Ошибка установки защищенного ssl tls соединения 1с

   first_may

02.02.22 — 15:21

   ДенисЧ

1 — 02.02.22 — 15:43

Проксю ставь.

   first_may

2 — 02.02.22 — 15:45

в самой 1с я ничего не сделаю?

   ДенисЧ

3 — 02.02.22 — 15:54

(2) Ну, бп2 в каком режиме совместимости? 8.2? Тогда ничего.

   first_may

4 — 02.02.22 — 16:15

   ДенисЧ

5 — 02.02.22 — 16:18

(4) В 8.2 новые системы шифрования не работают.

   ssh2006

6 — 02.02.22 — 16:24

(4) Попробуй, поставь 8.3.17. и подковыряешь в коде посмотришь. У меня в БП 2.0 HTTP сервисы работают, а режим совместимости, таккже 8.2

   lodger

7 — 02.02.22 — 16:27

(6) сравнишь, конечно, HTTP и ИнтернетПочта.

   ДенисЧ

8 — 02.02.22 — 16:30

ставишь stunnel, его настраиваешь и шлёшь через него. у меня работало.

   first_may

9 — 02.02.22 — 16:36

(6) так платформа 1С:Предприятие 8.3 (8.3.18.1289)

а конфа Бухгалтерия предприятия, редакция 2.0 (2.0.67.20)

   first_may

10 — 02.02.22 — 16:37

(7) это где?

   first_may

11 — 02.02.22 — 18:35

Нужна помощь.. Как отправить все таки почту?

Конфа снята с поддержки, можно что то вносить самому.

   ДенисЧ

12 — 02.02.22 — 18:55

(11) Поднимать совместимость или (8)

   hhhh

13 — 02.02.22 — 21:06

(9) у нас давно БП 2.0 в режиме совместимости 8.3.8. Никаких сложностей не возникало.

   first_may

14 — 02.02.22 — 21:07

Поднимать совместимость — это именно в конфигураторе?

Там есть свойство совместимость..

   first_may

15 — 02.02.22 — 21:11

   hhhh

16 — 02.02.22 — 21:43

да

   first_may

17 — 02.02.22 — 21:44

   first_may

18 — 02.02.22 — 22:55

   first_may

19 — 03.02.22 — 11:09

Какую совместимость надо выбрать?

   Kigo_Kigo

20 — 03.02.22 — 11:11

я надеюсь вы догадались что совместимость поднимать надо с начало на копии?

   first_may

21 — 03.02.22 — 11:15

   Kigo_Kigo

22 — 03.02.22 — 11:19

«Как оказалось, далеко не все знают, что причина этих ошибок кроется в обновлении протокола шифрования на стороне сайта. Сейчас повсеместно начинает использоваться протокол TLS версии 1.2, поддержка которого в 1С полноценно начата с релиза 8.3.9» (с) https://infostart.ru/1c/articles/1024217/

   Kigo_Kigo

23 — 03.02.22 — 11:20

(22) Там правда про сайты, но смысл понятен

   ДенисЧ

24 — 03.02.22 — 11:48

Да блин… С 8.2 на 8.3.9 поднимать — гемор тот ещё. Для таких случаёв stunnel самое то…. Настраивается просто, используется тоже элементарно

Понятно.. Надо дождаться апреля, перейти на тройку БП и проблема решиться :(..

Проблема

Ошибка ‘Запрос был прерван: Не удалось создать защищенный канал SSL/TLS’ или что то же самое ‘The request was aborted: Could not create SSL/TLS secure channel’ может возникнуть в обновляторе при операциях скачивания, например, исправлений (патчей) к конфигурациям с сайта 1С.

Если эта ошибка возникает изредка и не влияет на общий ход операции (так как обновлятор делает 3 попытки с паузой при неудачном скачивании), то делать с этим ничего не нужно. Тут причина скорее во временных сбоях при работе сети или самого сервиса 1С.

Но если обновлятор вообще не может ничего скачивать и постоянно при попытках выдаёт эту ошибку, то дело в том, что у вас в операционной системе не установлены необходимые обновления для того, чтобы мог корректно функционировать  протокол TLS.

