Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
ошибка при работе УЦ
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline alivver  
#11 Оставлено : 10 ноября 2014 г. 14:28:06(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
на ЦР стоит SSMS - к ЦР подключился удачно, к ЦС - нет, т.к. на ЦС БД доступна только локально
на ЦС SSMS не стоит. поставить, проверить?
Вверх
Offline Molostvov  
#12 Оставлено : 10 ноября 2014 г. 14:28:59(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Да, проверьте, пожалуйста.

Отредактировано пользователем 10 ноября 2014 г. 14:40:22(UTC)  | Причина: Не указана
Вверх
Offline alivver  
#13 Оставлено : 10 ноября 2014 г. 17:33:29(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
да, не подключиться
выдается ошибка - при обработке сертификата произошла неизвестная ошибка
Вверх
Offline Kirill Sobolev  
#14 Оставлено : 10 ноября 2014 г. 17:44:07(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,733
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Сколько корневых сертификатов?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
Offline Molostvov  
#15 Оставлено : 10 ноября 2014 г. 17:45:01(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
Значит, скорее всего, при подключении SQL выбрал для себя подходящий сертификат из локального хранилища текущего пользователя (http://msdn.microsoft.com/en-us/library/ms131691.aspx), и не смог его проверить либо на отзыв, либо цепочку. Скорее первое, судя по тому, что ЦС у вас корневой. Какой именно серт не пониравился и по какой причине можно узнать вклюив журнал CAPI2 на сервере ЦС (по умолчанию отключен). В подробностях ошибки можно узнать отпечато "траблового" сертификата.
Как предположение: у вас в CRL есть расширение IDP (issuance distribution point), урлы в котором должны быть доступны, иначе сертификат не провериться на отзыв.

Отредактировано пользователем 10 ноября 2014 г. 17:52:19(UTC)  | Причина: Не указана
Вверх
Offline alivver  
#16 Оставлено : 10 ноября 2014 г. 17:46:25(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Kirill Sobolev Перейти к цитате
Сколько корневых сертификатов?


в хранилище ПК?
один (если не считать всякие ms и thawte)
Вверх
Offline alivver  
#17 Оставлено : 10 ноября 2014 г. 17:55:09(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Molostvov Перейти к цитате

Как предположение: у вас в CRL есть расширение IDP (issuance distribution point), урлы в котором должны быть доступны, иначе сертификат не провериться на отзыв. Если такое расширение есть, рекомендую его не включать в CRL. Не факт, что даже при доступности этих урлов сертификат все же проверится.


должны быть доступны с ЦС? он же изолирован
а разве проверка сертификата на отзыв не должна осуществляться сначала по CRL из хранилища?
Вверх
Offline Molostvov  
#18 Оставлено : 10 ноября 2014 г. 18:01:49(UTC)
Molostvov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 14.03.2013(UTC)
Сообщений: 448
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 95 раз в 85 постах
http://technet.microsoft...ru/sysinternals/aa376552
"The CertIsValidCRLForCertificate function checks a CRL to find out if it is a CRL that would include a specific certificate if that certificate were revoked. If the CRL has an issuing distribution point (IDP) extension, the function checks whether that IDP is valid for the certificate being checked."

Посмотрите что в CAPI2, на что ругается. В качестве эксперимента выпустите CRL без расширения IDP, будет ли ошибка при подключении к БД?

Отредактировано пользователем 10 ноября 2014 г. 18:03:37(UTC)  | Причина: Не указана
Вверх
thanks 2 пользователей поблагодарили Molostvov за этот пост.
alivver оставлено 11.11.2014(UTC), mic97 оставлено 12.04.2016(UTC)
Offline alivver  
#19 Оставлено : 10 ноября 2014 г. 18:04:36(UTC)
alivver

Статус: Участник

Группы: Участники
Зарегистрирован: 29.07.2014(UTC)
Сообщений: 28
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Автор: Molostvov Перейти к цитате
http://technet.microsoft.com/ru-ru/sysinternals/aa376552
"The CertIsValidCRLForCertificate function checks a CRL to find out if it is a CRL that would include a specific certificate if that certificate were revoked. If the CRL has an issuing distribution point (IDP) extension, the function checks whether that IDP is valid for the certificate being checked."

Посмотрите что в CAPI2, на что ругается. В качестве эксперимента выпустите CRL без расширения IDP, будет ли ошибка при подключении к БД?


да! в этом было дело :( был установлен IDP
убрал и все заработало
большое спасибо за помощь!
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET