| ||||
| ||||
| Подскажите что за ошибка... Эта ошибка вылетает при создании запроса на сертификат WEB-сервера ЦС? При этом сертификат помещается в список Failed Requests ЦС | ||||
| Ответы: | ||||
| ||||
| "Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен." Сообщение может быть из-за: 1) если это подчинённый ЦС - то недоступен актуальный СОС вышестоящего ЦС 2) неработоспособен выбранный revocation provider. Посмотрите, какой у Вас используется - это параметр Dll в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT | ||||
| ||||
| Ситуация следующая.... у меня стоит изоллированный корневой центр сертификации и ни какой revoketion provider не используется. И кстате в реестре вообще отсутствует данная запись | ||||
| ||||
| Так не бывает. Без Revocation Provider Windows вообще вряд ли загрузится. Пришлите посмотреть весь раздел (сохраните в файл): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID | ||||
| ||||
| Добрый день, а что в этой ветке должно быть? У меня таже самая проблема. "Службы сертификации отклонили запрос по причине Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)." | ||||
| ||||
| попробовал удалить параметр, который там присутствовал... ситуации не изменило... | ||||
| ||||
| Леонид, в этой ветке - параметр с названием "Dll", значением которого является имя dll, используемой в качестве revocation provider. Если Вы сообщите текущее значение, я скажу, что это. | ||||
| ||||
| Вот здесь : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT Нет ничего. | ||||
| ||||
| DEFAULT - это подраздел раздела с именем "CertDllVerifyRevocation". Если его раскрыть - будет Вам то, что нужно. Если всё ещё непонятно, выделите мышкой раздел "CertDllVerifyRevocation", нажмите Ctrl-F (Поиск), введите в строку поика Dll - и, о чудо! - появится нужный параметр! | ||||
| ||||
| Спасибо, я прекрасно понимаю, что такое раздел и что такое подраздел, при раскрытии подраздела DEFAULT справа нет никакой dll, в том-то мой вопрос и заключался, к какой библиотеке должен быть указан путь? Скажем в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyCTLUsage указан путь к cryptnet.dll | ||||
| ||||
| По умолчанию - cryptnet.dll | ||||
| ||||
| Добавил руками этот параметр. Ничего не изменилось. Ошибка та же. | ||||
| ||||
| 1. Перезагружали после изменений? 2. У вас корневой ЦС? 3. В IE Сервис - Свойства обозревателя - Содержание - Сертификаты - Доверенные корневые... - откройте сертификат вашего ЦС - вкладка Путь сертификации - внизу что написано про состояние сертификата? | ||||
| ||||
| Возникла такая же ошибка. Причем она непонятна. Ситуация такая: создал корневой сервер, сделал сертификат. Создал дочерний сервер, отослал сертификат на подпись. На корневом подписал и сделал экспорт. На дочернем сделал импорт этого сертификата и попытался запустить сервер на дочернем. А он вот так же ругается. Даже если у него нет связи с главным (хотя она есть - в одной сети) - почему он ругается? Ведь даже Микрософт рекомендует рутовый сервер отключать и прятать - он самы главный и должен находится в безапасности. А получается что без конекции к нему подчиненные сервера не могут запустить сервисы сертификатов | ||||
| ||||
| Корневой центр не обязательно должен быть в онлайне. На подчинённом центре должны быть установлены: 1) сертификат корневого ЦС - в хранилище "Доверенные корневые ЦС" ЛОКАЛЬНОГО КОМПЬЮТЕРА 2) список отозванных сертификатов (СОС) корневого ЦС - в хранилище "Доверенные корневые ЦС" ЛОКАЛЬНОГО КОМПЬЮТЕРА, при этом сертификат корневого ЦС и СОС должны быть действительны по дате (по времени на подчинённом ЦС). Чтобы поставить сертификат или СОС из файла в хранилище локального компьютера - нужно при выборе названия хранилища поставить галку "Показать физические хранилища", потом раскрыть элемент "Доверенные корневые ЦС" и выбрать там локальный компьютер. | ||||
| ||||
| В общем понятно, спасибо. Только на практике не получилось. 1. Как сделать экспорт СОС (CRL) c root на sub? Нигде не нашел такой возможности. Я думал, что эта информация включается в PKCS # 7 (.P7B) 2. Последняя фраза не очень понятна: "Чтобы поставить сертификат или СОС из файла в хранилище локального компьютера - нужно при выборе названия хранилища поставить галку.." Для управления сертификатами я оперирую "Certification Authofity" на root&sub - где нужно ставить галку не очень понятно, меня не просят выбирать хранилище. Сейчас практические шаги я делаю такие: 1. Установил RootCA 2. Установил SubCA, сгенерировал запрос в файл 3. Проинсталировал на SubCA сертификат RootCA 4. Подписал сертификат SubCA на RootCA 5. Сделал экспорт сертификата SubCA из списка сертификатов RootCA в формате .P7B 6. Добавил этот сертификата в SubCA 7. Пытаюсь запустить сервер SubCA - Ошибка 80092013 Не могу найти RootCA. | ||||
| ||||
| > Как сделать экспорт СОС (CRL) c root на sub? Берём файл crl (%windir%\system32\certsrv\certenroll\*.crl) и переносим. > 3. Проинсталировал на SubCA сертификат RootCA Можно подробнее - как именно? | ||||
| ||||
| Василий, огромное спасибо. После инсталлирования списка CRL сервис запустился. Еще один вопрос: по умолчанию сертификат для SubCA выпустился на 1 год (у rootCA я поставил на 20 лет). Как можно увеличиь срок действия сертификата для SubCA? | ||||
| ||||
| Срок действия каждого выпускаемого сертификата задаётся в настройках ЦС. Если на вышестоящем ЦС установлено ПО "КриптоПро ЦС" - то срок настраивается в модуле политики КриптоПро. Если нет, и это просто Microsoft Certification Authority - то в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<имя ЦС> параметр ValidityPeriodUnits. Не забудьте перезапустить MS CA после изменений. | ||||
| ||||
| Прочитал все по этой ошибки, но так и не понял как ее разрешить. У меня в параметре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT прописано: Dll C:\Program Files\Crypto Pro\CSP\cprevchk.dll Такого файла на компьютере вообще не существует, не то что в указанной папке. Как мне решить эту проблему, начальство уже звереет! =) | ||||
| ||||
| Если ошибка схожая с моей, то пиши на rishamogov@mail.ru | ||||
| ||||
| http://www.cryptopro.ru/cryptopro/forum/view.asp?q=3593 | ||||
| ||||
| Спасибо, все заработало | ||||
Пеганов Антон