Ошибка инициализации ssl соединения 1с тонкий клиент

Ошибка инициализации ssl подключения

в браузерах 1с открывается нормально, но при попытке запуска через тонкий клиент ошибка HTTP при обращении к серверу buh2012.budget.gov.ru ошибка инициализации ssl-соединения

В браузере с поддержкой ГОСТ алгоритмов шифрования для входа в 1С
по https ссылке https://buh2012.budget.gov.ru/buh2012/ Континент-TLS не нужен

Для тонкого клиента должен быть установлен и настроен Континент-TLS
Установлены корневые сертификаты ФК
В Континент-TLS:
Добавлен ресурс buh2012.budget.gov.ru
Установлен серверный сертификат или при первом подключении сам добавиться(появится окно о добавлении серверного сертификата)
Обновлены CRL (если не скачиваются, удалить в Сертификаты — Промежуточные центры сертификации — Списки отзыва сертификатов и заново скачать в Континенте-TLS)
Настройки основные -> Сертификат пользователя по умолчанию -> Выбрать Сертификат пользователя по умолчанию

Ещё, если контейнер закрытого ключа запоролен и пароль сохранен.
В КриптоПРО почистить сохранённые пароли, чтобы при входе появлялось окно для ввода пароля на Контейнер ЗК
КриптоПРО -> Сервис -> [ Удалить запомненные пароли.. ] -> [v]Пользователя

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 727
• Спасибо получено: 219

Прокси не используется у нас в организации.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• S_asha
• Автор темы —>
• Не в сети

• Сообщений: 6
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 727
• Спасибо получено: 219

Спасибо , походу я настраивал там ЭБ а Buh2012 в тлс не внес, но теперь другая проблема , база БГУ запускается, а база ЗКГУ требует другую версию тонкого клиента, я ее установил и ЗКГУ стала выдавать ошибку как раньше

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Isganu
• —>
• Не в сети

• Сообщений: 1
• Спасибо получено: 0

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

• Wmffre
• —>
• Не в сети

• Сообщений: 727
• Спасибо получено: 219

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Источник

Ошибка инициализации SSL-соединения

Добрый день! Прошу помочь со следующим вопросом. Имеется три рабочих сервера в кластере. Центральный сервер, сервер фоновых заданий и пользовательский сервер. С пользовательского сервера выполняется попытка передачи HTTP запроса (метод POST), попытка не проходит, выдается следующее сообщение об ошибке: «Ошибка работы с интернет: Ошибка инициализации SSL-соединения.»

С остальных серверов попытка проходит успешно, код состояния — 200.
Почему не проходит отправка HTTP с пользовательского сервера и что можно сделать? (1С:Предприятие 8.3 (8.3.6.2076))

Код отправки запроса (пробовали 2 варианта)

Аналогичная проблема.
Есть регламентное задание, которое запускает определенную функцию из модуля.

Если руками запускаю эту функцию, то соединение устанавливается при всех способах запуска:
на клиенте, на сервере, в фоновом задании
Запуск тестировал на одном и том-же компьютере.

Если запускается через регламентное задание, то выдает ошибку инициализации SSL-соединения
Причем несколько лет все работало во всех вариантах, а с 6-го марта этого года перестало работать сразу у всех клиентов.

Админы у всех разные, не могли они ничего в настройках в один день такого поменять.

Дальнейший анализ показал что независимо от способа запуска ошибка то есть, то ее нету. Никакой стабильности, кроме интернета, так как тестировал через удаленное подключение к клиентам ))
Но началось все именно 06.03.2022 так как в логи все пишется и четко прослеживается по всем клиентам. Повторюсь, несколько лет работало без проблем

Источник

Поломалась (или поломали) интернет-поддержку в 1С:БП 3

Платформа 1С:Предприятие 8.3 (8.3.10.2580)

При попытке подключения к интернет-поддержке:

<ОбщийМодуль.ИнтернетПоддержкаПользователейКлиентСервер.Модуль(2673)>: Ошибка при подключении к сервису Интернет-поддержки. Ошибка при создании описания веб-сервиса. Ошибка при получении WSDL-описания. Не удалось загрузить содержимое (https://webits.1c.ru/services/WebItsSimpleService?wsdl). <ОбщийМодуль.ИнтернетПоддержкаПользователейКлиентСервер.Модуль(329)>: Ошибка при вызове метода контекста (Получить)

Ответ = Соединение.Получить(HTTPЗапрос, ПараметрыПолучения.ИмяФайлаОтвета);

Ошибка работы с Интернет: Ошибка инициализации SSL-соединения

29:15.939006-0,SYSTEM,2,text=’Unknown SSL protocol error in connection to webits.1c.ru:443

Клиентский компьютер — терминальный сервер MS Server 2012 R2 64bit
Сервер приложений — MS Server 2008 R2 64bit

Кто уиновен 1С или админы? Или куда копать?

Проблему решили. Развернул на сервере копию базу в файловом варианте и с помощью TCPview посмотрел список соединений.

С удивлением обнаружил, что в момент «жмакания» по кнопке подключения интернет-поддержки, кроме https соединения с сервером 1С происходят еще несколько соединений http с ip адресами принадлежащими компании AKAMAI. AKAMAI — CDN провайдер, услугами которой видимо пользуется 1С.

А на сервере, политикой безопасности, http соединения разрешены только с определенными ip адреса, в список которых эти не входили.

Добавили в список разрешенных ip эти адреса, пока работает нормально.

Похоже виновна не 1С, а Internet Explorer. А именно опция «Check for server certificate revocation»

Источник

Программное подключение и обработка данных через 1С

Пожалуйста, объясните почему, подскажите как и укажите на ошибки. Вот код подключения к Вашему API:

HTTPЗапрос = Новый HTTPЗапрос();

Соединение = Новый HTTPСоединение(«dadata.ru». Новый ИнтернетПрокси,, Новый ЗащищенноеСоединениеOpenSSL);

ОтветHTTP = Соединение.ВызватьHTTPМетод(«POST», HTTPЗапрос);

Проблема в том, что со временем появляется ошибка вида:

Ошибка при вызове метода контекста (ВызватьHTTPМетод)
ОтветHTTP = Соединение.ВызватьHTTPМетод(«POST», HTTPЗапрос);
по причине:
Ошибка работы с Интернет: Ошибка инициализации SSL-соединения

То есть запросы могут проходить нормально и получать полноценный ответ, а потом через некоторое время начинают сыпаться ошибки. Подскажите куда смотреть и на что обратить внимание — хотим с Вами интегрироваться, но стабильности получить не удается. Тут явно что то с SSL — может явно как то Ваши сертификаты надо подсовывать 1С. но откуда их брать или. во общем помоги пожалуйста.

Вот что удалось выяснить.

1. Документация 1С явно говорит о том, что сертификат клиента и сертификат удостоверяющего центра в простых случаях не требуются:

Создает защищенное соединение OpenSSL, использующего указанные источники клиентского сертификата и сертификатов удостоверяющих центров.

Если не указывается источник сертификатов удостоверяющих центров, то сертификат сервера не проверяется.

Если не указывается источник клиентского сертификата, то соединение возможно только с серверами, не требующими предоставления клиентского сертификата.

Это как раз наш случай: Дадата не требует клиентского сертификата.

2. Ваш код на моем тестовом сервере 1С работает без проблем.

3. Как вы пишете, у вас код тоже сначала работает, а ошибки начинают сыпаться через некоторое время.

В результате моя единственная гипотеза на сегодня — проблема в прокси-сервере или сетевых настройках, которые ваш сервер 1С использует для выхода в интернет. «Нечто» между сервером 1С и сервером Дадаты (ОС / прокси / маршрутизатор) через некоторое время перестает корректно обрабатывать исходящие соединения.

Как это можно проверить:

1. Убедиться, что сервер 1С работает без использования прокси.
2. Попробовать делать вызовы других сервисов, работающих через HTTPS (например, Яндекс), в течение длительного времени. Ошибка должна повториться.
3. Попробовать работать с Дадатой по HTTP вместо HTTPS.

Источник

Почему возникают ошибки SSL-соединения и как их исправить?

Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

• Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
• Ненадежный SSL-сертификат;
• Брандмауэр или антивирус, блокирующие сайт;
• Включенный экспериментальный интернет-протокол QUIC;
• Отсутствие обновлений операционной системы;
• Использование SSL-сертификата устаревшей версии 3.0;
• Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».

Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

• Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
• Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».

• Запустится мастер импорта сертификатов. Жмем «Далее».

• Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:

• В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

• Откройте браузер и введите команду chrome://flags/#enable-quic;
• В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.

• После этого просто перезапустите браузер.

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3.0

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

• Откройте браузер и перейдите в раздел «Настройки».
• Прокрутите страницу настроек вниз и нажмите «Дополнительные».
• В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.

• Откроется окно. Перейдите на вкладку «Дополнительно».
• В этой вкладке вы увидите чекбокс «SSL 3.0».

• Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

Источник

Похожие темы (5)

С появлением версии 1С 8.2 появилась возможность использовать для подключения тонкий и веб-клиенты. Как сделать такое подключение безопасным? Рассмотрим в следующей статье.

Итак, имеем развернутую 1С 8.2, приложение опубликовано на веб-сервере (IIS или Apache) согласно руководству администратора. При подключении на 80-й порт (http) приложение нормально запускается в режиме и тонкого и веб-клиента. Для защиты соединения устанавливаем на веб-сервер SSL-сертификат.и пробуем подключаться на 443 (https), в случае примения веб-клиента соединение успешно устанавливается и работает, а для тонкого клиента  видим следующее сообщение об ошибке:

Peer certificate cannot be authenticated with known CA certificates

или такое:

Problem with the SSL CA cert (path? access rights?)

Данная проблема возникает, когда администратор применяет на веб-сервере самоподписанный сертификат. Для исправления данной ситуации необходимо добавить информацию о сертификате в файл cacert.pem что находится в каталоге bin соотв. версии 1С Предприятия. Для добавления нам понадобится,собственно, сам сертификат, экспортированный в формат pem и его цифровой отпечаток MD5.

Наиболее просто экспортировать сертификат следующим образом:

Не забываем при экспорте выбрать формат base-64.

А далее воспользуемся бесплатным пакетом Open SSL для получения отпечатка.

C:OpenSSL-Win32bin>openssl dgst -md5 cert.pem.cer
получаем:
MD5(cert.pem.cer)= 02097fe62fa514af6defe2668751ea18
Полученную информацию добавим в файл cacert.pem как показано на примере ниже.

