- Remove From My Forums
-
Question
-
I have imported HP updates using system center update publisher and used a self signed certificate.. Now I wanted to use them in a OSD Task sequence.
I have imported the cert into trusted publisher and trusted roots stores in the task sequence and verified fif they exist in the store and they do..
I can see the updates being downloaded but then I receive …
The operating system reported error 2148204809: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
-
Moved by
Wednesday, October 20, 2010 11:07 AM
moved to SUM subforum (From:Configuration Manager Software Distribution)
-
Moved by
Answers
-
Found that the updates where signed by HP when downloading them with metadata only.. adding the HP certifcate to trusted publishers and root ca did not work.. they have to be downloaded with full content and then they are signed with the certifcate of
the scup server..-
Marked as answer by
LA1976
Friday, November 5, 2010 7:42 AM
-
Marked as answer by
- Remove From My Forums
-
Question
-
I have imported HP updates using system center update publisher and used a self signed certificate.. Now I wanted to use them in a OSD Task sequence.
I have imported the cert into trusted publisher and trusted roots stores in the task sequence and verified fif they exist in the store and they do..
I can see the updates being downloaded but then I receive …
The operating system reported error 2148204809: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
-
Moved by
Wednesday, October 20, 2010 11:07 AM
moved to SUM subforum (From:Configuration Manager Software Distribution)
-
Moved by
Answers
-
Found that the updates where signed by HP when downloading them with metadata only.. adding the HP certifcate to trusted publishers and root ca did not work.. they have to be downloaded with full content and then they are signed with the certifcate of
the scup server..-
Marked as answer by
LA1976
Friday, November 5, 2010 7:42 AM
-
Marked as answer by
Я пытаюсь реализовать проверку подлинности сертификата клиента в IIS 8. Я развернул свою конфигурацию на машине разработки и проверил, что она работает так, как ожидалось. Однако после настройки на сервере, когда я перехожу на сайт и запрос сертификата клиента, я выбираю его и сразу ошибка 403.16. Журнал неудачных запросов выдает код ошибки 2148204809 и сообщение » цепочка сертификатов обработана, но завершена в корневом сертификате, который не является доверенным поставщика доверия.»
У меня есть действительный сертификат клиента, а также действительный сертификат CA. Сертификат CA устанавливается в доверенных корневых центрах на учетной записи компьютера Как на сервере, так и на клиентском компьютере, а сертификат клиента устанавливается в личной области текущей учетной записи Пользователя на клиентском компьютере.
сертификат клиента подписан непосредственно корневым ЦС, и, как я уже сказал, оба действительны. В цепочке нет других сертификатов, и в цепочке нет промежуточных сертификатов Доверенная область корневых органов.
конфигурация IIS имеет sslFlags = SslNegotiateCert и iisclientcertificatemappingauthentication включена.
сервер не настроен для отправки CTL, и у нас есть SendTrustedIssuerList = 0.
Я не понимаю, почему сертификат клиента не должен быть доверенным.
3 ответов
Windows 2012 представила более строгие проверки хранилища сертификатов. Согласно KB 2795828: служба переднего плана Lync Server 2013 не может запускаться в Windows Server 2012, Доверенные корневые центры сертификации (т. е. корневое хранилище) могут иметь только самозаверяющие сертификаты. Если это хранилище содержит сертификаты, проверки подлинности сертификата клиента под IIS возвращает код ошибки 403.16.
чтобы решить проблему, вы должны удалить все не самоподписанные сертификаты от корневого хранилища. Эту команду PowerShell будет определять не самоподписанные сертификаты:
Get-Childitem cert:LocalMachineroot -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
В моей ситуации, мы перенесли эти самоподписанные сертификаты в промежуточные центры сертификации (т. е. ЦА) магазин:
Get-Childitem cert:LocalMachineroot -Recurse |
Where-Object {$_.Issuer -ne $_.Subject} |
Move-Item -Destination Cert:LocalMachineCA
По данным KB 2801679: проблемы связи SSL / TLS после установки KB 931125, у вас также может быть слишком много доверенных сертификатов.
[T]он максимальный размер списка доверенных центров сертификации, который поддерживает пакет безопасности Schannel, составляет 16 килобайт (КБ). Наличие большого количества сторонних корневых сертификационных органов превысит предел 16k, и вы столкнетесь с проблемами связи TLS/SSL.
решение в этой ситуации заключается в удалении любых сертификатов центра сертификации, которым вы не доверяете, или остановить отправку списка доверенных certifiation, установив HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL@SendTrustedIssuerList запись в реестре для 0 (значение по умолчанию, если его нет, равно 1).
в моем случае я добавлял корневой сертификат в хранилище сертификатов «текущий пользователь» на сервере и получал ошибку 403.16.
добавление моего корневого сертификата в хранилище доверенных корневых полномочий для локальной машины решило проблему.
выполните следующие действия на сервере с IIS.
Для Windows Server 2008 R2:
- щелкните правой кнопкой мыши файл сертификата и выберите «Установить сертификат». Щелчок следующий.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Проверьте «показать физические магазины»
- разверните «Доверенные корневые центры сертификации» и выберите «локальный компьютер». нажимать OK.
- Нажмите Кнопку Далее/Нажмите Кнопку Готово.
Для Windows Server 2012 R2:
- щелкните правой кнопкой мыши файл сертификата и выберите » Установить
Сертификат». - Выберите «Локальная Машина». Щелчок Следующий.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Выберите Доверенные Корневые Центры Сертификации. нажимать OK.
- Нажмите Кнопку Далее/Нажмите Кнопку Готово.
Для Windows 7:
- Пуск — > Выполнить — > mmc.exe
- File — > ‘добавить или удалить Оснастки’. Выберите «сертификаты», нажмите «Добавить >» и выберите «Учетная запись компьютера», а затем «локальный компьютер». Нажмите кнопку Готово / OK
- развернуть Сертификаты (Локальный Компьютер) — > Доверенные Корневые Центры Сертификации — > Сертификаты. Щелкните правой кнопкой мыши сертификаты и выберите Все задачи — > импорт.
- Выберите файл сертификата и нажмите кнопку Далее.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Проверьте «показать физические магазины»
- разверните «Доверенные корневые центры сертификации» и выберите «локальный компьютер». нажимать OK.
- Нажмите Кнопку Далее / Click Заканчивать.
Я получил эту ошибку в IIS Express:
ошибка HTTP 403.16-запрещено
сертификат клиента либо не является доверенным, либо недействительным.
смотреть на!—1—> я увидел следующую ошибку:
<RenderingInfo Culture="en-US">
<Opcode>MODULE_SET_RESPONSE_ERROR_STATUS</Opcode>
<Keywords>
<Keyword>RequestNotifications</Keyword>
</Keywords>
<freb:Description Data="Notification">BEGIN_REQUEST</freb:Description>
<freb:Description Data="ErrorCode">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
(0x800b0109)</freb:Description>
</RenderingInfo>
оказалось, когда я установил Razer Synapse установка также поставить сертификат для chromasdk.io В доверенных корневых центрах сертификации под учетной записью компьютера — > локальный компьютер. Я удалил это, а затем все работал.
asdsdf |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 5 раз |
Автор: Андрей * Сертификаты в архиве. Спасибо, конечно, за то ссылку на архив, но где эти сертификаты можно взять у вас на сайте? И каков их срок действия, как часто их надо обновлять? |
 |
|
certs.zip |
Андрей * |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 457 раз |
Автор: asdsdf Автор: Андрей * Сертификаты в архиве. Спасибо, конечно, за то ссылку на архив, но где эти сертификаты можно взять у вас на сайте? И каков их срок действия, как часто их надо обновлять? http://q20.cryptopro.ru/ |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
|
asdsdf
оставлено 26.10.2021(UTC) |
1 пользователь поблагодарил Андрей * за этот пост.|
asdsdf |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 5 раз |
Спасибо. Так есть ли возможность расшифровать эти коды или вот тебе ошибка и всё, думай сам, что это значит ) Код: |
|
|
|
|
Андрей * |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 457 раз |
Автор: asdsdf Спасибо. Так есть ли возможность расшифровать эти коды или вот тебе ошибка и всё, думай сам, что это значит ) Код: Она описана так: |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Андрей * |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 457 раз |
0x800b0109 — The actual meaning of this error code is |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
|
asdsdf
оставлено 26.10.2021(UTC) |
|
asdsdf |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 5 раз |
А 0x800700EA? Выложите список и решите массу проблем |
|
|
|
|
Андрей * |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 457 раз |
Автор: asdsdf А 0x800700EA? Выложите список и решите массу проблем так там и находится… + страницы по кодам ошибок: в WinError.h. + вложение (не полный список) |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
|
asdsdf
оставлено 26.10.2021(UTC) |
|
lboikov |
|
|
Статус: Активный участник Группы: Участники Сказал «Спасибо»: 24 раз |
В винде еще можно так: 0x800b0109 (-2146762487) — 2148204809 (-2146762487) |
|
|
WWW |
|
Андрей Русев |
|
|
Статус: Сотрудник Группы: Администраторы, Участники Сказал(а) «Спасибо»: 12 раз |
Автор: asdsdf А 0x800700EA? Выложите список и решите массу проблем ERROR_MORE_DATA: https://www.magnumdb.com/search?q=0x800700EA |
|
Официальная техподдержка. Официальная база знаний. |
|
|
|
|
|
asdsdf |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 5 раз |
Автор: Андрей * Здравствуйте. Давайте вернёмся к моим устаревшим сертификатам. Вроде как они нормальные же: Цитата: # /opt/cprocsp/bin/amd64/certmgr -list ============================================================================= [ErrorCode: 0x00000000] Валидны с 2017 по 2026. Или нет? И где они лежат, сертификаты эти, как понять? |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Вопрос:
Я пытаюсь внедрить аутентификацию сертификата клиента в IIS 8. Я развернул свою конфигурацию на машине разработки и проверил ее работу как ожидалось. Однако после настройки на сервере, всякий раз, когда я перехожу к сайту и запрашивается сертификат клиента, я выбираю его и сразу получаю ошибку 403.16. В журнале неудачных запросов выдается код ошибки 2148204809 и сообщение “Цепочка сертификатов обработана, но завершена в корневом сертификате, которому не доверяет поставщик доверия”.
У меня есть действительный клиентский сертификат, а также действительный сертификат CA. Сертификат CA устанавливается в доверенных корневых центрах на учетной записи компьютера как на сервере, так и на клиентском компьютере, а сертификат клиента устанавливается в личной области учетной записи “Текущий пользователь” на клиентской машине.
Клиентский сертификат подписывается непосредственно корневым центром сертификации, и, как я уже сказал, оба действительны. В цепочке нет других сертификатов, и нет промежуточных сертификатов в области доверенных корневых центров.
У конфигурации IIS есть sslFlags = SslNegotiateCert и iisClientCertificateMappingAuthentication включена.
Сервер не настроен для отправки CTL, и у нас есть SendTrustedIssuerList = 0.
Я не понимаю, почему сертификату клиента не следует доверять.
Лучший ответ:
В Windows 2012 были введены более строгие проверки хранилища сертификатов. Согласно KB 2795828: служба Front Line Lync Server 2013 не может запускаться в Windows Server 2012, в хранилище доверенных корневых центров сертификации (то есть Root) могут быть только сертификаты, которые являются собственностью -signed. Если в этом хранилище содержатся несамоходные сертификаты, аутентификация сертификата клиента в IIS возвращается с кодом ошибки 403.16.
Чтобы решить эту проблему, вам нужно удалить все несамоходные сертификаты из корневого хранилища. Эта команда PowerShell будет идентифицировать несамоходные сертификаты:
Get-Childitem cert:LocalMachineroot -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
В моей ситуации мы перенесли эти несамозаписываемые сертификаты в хранилища промежуточных сертификатов (например, CA):
Get-Childitem cert:LocalMachineroot -Recurse |
Where-Object {$_.Issuer -ne $_.Subject} |
Move-Item -Destination Cert:LocalMachineCA
Согласно KB 2801679: проблемы с связью SSL/TLS после установки KB 931125, у вас может также быть слишком много доверенных сертификатов.
[T] максимальный размер списка доверенных сертификатов, который поддерживает пакет безопасности Schannel, составляет 16 килобайт (КБ). Наличие большого количества сторонних корневых центров сертификации будет превышать лимит в 16 тыс., И вы столкнетесь с проблемами связи TLS/SSL.
Решение в этой ситуации заключается в том, чтобы удалить все сертификаты центра сертификации, которым вы не доверяете, или чтобы прекратить отправку списка доверенных сертификационных органов, установив запись реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL@SendTrustedIssuerList в 0 (по умолчанию, если нет, равно 1).
Ответ №1
В моем случае я добавлял корневой сертификат в хранилище сертификатов “текущий пользователь” на сервере и получал ошибку 403.16.
Добавление моего корневого сертификата в хранилище доверенных корневых ресурсов для локального компьютера разрешило проблему.
Выполните следующие шаги на сервере, на котором запущен IIS.
Для Windows Server 2008 R2:
- Щелкните правой кнопкой мыши файл сертификата и выберите “Установить сертификат”. Нажмите Далее.
- Выберите “Поместить все сертификаты в следующее хранилище” и нажмите “Обзор…”
- Отметьте “Показать физические магазины”
- Разверните “Доверенные корневые центры сертификации” и выберите “Локальный компьютер”. Нажмите “ОК”.
- Нажмите “Далее” / “Готово”.
Для Windows Server 2012 R2:
- Щелкните правой кнопкой мыши файл сертификата и выберите “Установить
Сертификат”. - Выберите “Локальный компьютер”. Нажмите “Далее” .
- Выберите “Поместить все сертификаты в следующее хранилище” и нажмите “Обзор…”
- Выберите “Доверенные корневые центры сертификации” . Нажмите “ОК”.
- Нажмите “Далее” / “Готово”.
Для Windows 7:
- Пуск → Выполнить → mmc.exe
- Файл → “Добавить или удалить оснастки”. Выберите “Сертификаты”, нажмите “Добавить > ” и выберите “Учетная запись компьютера”, а затем “Локальный компьютер”. Нажмите “Готово” / “ОК”
- Развернуть сертификаты (локальный компьютер) → Доверенные корневые центры сертификации → Сертификаты. Щелкните правой кнопкой мыши Сертификаты и выберите “Все задачи → Импорт”.
- Выберите файл сертификата и нажмите “Далее” .
- Выберите “Поместить все сертификаты в следующее хранилище” и нажмите “Обзор…”
- Отметьте “Показать физические магазины”
- Разверните “Доверенные корневые центры сертификации” и выберите “Локальный компьютер”. Нажмите “ОК”.
- Нажмите “Далее” / “Готово”.
Ответ №2
Я получил эту ошибку в IIS Express:
Ошибка HTTP 403.16 – Запрещено
Ваш сертификат клиента не является доверенным или недействительным.
Глядя на TraceLogFiles, я увидел следующую ошибку:
<RenderingInfo Culture="en-US">
<Opcode>MODULE_SET_RESPONSE_ERROR_STATUS</Opcode>
<Keywords>
<Keyword>RequestNotifications</Keyword>
</Keywords>
<freb:Description Data="Notification">BEGIN_REQUEST</freb:Description>
<freb:Description Data="ErrorCode">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
(0x800b0109)</freb:Description>
</RenderingInfo>
Выключившись, когда я установил Razer Synapse, установка также поместила сертификат для chromasdk.io в доверенные корневые центры сертификации по учетной записи компьютера → локальный компьютер. Я удалил это, а затем все сработало.