ЭЦП + AD- Page 2

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы<12

ЭЦП + AD

Опции

Предыдущая тема Следующая тема

Максим Коллегин		#11 Оставлено : 22 сентября 2016 г. 8:40:59(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,422 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 38 раз Поблагодарили: 734 раз в 632 постах		Включите диагностику CAPI2 на клиенте и сервере - возможно будет понятно, где искать проблему. https://social.technet.m...problems-on-windows.aspx
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Artax89		#12 Оставлено : 23 сентября 2016 г. 8:12:09(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.09.2016(UTC) Сообщений: 12		1) С CAPI2 собственно и говорит что дело в сертификатах отзыва Snimok4.PNG (123kb) загружен 11 раз(а). 2) сертификат УЦ кроме как вкладки NTAuthCertifates, больше не где не присутствует Snimok5.PNG (79kb) загружен 9 раз(а). 3) Когда экспортирую корневой сертификат УЦ на КД ошибка доверия, хотя он в доверенных Snimok6.PNG (82kb) загружен 15 раз(а).


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Artax89		#13 Оставлено : 28 сентября 2016 г. 4:09:56(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.09.2016(UTC) Сообщений: 12		Переставил ad + client, теперь доверяет сертификату. Перевыдал серт winlogon c указанным guid и dns через автономную форму html, далее выдал сертификат клиенту с указанным upn и вуяля: еще одна ошибка: "Нельзя использовать смарт-карту для входа в систему, так как вход в систему с помощью смарт-карты не поддерживается для этой учетной записи пользователя. Обратитесь в администратору и выясните, можно ли использовать вход со смарт-картой в вашей организации" Проверил в журнале КД ошибка: "Это событие показывает попытку входа со смарт-картой, но KDC не удалось использовать протокол PKINIT, поскольку нет подходящего сертификата." Сертификат есть и он правильный. certutil -dcinfo verify вот что говорит * Проверка DC[0]: TEST Корневые сертификаты предприятия для DC TEST Сертификат 0: Серийный номер: 084bb422570503984f82f6783df022f9 Поставщик: CN=Test-TEST-CA, DC=Test, DC=com NotBefore: 28.09.2016 22:09 NotAfter: 28.09.2021 22:18 Субъект: CN=Test-TEST-CA, DC=Test, DC=com Версия ЦС: V0.0 Подпись соответствует открытому ключу Корневой сертификат: субъект совпадает с поставщиком Шаблон: Хеш сертификата(sha1): 21 59 74 f2 64 8d 2b f0 86 05 69 b4 f9 31 f9 2f 92 24 c0 e5 ** Сертификаты KDC для DC TEST Сертификат 0: Серийный номер: 2e3b3f1500000000001c Поставщик: CN=WORK-CA NotBefore: 27.09.2016 22:51 NotAfter: 27.09.2017 23:01 Субъект: CN=Ivanov Ivan, OU=Secure, O=Soci, L=Uzhno-Sakhalinsk, S=Sakhalinskya, C=RU Имя шаблона сертификата (Тип сертификата): DomainController Не корневой сертификат Шаблон: DomainController, Контроллер домена Хеш сертификата(sha1): 01 4a b2 78 d8 24 34 45 7f cf b2 5c d1 04 7d 78 ef 23 03 ea dwFlags = CA_VERIFY_FLAGS_NT_AUTH (0x10) dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера Application[1] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_NT_AUTH -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040 Issuer: CN=WORK-CA NotBefore: 27.09.2016 22:51 NotAfter: 27.09.2017 23:01 Subject: CN=Ivanov Ivan, OU=Secure, O=Soci, L=Uzhno-Sakhalinsk, S=Sakhalinskya, C=RU Serial: 2e3b3f1500000000001c SubjectAltName: DNS-имя=Test.Test.com, Другое имя:GUID объекта DS=04 10 bb 58 f6 77 a0 13 9e 46 a0 d Template: DomainController 01 4a b2 78 d8 24 34 45 7f cf b2 5c d1 04 7d 78 ef 23 03 ea Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) Application[0] = 1.2.643.2.2.34.24 КриптоПро УЦ, Контроллер домена (Winlogon) Application[1] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента Application[2] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=WORK-CA NotBefore: 14.09.2016 6:25 NotAfter: 14.09.2021 6:34 Subject: CN=WORK-CA Serial: 134dfece043455b24f62d65e36c43ab9 29 94 47 24 7b 74 72 2f b7 88 63 a2 89 6c 1c 7b 2c a6 57 19 Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) Exclude leaf cert: 01 4a b2 78 d8 24 34 45 7f cf b2 5c d1 04 7d 78 ef 23 03 ea Full chain: 57 83 59 50 d1 30 72 ce 6e 47 48 51 f9 b3 97 d1 1b db 53 6b Issuer: CN=WORK-CA NotBefore: 27.09.2016 22:51 NotAfter: 27.09.2017 23:01 Subject: CN=Ivanov Ivan, OU=Secure, O=Soci, L=Uzhno-Sakhalinsk, S=Sakhalinskya, C=RU Serial: 2e3b3f1500000000001c SubjectAltName: DNS-имя=Test.Test.com, Другое имя:GUID объекта DS=04 10 bb 58 f6 77 a0 13 9e 46 a0 d Template: DomainController 01 4a b2 78 d8 24 34 45 7f cf b2 5c d1 04 7d 78 ef 23 03 ea Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-21468 Проверка списка отзыва пропущена -- сервер отключен или вне сети 1 сертификатов KDC для TEST CertUtil: -DCInfo - команда успешно выполнена. PS C:\Users\Администратор> net stop kdc . Служба "Центр распространения ключей Kerberos" успешно остановлена. Сейчас в сертификате winlogon и вход по смарт-карте прописаны СОС локально, т.е имеют такой формат file://сервер/локальная_папка/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl в AIA похожая конструкция. Насколько возможно такая настройка СОС и AIA?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Molostvov		#14 Оставлено : 28 сентября 2016 г. 10:04:15(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 95 раз в 85 постах		Цитата: Сейчас в сертификате winlogon и вход по смарт-карте прописаны СОС локально, т.е имеют такой формат file://сервер/локальная_папка/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl в AIA похожая конструкция. Насколько возможно такая настройка СОС и AIA? Добрый день! Если в сертификатах в расширении CDP прописана URL вида file:// , то Мicrosoft Revocation Provider не сможет проверить такой сертификат на отзыв. Эта конструкция предназначена для доступа CRL по SMB. Вам необходимо заменить URL на http или LDAP, либо установить CRL локально в хранилище Intermediate P.S. В случае, если контроллер домена Win2012 - то обратите внимание на обновленные требования к сертификату KDC. Подробнее: http://social.technet.mi...from-a-3rd-party-ca.aspx https://technet.microsof...mp;MSPPError=-2147217396 Отредактировано пользователем 28 сентября 2016 г. 10:08:44(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Molostvov		#15 Оставлено : 28 сентября 2016 г. 10:11:36(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 14.03.2013(UTC) Сообщений: 448 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 95 раз в 85 постах		Цитата: 3) Когда экспортирую корневой сертификат УЦ на КД ошибка доверия, хотя он в доверенных НА КД установлен КриптоПро CSP ?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Artax89		#16 Оставлено : 28 сентября 2016 г. 10:16:08(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.09.2016(UTC) Сообщений: 12		Спасибо за ответ! Везде установлен CSP. Переустановил AD на WS2008, машина, где пытаюсь авторизоваться на W7. Подскажите пожалуйста, как добавить СОС в LDAP? через настройки доставки СОС? Если так, то в журнале ошибка TLS 0x80092012 при проверке сертификата сервера. Отредактировано пользователем 29 сентября 2016 г. 2:22:42(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Artax89		#17 Оставлено : 29 сентября 2016 г. 2:31:43(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.09.2016(UTC) Сообщений: 12		Snimok7.PNG (104kb) загружен 7 раз(а). Добавил CRL локально на КД и на клиентской машине, теперь новая ошибка:) в журнале ругается на отзывы. Какие пути прописывать в расширения сертификата, если ставить локально CRL? Поставщик: CN=WORK-CA Субъект: CN=user Серийный номер сертификата: 1517775f000000000009 dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=40 Issuer: CN=WORK-CA NotBefore: 28.09.2016 23:55 NotAfter: 29.09.2017 0:05 Subject: CN=user Serial: 1517775f000000000009 SubjectAltName: Другое имя:Имя участника=user@test.com Template: SmartcardUser e8 e5 1e 42 fc dd 8a ff 20 07 15 7d 19 c1 22 96 09 f3 46 3c Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) ---------------- Сертификат AIA ---------------- Ошибка "AIA" Время: 0 Ошибка при получении URL: Имеются дополнительные данные. 0x800700ea (WIN32/H TTP: 234) ldap:///cn=WORK-CA,cn=aia,cn=public%20key%20services,cn=services,DC=Unavaila bleConfigDNwork1 ---------------- Сертификат CDP ---------------- Отсутствуют URL "Нет" Время: 0 ---------------- OCSP сертификата ---------------- Отсутствуют URL "Нет" Время: 0 -------------------------------- Application[0] = 1.3.6.1.4.1.311.20.2.2 Вход со смарт-картой Application[1] = 1.2.643.2.2.34.6 Пользователь Центра Регистрации, HTTP, TLS к лиент Application[2] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=WORK-CA NotBefore: 14.09.2016 6:25 NotAfter: 14.09.2021 6:34 Subject: CN=WORK-CA Serial: 134dfece043455b24f62d65e36c43ab9 29 94 47 24 7b 74 72 2f b7 88 63 a2 89 6c 1c 7b 2c a6 57 19 Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- Сертификат AIA ---------------- Отсутствуют URL "Нет" Время: 0 ---------------- Сертификат CDP ---------------- Отсутствуют URL "Нет" Время: 0 ---------------- OCSP сертификата ---------------- Отсутствуют URL "Нет" Время: 0 -------------------------------- Exclude leaf cert: e8 e5 1e 42 fc dd 8a ff 20 07 15 7d 19 c1 22 96 09 f3 46 3c Full chain: 69 23 dc 38 1d 3b e6 20 51 a9 3b 7b 25 3a 94 62 48 72 5a 8d Issuer: CN=WORK-CA NotBefore: 28.09.2016 23:55 NotAfter: 29.09.2017 0:05 Subject: CN=user Serial: 1517775f000000000009 SubjectAltName: Другое имя:Имя участника=user@test.com Template: SmartcardUser e8 e5 1e 42 fc dd 8a ff 20 07 15 7d 19 c1 22 96 09 f3 46 3c Функция отзыва не смогла произвести проверку отзыва для сертификата. 0x80092012 (-2146885614) Проверка списка отзыва пропущена -- отсутствует информация об отзыве Не удалось проверить состояние отзыва сертификата CertUtil: -verify - команда успешно выполнена. Отредактировано пользователем 29 сентября 2016 г. 9:11:57(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Artax89		#18 Оставлено : 30 сентября 2016 г. 3:15:19(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.09.2016(UTC) Сообщений: 12		Автор: Molostvov Добрый день! Если в сертификатах в расширении CDP прописана URL вида file:// , то Мicrosoft Revocation Provider не сможет проверить такой сертификат на отзыв. Эта конструкция предназначена для доступа CRL по SMB. Добавил в расширение сертификата CRL и для AIA путь по http. Проверил доступность - все ок. Но все равно пишет в журнале CAPI2, что невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен 80092013 Как исправить проблему, подскажите плиз?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Artax89		#19 Оставлено : 3 октября 2016 г. 10:00:18(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 06.09.2016(UTC) Сообщений: 12		совсем вариантов нет?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#20 Оставлено : 14 октября 2016 г. 10:29:25(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,422 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 38 раз Поблагодарили: 734 раз в 632 постах		Доступ по http без прокси? certutil проверяет?
		Знания в базе знаний, поддержка в центре поддержки
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы<12

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close