MyServer CA
=========

MD5 Fingerprint=02:09:7f:e6:2f:a5:14:af:6d:ef:e2:66:87:51:ea:18

——BEGIN CERTIFICATE——
MIIEADCCAuigAwIBAgIKE16daAAAAAAADTANBgkqhkiG9w0BAQUFADARMQ8wDQYD
VQQDEwZ3YXJwaWcwHhcNMTMxMjAxMTIwOTA2WhcNMTQxMjAxMTIxOTA2WjBeMQsw
CQYDVQQGEwJVQTELMAkGA1UECBMCY2gxCzAJBgNVBAcTAmNoMQwwCgYDVQQKEwN2
aWQxCzAJBgNVBAsTAml0MRowGAYDVQQDExFkZW1vLnZpZGljb20uaW5mbzCBnzAN
BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA1Ml3KndKeL/XmhUIvFal+i8Nb3wNTg8+
rcs/Hf/pULxFq3heTjBfMRaAT6SsRRB6dnwjfBvVIemesBM6JxHiBtwY5asD/UFq
96yK5h5Ks3xuYmRNOGrXAXhLcQ8JHrFfej0zFc2/kbS/QmMG1nBagLekMNs2Hs/v
2ORxfipf0RUCAwEAAaOCAY8wggGLMA4GA1UdDwEB/wQEAwIE8DBEBgkqhkiG9w0B
CQ8ENzA1MA4GCCqGSIb3DQMCAgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAgcw
CgYIKoZIhvcNAwcwEwYDVR0lBAwwCgYIKwYBBQUHAwEwHQYDVR0OBBYEFCDDQ5aR
LOTMYBsXo7j7fA8qcZbnMB8GA1UdIwQYMBaAFBIGOw+cf94y7TNNDqqOPwEzwU/b
MFsGA1UdHwRUMFIwUKBOoEyGI2h0dHA6Ly93YXJwaWcvQ2VydEVucm9sbC93YXJw
aWcuY3JshiVmaWxlOi8vXFx3YXJwaWdcQ2VydEVucm9sbFx3YXJwaWcuY3JsMIGA
BggrBgEFBQcBAQR0MHIwNgYIKwYBBQUHMAKGKmh0dHA6Ly93YXJwaWcvQ2VydEVu
cm9sbC93YXJwaWdfd2FycGlnLmNydDA4BggrBgEFBQcwAoYsZmlsZTovL1xcd2Fy
cGlnXENlcnRFbnJvbGxcd2FycGlnX3dhcnBpZy5jcnQwDQYJKoZIhvcNAQEFBQAD
ggEBACW2J6ZB+3ffOI9Q/8HwwVXQ+Pj6bjtEIUeuulYSSRR7D3fIQxCgqYQbX9wR
5kHJn/1HQEDjcahKE2y9kunbWeFYJHHh/0DpS2DvCSud4Cj4uPclWijW1+Z4rP0g
WpUmq437IteqzkeAesj7eDcku3JsCaxAfOSVhbMWwcD8Rmo4mszCvQOMO2xtsI7J
qMW6YdeG2ZzgTzpqvSTlIf7MePA=

——END CERTIFICATE——

Сохраняем, запускаем тонкий клиент, пользуемся защищенным соединением.

Peer certificate cannot be authenticated with known CA certificates

Это значит, что клиент не может проверить ваш сертификат ни на одном известном ему корневом центре сертификации. Чаще всего такая ошибка возникает, когда используются самоподписанные сертифкаты.

Приведем алгоритм установки сертификата на веб-сервер на примере Windows 2003 (IIS 6).

1. Установим сервер сертификатов (компонент Windows 2003), может быть развернут на другом сервере или виртуальной машине.
2. На сервере с IIS сформируем запрос на получение сертификата, сохраним запрос в файл.(Обязательно проверяем полное имя домена, должно совпадать с нашим доменом).
3. Зайдем через броузер в службу сертификации (обычно http://servername/certsrv). Выберем Расширенный запрос и скопируем текст из файла запроса (см.п.2.)
4. Выдадим сертификат через оснастку Центр сертификации в разделе Администрирование сервера сертификатов.
5. Возаращаемся на сервер сертификации http://servername/certsrv, Просмотр выданных и Загрузить цепочку сертификатов.
6. В полученном файле с расширением p7b будет сертификат нашего IIS сервера и сертификат корневого центра сертификации. Открывается файл через оснастку Управление сертификатами.Экспортируем оба файла в Base-64 кодировку.
7. Сертификат корневого центра сертификации устанавливаем в локальное хранилище, раздел Доверенные корневые центры сертификации.
8. Сертификат веб-сервера устанавливаем на IIS через обработку запроса сертификата.
9. На клиентском пк, который будет подключаться через тонкий клиент через https: дописываем в файл cacert.pem  раздел с сертификатом корневого центра сертификации. Как это сделать и получить MD5 отпечаток описано выше.

Далее просто копируем наш cacert.pem на пк клиентов. Не забываем, что этот файл в каждом каталоге релиза  свой. Рекомендую в настройках подключения к БД указать полную версию 1С 8. Несколько иллюстраций ниже.

19.03.2019

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsWinHttp]
"DefaultSecureProtocols"=dword:00000800

[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionInternet SettingsWinHttp]
"DefaultSecureProtocols"=dword:00000800