Он требуется обновлятору при подключении, например, к сервисам 1С. А так как обновлятор написан на .Net Framework, то он опирается во многих своих возможностях на библиотеки операционной системы (в случае c TLS речь идёт о библиотеке schannel.dll).

Windows 7 и Windows 2008 R2

1. Для этих ОС, прежде всего, вам нужно установить Service Pack 1, если он у вас ещё не установлен.

2. Далее нужно установить KB3140245.

3. После этого KB3020369.

4. И, наконец, KB3172605.

5. После этого перезагрузите сервер, чтобы изменения вступили в силу.

1. Для этих ОС нужно установить KB2919355

2. После этого перезагрузите сервер, чтобы изменения вступили в силу.

Windows 2008 (не путать с R2)

1. Service Pack 2

2. KB955430, KB2999226, KB956250, KB4074621, KB4019276, KB4493730, KB4474419, KB4537830

Другая ОС

Если вы столкнулись с этой ошибкой на ОС, отличной от описанных выше, пожалуйста напишите мне на helpme1c.box@gmail.com и я постараюсь совместно с вами подготовить такую же подробную инструкцию по точечной установке только необходимых обновлений для вашей ОС.

Проблема с корневыми сертификатами в ОС

Ошибка с созданием защищенного канала может быть также связана с тем, что в ОС не обновлены корневые сертификаты.

Подробнее об этом здесь: ссылка.

При работе с online сервисами 1С и других разработчиков, где необходимо обращение к электронной подписи, пользователи часто сталкиваются с ошибками ее проверки. Что делать, если не удалось выполнить проверку отзыва сертификата 1С и какие еще возникают ошибки работы с ЭДО, разбираем подробно с вариантами решений.

Компании, у кого жестко настроена политика безопасности, чаще всего наблюдают сбои в работе с ЭП. Это из-за того, что постоянно очищается список имеющихся CRL на ПК или, наоборот, к ним не может достучаться криптография для проверки

Что вообще такое списки отзывов сертификатов

Certificate Revocation List или список отозванных сертификатов – это информация, предоставляемая удостоверяющими центрами о недействительных сертификатах, о тех, чей срок действия уже либо закончился, либо был прерван по различным обстоятельствам.

Ключи могут отзываться по различным причинам. Самые распространенные:

• компрометация ключа или истечение срока годности ЭП;
• неверно заполненные реквизиты в составе ключа;
• поменялся владелец компании или ресурса;
• если речь идет про ключи сайтов, сайт более недоступен, перестал работать.

Список отозванных сертификатов ключей электронных подписей имеет расширение CRL. Сокращенное наименование СОС. В некоторых кругах можно услышать также понятие — Список аннулированных сертификатов (САС).

В настоящий момент (процесс был запущен еще в далеком 2017 г.) все чаще прибегают к отказу от СОС в сторону Online Certificate Status Protocol (OCSP, Онлайн Протокол Состояния Сертификата).

Принципы работы списков отозванных сертификатов

Актуализирует и публикует списки отозванных сертификатов САС Certificate Authority (CA — центр сертификации), который данный сертификат и выпустил.

Предпосылки для отзыва сертификата

Причины, по которым требуется аннулировать сертификат:

Отправляет запрос на аннулирование/отзыв сертификат:

1. Владелец.
2. Директор компании.
3. ФНС может послать запрос, если обнаружит компрометацию ключа.

Ошибка работы с ЭДО в 1С. Сертификат не прошел проверку или отозван

Пользователи онлайн-сервисов 1С нередко спрашивают: почему только недавно все работало, а теперь программа пишет, что сертификат недействительный или не удалось проверить сертификат в списке отозванных. Почему же этот сертификат не удалось проверить? Ответ прост: потому что на ПК нет установленных актуальных СRL-сертификатов от удостоверяющих центров, которые бы «сказали», что сертификат все еще действителен.

Для того, чтобы установить списки отозванных необходимо выполнить следующие шаги:

1. Из своей 1С выгрузить открытую часть ключа сертификата. Для этого необходимо идти по цепочке таких действий:
   Администрирование → Обмен электронными документами → Настройка электронной подписи и шифрования → Найти необходимый сертификат и двойным щелчком его открыть → Сохранить в файл → Выбрать удобную папку и нажать ОК.
   Если сертификатов и организаций много, можно открыть Учетную запись ЭДО и выгрузить сертификат оттуда.
   
   
   
2. Перейдите в папку, куда скопировали открытую часть ключа из ПО 1С и откройте файл (он должен быть с расширением .cer).
3. После того, как файл откроется, на вкладке Состав необходимо найти пункт Точки распространения списков отзывов (раздел Показать → Только расширения).
   
4. После того, как нашли строку со списками, необходимо скопировать самую крайнюю ссылку, на конце которой стоит расширение .сrl.
   Будьте внимательны, ссылки могут быть на конце с разными расширениями.
   Копировать необходимо при помощи комбинации клавиш клавиатуры сtrl+с.

   Подключение 1С-ЭДО от официального партнера 1С. Комплект документов от 250 руб./мес.

   • Если по крайней не скачивается, проверьте весь ли путь скопировали.
   • Если после установки сертификата ничего не изменилось, попробуйте следующую ссылку (снизу вверх).
   • Ошибка воспроизвелась опять? Установите СОС по всей цепочке сертификации.
   • Если и после этих действий ошибка остается, скачайте списки отозванных сертификатов с официального сайта вашего удостоверяющего центра (там данные публикуются и обновляются ориентировочно раз в сутки).
   • Все еще сертификат недействителен? Проверьте валидность ключа на сайте госуслуг или иным способом. Обратитесь в УЦ за проверкой ключа.
   
5. Вставляем скопированную ссылку в браузер, скачиваем СОС и нажимаем Ввод (Enter).
   

   При прохождении по ссылке может выйти ошибка:

   

   В таком случае, как было указано ранее, можно попробовать скачать сертификат по другой ссылке из открытой части ключа ЭП.

   
   

   На сайте ФНС находятся также различные сертификаты, которые можно скачать и установить (от доверенных корневых до отозванных списков).

   
   
   

   Гарантия 6 мес. на услуги подключения и настройки ЭДО в 1С. Решаем любые задачи!
6. Находим наш скачанный файл и правой кнопкой мыши выбираем команду Установить списки отозванных.
   

   Откроется мастер импорта сертификатов, так называемый, помощник в установке сертификатов на компьютер.

   Нажимаем Далее → Автоматически выбирать хранилище на основе типа сертификата → Готово.

   
   
   

   Если выбирать пункт Поместить все сертификаты в следующие хранилища важно выбрать правильное хранилище, а именно: Промежуточные центры сертификации. И если активирована функция Показать физические хранилища указать Реестр (в зависимости от политики безопасности компании).

   
   

Если установка списков отозванных для личного сертификата не помогла, установите списки отзывов от других сертификатов из цепочки сертификации.

Удаленный узел не прошел проверку

Сообщение, которое также связано с корректной проверкой сертификатов.

С помощью операционной системы Windows платформа 1С:Предприятие проводит проверку сертификата средствами защищенного соединения TLS/SSL.

SSL (Secure Sockets Layer) — это протокол безопасности в Интернете, основанный на шифровании. Впервые он был разработан компанией Netscape в 1995 году с целью обеспечения конфиденциальности, аутентификации и целостности данных при общении через Интернет. SSL является предшественником современного шифрования TLS, используемого сегодня.

Веб-сайт, реализующий SSL/TLS, имеет в своем URL-адресе «HTTPS» вместо «HTTP». Протокол TLS (Transport Layer Security) основан на протоколе SSL. Безопасность транспортного уровня, или TLS, — это широко распространенный протокол безопасности, предназначенный для обеспечения конфиденциальности и безопасности данных при обмене данными через Интернет.

Основным вариантом использования TLS является шифрование связи между веб-приложениями и серверами. Например, когда веб-браузеры загружают сайт. TLS также можно использовать для шифрования других сообщений, таких как электронная почта, обмен сообщениями и передача голоса по IP (VoIP). В этой статье мы сосредоточимся на роли TLS в безопасности веб-приложений.

TLS был предложен IETF, международной организацией по стандартизации. Первая версия протокола была опубликована в 1999 году. Самая последняя версия TLS 1.3 — в 2018.

Итак, проблема, связанная с сообщением в конфигурации о том, что удаленный узел не прошел проверку связано с тем, что доступ в Интернет ограничен в общем или в частности только у пользователя, под которым запускается конфигурация и работает служба агент сервера 1С.

Наиболее распространенные причины:

Пути решения

Для начала необходимо разобраться с работой антивирусной программы и брандмауэром Windows. Далее перейти к настройкам прокси и хостов.

Прокси-сервер

Откройте панель управления от имени пользователя, под которым запущен и работает rphost → Свойства обозревателя (Свойства браузера) → Подключения → Настройка сети → снимите активированную галочку использования прокси-сервера, если оно не предусмотрено политикой безопасности. Если использование все-таки предусмотрено, укажите ресурс в качестве исключения.

Хост файл (host)

Расположен обычно по такому пути:

Доступ к сайтам может также быть ограничен параметрами, прописанными в данном файле. Пример блокировки выглядит так:

Постарались максимально доступно рассказать о наиболее частых ошибках, с которыми пользователи 1С могут столкнуться при работе в ЭДО, в т.ч. с применением сертификатов ключа проверки электронной подписи.

Опи­са­ние ошиб­ки:С сен­тяб­ря 2014 Ян­декс.Почта, Mail.ru пе­ре­шли на про­то­кол SSL, что сде­ла­ло их ещё более без­опас­ны­ми. Чтобы и даль­ше ра­бо­тать с пись­ма­ми через 1С, Вам нужно из­ме­нить их на­строй­ки и вне­сти до­ра­бот­ки в код кон­фи­гу­ра­ций.

Най­ден­ные ре­ше­ния:

Ошиб­ка на­блю­да­ет­ся, в част­но­сти, в слу­чае, когда ме­ня­ют­ся на­строй­ки почты. На­при­мер мне до­ве­лось столк­нуть­ся в слу­чае, когда ввели для почты SSL-шиф­ро­ва­ние. Если это Ваш слу­чай, то из быст­рых и про­стых оста­ет­ся толь­ко об­нов­ле­ние до вер­сии плат­фор­мы 8.3, где под­держ­ка этого шиф­ро­ва­ния для «Ин­тер­нет­Поч­то­вый­Про­филь» ре­а­ли­зо­ва­на. И до­ра­бот­ка кода ти­по­вых кон­фи­гу­ра­ций для учета на­стро­ек SSL-шиф­ро­ва­ния и вклю­че­ния у поч­то­во­го про­фи­ля.

Код 1C v 8.х

 Ин­тер­нет­Поч­то­вый­Про­филь.Ис­поль­зо­вать­SSLPOP3 = Ис­ти­на;Ин­тер­нет­Поч­то­вый­Про­филь.Ис­поль­зо­вать­SSLSMTP = Ис­ти­на;   

Со­про­вож­да­ю­щие про­бле­му ошиб­ки:

Ян­декс.Почта

ад­рес_­по­чты­@yandex.ru. {Об­щий­Мо­дуль.Управ­ле­ни­е­Элек­трон­ной­Поч­той.Мо­дуль(1065)}: Ошиб­ка при вы­зо­ве ме­то­да кон­тек­ста (Под­клю­чить­ся): Поч­то­вый ящик поль­зо­ва­те­ля «ад­рес_­по­чты­@yandex.ru» на сер­ве­ре «pop.yandex.ru» не най­ден. Ответ сер­ве­ра: «[AUTH] Working without SSL/TLS encryption is not allowed. Please visit https://help.yandex.ru/mail/mail-clients/ssl.xml. sc=NXhLmqHbM4YK»

Если уста­нов­ле­ны не пра­виль­ные порты, то по­лу­чим ошиб­ку:Ошиб­ка при вы­зо­ве ме­то­да кон­тек­ста (Под­клю­чить­ся): TLS/SSL failure for smtp.mail.ru: Invalid token, probably not an SSL serverУста­но­ви­те порты 465 для smtp, 995 для pop3.

При со­еди­не­нии с Ян­дек­сом: в ло­ги­нах оста­вить толь­ко со­дер­жи­мое ло­ги­на до @yandex.ru, т.е. из при­ме­ра «ад­рес_­по­чты» (без ка­вы­чек). Уста­нав­ли­ва­ем для pop3 и smtp SSL-шиф­ро­ва­ние. Если почта кор­по­ра­тив­ная на Ян­дек­се, и в на­име­но­ва­нии не ис­поль­зу­ет­ся @yandex.ru, то остав­ля­ем логин, рав­ный на­име­но­ва­нию почты, как есть.

Mail.ru

Не вклю­че­но SSL-шиф­ро­ва­ние для учет­ной за­пи­си элек­трон­ной почты. Ошиб­ка при вы­зо­ве ме­то­да кон­тек­ста (Под­клю­чить­ся): Can not authenticate to POP3 server: POP3 is available only with SSL or TLS connection enabled

Если уста­нов­ле­ны не пра­виль­ные порты, то по­лу­чим ошиб­ку:Ошиб­ка при вы­зо­ве ме­то­да кон­тек­ста (Под­клю­чить­ся): TLS/SSL failure for smtp.mail.ru: Invalid token, probably not an SSL serverУста­нав­ли­ва­ем порты 465 для smtp, 995 для pop3.

Если воз­ни­ка­ет ошиб­ка:Ошиб­ка при вы­зо­ве ме­то­да кон­тек­ста (Под­клю­чить­ся): Can’t connect to smtp.mail.ru,495: Timed out — зна­чит непра­виль­но ука­зан порт.

Если воз­ни­ка­ет ошиб­ка:Ошиб­ка при вы­зо­ве ме­то­да кон­тек­ста (Под­клю­чить­ся): SMTP greeting failure: 421 SMTP connection broken (reply)Порты на­стро­е­ны пра­виль­но, не уста­нов­ле­но SSL-шиф­ро­ва­ние для smtp.

В па­ро­лях для почты не ис­поль­зо­вать спец­сим­во­лы, при­мер из опыта: в па­ро­ле к почте был сим­вол «+», пока из па­ро­ля не убра­ли, со­еди­не­ние не про­ис­хо­ди­ло! Си­сте­ма вы­да­ва­ла ошиб­ку: Ошиб­ка при вы­зо­ве ме­то­да кон­тек­ста (Под­клю­чить­ся): Can not authenticate to SMTP server: 535 5.7.8 Error: authentication failed: Invalid user or password!

Раз­ра­бот­чи­ки 1С вно­сят фун­ци­о­нал в ра­бо­чие кон­фи­гу­ра­ции, на­при­мер: УТ 10.3.30.1 от 26.09.2014, опи­са­ние об­нов­ле­ния: В спра­воч­ник «Учет­ные за­пи­си элек­трон­ной почты» до­бав­ле­ны рек­ви­зи­ты «Ис­поль­зо­вать за­щи­щен­ную вер­сию про­то­ко­ла SMTP» и «Ис­поль­зо­вать за­щи­щен­ную вер­сию про­то­ко­ла POP3». При уста­нов­ке этих рек­ви­зи­тов предо­став­ля­ет­ся воз­мож­ность под­клю­чать­ся к поч­то­вым сер­ве­рам через без­опас­ное со­еди­не­ние (SSL). Рек­ви­зи­ты до­ступ­ны при ис­поль­зо­ва­нии вер­сии плат­фор­мы не ниже 8.3.1.

P.S.: Воз­мож­но еще ис­поль­зо­ва­ние до­пол­ни­тель­ной про­грам­мы stunnel. Но мне этот ва­ри­ант мень­ше по­нра­вил­ся. Т.к. кли­ен­ту не хо­те­лось за­ви­сеть от про­грам­ми­ста каж­дый раз, когда по­яв­ля­ет­ся новая почта или ра­бо­чее место, а чтобы сразу можно было из 1С на­стро­ить, как и рань­ше.

Жу­равлев А.С. (Сайт www.azhur-c.ru)