<ssp>AddToMessageLog!CryptoPro TLS. Used certificate is not valid....- Page 2

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

5 Страницы<123 4 >»

<ssp>AddToMessageLog!CryptoPro TLS. Used certificate is not valid. TrustStatus: 0x10000 - Remmina AstraLinux

Опции

Предыдущая тема Следующая тема

Vetel		#11 Оставлено : 18 апреля 2023 г. 11:48:58(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.04.2023(UTC) Сообщений: 24 Откуда: москва		Автор: Русев Андрей certutil - штатное виндовое приложение командной строки. Обычно тут: C:\Windows\System32\certutil.exe Спсаибо не знал. Выполнил: Проверка списка отзыва пропущена -- сервер отключен или вне сети Проверка отзыва сертификата выполнена CertUtil: -verify - команда успешно выполнена.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#12 Оставлено : 18 апреля 2023 г. 12:03:00(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,528 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 624 раз в 432 постах		Автор: Vetel Проверка списка отзыва пропущена -- сервер отключен или вне сети Видимо, это причина: нет доступа к CRL-ям нового промежуточного УЦ. А к старым был доступ, или вы руками их на сервер приносили? Если руками, то и новый CRL надо принести.
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Vetel		#13 Оставлено : 18 апреля 2023 г. 12:11:31(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.04.2023(UTC) Сообщений: 24 Откуда: москва		Автор: Русев Андрей Автор: Vetel Проверка списка отзыва пропущена -- сервер отключен или вне сети Видимо, это причина: нет доступа к CRL-ям нового промежуточного УЦ. А к старым был доступ, или вы руками их на сервер приносили? Если руками, то и новый CRL надо принести. Эту процедуру добавляла подрядная оргназиция, у них бал заказ работ на это. Я не могу сказать к сожалению. Но если есть вариант как проверить я проверю. Свежий сертификат Казначейства руками длобавиляли через оснастку под учеткой адина. Я зашел в оснастку сертификатов пользоватлея и вижу данный сертификат у него. Screenshot_20230418_120647.png (36kb) загружен 9 раз(а). Отредактировано пользователем 18 апреля 2023 г. 12:20:47(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#14 Оставлено : 18 апреля 2023 г. 13:29:23(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,528 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 624 раз в 432 постах		Надо в папке выше смотреть - "Списки отзыва" (это и есть CRL). Различить их для разных поколений ключей одного УЦ можно по значению Authority Key Identifier (идентификатор ключа УЦ).
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Vetel		#15 Оставлено : 18 апреля 2023 г. 14:00:08(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.04.2023(UTC) Сообщений: 24 Откуда: москва		Автор: Русев Андрей Надо в папке выше смотреть - "Списки отзыва" (это и есть CRL). Различить их для разных поколений ключей одного УЦ можно по значению Authority Key Identifier (идентификатор ключа УЦ). а почему то тут вообще почти ничего нет Screenshot_20230418_135319.png (23kb) загружен 2 раз(а).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#16 Оставлено : 18 апреля 2023 г. 15:09:35(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,528 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 624 раз в 432 постах		Значит CRL-и приносили не руками, а они сами скачиваются. Увидеть это можно так: Код: `certutil -urlcache CRL` И тогда это значит, что CDP в листовом сертификате такой, что с этой винды CRL не удаётся скачать. В выдаче современного certmgr (который у вас на Астре) в пользовательском сертификате можно увидеть те самые URL-и, по которым будут попытки сходить за CRL-ями. Надо проверить их доступность на винде.
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Vetel		#17 Оставлено : 18 апреля 2023 г. 15:17:12(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.04.2023(UTC) Сообщений: 24 Откуда: москва		Автор: Русев Андрей Значит CRL-и приносили не руками, а они сами скачиваются. Увидеть это можно так: Код: `certutil -urlcache CRL` И тогда это значит, что CDP в листовом сертификате такой, что с этой винды CRL не удаётся скачать. В выдаче современного certmgr (который у вас на Астре) в пользовательском сертификате можно увидеть те самые URL-и, по которым будут попытки сходить за CRL-ями. Надо проверить их доступность на винде. Я вбил команду, certutil -urlcache CRL, она мне выдала адрес к сертификату .crl, я вбил этот http в браузер и сертификат тут же скачался. Это у обычного пользователя без прав. Screenshot_20230418_150847.png (25kb) загружен 3 раз(а). Отредактировано пользователем 18 апреля 2023 г. 15:18:13(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#18 Оставлено : 18 апреля 2023 г. 15:58:50(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,528 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 624 раз в 432 постах		Наоборот: в urlcache лежит то, что уже скачалось. А надо по проблемному сертификату узнать, что планировалось скачать.
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Vetel		#19 Оставлено : 18 апреля 2023 г. 16:12:40(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 13.04.2023(UTC) Сообщений: 24 Откуда: москва		Автор: Русев Андрей Наоборот: в urlcache лежит то, что уже скачалось. А надо по проблемному сертификату узнать, что планировалось скачать. я правильно понял, что надо на проблемном сертификате посмотреть распределения списка отзыва? Screenshot_20230418_160833.png (15kb) загружен 3 раз(а). [1]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://адрес1/crl/ucfk_2023.crl *- данный адрес доступен.* [2]Точка распределения списка отзыва (CRL) Имя точки распространения: Полное имя: URL=http://адрес2/crl/ucfk_2023.crl *- этот нет.* Отредактировано пользователем 18 апреля 2023 г. 16:15:38(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#20 Оставлено : 18 апреля 2023 г. 16:20:57(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,528 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 624 раз в 432 постах		Всё так. Видимо, листовой сертификат в порядке. Остаётся предположить, что не проверяется сам новый промежуточный. Выдача certutil -verify должна была про это рассказать, но вы тщательно всё порезали. Глянье там. Где точно будет видно, так это в новом certmgr.exe. Можно выдрать из установщика последнего КриптоПро CSP 5.0 R3 с помощью Far Manager или ещё какого-нибудь разархиватора и закинуть на сервер. Команда та же: Код: `certmgr -list -chain -file user.cer`
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

5 Страницы<123 4 >»

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close