Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Статус отзыва контроллера домена
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline 2NBoy  
#1 Оставлено : 25 августа 2014 г. 11:46:45(UTC)
2NBoy

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.08.2014(UTC)
Сообщений: 2
Российская Федерация
Добрый день, не знаю в каком разделе создавать тему, по этому зарание извиняюсь если создал не там.

В организации 2 контроллера домена на Serv 2012 R2.
PKI структура двухуровневая, offline rootCA (serv 2008 R2), issue CA (srv 2012R2).
Пользователи работают на windows 7 sp1 и логиняться в домен или на терминальный сервер с помощью смарт-карт с сертификатами, драйверы Крипто Про версий от 2.8 до 2.9.

Проблема заключается в следующем, на одной из рабочих станций, возникла проблема проверки статуса отзыва сертификата при работе в 1С,или при попытке войти в компьютер по смарт карте, пишет: статус отзыва сертификата контроллера домена используемого для проверки смарт-карты не определён.

В PKIVIEW доступны по крайней мере пара CDP со списками отзывов. Сами списки по ссылкам,если вставить в браузер, скачиваются нормально.
На рабочей станции установлены все сертификаты и они валидны.
Удалял и переустанавливал все сертификаты на контроллерах домена.
Фаервол отключен, ICA пингуется с машинки.
Прикладываю скрин -как выглядит список точек распространения, и результат выполнения certutil -verify -urlfetch на проблемной машине по сертификату контроллера домена:

Поставщик:
CN=easystep-CANEV-CA
DC=easystep
DC=local
Субъект:
EMPTY (DNS-имя=AD1.easystep.local)
Серийный номер сертификата: 530000016dca326cf513bbf07a00000000016d

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
NotBefore: 19.08.2014 15:46
NotAfter: 19.08.2016 15:56
Subject:
Serial: 530000016dca326cf513bbf07a00000000016d
SubjectAltName: DNS-имя=AD1.easystep.local
Template: Domain Controller Authentication
91 0e 39 e7 c4 e0 c1 58 65 2b 2a c6 5d f5 c5 dc ab b0 fb 22
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Сертификат AIA ----------------
Ошибка проверки отзыва "Сертификат (0)" Время: 0
[0.0] ldap:///CN=easystep-CANEV-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=easystep,DC=local?cACertificate?base?objectClass=certificationAuthority

Ошибка проверки отзыва "Сертификат (0)" Время: 0
[1.0] http://CAnev.easystep.lo...al_easystep-CANEV-CA.crt

---------------- Сертификат CDP ----------------
Проверено "Базовый CRL (60)" Время: 0
[0.0] http://CAnev.easystep.lo...ll/easystep-CANEV-CA.crl

Проверено "Разностный CRL (60)" Время: 0
[0.0.0] http://CAnev.easystep.lo...l/easystep-CANEV-CA+.crl

Старый базовый CRL "Разностный CRL (60)" Время: 0
[0.0.1] http://crln.easystep.local/CAnev.crl

Ошибка "CDP" Время: 0
Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
[0.2.0] http://crln.easystep.loc...rleasystep-CANEV-CA+.crl

Недопустимый поставщик "Разностный CRL (60)" Время: 0
[0.0.3] http://crln.easystep.local/root.crl

Проверено "Базовый CRL (60)" Время: 0
[1.0] http://crln.easystep.local/CAnev.crl

Проверено "Разностный CRL (60)" Время: 0
[1.0.0] http://CAnev.easystep.lo...l/easystep-CANEV-CA+.crl

Старый базовый CRL "Разностный CRL (60)" Время: 0
[1.0.1] http://crln.easystep.local/CAnev.crl

Ошибка "CDP" Время: 0
Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
[1.2.0] http://crln.easystep.loc...rleasystep-CANEV-CA+.crl

Недопустимый поставщик "Разностный CRL (60)" Время: 0
[1.0.3] http://crln.easystep.local/root.crl

---------------- Базовый CRL CDP ----------------
ОК "Разностный CRL (60)" Время: 0
[0.0] http://CAnev.easystep.lo...l/easystep-CANEV-CA+.crl

ОК "Базовый CRL (60)" Время: 0
[1.0] http://crln.easystep.local/CAnev.crl

ОК "Разностный CRL (60)" Время: 0
[1.0.0] http://CAnev.easystep.lo...l/easystep-CANEV-CA+.crl

Старый базовый CRL "Разностный CRL (60)" Время: 0
[1.0.1] http://crln.easystep.local/CAnev.crl

Ошибка "CDP" Время: 0
Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
[1.2.0] http://crln.easystep.loc...rleasystep-CANEV-CA+.crl

Старый базовый CRL "Разностный CRL (60)" Время: 0
[1.0.3] http://crln.easystep.local/root.crl

Ошибка "CDP" Время: 0
Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
http://crln.easystep.loc...rleasystep-CANEV-CA+.crl

ОК "Базовый CRL (0f)" Время: 0
[3.0] http://crln.easystep.local/root.crl

---------------- OCSP сертификата ----------------
Проверено "Протокол OCSP" Время: 0
[0.0] http://canev.easystep.local/ocsp

--------------------------------
CRL 60:
Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
15 83 ce 21 9f 34 ec fa 60 c6 02 9f 5b 34 24 e1 12 de 4d 9e
Delta CRL 60:
Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
fa 7d be 1b 96 7f 75 7f 9c c4 cc 27 ed cc 57 26 3c 49 e6 12
Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[1] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
Application[2] = 1.3.6.1.4.1.311.20.2.2 Вход со смарт-картой

CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=1000040
Issuer: CN=ROOTCANEV-CA
NotBefore: 31.05.2013 16:29
NotAfter: 14.05.2023 13:25
Subject: CN=easystep-CANEV-CA, DC=easystep, DC=local
Serial: 501c3ec7000000000003
Template: SubCA
09 7b 33 99 05 4c 79 88 16 df 6b 31 38 6c 14 ef 64 da 22 0e
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
---------------- Сертификат AIA ----------------
Проверено "Сертификат (0)" Время: 0
[0.0] http://crln.easystep.local/root.crt

---------------- Сертификат CDP ----------------
Недопустимый поставщик "Базовый CRL (0f)" Время: 0
[0.0] http://crln.easystep.local/root.crl

---------------- OCSP сертификата ----------------
Отсутствуют URL "Нет" Время: 0
--------------------------------

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=ROOTCANEV-CA
NotBefore: 14.05.2013 13:15
NotAfter: 14.05.2023 13:25
Subject: CN=ROOTCANEV-CA
Serial: 16808844131c9bb44faa95273b72ca5d
72 40 15 0e c8 97 ab 77 ae ac f2 98 9b c3 55 f2 ae 0a c8 4b
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
---------------- Сертификат AIA ----------------
Отсутствуют URL "Нет" Время: 0
---------------- Сертификат CDP ----------------
Отсутствуют URL "Нет" Время: 0
---------------- OCSP сертификата ----------------
Отсутствуют URL "Нет" Время: 0
--------------------------------

Exclude leaf cert:
1f f2 1c 22 a0 5c 89 4d 0d 5f fb 21 c4 2d bb f6 e6 fb e0 e0
Full chain:
be cf 50 8e b5 b7 61 c6 d3 f7 99 f9 b7 a7 d7 16 73 42 14 ec
Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
NotBefore: 19.08.2014 15:46
NotAfter: 19.08.2016 15:56
Subject:
Serial: 530000016dca326cf513bbf07a00000000016d
SubjectAltName: DNS-имя=AD1.easystep.local
Template: Domain Controller Authentication
91 0e 39 e7 c4 e0 c1 58 65 2b 2a c6 5d f5 c5 dc ab b0 fb 22
Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)
Проверка списка отзыва пропущена -- сервер отключен или вне сети
Проверка отзыва сертификата выполнена
CertUtil: -verify - команда успешно выполнена.
К слову на проблемной машине Win 7 x86 sp1, брэндмауэр и касперский отключены. Списки отзывов установлены, только я их ставлю,указываю им хранилище "промежуточные центры сертификации", они устанавливаются но в оснастке в списке отзывов их почему-то не видно.

Помогите коллеги! Всё перепробовал! Тупик (
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline 2NBoy  
#2 Оставлено : 29 августа 2014 г. 11:31:59(UTC)
2NBoy

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.08.2014(UTC)
Сообщений: 2
Российская Федерация
Неужели не сталкивались с такой проблемой?
Вверх
Offline Максим Коллегин  
#3 Оставлено : 29 августа 2014 г. 12:47:40(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,399
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
честно говоря, не сталкивались...
включите журнал CAPI2 - может будет что полезное.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET