Установка списка отозванных сертификатов zhitsoboy.ru

Установка списка отозванных сертификатов

Установка списка отозванных сертификатов

В большинстве случаев ошибка «Указан неправильный алгоритм (0x80090008)» решается переустановкой сертификата подписи. Переустановить сертификат можно в программе «КриптоАРМ»

Также это можно сделать через КриптоПро CSP. Для этого откройте программу КриптоПро CSP и перейдите во вкладку «Сервис». Затем нажмите на кнопки «Просмотреть сертификаты в контейнере. » и «Обзор» Выберите нужный контейнер и нажмите кнопку «Ok», а после «Установить».

2. Ошибка построения пути сертификации

Сообщение «Статус сертификата: недействителен, ошибка построения пути сертификации» говорит о том, что нужно на рабочем месте установить корневой сертификат удостоверяющего центра, чтобы цепочка доверия могла быть построена и проверена программой.

Корневой сертификат УЦ как правило можно загрузить с сайта удостоверяющего центра. Также его можно скачать по ссылке, указанной в сертификате. Для этого нужно:

  1. Выбрать сертификат и двойным кликом открыть его
  2. Нажать на кнопку «Просмотреть»
  3. Выбрать вкладку «Состав»
  4. Выбрать «Доступ информации о центрах сертификации»
  5. Скопировать ссылку для скачивания корневого сертификата
  6. По ссылке скачать корневой сертификат удостоверяющего центра
  7. Установить сертификат в хранилище «Доверенные корневые центры сертификации»

Видео инструкция по решению ошибки с построением цепочки сертификатов:

3. Предупреждение «Нет полного доверия к сертификату подписи»

  1. В верхнем меню выберите пункт «Настройки», затем «Управление настройками» и «Параметры прокси-сервера». Из выпадающего списка выберите вариант «Использовать системные настройки прокси». Нажмите «Применить».
  2. Далее в «Управление настройками» вкладка «Общие» снимите галку с опции «Отключить проверку личных сертификатов по спискам отзыва».
  3. Запустите «Internet Explorer», откройте меню «Сервис» -> пункт «Свойства обозревателя» («Свойства браузера») -> закладка «Подключения» -> кнопка «Настройка сети». Убедитесь в том, чтобы в «Настройках сети» флажки «Автоматическое определение параметров» и «Использовать скрипт автоматической настройки» были сброшены.
  4. Выберите в окне программы «КриптоАРМ» ветку «Личное хранилище сертификатов». Затем справа выберите нужный сертификат и нажмите правой кнопкой мыши, чтобы вызвать контекстное меню. В появившемся меню выберите «Проверить статус» «По CRL, полученному из УЦ».
  5. Если статус сертификата стал с зеленой галкой повторите ваше изначальное действие, вновь подпишите либо проверьте подпись.

4. Не удается установить лицензионный ключ: ошибка сохранения данных

Запустите программу в режиме администратора. Для этого нажмите правой кнопкой на иконку «КриптоАРМ» и выберите в открывшемся контекстном меню команду «Запуск от имени администратора». Повторите ввод лицензионного ключа в меню «Помощь» — «Установить лицензию».

5. Указан хеш-алгоритм, несовместимый с данным файлом подписи

Ошибка встречается при добавлении подписи, когда хеш-алгоритм сертификата подписанта отличается от хеш-алгоритма сертификата первого подписанта

Способ исправления: обновить программу до версии 5.4.2.280 или выше. Перейти к загрузке.

6. Отсутствует личный сертификат для расшифрования

В первую очередь проверьте наличие лицензии на КриптоАрм. Помощь о программе — если истек срок действия лицензии, то расшифровать не получится. Далее можно проверить зашифрован ли файл в адрес Вашего сертификата — в окне с ошибкой нажать кнопку детали менеджер сообщения — там будут указаны серийные номера сертификатов получателей. Среди них надо поискать свой номер. Сам номер в сертификате увидеть так: открыть сертификат 2м нажатием в личном хранилище — в поле серийный номер будет прописан нужный номер.

Также проверьте, тот ли сертификат используется для расшифрования: профили управление профилями открыть профиль с галкой 2м нажатием общие в поле владелец сертификата проверьте, какой сертификат прописан. Если нужно, выберите.

7. Ошибка установки свойства в контекст сертификата 0x80092004

Ошибка 0x80092004 говорит о том, что сертификат был установлен без привязки к закрытому ключу. Попробуйте переустановить сертификат через КриптоПро CSP.

Для этого откройте программу КриптоПро CSP и перейдите во вкладку «Сервис». Затем нажмите на кнопки «Просмотреть сертификаты в контейнере. » и «Обзор» Выберите нужный контейнер и нажмите кнопку «Ok», а после «Установить».

8. Установка «КриптоАРМ» завершается с ошибкой

В большинстве случаев устранить ошибку помогает удаление и установка его заново:

  1. Удалите программу «КриптоАРМ» через Панель управления;
  2. Проверьте, осталась ли папка Digt в каталоге Program Files (дополнительно проверьте каталог Program Files (х86) если используете 64-х разрядную систему Windows);
  3. Если Вы устанавливали «КриптоАРМ» версии 5, то необходимо дополнительно проверить, удалились ли папки, содержащие в названии CifrovieTehnologii.TrustedTLS из папки WinSxS.
  4. Скачайте заново дистрибутив из Центра загрузок.
  5. Установить «КриптоАРМ», согласно шагам Мастера установки.

9. Установка «КриптоАРМ»: ошибка «Policy 2.0.CryptoPro.PKI.Cades.publicKeyToken»

Если КриптоАРМ не устанавливается стандартным способом, установите КриптоАРМ не из самого дистрибутива а из msi-пакета, только скачайте актуальную сборку с сайта: http://www.trusted.ru/wp-content/uploads/trusteddesktop.exe и отключите антивирус на время установки.

Для того чтобы установить КриптоАРМ из msi-пакета понадобится извлечь из дистрибутива установочный пакет. Для этого создайте текстовый файл (например в Блокноте) и сохраните в него следующую строчку:

trusteddesktop.exe /x package

Где trusteddesktop.exe — имя файла дистрибутива, а package — имя папки, в которую будут сохранены файлы установки. Если папка не существует, она будет создана автоматически.

Далее сохраните этот файл с расширением bat. Переместите файл в папку с дистрибутивом и запустите его двойным щелчком. После завершения его выполнения должна будет создаться папка package.

В папке package, после распаковки будут ещё две папки TDStandard и TDPlus. Сначала установите КриптоАрм Стандарт. Для этого зайдите в папку TDStandard и запустите msi файл setup-win32 (для 32-х разрядной версии Windows) или setup-x64 (для 64-х разрядной версии Windows). Чтобы узнать разряднось системы (Пуск -> Панель управления -> Система).

После установки КриптоАрм Стандарт можно установить КриптоАрм Плюс. Для этого зайдите в папку TDPlus и запустите msi файл setup-win32 (для 32-х разрядной версии Windows) или setup-x64 (для 64-х разрядной версии Windows).

10. Не удается установить «КриптоАРМ»: ошибка «Windows Installer»

Удалите программу через пуск / панель управления. Затем, скачайте по ссылке утилиту для удаления программы: https://yadi.sk/d/YOmuVagg3Yhs8b

После того как запустите утилиту cryptoarm.remover, перезагрузите компьютер и начните установку программы КриптоАРМ без дополнительных модулей TSP и OCSP (чтоб они были с красными крестиками в окне установки) — необходимо при установке КриптоАРМ-а выбрать не быструю установку а настраиваемую.

11. Не удается установить «КриптоАРМ»: ошибка 2739

Для 64-разрядных Windows зайти в меню Пуск и выполнить команды:

c:windowsSysWOW64regsvr32 c:windowsSysWOW64vbscript.dll c:windowsSysWOW64regsvr32 c:windowsSysWOW64jscript.dll

Для 32-разрядных Windows зайти в меню Пуск и выполнить команды:

c:windowsSystem32regsvr32.exe c:windowsSystem32vbscript.dll c:windowsSystem32regsvr32.exe c:windowsSystem32jscript.dll

Для выполнения команд необходимо наличие прав администратора.

12. В контекстном меню нет КриптоАРМа

Зарегистрировать ShellExtention. Для этого создайте текстовый файл с расширением bat и сохраните в него следующую команду:

Выполните этот командный файл от имени администратора. При этом библиотека должна зарегистрироваться.

Так же могу порекомендовать внести папку установки КриптоАРМ-а в список исключений антивируса.

Проверьте также выключен ли у вас UAC. Если он выключен, компоненты могут регистрироваться неправильно. Попробуйте включить UAC и перерегистрировать библиотеку. Руководство по включению и отключению UAC с сайта Microsoft:

Снять системный лог

Системный лог: журнал событий операционной системы. Сохранить его можно в окне управления компьютером (Панель управления->Администрирование->Управление компьютером). В разделе Служебные программы->Просмотр событий->Журналы Windows вызовите правой кнопкой мыши контекстное меню на журнале приложений и выберите«Сохранить все события как. ». Сохраните события в файл и отправьте пожалуйста этот файл мне. Сохраните пожалуйста таким же образом журнал «Система».

13. Ошибка «Подпись не валидна» на сайтах наш.дом.рф и rosreestr.ru

При создании подписи убедитесь что выбран тип кодировки DER и указана опция«Сохранить подпись в отдельном файле». Т.е. нужно создать отделенную подпись, на портале помещать исходный файл и файл подписи (около 2Кб).

14. Не удается подписать файл: ошибка исполнения функции 0x0000065b

Скорее всего отсутствует лицензионный ключ или истек срок его действия для программы «КриптоАРМ» или КриптоПро CSP. Лицензионные ключи должны быть установлены в обеих программах, они должны быть активны.

Читать еще:  Форматирование ssd перед установкой Windows 10

Проверить наличие и статус лицензии на «КриптоАРМ» можно в верхнем меню программы в разделе «Помощь» — «О программе». В КриптоПро CSP эта информация есть на вкладке «Общие».

15. При установке сертификата возникает ошибка «Ошибка при установке сертификата и далее ФИО название в общем»

Выключите режим квалифицированной подписи в настройках: настройки / управление настройками / режимы. После этого сертификат появится в папке«личное хранилище». Если возникнет ошибка построения пути сертификации, то исправить ее можно будет по инструкции вопрос №2:http://trusted.ru/support/faq/.

Спрашивают откуда берется список TSL ошибка обновления TSL Актуальный список TSL КриптоАрм подгружает с сайта Минкомсвязи: http://minsvyaz.ru/ru/activity/govservices/2/ или Госуслуги:http://e-trust.gosuslugi.ru/CA. Если программе не удается обновить список, то можно загрузить его с одного из этих сайтов вручную и установить в нужную папку.

Загруженный документ XML устанавливается в папку: C:Documents and Settings Local SettingsApplication DataКриптоАРМtsl .

16. 0x0000064a – возникает при отсутствии лицензии на модуль TSP

Проверьте пожалуйста, установлены ли лицензии в программах КриптоПро CSP и КриптоАРМ, а также установлена ли лицензия на модуль КриптоПро TSP.

Посмотреть информацию о лицензии на модуль КриптоПро TSP можно через меню пуск / все программы / КриптоПро / КриптоПро PKI -> управление лицензиями.

17. Ошибка 0x00000057 говорит о том что скорее всего в установленном сертификате нет привязки к закрытому ключу.

18. Не удается найти сертификат и закрытый ключ для расшифровки. В связи с этим использование данного сертификата невозможно.

Скорее всего у Вас нет привязки сертификата к ключевому контейнеру, наличие привязки можно проверить следующим образом — путем просмотра сертификата из личного хранилища сертификатов, например, при помощи КриптоАРМ: главное окно КриптоАРМ (вид«Эксперт») ->

Сертификаты -> Личное хранилище сертификатов -> Выбор сертификата -> Свойства -> Кнопка Просмотреть. Если привязка существует, то на закладке«Общие» (»General») последней строкой (после срока действия сертификата) будет надпись«Есть закрытый ключ, соответствующий этому сертификату.» (»You have a private key that corresponds to this certificate.»).

Для сертификатов с ключевой парой на КриптоПро CSP установить привязку
можно следующим образом:

1. Сохраните сертификат (например, в der-формате) в файл и удалите из
личного хранилища;
2. Откройте Панель КриптоПро CSP: Пуск -> Настройки -> Панель управления
-> КриптоПро CSP -> Закладка«Сервис»;
3. Нажмите на кнопку«Просмотреть сертификаты в контейнере», затем
«Обзор», выберите контейнер и нажмите«ОК», должно заполниться поле с
именем контейнера;
4. Нажмите«Далее», при необходимости введите пароль (пин-код),
откроется форма«Сертификаты в контейнере секретного ключа»;
5. Нажмите на кнопку«Свойства», откроется стандартная форма просмотра
сертификата;
6. При необходимости сравните данный сертификат с сертификатом,
сохраненным на первом шаге, если они отличаются, вернитесь на шаг 3 и
выберите другой контейнер;
7. Нажмите на кнопку«Установить сертификат», затем«Далее», выберите
«Автоматически выбирать хранилище на основе типа сертификата», снова
«Далее» и«Готово».

19. Ошибка 0x80091008 при расшифровке сообщения

Возникает в основном когда в КриптоАРМ или в КриптоПро CSP не установлена лицензия. В КриптоАрм проверить наличие лицензии можно через пункт меню помощь / о программе. В КриптоПро на вкладке «общие».

Если лицензии установлены, попробуйте переустановить КриптоПро CSP.

20. Как подписать отчеты для ГОЗ (Минобороны)

Запустите мастер подписи. Если запускался не через контекстное меню, то на второй странице ныжно выбрать подписываемый файл.

На странице «Выходной формат» выбрать вариант Base64 (выбран по умолчанию) и в поле справа заменить расширение sig на sign. На этой же странице установить галочку «Отключить служебные заголовки».

На следующей странице «Параметры подписи» убрать галочку «Поместить имя исходного файла в поле Идентификатор ресурса». На этой же странице установить галочку «Сохранить подпись в отдельном файле».

На этой странице не нужно убирать галочку «Включить время создания подписи». При работе Ccptest время добавляется в подпись.

На странице «Выбор сертификата подписи» выбрать нужный сертификат.

При завершении мастера можно сохранить настройки в профиль, чтобы не вводить их заново в следующий раз.

По завершению мастера нужно вручную убрать из имени файла расширение xml. КриптоАРМ всегда добавляет в имя исходное расширение, а поскольку по требованиям его там быть не должно, то переименовывать файл придется вручную.

Работа с отозванными сертификатами в системе DIRECTUM

Опубликовано:
22 мая 2012 в 15:33

Теория. Для чего нужен CRL

Список отзывов сертификатов (Certificate revocation list) — представляет собой файл указывающий на список сертификатов с указанием серийного номера сертификата, даты отзыва, причина отзыва. В целом списки отзыва сертификатов (CRL) используются для передачи сведений об отзыве сертификатов пользователям, компьютерам и приложениям, пытающимся проверить подлинность сертификата.

При каких ситуациях ваш сертификат может попасть в указанный список:

1. При выдаче сертификата УЦ ошибся в части реквизитов, поэтому был выдан новый сертификат.

2. Сертификатом завладело третье лицо, кто мог бы подписывать за вас (т.н. компрометация ключа).

3. