Сертификат полученный от удаленного сервера не прошел проверку код ошибки 0x80092012

silkworm	#1 Оставлено : 8 февраля 2016 г. 16:57:50(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.02.2016(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	Добрый день! После установки Крипто-ПРО CSP v.3.6.7777 и фичи Revocation Provider на Windows 7 перестал запускаться клиент Microsoft Lync 2013. В системных ошибках фигурирует: Event ID 36876 Source: Schannel. Текст ошибки: Сертификат, полученный от удаленного сервера, не прошел проверку. Код ошибки: 0x80092012. Запрос на SSL-соединение не удалось выполнить. Сертификат сервера содержится в прилагаемых данных. Сертификат сервера — это действующий сертификат Lync-сервера, с которым связывается клиент. AIA и CDP доступны. Всё происходит в домене. Пробовал следующее: отключал в настройках КриптоПРО «Не проверять сертификат сервера на отзыв», в настройках OSCP Client GPO добавлял отпечаток сертификата сервера в исключения, обновился до версии 3.9.8001 КС1 — ничего не помогло. К сожалению, наличие Revocation Provider является обязательным.

Максим Коллегин	#2 Оставлено : 8 февраля 2016 г. 23:36:33(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,259 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 661 раз в 584 постах	А что пишет certutil при проверке сертификата? С установленным reprov и без?
Знания в базе знаний, поддержка в техподдержке
	WWW

silkworm	#3 Оставлено : 9 февраля 2016 г. 19:27:18(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.02.2016(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	certutil -verify в обоих случаяx (c reprov и без) выдает: ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40), это из-за того, что CDP сертификата «высшего CA» недоступен. Без reprov добавляется ошибка CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000). Результат: С reprov — Функция отзыва не смогла произвести проверку отзыва для сертификата. 0x80092012 (-2146885614)…..Lync Клиент не работает. Без reprov — Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)….Lync Клиент работает. Не расстраивайте меня, что необходимо иметь доступный CDP всех CA в цепочке для корректной работы reprov. Если так, то возможно ли отключить проверку для определенных сертификатов? Спасибо! Отредактировано пользователем 9 февраля 2016 г. 19:29:47(UTC)  | Причина: Не указана

Максим Коллегин	#4 Оставлено : 9 февраля 2016 г. 19:57:30(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,259 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 661 раз в 584 постах	reprov проверяет сертификаты на отзыв, логично, что возвращается ошибка при невозможности проверки. MSFT не настолько строг. Попробуйте отключить проверку на отзыв в IE.
Знания в базе знаний, поддержка в техподдержке
	WWW

silkworm	#5 Оставлено : 11 февраля 2016 г. 12:25:53(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.02.2016(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	К сожалению отключение галки в IE не помогло. У меня есть еще варианты, кроме как изменять настройки RootCA?

Максим Коллегин	#6 Оставлено : 11 февраля 2016 г. 16:06:51(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,259 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 661 раз в 584 постах	Нашел вот такой параметр — поставьте DWORD 1 — возможно отключит проверку сертификатов вообще. HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSecurityProvidersSCHANNELManualCredValidation
Знания в базе знаний, поддержка в техподдержке
	WWW
1 пользователь поблагодарил Максим Коллегин за этот пост.	silkworm оставлено 12.02.2016(UTC)

silkworm	#7 Оставлено : 12 февраля 2016 г. 10:38:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.02.2016(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	Спасибо за ключ — работает! Этот вариант отлично подойдет в качестве временного решения, пока решится проблема по корневым CA.

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

AutoCAD

Автор:

Проблема

При запуске программы Autodesk для Windows отображается следующее сообщение об ошибке:

Подключитесь к Интернету, чтобы продолжить

Не удалось обнаружить сервер лицензий Autodesk. Эта проблема может возникать по разным причинам, в том числе по указанным ниже.

• Прервано подключение к Интернету.
• Сервер лицензий Autodesk временно недоступен.

В службе просмотра событий Windows может отображаться следующая ошибка:

Причины:

Скомпрометированные корневые сертификаты для программ с серийными номерами по подписке с однопользовательским доступом.

