserg

Статус: Участник

Группы: Участники

Зарегистрирован: 04.12.2013(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз

Спасибо. Попробуем импортировать список через командную строку.

У нас версия КриптоПро CSP 5.0.11455. Я так понял там нет возможности импорта через панель Инструменты КриптоПро

R3 несерифицирована и у нас лицензия на КриптоПро 4. Я так понял не подойдёт для более свежих версии.

Отключить проверку нет возможности?

Вверх

Offline

Александр Лавник

 


#6
Оставлено
:
4 февраля 2022 г. 13:09:08(UTC)

Александр Лавник

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,205
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 723 раз в 675 постах

Автор: alvserg Перейти к цитате

Спасибо. Попробуем импортировать список через командную строку.

У нас версия КриптоПро CSP 5.0.11455. Я так понял там нет возможности импорта через панель Инструменты КриптоПро

R3 несерифицирована и у нас лицензия на КриптоПро 4. Я так понял не подойдёт для более свежих версии.

Отключить проверку нет возможности?

1) В CSP 5.0 R2 и новее можно активировать лицензию CSP 5.0 (постоянную или со сроком действия) или лицензию CSP 4.0 (только со сроком действия).

Постоянная лицензия CSP 4.0 не подойдет.

2) Так и не увидел ответа на вопрос как именно подписываете.

Глобально на уровне КриптоПро CSP отключить проверку сертификатов по спискам отзыва нельзя.

Техническую поддержку оказываем тут
Наша база знаний

Вверх

Offline

alvserg

 


#7
Оставлено
:
4 февраля 2022 г. 13:25:55(UTC)

alvserg

Статус: Участник

Группы: Участники

Зарегистрирован: 04.12.2013(UTC)
Сообщений: 10
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз

Формирование ЭП осуществляется через графический интерфейс Инструменты КриптоПро, пункт Создание подписи. Поскольку предполагается, что подпись будет формировать сам пользователь, необходим максимально «дружественный» механизм без командной строки.

У нас постоянная лицензия на CSP 4.0

Если глобально нельзя отключить проверку, будем пока ставить списки отзыва, а в перспективе возможно напишем графическую утилиту для пользователя, которая будет формировать подпись без проверки.

При формировании подписи через командную строку есть возможность исключить проверку?

Вверх

Offline

Александр Лавник

 


#8
Оставлено
:
4 февраля 2022 г. 13:37:00(UTC)

Александр Лавник

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,205
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 723 раз в 675 постах

Автор: alvserg Перейти к цитате

Формирование ЭП осуществляется через графический интерфейс Инструменты КриптоПро, пункт Создание подписи. Поскольку предполагается, что подпись будет формировать сам пользователь, необходим максимально «дружественный» механизм без командной строки.

У нас постоянная лицензия на CSP 4.0

Если глобально нельзя отключить проверку, будем пока ставить списки отзыва, а в перспективе возможно напишем графическую утилиту для пользователя, которая будет формировать подпись без проверки.

При формировании подписи через командную строку есть возможность исключить проверку?

См. опцию -norev для:

Код:

/opt/cprocsp/bin/amd64/cryptcp -sign -help

Техническую поддержку оказываем тут
Наша база знаний

Вверх

thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
alvserg

оставлено 04.02.2022(UTC)

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Источник

Понравилась статья? Поделить с друзьями:

Читайте также:

  • Ошибка 0x80091007 windows 10 как исправить
  • Ошибка 0x80090304 itunes
  • Ошибка 0x80090020 внутренняя ошибка криптопро
  • Ошибка 0x80090009 указаны неправильные флаги
  • Ошибка 0x80080005 центр обновления windows 10 как исправить

    • 0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии