I am working on completing the migration from our SHA1 ADCS CA infrastructure to SHA256. We’ve been using the SHA256 CAs for some time with no issues. The last item to remain was to migrate our only group of users that have user client authentication
certificates from being issued SHA1 ones to SHA256 ones. Both CA infrastructures are running on Windows Server 2012 R2.
We’d been using the default «Client Authentication — User» template, but for a test I’ve cloned that policy to «TEST Client Auth — User». Only a single test user account has Enroll or Autoenroll rights on the template. The
template was added to our SHA256 intermediate CA to issue. There have been no other changes to the template. It’s a version 2 template, with Windows Server 2003/XP compatibilty set.
When the test user logs in on my Windows 7 test computer, it does not successfully enroll in a certificate. I checked the intermediate CA and found this error:
Active Directory Certificate Services denied request 17778 because The certificate has invalid policy. 0x800b0113 (-2146762477 CERT_E_INVALID_POLICY). The request was for CN=test, OU=Users, OU=Test, DC=subdomain, DC=domain, DC=com. Additional information: Error Constructing or Publishing Certificate Invalid Issuance Policies: 1.3.6.1.4.1.311.21.8.1084316.5799510.12209843.6103771.9194518.172.1.400
Searching the Internet seems to point fingers at the Issuance Policy. I checked the SHA256 intermediate CA certificate and it says the certificate is intended for the following purposes: «All application policies».
I’ve never seen this error and am not quite sure how to solve it.
Here is my CAPolicy.inf file:
[Version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=6 CRLPeriod=Days CRLPeriodUnits=3 CRLDeltaPeriod=Days CRLDeltaPeriodUnits=0 LoadDefaultTemplates=0 AlternateSignatureAlgorithms=1
I checked and we don’t have AlternateSignatureAlgorithms set in the registry (at HKLMSYSTEMCurrentControlSetServicesCertSvc<CA name>CSP).
Any help would be appreciated. Thank you in advance!
Добрый день.
В домене имеется два ЦС: рутовый Enterprise И подчинённый.
На подчинённом протух сертификат. Пытаюсь обновить через оснастку. Запрос улетает на root, но при попытке выдачи сертификата на root’е возникает ошибка:
«Ошибка создания и публикации сертификата. Недопустимые политики выдачи 2.5.29.32.0. domainuser повторно выдал запрос»
Версии ОС: WS2012 R2
CaPolicy на root:
[Version]
Signature=»$Windows NT$»
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
Notice=»Legal Policy Statement»
URL=http://host.domain.ru/pki/cps.txt
[certsrv_server]
; Устанавливаем длину ключа, которая будет использоваться
; *только* при обновлении сертификата CA
;RenewalKeyLength = 2048
; Устанавливаем срок действия обновлённого сертификата.
; Будет использоваться *только* при обновлении сертификата CA
RenewalValidityPeriodUnits=2
; Устанавливаем единицу измерения для предыдущего параметра
RenewalValidityPeriod=years
; Устанавливаем периодичность публикации CRL в 90 дней (или 3 месяца)
CRLPeriodUnits=90
CRLPeriod=days
; Устанавливаем срок продления CRL. Фактический срок действия CRL для клиентов увеличивается на
; на заданный период, который в нашем случае равен 2 неделям. Это означает, что сервер CA будет
; публиковать новый CRL каждые 90 дней, а срок действия этого CRL будет 104 дня. Это даст
; администраторам возможность успеть забрать новый CRL с сервера и распространить его в нужные локации
CRLOverlapUnits=2
CRLOverlapPeriod=weeks
; Отключаем публикацию Delta CRL
CRLDeltaPeriodUnits=0
CRLDeltaPeriod=hours
; Включаем дискретные алгоритмы для подписей. Не включайте его если у вас есть клиенты под управлением
; Windows 2000, Windows XP, Windows Server 2003, поскольку указанные системы не поддерживают альтернативные подписи.
AlternateSignatureAlgorithm=1
LoadDefaultTemplates=0
[CRLDistributionPoint]
[AuthorityInformationAccess]
CaPolicy на подчинённом:
[Version]
Signature=»$Windows NT$»
[PolicyStatementExtension]
Policies=Domain-CPS
[Domain-CPS]
OID= 2.5.29.32.0
URL=http://host.domain.ru/pki/policies.html
[certsrv_server]
; Устанавливаем длину ключа, которая будет использоваться
; *только* при обновлении сертификата CA
;RenewalKeyLength = 2048
; Устанавливаем срок действия обновлённого сертификата.
; Будет использоваться *только* при обновлении сертификата CA
RenewalValidityPeriodUnits = 2
; Устанавливаем единицу измерения для предыдущего параметра
RenewalValidityPeriod = years
; Устанавливаем периодичность публикации CRL в 5 дней
CRLPeriodUnits = 5
CRLPeriod = days
; Устанавливаем срок продления CRL. Фактический срок действия CRL для клиентов увеличивается на
; на заданный период, который в нашем случае равен 2 неделям. Это означает, что сервер CA будет
; публиковать новый CRL каждые 90 дней, а срок действия этого CRL будет 104 дня. Это даст
; администраторам возможность успеть забрать новый CRL с сервера и распространить его в нужные локации
CRLOverlapUnits = 1
CRLOverlapPeriod = days
; Устанавливаем периодичность публикации CRL в 12 часов
CRLDeltaPeriodUnits = 12
CRLDeltaPeriod = hours
;Включаем AlternateSignatureAlgorithm. Не включайте его если у вас есть клиенты под управлением
;Windows 2000, Windows XP, Windows Server 2003, поскольку указанные системы не поддерживают альтернативные подписи.
AlternateSignatureAlgorithm = 1
LoadDefaultTemplates=1
[CRLDistributionPoint]
[AuthorityInformationAccess]
Далее, запрос попадает в Неудачные запросы.
http://host.domain.ru — хост, непонятно откуда взявшийся здесь (центр сертификации достался по наследству, теперь его надо реанимировать) и недоступен по сети.
Подскажите, что означает ошибка и что сделать, чтобы выдача сертификата состоялась?
Спсб
-
Изменен тип
29 ноября 2016 г. 7:52
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Ошибка создания и публикации сертификата Недопустимые политики выдачи
rinat-a |
|
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 5 раз |
Добрый день коллеги! Возникла следующая проблема: после смены операционной системы на сервере ЦС (с «Windows 2003 R2» на «Windows 2008 R2») с последующим восстановлением базы данных Центра Сертификации (согласно руководству по восстановлению) при обработке запроса на сертификат через АРМ Администратора выводится следующая ошибка: Номер: -2147220983 Эта же ошибка появляется в разделе «Неудачные запросы» Центра Сертификации. В настройках «Модуль политики ЦС -> Расширения x.509» оид «2.5.29.32 (Политики сертификата)» включен, в «Модуль политики ЦС -> Использование ключа» оид 1.2.643.100.114.2 добавлен. Может быть ошибка связана с тем, что на предыдущей ОС база данных хранилась на SQL Server версии 2008, а на новой ОС база данных ЦС хранится на «SQL Server 2005», устанавливающимся по умолчанию. При восстановлении базы данных ЦС никаких ошибок небыло, восстановление прошло успешно, база данных и настройки ЦС перенесены полностью. В чем может проблема? |
 |
|
|
rinat-a |
|
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 5 раз |
Разобрались. Если кому нужно будет, причина ошибки описана вот тут: http://www.cryptopro.ru/…&m=28598澶. |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
Ошибка создания и публикации сертификата Недопустимые политики выдачи
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Различают шесть уровней КС1, КС2, КС3, КВ1, КВ2, КА1 криптографической защиты персональных данных. Уровень криптографической защиты персональных данных, обеспечиваемой криптосредством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу.
Три уровня КС, КВ и КА специальной защиты от утечки по каналам побочных излучений и наводок при защите персональных данных с использованием криптосредств.
Шесть уровней АК1, АК2, АК3, АК4, АК5, АК6 защиты от НСД к персональным данным в информационных системах.
- Remove From My Forums
-
Question
-
Прошу прощения, сам понимаю что вопрос глупый, но 3 дня никак не могу разобраться:
Есть несколько серверов Exchange 2010, добавил новый CAS-сервер, хочу создать для него сертификат.
Все сервера работают под win 2008 r2.
Создаю новый сертификат через мастер графической консоли. (Как написано например здесь: http://winitpro.ru/index.php/2011/12/13/nastrojka-ssl-sertifikata-v-exchange-server-2010/ )
Получаю файл запроса .req и отложенный запрос подписи сертификата для данного сервера. Дальше, я так понимаю, надо этот .req-файл передать центру сертификации (другой win-хост), чтобы он его подтвердил и выдал мне файл-.cer.
Команда как я понял должна быть наподобие: certreq -submit c:cert_01.req cert_01.cer
И потом этот cer-файл я отдаю опять Exchange-серверу, и он выполнит запрос.
Однако, certreq возвращает ошибку:
Политика регистрации Active Directory {C339CCE8-BD24-46E6-993A-0FDFD79FF127} ldap: Сертификат не выдан (Не завершено)Не могу понять, то ли проблема с самим ЦС, то ли я какие-то данные в сертификате некорректно заполнил, то ли я еще что-то неправильно делаю…
Answers
-
Приветствую!
Сам когда-то столкнулся с подобной «фичей», благо помог один хороший человек Vadims Podans. Пробуем.
Суть:
The Exchange 2010 wizard creates the request in a Unicode file. Certificate Services only understands Ansi. You have to open the request file in Notepad and then Save As specifying Ansi encoding. Then
it works.Actually it doesn’t work, but you get a more intelligible error. When you submit the request using certreq you have to specify a template by adding the argument:
-attrib «CertificateTemplate:WebServer»
-
Marked as answer by
Thursday, March 21, 2013 8:04 AM
-
Marked as answer by
-
-
Marked as answer by
iltmpz1
Thursday, March 21, 2013 12:08 PM
-
Marked as answer by
Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.
Какие бывают ошибки
Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:
- Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
- Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
- Проблема при авторизации на торговых площадках.
Рассмотрим неполадки подробнее и разберёмся, как их решать.
Сертификат не найден
Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».
У подобных ошибок могут быть следующие причины:
- На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
- На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
- Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.
Для установки списка отозванных сертификатов:
- Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».
- Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».
- В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.
- Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».
- Следуйте указаниям «Мастера импорта сертификатов».
_11zon.webp)
Не виден сертификат на носителе
Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.
К наиболее распространённым причинам такой проблемы относятся следующие случаи:
- Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
- Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
- Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
- Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.
ЭП не подписывает документ
Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:
- Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
- Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
- Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
- Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
- Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
- Скачайте файл архива.
- Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
- Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.
- Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.
Выбранная подпись не авторизована
Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».
Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.
Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.
Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.
Часто задаваемые вопросы
Почему компьютер не видит ЭЦП?
Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.
О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.
Почему КриптоПро не отображает ЭЦП?
Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.
Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.
Где на компьютере искать сертификаты ЭЦП?
Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:
C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Вместо ПОЛЬЗОВАТЕЛЬ требуется указать наименование используемого компьютера.
Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.