Unknown error 0x80092012 функция отзыва не смогла произвести проверку отзыва для сертификата

D!m@n	#1 Оставлено : 21 августа 2011 г. 13:54:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	Добрый день! Веб-служба WCF использует HTTPS с аутентификацией клиента по сертификату. (решил запостить в этом разделе, т.к. сама проблема с Шарпеем и .NET’ом ИМХО никак не связана) На стороне службы: 1. КриптоПро CSP 3.6 R2 со свежекупленной серверной лицензией 2. Sharpei 3. Самоподписанный криптопрошный сертификат (с закрытым ключом), сделанный с помощью csptest в хранилище «Личные» локального компьютера + он же в хранилище «Доверенные корневые центры сертификации» локального компьютера + корректно зарегистрирован с помощью netsh 4. Сертификат УЦ, выпустившего сертификат клиента — в хранилище «Доверенные корневые центры сертификации» локального компьютера 5. Установлен последний CRL от УЦ, выпустившего клиентский сертификат 6. Есть доступ через интернет к CRL Distribution Point, указанной в сертификате клиента; CRL браузером можно скачать На клиенте: 1. КриптоПро CSP 3.6 R2 с обычной лицензией (не trial) 2. Sharpei 3. Сертификат клиента с EKU «1.3.6.1.5.5.7.3.2» (аутентификация клиента), выпущенный УЦ 4. Самоподписанный сертификат службы — в хранилище «Доверенные корневые центры сертификации» текущего пользователя 5. Сертификат УЦ, выпустившего клиентский сертификат — в хранилище «Доверенные корневые центры сертификации» текущего пользователя Эксперимент №1: Подключаемся клиентом веб-службы к endpoint веб-службы — сервер возвращает ошибку HTTP 403, на стороне клиента выбрасывается исключение, а в Event Log на стороне службы вот такое сообщение: «КриптоПро TLS. Ошибка 0x80092012 при проверке сертификата клиента: Функция отзыва не смогла произвести проверку отзыва для сертификата.» Эксперимент №2: С клиента подключаемся браузером по https к metadata exchange endpoint (не требует аутентификации клиента) — все работает, страница открывается, IE доверяет веб-серверу и т.п. Эксперимент №3: Меняем в конфигах службы и клиента криптопрошные сертификаты на RSA-шные, строим аналогичную схему — все работает. Эксперимент №4: Специально написанным кодом с помощью X509Chain на машине веб-службы (из-под той же учетки) проверяем сертификат клиента => проверка успешна и в случае RevocationMode = X509RevocationMode.Online, и в случае RevocationMode = X509RevocationMode.Offline. Т.е. доверие к сертификату клиента вроде как есть. Скажите, пожалуйста, как победить ошибку 0x80092012 КриптоПро TLS? Отредактировано пользователем 21 августа 2011 г. 13:56:39(UTC)  | Причина: Не указана

Максим Коллегин	#2 Оставлено : 22 августа 2011 г. 7:07:34(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	Выложите настройки netsh http show sslcert из привязки службы?Для RSA издатели клиентских сертификатов те же? и настройки? Включите аудит CAPI во время проверки сертификата клиента, какие сообщения? Отредактировано пользователем 22 августа 2011 г. 7:10:39(UTC)  | Причина: Не указана Пользователь Максим Коллегин прикрепил следующие файлы: Безымянный.png (103kb) загружен 511 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Знания в базе знаний, поддержка в техподдержке
	WWW

D!m@n	#3 Оставлено : 22 августа 2011 г. 14:18:08(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	maxdm, огромное спасибо за оперативный ответ! Вывод netsh http show sslcert Код: Привязки сертификатов SSL: ------------------------- IP:порт : 0.0.0.0:8089 Хэш сертификата : a6ab972dd7b2441a1108f486db508d7a27692acb Код приложения : {2b8a9136-fe43-4ac2-a3fb-9787ed6f6e90} Имя хранилища сертификатов : (null) Проверять отзыв сертификата клиента : Enabled Проверка отзыва с использованием только кэшированного сертификата клиента : Disabled Проверка использования : Enabled Время свежести отзыва : 0 Время ожидания извлечения URL-адреса : 0 Идентификатор CTL : (null) Имя хранилища CTL : (null) Использование сопоставлений DS : Disabled Согласование сертификата клиента : Enabled Из журнала CAPI2: Код: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}"/> <EventID>53</EventID> <Version>0</Version> <Level>2</Level> <Task>53</Task> <Opcode>2</Opcode> <Keywords>0x4000000000000036</Keywords> <TimeCreated SystemTime="2011-08-22T05:50:20.239235500Z"/> <EventRecordID>1618</EventRecordID> <Correlation/> <Execution ProcessID="612" ThreadID="652"/> <Channel>Microsoft-Windows-CAPI2/Operational</Channel> <Computer>server.mydomain.ru</Computer> <Security UserID="S-1-5-18"/> </System> <UserData> <CryptRetrieveObjectByUrlWire> <URL scheme="http">http://correct.crl.address/crl.crl</URL> <Object type="CONTEXT_OID_CRL" constant="2"/> <Timeout>PT15S</Timeout> <Flags value="1" CRYPT_RETRIEVE_MULTIPLE_OBJECTS="true"/> <AdditionalInfo> <Action name="IsPendingNetworkRetrieval"> <Error value="3A">Указанный сервер не может выполнить требуемую операцию.</Error> </Action> </AdditionalInfo> <EventAuxInfo ProcessName="lsass.exe"/> <CorrelationAuxInfo TaskId="{69CF87F7-0FCA-4C72-8BD8-9AC62834B73D}" SeqNumber="6"/> <Result value="3A">Указанный сервер не может выполнить требуемую операцию.</Result> </CryptRetrieveObjectByUrlWire> </UserData> </Event> И сразу за ним: Код: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}"/> <EventID>41</EventID> <Version>0</Version> <Level>2</Level> <Task>41</Task> <Opcode>2</Opcode> <Keywords>0x4000000000000005</Keywords> <TimeCreated SystemTime="2011-08-22T06:13:42.154435600Z"/> <EventRecordID>1726</EventRecordID> <Correlation/> <Execution ProcessID="612" ThreadID="652"/> <Channel>Microsoft-Windows-CAPI2/Operational</Channel> <Computer>server.mydomain.ru</Computer> <Security UserID="S-1-5-18"/> </System> <UserData> <CertVerifyRevocation> <EventAuxInfo ProcessName="lsass.exe"/> <CorrelationAuxInfo TaskId="{1E2E976F-C3B0-4332-ABE5-F3AECDBA466B}" SeqNumber="7"/> <Result value="80092012">Функция отзыва не смогла произвести проверку отзыва для сертификата.</Result> </CertVerifyRevocation> </UserData> </Event> Т.е. получается, что все-таки не вытягивается CRL в онлайне? (как установить причину? ведь я могу скачать CRL через IE) Можно ли как-то перевести проверку в режим оффлайн, чтобы она довольствовалась импортированным вручную CRL? Что касается RSA-шных сертификатов, с которыми все получилось, то они все сделаны с помощью makecert и, конечно, имеют ряд отличий: 1. сертификат сервера имеет EKU 1.3.6.1.5.5.7.3.1 2. оба сертификата выпущены одним сертификатором 3. клиентский сертификат не имеет CRL Distribution Point Отредактировано пользователем 22 августа 2011 г. 14:43:05(UTC)  | Причина: Не указана

D!m@n	#4 Оставлено : 22 августа 2011 г. 14:34:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	И еще добавлю: если в netsh при регистрации сертификата службы включить опцию verifyclientcertrevocation=disable, то аутентификация проходит… но это не вариант вообще, т.к. проверка по CRL необходима.

Максим Коллегин	#5 Оставлено : 22 августа 2011 г. 15:48:16(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	Цитата: Проверка отзыва с использованием только кэшированного сертификата клиента : Disabled вот эту настройку нужно изменить. CRL недоступен скорее всего из-за авторизации на прокси. Отредактировано пользователем 22 августа 2011 г. 15:49:04(UTC)  | Причина: Не указана
Знания в базе знаний, поддержка в техподдержке
	WWW

D!m@n	#6 Оставлено : 22 августа 2011 г. 16:51:42(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	maxdm написал: Цитата: Проверка отзыва с использованием только кэшированного сертификата клиента : Disabled вот эту настройку нужно изменить. CRL недоступен скорее всего из-за авторизации на прокси. Если не ошибаюсь, для этого в реестре в разделе sslbindinginfo данного порта надо поставить DefaultSslCertCheckMode = 2? http://msdn.microsoft.co…us/library/ms689452.aspx Попробовал, перезагрузился, опция действительно установилась в Enabled. В журнале CAPI2 больше нет попыток получить CRL через точку распространения, но ошибка «Функция отзыва не смогла произвести проверку отзыва для сертификата» сохраняется. При этом CRL был импортирован вручную. Отредактировано пользователем 22 августа 2011 г. 16:52:49(UTC)  | Причина: Не указана

D!m@n	#7 Оставлено : 22 августа 2011 г. 17:00:48(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	Уффф, кажись разобрался. Похоже на то, что CRL нельзя устанавливать через правый клик»Установить список отзыва (CRL)» Он, видимо, в этом случае только для текущего пользователя устанавливается, а не для Local Machine. Если я правильно понял, надо использовать команду certutil с ключами -enterprise и -addstore. Во всяком случае у меня после этого оффлайновая проверка CRL заработала (в т.ч. проверил с помощью certutil -verify). maxdm, поправьте меня, пожалуйста, если я что-то понял не так. И еще — огромное Вам спасибо за помощь! P.S. Еще эксперимент провел: вернул опцию DefaultSslCertCheckMode = 0, перезагрузился => успешно подключился по HTTPS. Т.е. ИМХО проблема была именно в том, что CRL был некорректно импортирован. Отредактировано пользователем 22 августа 2011 г. 17:14:13(UTC)  | Причина: Не указана

Максим Коллегин	#8 Оставлено : 22 августа 2011 г. 17:09:07(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	Да, после установки нужно переместить CRL в хранилище компьютера или выбрать хранилище при установке.
Знания в базе знаний, поддержка в техподдержке
	WWW

D!m@n	#9 Оставлено : 22 августа 2011 г. 17:16:22(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	maxdm написал: Да, после установки нужно переместить CRL в хранилище компьютера или выбрать хранилище при установке. Так при импорте через GUI он не предлагает выбрать, чье это хранилище — локального компьютера или текущего пользователя. Он предлагает выбрать только название хранилища…

Максим Коллегин	#10 Оставлено : 22 августа 2011 г. 18:04:09(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	там есть крыжик — показывать физические хранилища.
Знания в базе знаний, поддержка в техподдержке
	WWW

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

AutoCAD

Автор:

Проблема

При запуске программы Autodesk для Windows отображается следующее сообщение об ошибке:

Подключитесь к Интернету, чтобы продолжить

Не удалось обнаружить сервер лицензий Autodesk. Эта проблема может возникать по разным причинам, в том числе по указанным ниже.

• Прервано подключение к Интернету.
• Сервер лицензий Autodesk временно недоступен.

В службе просмотра событий Windows может отображаться следующая ошибка:

Причины:

Скомпрометированные корневые сертификаты для программ с серийными номерами по подписке с однопользовательским доступом.

Решение

Функция HTTPS Inspection может привести к ошибке в процессе проверки отзыва сертификата.

• Отключите эту функцию для *.autodesk.com.

Чтобы восстановить корневые сертификаты, выполните следующие действия.

1. Установите обновления протокола TLS (Transport Layer Security), соответствующие программному обеспечению и версии Autodesk.
2. Откройте диспетчер сертификатов.

А. Щелкните меню Windows «Пуск».
Б. Введите certmgr.msc.
В. Нажмите клавишу ENTER.

1. Перейдите в раздел Доверенные корневые центры сертификации >Сертификаты.

1. Удалите эти сертификаты. Для этого щелкните их правой кнопкой мыши и выберите «Удалить».

Кому выдан	Кем выдан
Go Daddy Class 2 Certification Authority	Go Daddy Class 2 Certification Authority
DigiCert Global Root CA	DigiCert Global Root CA
DigiCert High Assurance EV Root CA	DigiCert High Assurance EV Root CA
GlobalSign	GlobalSign
GlobalSign Root CA	GlobalSign Root CA
Starfield Class 2 Certification Authority	Starfield Class 2 Certification Authority
Thawte Timestamping CA	Thawte Timestamping CA
VeriSign Universal Root Certification Authority	VeriSign Universal Root Certification Authority

1. В браузере Internet Explorer 11 (предпочтительно) или Chrome перейдите на следующие веб-сайты:
   • https://www.autodesk.ru/
   • https://accounts.autodesk.com (после загрузки страницы щелкните войти)
   • https://cur.autodesk.com
2. Вернитесь в диспетчер сертификатов > «Доверенные корневые центры сертификации» > «Сертификаты».
3. В меню «Действие» выберите «Обновить».
4. Убедитесь в том, что добавлены сертификаты, соответствующие открытым веб-сайтам.
5. Восстановите программное обеспечение Autodesk из панели управления Windows.
   1. Откройте «Панель управления» > «Программы» > «Программы и компоненты».
   2. Правой кнопкой мыши щелкните необходимую программу Autodesk и выберите «Удалить/Изменить».
   3. Выберите «Восстановить» или «Переустановить» и следуйте инструкциям мастера настройки программы.

Примечание. Если в домене есть объект групповой политики (GPO), ограничивающий регистрацию или отзыв стороннего сертификата, ознакомьтесь со следующей статьей:
Параметр «Однопользовательская» или «Войти в систему» отсутствуют на экране начала работы из-за дефектов корневых сертификатов.

Источник

Код ошибки 0x80092012 запрос на ssl соединение не удалось выполнить

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

Hello everybody.
It was migrated a Windows 2008 R2 Enterprise Root CA on a Windows 2012 R2 Offline Root CA + Sub CA.

Root CRL add to LDAP

certutil –dspublish –f «C:CDRootCARoot Certificate.crl» «Certificate Authority. «

When a client requests a certificate error occurs.
Active Directory Certificate Services denied request 412 because The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK). Additional information: Error Constructing or Publishing Certificate
When testing
certutil -verify -urlfetch subca.cer
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
————————————
Revocation check skipped — server offline
Cert is a CA certificate
ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
CertUtil: The revocation function was unable to check revocation because the revocation server was offline.
CertUtil: -verify command completed successfully.
In the second test.
certutil -url subca.cer
CRL (from CDP) — Failed
I would be very grateful tip.

MCITP, MCSE. Regards, Oleg

Answers

After adding a CRL in LDAP. It took reissue SubCA.
With the release of SubCA checked CRL Root CA. With his lack of written and gives SubCA marked .
Revocation Status: The revocation function was unable to check revocation for the certificate.

After signing SubCA certificates earned.

MCITP, MCSE. Regards, Oleg

can you post a full dump of «certutil -verify -urlfetch subca.cer» command?

Vadims Podāns, aka PowerShell CryptoGuy
My weblog: www.sysadmins.lv
PowerShell PKI Module: pspki.codeplex.com
Check out new: SSL Certificate Verifier
Check out new: PowerShell File Checksum Integrity Verifier tool.

Please make sure that the client is able to access at least one of the CDP listed in the subca.cer.

Steven Lee Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

Issuer:
CN=Company Certificate Authority
DC=Company
DC=org
Name Hash(sha1): 12a8fbb0998c92c2f73486e3ac5f96a3e6ab1765
Name Hash(md5): 4f4bcf3f9004ce434d07e46bfc695afc
Subject:
CN=Company Certificate Subordinate Authority
OU=Information Systems
O=Company Org
C=US
Name Hash(sha1): 776d6fc95204a474354401817065e4844acb58b1
Name Hash(md5): 3977a4d60c49cfbd4756951f2a83472c
Cert Serial Number: 6123302d000200002e69

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
——— CERT_CHAIN_CONTEXT ———
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040
Issuer: CN=Company Certificate Authority, DC=Company, DC=org
NotBefore: 10/11/2015 11:07 PM
NotAfter: 6/5/2019 3:17 PM
Subject: CN=Company Certificate Subordinate Authority, OU=Information Systems, O=Company Org, C=US
Serial: 6123302d000200002e69
Template: SubCA
1b17a47351692f2a078dd5b75d3d11f30d3414d7
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
—————- Certificate AIA —————-
Verified «Certificate (0)» Time: 0
[0.0] ldap:///CN=Company%20Association%20Certificate%20Authority,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=Company,DC=org?cACertificate?base?objectClass=certificationAuthority

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=Company Certificate Authority, DC=Company, DC=org
NotBefore: 5/29/2009 7:04 PM
NotAfter: 6/5/2019 3:17 PM
Subject: CN=Company Certificate Authority, DC=Company, DC=org
Serial: 7ae9fcca60829fa64cbd39bf99e729b7
e7746458a96f7aea98eb8aa5623267b5baa76500
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
—————- Certificate AIA —————-
No URLs «None» Time: 0
—————- Certificate CDP —————-
Expired «Base CRL (0764)» Time: 0
[0.0] ldap:///CN=Company%20Association%20Certificate%20Authority(1),CN=oldEnterprice01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=Company,DC=org?certificateRevocationList?base?objectClass=cRLDistributionPoint

Exclude leaf cert:
1b17a47351692f2a078dd5b75d3d11f30d3414d7
Full chain:
f3dbdace25cdcccb69a1e48a75aa48aacf1da941
Issuer: CN=Company Certificate Authority, DC=Company, DC=org
NotBefore: 10/11/2015 11:07 PM
NotAfter: 6/5/2019 3:17 PM
Subject: CN=Company Certificate Subordinate Authority, OU=Information Systems, O=Company Org, C=US
Serial: 6123302d000200002e69
Template: SubCA
1b17a47351692f2a078dd5b75d3d11f30d3414d7
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
————————————
Revocation check skipped — server offline
Cert is a CA certificate

ERROR: Verifying leaf certificate revocation status returned The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
CertUtil: The revocation function was unable to check revocation because the revocation server was offline.

CertUtil: -verify command completed successfully.

The problem CDP, as the single point of CRL checking was LDAP.

New Root CA Offline and LDAP does not write.

—————- Certificate CDP —————-
Failed «CDP» Time: 0
Error retrieving URL: The system can not find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)
ldap:///CN=Company%20Association%20Certificate%20Authority(1),CN=RootPKI,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=Company,DC=org?certificateRevocationList?base?objectClass=cRLDistributionPoint

Now it is necessary figure out how to write in this way CRL

Источник

Почему возникают ошибки SSL-соединения и как их исправить?

Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

• Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
• Ненадежный SSL-сертификат;
• Брандмауэр или антивирус, блокирующие сайт;
• Включенный экспериментальный интернет-протокол QUIC;
• Отсутствие обновлений операционной системы;
• Использование SSL-сертификата устаревшей версии 3.0;
• Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».

Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

• Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
• Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».

• Запустится мастер импорта сертификатов. Жмем «Далее».

• Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:

• В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

• Откройте браузер и введите команду chrome://flags/#enable-quic;
• В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.

• После этого просто перезапустите браузер.

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3.0

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

• Откройте браузер и перейдите в раздел «Настройки».
• Прокрутите страницу настроек вниз и нажмите «Дополнительные».
• В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.

• Откроется окно. Перейдите на вкладку «Дополнительно».
• В этой вкладке вы увидите чекбокс «SSL 3.0».

• Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

Источник

silkworm	#1 Оставлено : 8 февраля 2016 г. 16:57:50(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.02.2016(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	Добрый день! После установки Крипто-ПРО CSP v.3.6.7777 и фичи Revocation Provider на Windows 7 перестал запускаться клиент Microsoft Lync 2013. В системных ошибках фигурирует: Event ID 36876 Source: Schannel. Текст ошибки: Сертификат, полученный от удаленного сервера, не прошел проверку. Код ошибки: 0x80092012. Запрос на SSL-соединение не удалось выполнить. Сертификат сервера содержится в прилагаемых данных. Сертификат сервера — это действующий сертификат Lync-сервера, с которым связывается клиент. AIA и CDP доступны. Всё происходит в домене. Пробовал следующее: отключал в настройках КриптоПРО «Не проверять сертификат сервера на отзыв», в настройках OSCP Client GPO добавлял отпечаток сертификата сервера в исключения, обновился до версии 3.9.8001 КС1 — ничего не помогло. К сожалению, наличие Revocation Provider является обязательным.

Максим Коллегин	#2 Оставлено : 8 февраля 2016 г. 23:36:33(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	А что пишет certutil при проверке сертификата? С установленным reprov и без?
Знания в базе знаний, поддержка в техподдержке
	WWW

silkworm	#3 Оставлено : 9 февраля 2016 г. 19:27:18(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.02.2016(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	certutil -verify в обоих случаяx (c reprov и без) выдает: ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40), это из-за того, что CDP сертификата «высшего CA» недоступен. Без reprov добавляется ошибка CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000). Результат: С reprov — Функция отзыва не смогла произвести проверку отзыва для сертификата. 0x80092012 (-2146885614)…..Lync Клиент не работает. Без reprov — Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)….Lync Клиент работает. Не расстраивайте меня, что необходимо иметь доступный CDP всех CA в цепочке для корректной работы reprov. Если так, то возможно ли отключить проверку для определенных сертификатов? Спасибо! Отредактировано пользователем 9 февраля 2016 г. 19:29:47(UTC)  | Причина: Не указана

Максим Коллегин	#4 Оставлено : 9 февраля 2016 г. 19:57:30(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	reprov проверяет сертификаты на отзыв, логично, что возвращается ошибка при невозможности проверки. MSFT не настолько строг. Попробуйте отключить проверку на отзыв в IE.
Знания в базе знаний, поддержка в техподдержке
	WWW

silkworm	#5 Оставлено : 11 февраля 2016 г. 12:25:53(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.02.2016(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	К сожалению отключение галки в IE не помогло. У меня есть еще варианты, кроме как изменять настройки RootCA?

Максим Коллегин	#6 Оставлено : 11 февраля 2016 г. 16:06:51(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,255 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 660 раз в 583 постах	Нашел вот такой параметр — поставьте DWORD 1 — возможно отключит проверку сертификатов вообще. HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSecurityProvidersSCHANNELManualCredValidation
Знания в базе знаний, поддержка в техподдержке
	WWW
1 пользователь поблагодарил Максим Коллегин за этот пост.	silkworm оставлено 12.02.2016(UTC)

silkworm	#7 Оставлено : 12 февраля 2016 г. 10:38:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.02.2016(UTC) Сообщений: 4 Сказал(а) «Спасибо»: 1 раз	Спасибо за ключ — работает! Этот вариант отлично подойдет в качестве временного решения, пока решится проблема по корневым CA.

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.