Решение

Функция HTTPS Inspection может привести к ошибке в процессе проверки отзыва сертификата.

• Отключите эту функцию для *.autodesk.com.

Чтобы восстановить корневые сертификаты, выполните следующие действия.

1. Установите обновления протокола TLS (Transport Layer Security), соответствующие программному обеспечению и версии Autodesk.
2. Откройте диспетчер сертификатов.

А. Щелкните меню Windows «Пуск».
Б. Введите certmgr.msc.
В. Нажмите клавишу ENTER.

1. Перейдите в раздел Доверенные корневые центры сертификации >Сертификаты.

1. Удалите эти сертификаты. Для этого щелкните их правой кнопкой мыши и выберите «Удалить».

Кому выдан	Кем выдан
Go Daddy Class 2 Certification Authority	Go Daddy Class 2 Certification Authority
DigiCert Global Root CA	DigiCert Global Root CA
DigiCert High Assurance EV Root CA	DigiCert High Assurance EV Root CA
GlobalSign	GlobalSign
GlobalSign Root CA	GlobalSign Root CA
Starfield Class 2 Certification Authority	Starfield Class 2 Certification Authority
Thawte Timestamping CA	Thawte Timestamping CA
VeriSign Universal Root Certification Authority	VeriSign Universal Root Certification Authority

1. В браузере Internet Explorer 11 (предпочтительно) или Chrome перейдите на следующие веб-сайты:
   • https://www.autodesk.ru/
   • https://accounts.autodesk.com (после загрузки страницы щелкните войти)
   • https://cur.autodesk.com
2. Вернитесь в диспетчер сертификатов > «Доверенные корневые центры сертификации» > «Сертификаты».
3. В меню «Действие» выберите «Обновить».
4. Убедитесь в том, что добавлены сертификаты, соответствующие открытым веб-сайтам.
5. Восстановите программное обеспечение Autodesk из панели управления Windows.
   1. Откройте «Панель управления» > «Программы» > «Программы и компоненты».
   2. Правой кнопкой мыши щелкните необходимую программу Autodesk и выберите «Удалить/Изменить».
   3. Выберите «Восстановить» или «Переустановить» и следуйте инструкциям мастера настройки программы.

Примечание. Если в домене есть объект групповой политики (GPO), ограничивающий регистрацию или отзыв стороннего сертификата, ознакомьтесь со следующей статьей:
Параметр «Однопользовательская» или «Войти в систему» отсутствуют на экране начала работы из-за дефектов корневых сертификатов.

Источник

Код ошибки 0x80092012 запрос на tls соединение не удалось выполнить

Вопрос

Имеется домен на Win.Serv 2012 R2, в сети так же 3 реплики КД, довольно давно на всех рабочих ПК под управлением win 8.1, 10 стала всплывать ошибка:

Регистрация сервера DCOM не выполнена за отведенное время ожидания.

Проблемными компонентами DCOM чаще всего являются RuntimeBroker и ShellWindows, но были замечены и другие.

После ввода в домен нового рабочего места, ошибка появляется пару раз в день и не причиняет какого либо ощутимого вреда, но долгое игнорирование, приводит к учащению ошибок регистрации сервера DCOM и появлению следующих записей в журнале:

Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID и APPID <9ca88ee3-acb7-47c8-afc4-ab702511c276>пользователю NT AUTHORITYСИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID и APPID <316cded5-e4ae-4b15-9113-7055d84dcc97>пользователю домендоменный пользователь с ИД безопасности (S-1-5-21-3881834362-1215354846-734949337-14627) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

После этих симптомов, в журнале уже за час несколько записей о ошибке регистрации сервера DCOM, появляются и другие ошибки сетевого характера, к примеру:

Сертификат, полученный от удаленного сервера, не прошел проверку. Код ошибки: 0x80092012. Запрос на TLS-соединение не удалось выполнить. Сертификат сервера содержится в прилагаемых данных.

Далее по сценарию всегда BSOD несколько раз в день, и приходится переустанавливать систему.

Многочисленные ошибки DCOM чаще всего следуют после обновлений параметров групповой политики, но по мимо дефолтной, ярлычков на корпоративные ресурсы, запрета установщика и сервера терминалов политик больше нет, и ошибок выполнения не наблюдалось.

На самих КД, из систематических записей в журнале, имеются только предупреждения архивирования:

Этот раздел каталога не архивировался по крайней мере указанное количество дней.

Интервал задержки архивации (дней):

Рекомендуется создавать архивную копию как можно чаще, чтобы обеспечить возможность восстановления в случае аварийной потери данных. Однако в том случае, если архивная копия не создавалась в течение указанного как «интервал задержки архивации» количества дней, это сообщение будет записываться в журнал каждый день до тех пор, пока не будет создана архивная копия. Можно сделать архивную копию любой реплики, содержащей этот раздел.

По умолчанию интервал задержки архивации устанавливается равным половине интервала времени жизни захоронения. Чтобы изменить интервал задержки архивации, можно добавить следующий раздел реестра.

Раздел реестра для интервала задержки архивации:

SystemCurrentControlSetServicesNTDSParametersBackup Latency Threshold (days)

Знаю, ошибка с DCOM не новая и чаще всего в комьюнити рекомендуют игнорировать её, но в моём случае она приводит к ощутимым проблемам, буду рад помощи.

Источник

Код ошибки 0x80092012 запрос на tls соединение не удалось выполнить

Общие обсуждения

не получается подключится клиентом к серверу.

ошибка1: ошибка проверки сертификата с сервера.

сертификаты присутствуют, в настройках линк-сервера установлены галочки: (вкладка Безопасность) Разрешить проверку подлинности на основе сертификатов, (вкладка Доступ к федерации и внеш доступ) Разрешить взаимодействие с удал. пользователями, фаервол отключен и повышенная проверка безопасности IE тоже откл, линк-сервер обновил, дату и время проверил, сервер линка по имени пингуется.

ошибка2: не удалось найти сервер Lync для . Возможно, из-за проблем с настройками служб DNS. См. статью KB2566790.

По статье https://support.microsoft.com/ru-ru/kb/2566790 днс-записи создал. Ошибка не исчезла. Установил LyncConnectivityAnalyzer и увидел ошибки подключения относительно https://lyncdiscoverinternal. и https://lyncdiscover. : «Удалённый сервер возвратил ошибку (503). Сервер недоступен».

DC выдаёт 2 ошибки:

ошибка1: The certificate received from the remote server has not validated correctly. The error code is 0x80092012. The SSL connection request has failed. The attached data contains the server certificate.

Ошибка2: A fatal alert was generated and sent to the remote endpoint. This may result in termination of the connection. The TLS protocol defined fatal error code is 43. The Windows SChannel error state is 552.

Источник

Подключения TLS могут завершаться сбоем или тайм-аутом при соединении или попытке возобновления

Проблемы

При попытке соединения может происходить сбой или тайм-аут TLS. Вы также можете получить одну или несколько из указанных ниже ошибок.

«Запрос прерван: не удалось создать безопасный канал SSL/TLS»

Ошибка, зарегистрированная в журнале системных событий для события SCHANNEL 36887 с кодом предупреждения 20 и описанием, «С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 20».​

Причина

В связи с принудительным применением CVE-2019-1318 из соображений безопасности все обновления для поддерживаемых версий Windows, выпущенные 8 октября 2019 г. или позже, применяют Extended Master Secret (EMS) для возобновления, как определено в RFC 7627. При подключении к сторонним устройствам и ОС, которые не соответствуют требованиям, могут возникать проблемы и сбои.

Дальнейшие действия

После полного обновления соединения между двумя устройствами под управлением любой поддерживаемой версии Windows не должны иметь этой ошибки. Для этой ошибки обновление Windows не требуется. Эти изменения необходимы для устранения неполадок безопасности и соответствия требованиям безопасности.

Все сторонние операционные системы, устройства и службы, которые не поддерживают возобновление EMS, могут проявлять проблемы, связанные с подключениями TLS. Обратитесь к администратору, изготовителю или поставщику услуг за обновлениями, которые полностью поддерживают возобновление EMS, как определено в RFC 7627.

Примечание. Корпорация Майкрософт не рекомендует отключать EMS. Если служба EMS была явным образом отключена ранее, ее можно снова включить, задав следующие значения в разделе реестра:

На сервере TLS — DisableServerExtendedMasterSecret: 0
На клиенте TLS — DisableClientExtendedMasterSecret: 0

Дополнительные сведения для администраторов

1. На устройстве с Windows, которое пытается установить TLS-подключение к устройству, которое не поддерживает Extended Master Secret (EMS), при согласовании комплектов шифров TLS_DHE_* может иногда возникать сбой, приблизительно в 1 попытке из 256. Чтобы устранить эту ошибку, реализуйте одно из следующих решений, указанных в порядке предпочтения.

Включите поддержку расширений Extend Master Secret (EMS) при выполнении TLS-подключений как в клиентской, так и в серверной операционной системе.

Для операционных систем, которые не поддерживают EMS, удалите комплекты шифров TLS_DHE_* из списка комплектов шифров в ОС клиентского устройства TLS. Инструкции о том, как это сделать в Windows, см в разделе Определение приоритета для комплектов шифров Schannel.

2. Операционные системы, которые отправляют сообщения запроса сертификата только в режиме полного подтверждения после возобновления, не соответствуют стандарту RFC 2246 (TLS 1.0) или RFC 5246 (TLS 1.2) и приводят к сбою каждого подключения. Возобновление не гарантируется в соответствии со спецификацией RFC, но оно может быть использовано по усмотрению клиента и сервера TLS. При возникновении этой проблемы необходимо обратиться к производителю или поставщику услуг за обновлениями, которые соответствуют стандартам RFC.

3. FTP-серверы или клиенты, не совместимые с RFC 2246 (TLS 1.0) и RFC 5246 (TLS 1.2), могут не передавать файлы при возобновлении или сокращенном подтверждении, и это приведет к сбою каждого подключения. При возникновении этой проблемы необходимо обратиться к производителю или поставщику услуг за обновлениями, которые соответствуют стандартам RFC.

Затронутые обновления

Эта проблема может возникать для любого последнего накопительного обновления (LCU) или ежемесячных накопительных пакетов, выпущенных 8 октября 2019 года или позже, для затронутых платформ:

KB4517389 LCU для Windows 10, версия 1903.

KB4519338 LCU для Windows 10 версии 1809 и Windows Server 2019.

KB4520008 LCU для Windows 10, версия 1803.

KB4520004 LCU для Windows 10, версия 1709.

KB4520010 LCU для Windows 10, версия 1703.

KB4519998 LCU для Windows 10 версии 1607 и Windows Server 2016.

KB4520011 LCU для Windows 10, версия 1507.

KB4520005 Ежемесячный накопительный пакет для Windows 8.1 и Windows Server 2012 R2.

KB4520007 Ежемесячный накопительный пакет обновления для Windows Server 2012.

KB4519976 Ежемесячный накопительный пакет для Windows 7 SP1 и Windows Server 2008 R2 SP1.

KB4520002 Ежемесячный накопительный пакет обновления для Windows Server 2008 SP2

Эта проблема может возникать для следующих обновлений системы безопасности, выпущенных 8 октября 2019 года, для затронутых платформ:

KB4519990 Обновление для системы безопасности для Windows 8.1 и Windows Server 2012 R2.

KB4519985 Обновление для системы безопасности для Windows Server 2012 и Windows Embedded 8 Standard.

KB4520003 Обновление для системы безопасности для Windows 7 SP1 и Windows Server 2008 R2 SP1

KB4520009 Обновление для системы безопасности Windows Server 2008 SP2

Источник

AutoCAD

Автор:

Проблема

При запуске программы Autodesk для Windows отображается следующее сообщение об ошибке:

Подключитесь к Интернету, чтобы продолжить

Не удалось обнаружить сервер лицензий Autodesk. Эта проблема может возникать по разным причинам, в том числе по указанным ниже.

• Прервано подключение к Интернету.
• Сервер лицензий Autodesk временно недоступен.

В службе просмотра событий Windows может отображаться следующая ошибка:

Причины:

Скомпрометированные корневые сертификаты для программ с серийными номерами по подписке с однопользовательским доступом.

Решение

Функция HTTPS Inspection может привести к ошибке в процессе проверки отзыва сертификата.

• Отключите эту функцию для *.autodesk.com.

Чтобы восстановить корневые сертификаты, выполните следующие действия.

1. Установите обновления протокола TLS (Transport Layer Security), соответствующие программному обеспечению и версии Autodesk.
2. Откройте диспетчер сертификатов.

А. Щелкните меню Windows «Пуск».
Б. Введите certmgr.msc.
В. Нажмите клавишу ENTER.

1. Перейдите в раздел Доверенные корневые центры сертификации >Сертификаты.

1. Удалите эти сертификаты. Для этого щелкните их правой кнопкой мыши и выберите «Удалить».

Кому выдан	Кем выдан
Go Daddy Class 2 Certification Authority	Go Daddy Class 2 Certification Authority
DigiCert Global Root CA	DigiCert Global Root CA
DigiCert High Assurance EV Root CA	DigiCert High Assurance EV Root CA
GlobalSign	GlobalSign
GlobalSign Root CA	GlobalSign Root CA
Starfield Class 2 Certification Authority	Starfield Class 2 Certification Authority
Thawte Timestamping CA	Thawte Timestamping CA
VeriSign Universal Root Certification Authority	VeriSign Universal Root Certification Authority

1. В браузере Internet Explorer 11 (предпочтительно) или Chrome перейдите на следующие веб-сайты:
   • https://www.autodesk.ru/
   • https://accounts.autodesk.com (после загрузки страницы щелкните войти)
   • https://cur.autodesk.com
2. Вернитесь в диспетчер сертификатов > «Доверенные корневые центры сертификации» > «Сертификаты».
3. В меню «Действие» выберите «Обновить».
4. Убедитесь в том, что добавлены сертификаты, соответствующие открытым веб-сайтам.
5. Восстановите программное обеспечение Autodesk из панели управления Windows.
   1. Откройте «Панель управления» > «Программы» > «Программы и компоненты».
   2. Правой кнопкой мыши щелкните необходимую программу Autodesk и выберите «Удалить/Изменить».
   3. Выберите «Восстановить» или «Переустановить» и следуйте инструкциям мастера настройки программы.

Примечание. Если в домене есть объект групповой политики (GPO), ограничивающий регистрацию или отзыв стороннего сертификата, ознакомьтесь со следующей статьей:
Параметр «Однопользовательская» или «Войти в систему» отсутствуют на экране начала работы из-за дефектов корневых сертификатов.

Источник

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

Hello everybody.
It was migrated a Windows 2008 R2 Enterprise Root CA on a Windows 2012 R2 Offline Root CA + Sub CA.

Root CRL add to LDAP

certutil –dspublish –f «C:CDRootCARoot Certificate.crl» «Certificate Authority. «

When a client requests a certificate error occurs.
Active Directory Certificate Services denied request 412 because The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK). Additional information: Error Constructing or Publishing Certificate
When testing
certutil -verify -urlfetch subca.cer
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
————————————
Revocation check skipped — server offline
Cert is a CA certificate
ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
CertUtil: The revocation function was unable to check revocation because the revocation server was offline.
CertUtil: -verify command completed successfully.
In the second test.
certutil -url subca.cer
CRL (from CDP) — Failed
I would be very grateful tip.

MCITP, MCSE. Regards, Oleg

Answers

After adding a CRL in LDAP. It took reissue SubCA.
With the release of SubCA checked CRL Root CA. With his lack of written and gives SubCA marked .
Revocation Status: The revocation function was unable to check revocation for the certificate.

After signing SubCA certificates earned.

MCITP, MCSE. Regards, Oleg

can you post a full dump of «certutil -verify -urlfetch subca.cer» command?

Vadims Podāns, aka PowerShell CryptoGuy
My weblog: www.sysadmins.lv
PowerShell PKI Module: pspki.codeplex.com
Check out new: SSL Certificate Verifier
Check out new: PowerShell File Checksum Integrity Verifier tool.

Please make sure that the client is able to access at least one of the CDP listed in the subca.cer.

Steven Lee Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

Issuer:
CN=Company Certificate Authority
DC=Company
DC=org
Name Hash(sha1): 12a8fbb0998c92c2f73486e3ac5f96a3e6ab1765
Name Hash(md5): 4f4bcf3f9004ce434d07e46bfc695afc
Subject:
CN=Company Certificate Subordinate Authority
OU=Information Systems
O=Company Org
C=US
Name Hash(sha1): 776d6fc95204a474354401817065e4844acb58b1
Name Hash(md5): 3977a4d60c49cfbd4756951f2a83472c
Cert Serial Number: 6123302d000200002e69

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
——— CERT_CHAIN_CONTEXT ———
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040
Issuer: CN=Company Certificate Authority, DC=Company, DC=org
NotBefore: 10/11/2015 11:07 PM
NotAfter: 6/5/2019 3:17 PM
Subject: CN=Company Certificate Subordinate Authority, OU=Information Systems, O=Company Org, C=US
Serial: 6123302d000200002e69
Template: SubCA
1b17a47351692f2a078dd5b75d3d11f30d3414d7
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
—————- Certificate AIA —————-
Verified «Certificate (0)» Time: 0
[0.0] ldap:///CN=Company%20Association%20Certificate%20Authority,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=Company,DC=org?cACertificate?base?objectClass=certificationAuthority

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=Company Certificate Authority, DC=Company, DC=org
NotBefore: 5/29/2009 7:04 PM
NotAfter: 6/5/2019 3:17 PM
Subject: CN=Company Certificate Authority, DC=Company, DC=org
Serial: 7ae9fcca60829fa64cbd39bf99e729b7
e7746458a96f7aea98eb8aa5623267b5baa76500
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
—————- Certificate AIA —————-
No URLs «None» Time: 0
—————- Certificate CDP —————-
Expired «Base CRL (0764)» Time: 0
[0.0] ldap:///CN=Company%20Association%20Certificate%20Authority(1),CN=oldEnterprice01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=Company,DC=org?certificateRevocationList?base?objectClass=cRLDistributionPoint

Exclude leaf cert:
1b17a47351692f2a078dd5b75d3d11f30d3414d7
Full chain:
f3dbdace25cdcccb69a1e48a75aa48aacf1da941
Issuer: CN=Company Certificate Authority, DC=Company, DC=org
NotBefore: 10/11/2015 11:07 PM
NotAfter: 6/5/2019 3:17 PM
Subject: CN=Company Certificate Subordinate Authority, OU=Information Systems, O=Company Org, C=US
Serial: 6123302d000200002e69
Template: SubCA
1b17a47351692f2a078dd5b75d3d11f30d3414d7
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
————————————
Revocation check skipped — server offline
Cert is a CA certificate

ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
CertUtil: The revocation function was unable to check revocation because the revocation server was offline.

CertUtil: -verify command completed successfully.

The problem CDP, as the single point of CRL checking was LDAP.

New Root CA Offline and LDAP does not write.

—————- Certificate CDP —————-
Failed «CDP» Time: 0
Error retrieving URL: The system can not find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
ldap:///CN=Company%20Association%20Certificate%20Authority(1),CN=RootPKI,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=Company,DC=org?certificateRevocationList?base?objectClass=cRLDistributionPoint

Now it is necessary figure out how to write in this way CRL

Источник

Почему возникают ошибки SSL-соединения и как их исправить?

Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

• Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
• Ненадежный SSL-сертификат;
• Брандмауэр или антивирус, блокирующие сайт;
• Включенный экспериментальный интернет-протокол QUIC;
• Отсутствие обновлений операционной системы;
• Использование SSL-сертификата устаревшей версии 3.0;
• Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».

Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

• Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
• Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».

• Запустится мастер импорта сертификатов. Жмем «Далее».

• Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:

• В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

• Откройте браузер и введите команду chrome://flags/#enable-quic;
• В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.

• После этого просто перезапустите браузер.

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3.0

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

• Откройте браузер и перейдите в раздел «Настройки».
• Прокрутите страницу настроек вниз и нажмите «Дополнительные».
• В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.

• Откроется окно. Перейдите на вкладку «Дополнительно».
• В этой вкладке вы увидите чекбокс «SSL 3.0».

• Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

Источник