Код ошибки 2146893017

Forefront Threat Management Gateway 2010 Enterprise Forefront Threat Management Gateway 2010 Standard More…Less

Symptoms

Consider the following scenario:

  • You enable the HTTPS inspection feature in Microsoft Forefront Threat Management Gateway (TMG) 2010.

  • You try to use an HTTPS URL to access a website that requires a client certificate through Forefront TMG 2010.

  • You add the website to the Destination Exception list for HTTPS inspection.

In this scenario, you cannot access the website, and you receive the following error message:

502 Proxy Error. An unknown error occurred while processing the certificate. (-2146893017)

Cause

This issue occurs because Forefront TMG 2010 sends an empty client certificate to the web server in the initial SSL handshake.

When a request that contains an empty client certificate is sent, some web servers accept and renegotiate the client certificate. However, other web servers may return an SSL error when the web server receives an empty client certificate, and Forefront TMG does not correctly handle the server error. Therefore, the error message that is mentioned in the «Symptoms» section is generated.

Note An example of a web server that accepts and renegotiates an empty client certificate is an IIS web server.

Resolution

To resolve this issue, follow these steps:

  1. Install the software update that is described in the following Microsoft Knowledge Base (KB) article:

    2498770 Software Update 1 Rollup 3 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 1

  2. Run the script that is in the following article:

    http://support.microsoft.com/kb/982550

Status

Microsoft has confirmed that this is a problem in the Microsoft products that are listed in the «Applies to» section.

References

For more information, click the following article number to view the article in the Microsoft Knowledge Base:

982550 FIX: Error message occurs when you try to access a web server that requires a client certificate if HTTPS inspection is enabled in Forefront TMG 2010: «Error Code: 502 Proxy Error. The message received was unexpected or badly formatted. (-2146893018)»For more information about software update terminology, click the following article number to view the article in the Microsoft Knowledge Base:

824684 Description of the standard terminology that is used to describe Microsoft software updates

Need more help?

Want more options?

Explore subscription benefits, browse training courses, learn how to secure your device, and more.

Communities help you ask and answer questions, give feedback, and hear from experts with rich knowledge.

Источник
  • Remove From My Forums

  • Question

  • ISA 2006 SP1 ENT Windows 2003 Std SP2 in our DMZ.

    We have a rule that bridges SSL to port 10000.  The web server layer is requesting client certificate authentication.  ISA is delegating authentication to the web server.  When I attempt to access the site, I am getting the error documented in the subject line.  The exact verbage is:

    Error Code: 500 Internal Server Error.  An unknown error occurred while processing the certificate. (-2146893017). 

    Any suggestions?

Answers

    • Marked as answer by

      Tuesday, April 6, 2010 3:55 AM

Источник

Форум КриптоПро
 » 
Устаревшие продукты
 » 
КриптоПро УЦ 1.4
 » 
Многочисленные ошибки с кодом 302 в логе приложений на ЦС от службы cpCADbSync


Offline

AndrewKostousov

 


#1
Оставлено
:
5 января 2008 г. 16:54:20(UTC)

AndrewKostousov

Статус: Участник

Группы: Участники

Зарегистрирован: 29.12.2007(UTC)
Сообщений: 22
Мужчина
Откуда: Екатеринбург

В лог приложений на ЦС постоянно валятся ошибки службы синхронизации БД ЦС с кодом 302. При этом каких-либо негативных последствий в работоспособности ЦС не наблюдается. Есть ощущение, что ошибки начинают появляться, когда БД службы сертификации становится достаточно большой (от 10000 выданных сертификатов)… Может быть где-то надо таймауты подкрутитиь..?

Текст сообщения об ошибке всегда один: «Ошибка работы с БД MSCS (HRESULT=80070006, CertViewRows->Next)». Версия ЦС — 1.4.756 (но аналогичное поведение проявлялось и на 1.4.680). ОС — Windows Server 2003 SP2.

Известно ли, в чем причина этих ошибок, и что можно с этим поделать?

С уважением,
Андрей Костоусов
СКБ Контур

Вверх

Offline

Василий Дементьев

 


#2
Оставлено
:
20 июня 2008 г. 15:14:11(UTC)

Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах

Можно попробовать такие параметры:

в разделе реестра

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCPCADBSync

добавить два параметра (DWORD):

PauseTime со значением 1

SyncBlock со значением 10000 (десятичное)

и перезапустить службу синхронизации

Вверх

WWW

Offline

AndrewKostousov

 


#3
Оставлено
:
20 июня 2008 г. 16:30:36(UTC)

AndrewKostousov

Статус: Участник

Группы: Участники

Зарегистрирован: 29.12.2007(UTC)
Сообщений: 22
Мужчина
Откуда: Екатеринбург

Василий Дементьев написал:

добавить два параметра (DWORD):
PauseTime со значением 1
SyncBlock со значением 10000 (десятичное)
и перезапустить службу синхронизации

Вроде бы помогло! А в чем магия? Что это за параметры?

С уважением,
Андрей Костоусов
СКБ Контур

Вверх

Offline

_alexander

 


#4
Оставлено
:
3 июля 2008 г. 17:58:31(UTC)

_alexander

Статус: Активный участник

Группы: Участники

Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах

При применении этих параметров на одном из ЦС через некоторое время перестают выдаваться сертификаты. Выдается ошибка: «Произошла ошибка, при удовлетворении самоподписанного запроса на сертификат. Адресат вызова создал исключение. Модуль политики отверг запрос.»
Не знаете ли, в чем причина этой ошибки и можно ли ее устранить?

Вверх

Offline

Татьяна

 


#5
Оставлено
:
3 июля 2008 г. 18:55:26(UTC)

Татьяна

Статус: Сотрудник

Группы: Участники

Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах

_alexander написал:

При применении этих параметров на одном из ЦС через некоторое время перестают выдаваться сертификаты. Выдается ошибка: «Произошла ошибка, при удовлетворении самоподписанного запроса на сертификат. Адресат вызова создал исключение. Модуль политики отверг запрос.»
Не знаете ли, в чем причина этой ошибки и можно ли ее устранить?

А в какой момент появляется эта ошибка? Она в журнале приложений единственная? Приведите пожалуйста её полный текст из журнала приложений и, если имеются другие, то и их текст тоже.

Татьяна
ООО Крипто-Про

Вверх

Offline

_alexander

 


#6
Оставлено
:
3 июля 2008 г. 19:16:29(UTC)

_alexander

Статус: Активный участник

Группы: Участники

Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах

Ошибка появляется в тот момент, когда оператор хочет выпустить сертификат с АРМ администратора.
Привожу тексты ошибок с ЦС(идут по 4 подряд):

1) Источник: VBRuntime
Код (ID): 1

The VB Application identified by the event source logged this Application CAPolicy: Thread ID: 2820, Logged: Ошибка при обработке запроса на сертификат модулем политики:
Источник: Microsoft OLE DB Provider for SQL Server
Номер: 0x80040E31 (-2147217871)
Описание: Время ожидания истекло

2) Источник: CertSvc
Код (ID): 53

Службы сертификации отклонили запрос 132887 по причине При обработке сертификата произошла неизвестная ошибка. 0x80090327 (-2146893017). Запрос был на SN=……
Дополнительная информация: Модуль политики отверг запрос.

3) Источник: MSSOAP
Код (ID): 16

Soap error: Executing method GetCertificate failed.

4) Источник: MSSOAP
Код (ID): 16

Soap error: An unanticipated error occurred during the processing of this request…

Вверх

Offline

Alexin

 


#7
Оставлено
:
3 июля 2008 г. 21:03:13(UTC)

Alexin

Статус: Новичок

Группы: Участники

Зарегистрирован: 03.07.2008(UTC)
Сообщений: 1

Добрый день!
В моем случае хронология событий такая же (версия УЦ 1.04.0684)
Была ошибка : «Ошибка работы с БД MSCS (HRESULT=80070006, CertViewRows->Next)».
Сделал как тут написано. Сертификаты (не администратора) через неделю перестали выпускаться. Ошибки выдает такие же + примерно через час и одну минуту ошибка:
cpCADBSync Ошибка Отсутствует 301 Н/Д CA Ошибка работы с БД КриптоПро УЦ Центра Сертификации (HRESULT=80040E31, AdoConnection->Execute).

Вверх

Offline

Anton

 


#8
Оставлено
:
22 сентября 2008 г. 12:18:29(UTC)

Anton

Статус: Активный участник

Группы: Участники

Зарегистрирован: 14.01.2008(UTC)
Сообщений: 87
Мужчина
Откуда: г. Рыбинск Яр. обл.

Сказал «Спасибо»: 2 раз

Аналогичная проблема только возникла после перехода с 2000 и CSP 2.0 на 2003 и CSP 3.0 при установке ЦС начинается синхронизация базы и в конце синхронизации выдает ошибку в лог Ошибка работы с БД MSCS (HRESULT=80070006, CertViewRows->Next) и повторяется где то с промежутком в час можно ли применить решение указанное вами и не будет ли проблем с выдачей сертификатов.

Вверх

WWW

Offline

Василий Дементьев

 


#9
Оставлено
:
23 сентября 2008 г. 17:20:42(UTC)

Василий Дементьев

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 348
Откуда: ООО "КРИПТО-ПРО"

Поблагодарили: 5 раз в 4 постах

Да, можно.

Ровно то, что я писал ранее:

1) остановить службу синхронизации

2) в разделе реестра

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCPCADBSync

добавить два параметра (DWORD):

PauseTime со значением 1

SyncBlock со значением 10000 (десятичное)

3) запустить службу синхронизации

Вверх

WWW

Offline

Николай

 


#10
Оставлено
:
6 октября 2009 г. 14:44:42(UTC)

Николай

Статус: Участник

Группы: Участники

Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17

Добрый день! На УЦ 1.4.857 равно каждый час получаю ошибки

Ошибка работы с БД MSCS (HRESULT=-2147024882 [8007000E], CertViewRows->Next).

Заданий запланированных на это время у меня нет.

Эта ошибка аналогична указанным ранее и решается тем же способом?

Вверх
Пользователи, просматривающие эту тему

Guest

Форум КриптоПро
 » 
Устаревшие продукты
 » 
КриптоПро УЦ 1.4
 » 
Многочисленные ошибки с кодом 302 в логе приложений на ЦС от службы cpCADbSync

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Источник


44802

Created On 03/25/19 06:17 AM — Last Modified 05/25/21 00:43 AM


Symptom
Globalprotect Client certificate authentication fails even though the correct client certificate is installed on the client PC and the issuer is configured as «Trusted CA» on the Firewall. 

The VPN connection will fail even though the intended certificate is picked up by Globalprotect client and sent to the server for Client certificate authentication if the Subject CN is empty on the client certificate.

The client side logs would show the below errors. 

(T6560) 03/24/19 19:30:51:752 Info ( 736): Server cert query failed with error 12019
(T6560) 03/24/19 19:30:51:752 Debug( 905): PostRequest error code=2148074279(An unknown error occurred while processing the certificate.)
(T6560) 03/24/19 19:30:51:752 Debug( 993): ERROR_WINHTTP_SECURE_FAILURE, clean m_pMachineCertCtx. Retry

On the firewall check the global counters for this connection.
Configure «Manage Filter» with the Source IP of the PC and Destination IP as the IP address of the Interface that terminates the Globalprotect Portal and Gateway. 
If the client is in Internet then use the NATted Public IP of the Client PC. 
Then enable the filter and run the below command once. The first output can be ignored. 

> show counter global filter packet-filter yes delta yes

Attempt to connect to the Portal and Gateway from the User PC that has the issue. 
Wait for some time and run the below command again. 

> show counter global filter packet-filter yes delta yes

Check the Global counters to see if the below counter is present. 

proxy_client_cert_parse_error 167 3 warn proxy pktproc Number of ssl sessions with bad client cert
proxy_decrypt_cert_validation_overall 167 3 info proxy pktproc Overall number of decrypted packet cert validation

If Packet Diag logs are taken for this connection with «flow basic» «ssl basic» and «proxy basic» features, the below logs can be seen in the packet diag output.

2019-03-24 20:07:58.853 -0700 debug: pan_proxy_cfg_client_cert_handler(pan_proxy_cfg.c:1244): receive client cert
2019-03-24 20:07:58.853 -0700 debug: pan_x509_parse_dn(pan_x509.c:519): didn't find common name
2019-03-24 20:07:58.853 -0700 debug: pan_x509_parse_tbs_certificate(pan_x509.c:1998): pan_x509_parse_dn() failed

 
Environment

  • Global protect with Certificate Authentication
  • Pan-OS 8.0


Cause

  • Having an Empty CN on the Client Certificate is not supported by the PA firewall 8.0
  • Starting with 8.1, there are no restriction on empty CN on the server side


Resolution

  1. Get the Client certificate re-issued from the CA server such that it contains a Subject CN. 
  2. Then install this new certificate on the Client PC and test the connection again. 

The connection should be now successful. 
Additional Information

Firewall following  RFC requirements .  https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6

    RFC Details : «If the subject field contains an empty sequence, then the issuing CA MUST include a subjectAltName extension that is marked as critical.» 

Firewall performs additional check if there is an empty CN/subject that the SAN field of the certificate is marked as «critical» extension. This is to make sure the certificate is according to the quoted RFC. 

Here is some debug logs when SAN is not marked as «critical»:

Firewall side flow basic, ssl basic, proxy basic : 

debug: pan_proxy_cfg_client_cert_handler(pan_proxy_cfg.c:1253): receive client cert
debug: pan_x509_parse_tbs_certificate(pan_x509.c:2082): not before 210521151540Z not after 220521151540Z
debug: pan_x509_parse_dn(pan_x509.c:531): didn't find common name
debug: pan_x509_parse_tbs_certificate(pan_x509.c:2106): SSLVPN:Print the certificate hostid (null)
debug: pan_x509_parse_tbs_certificate(pan_x509.c:2108): SSLVPN:Print the certificate username (null)
debug: pan_x509_parse_ext_subject_alt_name(pan_x509.c:1382): subject alt name
debug: pan_x509_parse_ext_subject_alt_name(pan_x509.c:1400): found subject alternative names @478
00000000: 82 0b 6d 61 63 68 69 6e  65 2e 6c 61 62             ..machin e.lab
debug: pan_x509_parse_tbs_certificate(pan_x509.c:2175): parse tbs certificate missing subject but subject alternative name is not critical
debug: pan_x509_parse_cert(pan_x509.c:2374): pan_asn1_tbs_certificate() failed
debug: pan_x509_parse_certs_chain(pan_x509.c:2548): pan_x509_parse_cert() failed; error
debug: pan_ssl_parse_client_cert_handshake(pan_ssl.c:2372): pan_x509_parse_certs_chain() failed
Error:  pan_proxy_cfg_client_cert_handler(pan_proxy_cfg.c:1292): failed to parse client cert
Error:  pan_proxy_offload_ssl_handshake_cb(pan_proxy_ssl.c:576): client cert callback() failed
Error:  pan_ssl_proxy_handle_rt_hs(pan_ssl_proxy.c:251): handshake callback failed: -3
Error:  pan_ssl_proxy_parse_data(pan_ssl_proxy.c:621): pan_ssl_parse_record() failed

   

Firewall counters : 

proxy_ssl_invalid_cert                     7        3 info      proxy     pktproc   Number of ssl sessions using invalid certificate
proxy_client_cert_parse_error              7        3 warn      proxy     pktproc   Number of ssl sessions with bad client cert

  

GP logs: 


(T7008)Debug( 868): Found the cert [empty] issued by OpenSSL-CA9 sha1 hash is b4 fd 25 c7 a7 e6 ee ac 2e ef cd dd bd f5 e9 02 35 14 98 51  in machine store
(T7008)Debug( 874): Finished searching machine store.
(T7008)Debug(1016): PrepareRequest, m_pMachineCertCtx is 000001AF7749D0B0...
(T7008)Debug(1024): WinHttpOpenRequest...
(T7008)Debug( 442): CPanHTTPSession::PostRequest: WinHttpSendRequest...
(T7008)Debug( 453): bResults=0, g_dwStatus = 00000000
(T7008)Debug( 456): SendRequest failed with error -2146893017
(T7008)Debug( 756): The length of the serialized string is 879.
(T7008)Debug( 775): The encoded element has been serialized.
(T7008)Debug( 786): SerializeServerCert(): wrote 879 of 879 bytes to file C:WINDOWSsystem32configsystemprofileAppDataLocalPalo Alto NetworksGlobalProtectServerCert.pan.
(T7008)Debug(1043): PostRequest error code=2148074279(An unknown error occurred while processing the certificate.)
(T7008)Debug(1132): ERROR_WINHTTP_SECURE_FAILURE, clean m_pMachineCertCtx. Retry

On 8.1 and later if you generate a certificate which has an empty subject (which is fine) and has SAN (which is fine), but SAN extension MUST be marked as «critical» for the cert to be by RFC.
If it isn’t, PAN-OS would error out — which is, again, fine, because certificates shouldn’t be made as such. 
Attachments

Источник
  • Remove From My Forums

  • Общие обсуждения

  • Всем привет!
    У удаленного сотрудника перетали работать удаленные приложения, причем никакиех действий на терминальном сервере не пролисходило и на его компе тоже, т.е. все работало чудесно и само перестало — при запуске удаленного приложения пользователь получает сообщение: Ошибка при проверке подлинности (Код: 0х80090327). По этой ошибки ничего вразумительного сходу не нашел…
    Из внутренней сети, т.е. «локально» никаких проблем с подключением от имени этого пользователя к удаленным приложениям не возникает. На терминальном сервере в системных журналах никаких ошибок, по журналу шлюза служб терминалов все выглядит так что удаленный клиент сам в нормальном порядке отключается через 1-4 сек после подключения.

    • Изменен тип

      6 мая 2010 г. 6:49
      давность

    • Изменен тип
      Nikita Panov
      26 ноября 2010 г. 8:57
      re-open
    • Изменен тип
      Nikita Panov
      8 декабря 2010 г. 12:34
      нет реакции
    • Перемещено
      Yubo. Zhang
      21 апреля 2012 г. 17:34
      merge forums (От:Windows Server 2008)

Источник

Понравилась статья? Поделить с друзьями:
  • Код ошибки 2146762495
  • Код ошибки 2146762487
  • Код ошибки 2146697210
  • Код ошибки 2146435043
  • Код ошибки 2146434964