Ошибка при инициализации криптографической сессии сервер отзыва сертификатов недоступен

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для Вас с целью персонализации сервисов и предложений. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов.

Форум КриптоПро
 » 
Устаревшие продукты
 » 
КриптоПро CSP 3.6
 » 
КриптоПро TLS + «Функция отзыва не смогла произвести проверку отзыва для сертификата»

D!m@n	#1 Оставлено : 21 августа 2011 г. 13:54:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	Добрый день! Веб-служба WCF использует HTTPS с аутентификацией клиента по сертификату. (решил запостить в этом разделе, т.к. сама проблема с Шарпеем и .NET’ом ИМХО никак не связана) На стороне службы: 1. КриптоПро CSP 3.6 R2 со свежекупленной серверной лицензией 2. Sharpei 3. Самоподписанный криптопрошный сертификат (с закрытым ключом), сделанный с помощью csptest в хранилище «Личные» локального компьютера + он же в хранилище «Доверенные корневые центры сертификации» локального компьютера + корректно зарегистрирован с помощью netsh 4. Сертификат УЦ, выпустившего сертификат клиента — в хранилище «Доверенные корневые центры сертификации» локального компьютера 5. Установлен последний CRL от УЦ, выпустившего клиентский сертификат 6. Есть доступ через интернет к CRL Distribution Point, указанной в сертификате клиента; CRL браузером можно скачать На клиенте: 1. КриптоПро CSP 3.6 R2 с обычной лицензией (не trial) 2. Sharpei 3. Сертификат клиента с EKU «1.3.6.1.5.5.7.3.2» (аутентификация клиента), выпущенный УЦ 4. Самоподписанный сертификат службы — в хранилище «Доверенные корневые центры сертификации» текущего пользователя 5. Сертификат УЦ, выпустившего клиентский сертификат — в хранилище «Доверенные корневые центры сертификации» текущего пользователя Эксперимент №1: Подключаемся клиентом веб-службы к endpoint веб-службы — сервер возвращает ошибку HTTP 403, на стороне клиента выбрасывается исключение, а в Event Log на стороне службы вот такое сообщение: «КриптоПро TLS. Ошибка 0x80092012 при проверке сертификата клиента: Функция отзыва не смогла произвести проверку отзыва для сертификата.» Эксперимент №2: С клиента подключаемся браузером по https к metadata exchange endpoint (не требует аутентификации клиента) — все работает, страница открывается, IE доверяет веб-серверу и т.п. Эксперимент №3: Меняем в конфигах службы и клиента криптопрошные сертификаты на RSA-шные, строим аналогичную схему — все работает. Эксперимент №4: Специально написанным кодом с помощью X509Chain на машине веб-службы (из-под той же учетки) проверяем сертификат клиента => проверка успешна и в случае RevocationMode = X509RevocationMode.Online, и в случае RevocationMode = X509RevocationMode.Offline. Т.е. доверие к сертификату клиента вроде как есть. Скажите, пожалуйста, как победить ошибку 0x80092012 КриптоПро TLS? Отредактировано пользователем 21 августа 2011 г. 13:56:39(UTC)  | Причина: Не указана

Максим Коллегин	#2 Оставлено : 22 августа 2011 г. 7:07:34(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	Выложите настройки netsh http show sslcert из привязки службы?Для RSA издатели клиентских сертификатов те же? и настройки? Включите аудит CAPI во время проверки сертификата клиента, какие сообщения? Отредактировано пользователем 22 августа 2011 г. 7:10:39(UTC)  | Причина: Не указана Пользователь Максим Коллегин прикрепил следующие файлы: Безымянный.png (103kb) загружен 511 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Знания в базе знаний, поддержка в техподдержке
	WWW

D!m@n	#3 Оставлено : 22 августа 2011 г. 14:18:08(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	maxdm, огромное спасибо за оперативный ответ! Вывод netsh http show sslcert Код: Привязки сертификатов SSL: ------------------------- IP:порт : 0.0.0.0:8089 Хэш сертификата : a6ab972dd7b2441a1108f486db508d7a27692acb Код приложения : {2b8a9136-fe43-4ac2-a3fb-9787ed6f6e90} Имя хранилища сертификатов : (null) Проверять отзыв сертификата клиента : Enabled Проверка отзыва с использованием только кэшированного сертификата клиента : Disabled Проверка использования : Enabled Время свежести отзыва : 0 Время ожидания извлечения URL-адреса : 0 Идентификатор CTL : (null) Имя хранилища CTL : (null) Использование сопоставлений DS : Disabled Согласование сертификата клиента : Enabled Из журнала CAPI2: Код: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}"/> <EventID>53</EventID> <Version>0</Version> <Level>2</Level> <Task>53</Task> <Opcode>2</Opcode> <Keywords>0x4000000000000036</Keywords> <TimeCreated SystemTime="2011-08-22T05:50:20.239235500Z"/> <EventRecordID>1618</EventRecordID> <Correlation/> <Execution ProcessID="612" ThreadID="652"/> <Channel>Microsoft-Windows-CAPI2/Operational</Channel> <Computer>server.mydomain.ru</Computer> <Security UserID="S-1-5-18"/> </System> <UserData> <CryptRetrieveObjectByUrlWire> <URL scheme="http">http://correct.crl.address/crl.crl</URL> <Object type="CONTEXT_OID_CRL" constant="2"/> <Timeout>PT15S</Timeout> <Flags value="1" CRYPT_RETRIEVE_MULTIPLE_OBJECTS="true"/> <AdditionalInfo> <Action name="IsPendingNetworkRetrieval"> <Error value="3A">Указанный сервер не может выполнить требуемую операцию.</Error> </Action> </AdditionalInfo> <EventAuxInfo ProcessName="lsass.exe"/> <CorrelationAuxInfo TaskId="{69CF87F7-0FCA-4C72-8BD8-9AC62834B73D}" SeqNumber="6"/> <Result value="3A">Указанный сервер не может выполнить требуемую операцию.</Result> </CryptRetrieveObjectByUrlWire> </UserData> </Event> И сразу за ним: Код: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}"/> <EventID>41</EventID> <Version>0</Version> <Level>2</Level> <Task>41</Task> <Opcode>2</Opcode> <Keywords>0x4000000000000005</Keywords> <TimeCreated SystemTime="2011-08-22T06:13:42.154435600Z"/> <EventRecordID>1726</EventRecordID> <Correlation/> <Execution ProcessID="612" ThreadID="652"/> <Channel>Microsoft-Windows-CAPI2/Operational</Channel> <Computer>server.mydomain.ru</Computer> <Security UserID="S-1-5-18"/> </System> <UserData> <CertVerifyRevocation> <EventAuxInfo ProcessName="lsass.exe"/> <CorrelationAuxInfo TaskId="{1E2E976F-C3B0-4332-ABE5-F3AECDBA466B}" SeqNumber="7"/> <Result value="80092012">Функция отзыва не смогла произвести проверку отзыва для сертификата.</Result> </CertVerifyRevocation> </UserData> </Event> Т.е. получается, что все-таки не вытягивается CRL в онлайне? (как установить причину? ведь я могу скачать CRL через IE) Можно ли как-то перевести проверку в режим оффлайн, чтобы она довольствовалась импортированным вручную CRL? Что касается RSA-шных сертификатов, с которыми все получилось, то они все сделаны с помощью makecert и, конечно, имеют ряд отличий: 1. сертификат сервера имеет EKU 1.3.6.1.5.5.7.3.1 2. оба сертификата выпущены одним сертификатором 3. клиентский сертификат не имеет CRL Distribution Point Отредактировано пользователем 22 августа 2011 г. 14:43:05(UTC)  | Причина: Не указана

D!m@n	#4 Оставлено : 22 августа 2011 г. 14:34:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	И еще добавлю: если в netsh при регистрации сертификата службы включить опцию verifyclientcertrevocation=disable, то аутентификация проходит… но это не вариант вообще, т.к. проверка по CRL необходима.

Максим Коллегин	#5 Оставлено : 22 августа 2011 г. 15:48:16(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	Цитата: Проверка отзыва с использованием только кэшированного сертификата клиента : Disabled вот эту настройку нужно изменить. CRL недоступен скорее всего из-за авторизации на прокси. Отредактировано пользователем 22 августа 2011 г. 15:49:04(UTC)  | Причина: Не указана
Знания в базе знаний, поддержка в техподдержке
	WWW

D!m@n	#6 Оставлено : 22 августа 2011 г. 16:51:42(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	maxdm написал: Цитата: Проверка отзыва с использованием только кэшированного сертификата клиента : Disabled вот эту настройку нужно изменить. CRL недоступен скорее всего из-за авторизации на прокси. Если не ошибаюсь, для этого в реестре в разделе sslbindinginfo данного порта надо поставить DefaultSslCertCheckMode = 2? http://msdn.microsoft.co…us/library/ms689452.aspx Попробовал, перезагрузился, опция действительно установилась в Enabled. В журнале CAPI2 больше нет попыток получить CRL через точку распространения, но ошибка «Функция отзыва не смогла произвести проверку отзыва для сертификата» сохраняется. При этом CRL был импортирован вручную. Отредактировано пользователем 22 августа 2011 г. 16:52:49(UTC)  | Причина: Не указана

D!m@n	#7 Оставлено : 22 августа 2011 г. 17:00:48(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	Уффф, кажись разобрался. Похоже на то, что CRL нельзя устанавливать через правый клик»Установить список отзыва (CRL)» Он, видимо, в этом случае только для текущего пользователя устанавливается, а не для Local Machine. Если я правильно понял, надо использовать команду certutil с ключами -enterprise и -addstore. Во всяком случае у меня после этого оффлайновая проверка CRL заработала (в т.ч. проверил с помощью certutil -verify). maxdm, поправьте меня, пожалуйста, если я что-то понял не так. И еще — огромное Вам спасибо за помощь! P.S. Еще эксперимент провел: вернул опцию DefaultSslCertCheckMode = 0, перезагрузился => успешно подключился по HTTPS. Т.е. ИМХО проблема была именно в том, что CRL был некорректно импортирован. Отредактировано пользователем 22 августа 2011 г. 17:14:13(UTC)  | Причина: Не указана

Максим Коллегин	#8 Оставлено : 22 августа 2011 г. 17:09:07(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	Да, после установки нужно переместить CRL в хранилище компьютера или выбрать хранилище при установке.
Знания в базе знаний, поддержка в техподдержке
	WWW

D!m@n	#9 Оставлено : 22 августа 2011 г. 17:16:22(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 28.10.2008(UTC) Сообщений: 40 Откуда: Москва	maxdm написал: Да, после установки нужно переместить CRL в хранилище компьютера или выбрать хранилище при установке. Так при импорте через GUI он не предлагает выбрать, чье это хранилище — локального компьютера или текущего пользователя. Он предлагает выбрать только название хранилища…

Максим Коллегин	#10 Оставлено : 22 августа 2011 г. 18:04:09(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,253 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 658 раз в 582 постах	там есть крыжик — показывать физические хранилища.
Знания в базе знаний, поддержка в техподдержке
	WWW

Форум КриптоПро
 » 
Устаревшие продукты
 » 
КриптоПро CSP 3.6
 » 
КриптоПро TLS + «Функция отзыва не смогла произвести проверку отзыва для сертификата»

Быстрый переход
 

Перейти к содержанию

microsoft-windows:windows-server-2012-r2:remote-access:how-to-disable-certificate-revocation-check-on-sstp-windows-client

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesSstpsvcparameters

ЕГИССО настройка рабочего места

Каждый орган местного самоуправления и подведомственные им организации, которые осуществляют назначение мер социальной защиты должны предоставлять информацию о мерах социальной поддержки. В связи с этим вопрос как произвести настройку рабочего места ЕГИССО становиться всё более актуальным. В этой статье мы разберем какое ПО нужно использовать для организации защищенного соединения и как настроить компьютер под ЕГИССО

Программы для ЕГИССО

Начнем с загрузки всего необходимого нам для настройки рабочего места, чтобы потом на это не отвлекаться. И так, для работы с порталом ЕГИССО нам понадобятся:

• В первую очередь операционная система Windows 7 или Windows 10. В случае с Windows 7 возможно ещё понадобиться дополнительно обновить браузер Internet Explorer до 11 версии;
• Криптопровайдер КриптоПро CSP 4.0 R3. Скачать дистрибутив для установки можно с официального сайта КриптоПро (Обязательно требуется регистрация);
• Прикладное программное обеспечение управления электронной подписью и шифрованием (ППО УЭПШ) Crypto+ DE 3.1;
• Плагин для браузера КриптоПро ЭЦП Browser plug-in версии 2.0;
• Плагин для работы с порталом государственных услуг IFCPlugin;
• Корневой сертификат ЕГИССО;
• Сертификат безопасности выданный на юридическое лицо. Его можно получить в авторизованном удостоверяющем центре.

На этом перечень нужных нам программ для работы с ЕГИССО окончен.

Настройка рабочего места ЕГИССО

Приступаем к установке и настройке программного обеспечения для организации работы в кабинете поставщика информации (КПИ).

Первым делом, должна быть произведена настройка КриптоПро для ЕГИССО. Скачиваем и устанавливаем КриптоПро CSP 4.0 R3. Хотелось бы подчеркнуть, рекомендуемая версия программы КриптоПро CSP 4.0.9944. С этой сборкой проблем во время работы обнаружено не было. Запускаем установочный файл и нажимаем «Установить (рекомендуется)», при этом пункт «Установить корневые сертификаты» должен быть отмечен.

После установки КриптоПро перезагружаем компьютер и устанавливаем корневой сертификат ЕГИССО. Кликаем два раза по ранее загруженному сертификату. Затем кликаем по кнопке «Установить сертификат…».

В мастере импорта сертификатов отмечаем пункт «Поместить все сертификаты в следующее хранилище» затем жмем кнопку «Обзор…».

В предоставленном списке выбираем «Доверенные корневые центры сертификации» и нажимаем «ОК».

Далее, если всё сделано верно, на экране появится окно с предупреждением о безопасности. Это окно носит уведомительных характер, подтверждаем установку сертификата ЕГИССО нажатием на кнопку «Да».

После подтверждения вы увидите сообщение о том, что импорт успешно выполнен. Установка сертификата ЕГИССО завершена.

Следующим шагом копируем контейнер закрытого ключа и устанавливаем сертификат организации выданный авторизованным удостоверяющим центром. Перед началом копирования подключите устройство на котором храниться контейнер с сертификатом.

После подключения устройства открываем КриптоПро CSP, переходим на вкладку «Сервис» и кликаем «Скопировать…».

В открывшимся окне нажимаем «Обзор…», затем выбираем контейнер для копирования.

Вводим пароль от контейнера (пароль по умолчанию обычно 12345678) и жмем «ОК». Ставить галочку «Запомнить пароль» не нужно, так как обращаться к данному контейнеры с этого компьютера вы больше не будете.

В следующем окне выбираем пункт «Реестр».

Устанавливаем пароль на создаваемый контейнер и опять жмем «ОК».

Следующее сообщение которое вы увидите, уведомляет об успешном копировании контейнера.

Возвращаемся во вкладку «Сервис». Теперь нам надо установить сертификат из контейнера. Для этого нажимаем «Просмотреть сертификаты в контейнере…».

Жмем «Обзор…» и выбираем контейнер который только что скопировали. Будьте внимательны, поле «Считыватель» должно содержать «Реестр». Чтобы не ошибиться можете отключить устройство с которого копировали контейнер.

Вводим пароль от контейнера и нажимаем «ОК». В этот раз лучше отметить поле «Запомнить пароль», чтоб не пришлось его больше заполнять при обращении к контейнеру через КриптоПро.

Проверяем данные по сертификату, что бы не ошибиться с выбором контейнера если их у вас несколько. И кликаем по кнопке «Установить».

После этого появиться сообщение в котором сказано, что сертификат установлен в хранилище.

Контейнер не содержит сертификата

Часть работы по настройке рабочего места ЕГИССО касающаяся КриптоПро CSP 4.0 R3 и установки сертификатов выполнена. Переходим к этапу установки плагина пользователя системы электронного правительства. Для этого запускаем установочный файл IFCPlugin и нажимаем «Далее».

Дожидаемся окончания процесса и переходим к установке КриптоПро ЭЦП Browser plug-in версии 2.0. Для этого запускаем файл cadesplugin и нажимаем «Да». После установки рекомендовано перезапустить браузер.

Приступаем к установке УЭПШ Crypto+DE.

Во время установки Crypto+DE скачивает с интернета недостающие для работы компоненты. По этому процесс установки может занять от пары минут до получаса, возможно и больше (в зависимости от скорости вашего интернета). Терпеливо ждем и ни в коем случае не прерываем процесс установки. По окончанию процесса установки будет предложено запустить программу.

После нажатия «Готово» будет предложено установить сертификат, обязательно нажимаем «Да».

Затем программа предложит установить ещё один сертификат, тоже обязательно соглашаемся.

После их установки появиться сообщение в котором говориться что «Установка корневого сертификата для https завершена». Это говорит о том, что Crypto+DE установлена верно. Перезагружаем компьютер.

Осталось выполнить еще пару шагов. После загрузки компьютера нажимаем правой кнопкой мыши по зеленому значку только что установленной программы в трее возле часов. И выбираем пункт «Настройки».

Первым делом переходим во вкладку «Криптосервер 3» и изменяем параметр режима проверки на пункт «с помощью списка отзыва сертификатов с подключением к сети». В параметре «Сертификат по умолчанию» должен отображаться сертификат юридического лица, который устанавливали через КриптоПро.

Установка и настройка программ для рабочего места ЕГИССО был выполнена успешно!

Настройка браузера для ЕГИССО

Переходим к настройке браузера. Запускаем Internet Explorer 11, нажимаем шестеренку в правом верхнем углу и выбираем пункт «Свойства браузера».

В открывшимся окне переходим на вкладку «Безопасность». Выбираем зону «Надежные сайты» и нажимаем кнопку «Сайты».

Далее снимаем галочку «Для всех сайтов этой зоны требуется проверка серверов (https:)» Затем добавляем поочередно узлы http://*.egisso.ru, https://*.egisso.ru и https://*.gosuslugi.ru.

После нажатия кнопки «Закрыть», переходим на вкладку «Дополнительно». В этой вкладке снимаем галочку с пункта SSL 3.0. Обязательно должны быть отмечены пункты:

• TLS 1.0;
• Использовать TLS 1.1;
• Использовать TLS 1.2.

На этом настройка браузера, ровно, как и настройка рабочего места ЕГИССО, завершена.

Для проверки доступа в кабинет поставщика информации заходим на сайт ЕГИССО и жмем на ссылку «Поставщик информации».

Если настройка была произведена правильно, то вы будите перенаправлены на форму авторизации через сайт госуслуги.

В заключение

В этой статье рассмотрена настройка КриптоПро для ЕГИССО, настройка Crypto+DE и браузера Internet Explorer. Как видите сам процесс настройки не сложный и сводиться к нескольким действиям. Скачиваете дистрибутивы по приведенным в статье ссылкам (все ссылки даны на официальные источники). Устанавливаете криптропровайдер КриптоПро CSP, перезагружаете компьютер. Настраиваете сертификат ЕГИССО и вашей организации. Устанавливаете плагины КриптоПро ЭЦП Browser plug-in и пользователя системы электронного правительства IFCPlugin. Затем устанавливаете Crypto+DE. Перезагружаете компьютер и настраиваете Crypto+DE. Последним шагом является настройка браузера Internet Explorer.

Источник

Настройка CryptoDE для ЕГИССО

Произошла небольшая неприятность на работе. Ноутбук, на котором настроено рабочее место для ЕГИССО срочно понадобилось отдать на время другому пользователю. «Ничего страшного» — подумал я, — «настрою портал на другом компьютере, благо как настраивать давно уже известно».

Но после того как все необходимые компоненты были установлены, средство для работы с электронной подписью CryptoDE начало капризничать и никак не хотело подписывать документы. Постоянно выскакивающее окно сообщало: «Ни один из сертификатов в хранилище не прошел проверку на квалифицированность в соответствии с настройками». Чтобы избавиться от этой ошибки, понадобилось немного поковыряться в настройках программы. В данной статье речь пойдет о том, как провести настройку CryptoDE для ЕГИССО.

Где скачать Crypto+DE

Скачать актуальную версию программы можно:

• С официального сайта ПФР ( ссылка )
• Яндекс Диск ( ссылка )

Ошибка

Если правой кнопкой мыши нажать на значок Crypto+DE, а затем «Выбрать сертификат по умолчанию», то программа успешно предложит выбрать сертификат из установленных сертификатов. Но это действие ничего не решит, т.к. при подписании документа выскочило окно, которое оповещает о том, что сертификат по умолчанию не соответствует требованиям текущего режима КЭП.

Настройка CryptoDE для ЕГИССО

Итак, для решения данной проблемы необходимо немного поковыряться в настройках программы.

1. Нажимаем правой кнопкой мыши на значок Crypto+DE в трее и переходим в раздел «Настройки»
   
2. Во вкладке «Настройки клиента» все значения оставляем по умолчанию.
3. Нас интересует вкладка «Криптосервер 3».
   • «Какие сертификаты проверять» выставляем значение «Только конечный сертификат»
   • «Режим проверки» выставляем значение «С помощью списка отзыва сертификатов с подключением к сети»
   • «Режим проверки квалифицированной ЭП» ставим «Не проверять»

На этом настройка CryptoDE завершена. Все документы успешно подписываются и загружаются на портал в кабинете поставщика информации. Оставлю на всякий случай скриншот настроек, которые действуют у меня в данный момент. Если у Вас не заработало или что-то не получилось, можете смело написать в комментариях. Постараюсь всем помочь!

Источник