На чтение 4 мин. Просмотров 2 Опубликовано 20.08.2022
Содержание
- Инструкция при возникновении проблем подключения к аис
- Сертификат не действителен. не удалось проверить сертификат в списке отозванных т.к. соответствующий сервер в состоянии offline (код ошибки 103,104).
- Сетевые заметки системного администратора
- Сервер отзыва сертификатов недоступен
- Загрузка не удалась не удалось подключиться к серверу отзыва сертификатов
Инструкция при возникновении проблем подключения к аис
Инструкция обновлена 19.05.2020.
Общая инструкция при возникновении проблем подключения к АИС с помощью TLS-клиента и ЭП:
Если предыдущие шаги не помогли, то найдите описание своей ошибки:
Способы решения перечисленных ошибок:
Данная ошибка возникает по разным причинам. Решение: выполните шаги 1-9 в начале данной инструкции.
Данная ошибка возникает по разным причинам. Решение: выполните шаги 1-9 в начале данной инструкции.
Данная ошибка возникает по разным причинам. Решение: выполните шаги 1-9 в начале данной инструкции.
Решение: Проверьте, что флешка с электронной подписью подключена к компьютеру. Необходимо установить все серверные сертификаты.
Сертификат не действителен. не удалось проверить сертификат в списке отозванных т.к. соответствующий сервер в состоянии offline (код ошибки 103,104).
Ошибка связана с тем, что на компьютере не установлен актуальный список отозванных сертификатов Удостоверяющего Центра.
2. Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Точки распространения списков отзыва (CRL)» и скопировать ссылку на список отзыва Удостоверяющего Центра (ссылка должна заканчиваться на .crl):
Сетевые заметки системного администратора
при попытке подключения к серверу Windows 2008 R2 по SSTP постоянная ошибка
«Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .»
По умолчанию для VPN-подключений по протоколу SSTP клиенты должны проверить, что сертификат не отозван. Для этого проверяется сервер, указанный в сертификате как сервер, на котором размещается список отзыва сертификатов (CRL). Если с сервером, на котором размещается список отзыва сертификатов, не удается связаться, проверка завершается с ошибкой, а VPN-подключение отбрасывается.
Чтобы предотвратить это, следует опубликовать список отзыва сертификатов на сервере, доступном через Интернет, или отменить обязательную проверку этого списка на клиенте. Чтобы отменить проверку списка отзыва сертификатов, удалите параметр реестра в следующем расположении:
7Кб), всё проходит хорошо: сервер возвращает xml с информацией о том, что всё ок. 5) А вот если файл длиной больше 7Кб, то при получении ответа от сервера падает Exception:
A call to SSPI failed, see inner exception; The message received was unexpected or badly formatted.
Проверял на разных машинах, из разных мест. Проблема точно не в канале связи. Но есть пара непонятных для меня моментов: 1) При валидации сертификата сервера не находится корневой сертификат. В ValidateServerCertificate:
chain.ChainStatus==PartialChain Не удается построить цепочку сертификатов для доверенного корневого центра.
; RevocationStatusUnknown Функция отзыва не смогла произвести проверку отзыва для сертификата.
; OfflineRevocation Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .
Сервер отзыва сертификатов недоступен
И так давайте опишу ситуацию, есть у нас в компании для своих внутренних нужд Цент сертификации, развертывал я его на Windows Server 2008 r2 и мы с вами его уже даже лечили от ошибки Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС.
В один из дней пишет мой коллега и говорит, что у него не стартует служба, так как он был загружен, он попросил посмотреть, что там. И так заходим на сервер с Windows Server 2008 r2 и в пункте администрирование открываем оснастку Центр Сертификации.
Попытавшись из оснастки запустить его, выскочила ошибка уже с кодом, что уже хорошо так как можно понять причину и как следствие найти решение.
Если зайти в просмотр событий в журнал Приложения, то сможете найти сообщение с кодом события 48, который вам выдаст туже ошибку.
Как видите все они ругаются на недоступность сертификата в цепочке сертификатов, CRL, или как его еще называют списка отозванных. Открываем пуст и вводим mmc, для открытия оснастки. (Я уже рассказывал как создать мега мощную и удобную консоль mmc, почитайте будет очень полезно)
Нажимаем CTRL M для добавления оснастки.
Вам нужно добавить две оснастки
Выбираем локальный компьютер, так как мы сейчас на центре сертификации.
Загрузка не удалась не удалось подключиться к серверу отзыва сертификатов
Добрый день уважаемые читатели, сегодня хочу рассказать как решается вот такая ошибка Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA «Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.
Всем привет!
Сегодня особенный привет работникам бюджетной сферы. Поговорим о наболевшем. О работе в системе ГИС «Электронный бюджет». Который просто кишит ошибками.
Вот эта ошибка: «crl сертификата сервера не загружен или устарел» , по запросу на которую вы сюда и пришли, она тянется с августа 2020г. Тогда в электронном бюджете произошли большие изменения, и вместе с ними, например, «приклеились» и всякие ошибки, которые до сих пор не могут быть устранены в автоматическом режиме в «полюбившемся» вам континент tls 2.0. Уж извините за сарказм.
Однако, вернёмся к нашим баранам… Такая у вас сейчас ошибка?
Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную
Проблема в том, что ещё 2 года назад программисты УФК говорили, что обычные пользователи не должны выискивать вручную в интернете «рецепты», и всё должно делаться автоматически в Континент TLS 2.0 «по кнопке»:
На этом скрине по задумке авторов — создателей ПО Континент TLS 2.0, мы, пользователи системы «Электронный бюджет», должны при возникновении подобных проблем лишь нажимать кнопку «обновить». Но .. реальность как всегда несколько иная… чем ожидания.
Да, кстати, если при попытке войти в электронный бюджет ПОСЛЕ выбора сертификата пользователя вылезает ошибка вида: «Необходимо обновить CRL серверного сертификата», то рецепт избавления тот же. Читаем внимательно текст НИЖЕ:
1. Перед тем как устанавливать список отзыва, необходимо вручную скачать и установить новый серверный сертификат для сервера «Континент TLS VPN» Инструкция с официального сайта Федерального казначейства . На рис.2 стрелочками указано как это сделать.
2. Теперь переходим к процедуре установки «списка отзыва»
Есть некая ссылка… — Вот она (http://crl.roskazna.ru/crl/)
По ней надо пройти, и вы увидите заголовок:
Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства:
Список этот будет меняться с течением времени. Но ссылка работает пока. Это файлы с расширением .CRL на текущий момент их 6. Но не суть важно. Главное понять как их устанавливать. Итак, скачиваем все .CRL — файлы с этой страницы в какую-либо папку:
И правой мышкой, по очереди на каждом файле, нажимаем и выбираем в меню «Установить список отзыва CRL». Следуйте несложным инструкциям после этого (грубо говоря жмём на все вопросы «ОК», «далее» и т.п.)
После этого в TLS — клиенте на закладке «СЕРВЕРНЫЕ СЕРТИФИКАТЫ» вместо зловещего «требуется обновление» или «не найден» , «не действителен» изменится тут же на «Действителен», и можно работать. Вот такой вот он… Электронный бюджет… Желаю всем, чтобы это шаманство и вам помогло, ибо мне оно помогло..)
P.S. Данный рецепт получил от тех.поддержки УФК.
Wmffre пишет: Если «Кому выдан» не совпадает с «Кем выдан», то такой сертификат должен быть установлен в «Промежуточные центры сертификации» и называется он промежуточным Поэтому два сертификата установлены в неверное хранилище: 1)Федеральное казначейство — Минкомсвязь России и 2)Федеральное казначейство — Головной удостоверяющий центр)
Реально корневым является только тот, у которого «Кому выдан» совпадает с «Кем выдан» и такой сертификат устанавливается в «Доверенные корневые центры сертификации» (они установлены правильно).
Сертификаты — текущий пользователь —> Доверенные корневые центры сертификаты —> Локальный компьютер —>Сертификаты ___и___ Сертификаты (локальный компьютер) —> Доверенные корневые центры сертификаты —> Реестр —> Сертификаты __это одно и тоже хранилище.
Тех. поддержка прислала следующие рекомендации:
Добрый день! В настоящий момент вход в ЛК ЭБ с помощью сертификатов на основе ГОСТ 2012 реализован по адресу lk2012.budget.gov.ru. В целях корректного отображения информации в подсистемах следует использовать протокол http, а не https. Вход по протоколу http осуществляется с помощью СКЗИ Континент TLS Клиент 2.0. В случае отсутствия необходимых дистрибутивов Вам следует обратиться в ОРСиБИ Федерального казначейства своего региона. Для входа в Личный кабинет Электронного бюджета по сертификатам, выпущенным на основе ГОСТ 2012, необходимо выполнить указанные ниже действия.
1) Установить сертификат ГУЦ (доступен по ссылке: www.roskazna.ru/upload/iblock/7e3/guts_2012.cer) в хранилище Локальный компьютер – Доверенные корневые центры сертификации.
2) Установить сертификат УЦ Федерального казначейства (доступен по ссылке: www.roskazna.ru/upload/iblock/acb/fk_2012.cer) в хранилище Локальный компьютер – Промежуточные центры сертификации.
3)В свойствах браузера, изменить настройки подключения:
1.Если в организации используется прокси, указать адрес и порт прокси-сервера.
2.Если в организации прокси не используется, отключить использование прокси.
4) При использовании в организации прокси-сервера добавить на нем разрешающее правило для 94.25.27.229 tcp-443.
5) Если в организации используется антивирусное средство, то перед настройкой Континент TLS Клиента необходимо внести его исполняемый файл в доверенное программное обеспечение антивирусного средства.
6) Осуществить установку и настройку Континент TLS Клиента в соответствии с разделом «Установка и настройка СКЗИ Континент TLS VPN Клиент» Руководства, доступного по ссылке: roskazna.ru/upload/iblock/3f8/rukovodstv…ya_gost2012-ver2.doc После выполнения указанных выше действий просьба почистить кэш/куки в браузере, сбросить соединения TLS клиента, перезапустить браузер и осуществить попытку входа.
P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.
NEW DME |
|
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 109 раз |
Здравствуйте, подскажите, пожалуйста, почему с АРМ на Windows 7 (единичный случай) могут быть недоступны CRL-файлы по ссылкам, указанным в CDP, хотя доступ к веб-интерфейсу ЦР имеется и CRL-файлы публикуются на ЦР? |
 |
|
|
Захар Тихонов |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 38 раз |
Здравствуйте. Т.е. если вставить URL адрес до CRL в IE, то возникает кака-то ошибка при загрузке? |
|
Техническую поддержку оказываем тут. |
|
|
|
|
|
|
NEW DME
оставлено 14.10.2019(UTC) |
1 пользователь поблагодарил Захар Тихонов за этот пост.|
NEW DME |
|
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 109 раз |
Автор: Захар Тихонов Здравствуйте. Т.е. если вставить URL адрес до CRL в IE, то возникает кака-то ошибка при загрузке? Да, возникает ошибка типа: ‘Не удалось отобразить страницу’ и сам файл не скачивается:( |
|
|
|
|
Захар Тихонов |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 38 раз |
Автор: NEW DME Да, возникает ошибка типа: ‘Не удалось отобразить страницу’ и сам файл не скачивается:( Т.е. от другого УЦ успешно загружаются CRL, а от вашего нет. |
|
Техническую поддержку оказываем тут. |
|
|
|
|
|
|
NEW DME
оставлено 16.10.2019(UTC) |
|
Захар Тихонов |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 38 раз |
Это все к тому, что УЦ тут не учавствует. Вы просто не можете загрузить файл по сети. Если файл действительно лежит по указанному адресу и успешно загружается на других ПК, то требуется смотреть локальные настройки плохого ПК (антивирусы, как выходит в сеть и пр.). |
|
Техническую поддержку оказываем тут. |
|
|
|
|
|
|
NEW DME
оставлено 16.10.2019(UTC) |
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Hello,
I have changed two Adobe Business IDs to be Federated IDs to our Azure environment. That is working correctly. However, now the digital signatures for the migrated IDs have stopped working. I am getting an error when trying to sign:
CRL download error
Location: ldap:///CN=***,CN=***,CN=***,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=***,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
Cannot connect to server.
I have omitted some of the CRL text for privacy. When I load the CRL address in certutil, it resolves correctly with our Certificate Services server.
How can I make Acrobat connect to the server? This seems to be working for users who haven’t migrated yet.