Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
После установки Revocation Provider не работает Lync-клиент - После установки Revocation Provider не работает Lync-клиент
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline silkworm  
#1 Оставлено : 8 февраля 2016 г. 16:57:50(UTC)
silkworm

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Добрый день!
После установки Крипто-ПРО CSP v.3.6.7777 и фичи Revocation Provider на Windows 7 перестал запускаться клиент Microsoft Lync 2013. В системных ошибках фигурирует:
Event ID 36876
Source: Schannel.
Текст ошибки: Сертификат, полученный от удаленного сервера, не прошел проверку. Код ошибки: 0x80092012. Запрос на SSL-соединение не удалось выполнить. Сертификат сервера содержится в прилагаемых данных.
Сертификат сервера - это действующий сертификат Lync-сервера, с которым связывается клиент. AIA и CDP доступны. Всё происходит в домене.
Пробовал следующее: отключал в настройках КриптоПРО "Не проверять сертификат сервера на отзыв", в настройках OSCP Client GPO добавлял отпечаток сертификата сервера в исключения, обновился до версии 3.9.8001 КС1 - ничего не помогло.
К сожалению, наличие Revocation Provider является обязательным.
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Максим Коллегин  
#2 Оставлено : 8 февраля 2016 г. 23:36:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,396
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
А что пишет certutil при проверке сертификата? С установленным reprov и без?
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline silkworm  
#3 Оставлено : 9 февраля 2016 г. 19:27:18(UTC)
silkworm

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
certutil -verify в обоих случаяx (c reprov и без) выдает:
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40), это из-за того, что CDP сертификата "высшего CA" недоступен.
Без reprov добавляется ошибка CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000).

Результат:
С reprov - Функция отзыва не смогла произвести проверку отзыва для сертификата. 0x80092012 (-2146885614).....Lync Клиент не работает.
Без reprov - Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)....Lync Клиент работает.

Не расстраивайте меня, что необходимо иметь доступный CDP всех CA в цепочке для корректной работы reprov. Если так, то возможно ли отключить проверку для определенных сертификатов?

Спасибо!

Отредактировано пользователем 9 февраля 2016 г. 19:29:47(UTC)  | Причина: Не указана
Вверх
Offline Максим Коллегин  
#4 Оставлено : 9 февраля 2016 г. 19:57:30(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,396
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
reprov проверяет сертификаты на отзыв, логично, что возвращается ошибка при невозможности проверки. MSFT не настолько строг. Попробуйте отключить проверку на отзыв в IE.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline silkworm  
#5 Оставлено : 11 февраля 2016 г. 12:25:53(UTC)
silkworm

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
К сожалению отключение галки в IE не помогло. У меня есть еще варианты, кроме как изменять настройки RootCA?
Вверх
Offline Максим Коллегин  
#6 Оставлено : 11 февраля 2016 г. 16:06:51(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,396
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
Нашел вот такой параметр - поставьте DWORD 1 - возможно отключит проверку сертификатов вообще.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders\SCHANNEL\ManualCredValidation
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
thanks 1 пользователь поблагодарил Максим Коллегин за этот пост.
silkworm оставлено 12.02.2016(UTC)
Offline silkworm  
#7 Оставлено : 12 февраля 2016 г. 10:38:49(UTC)
silkworm

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.02.2016(UTC)
Сообщений: 4

Сказал(а) «Спасибо»: 1 раз
Спасибо за ключ - работает! Этот вариант отлично подойдет в качестве временного решения, пока решится проблема по корневым CA.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET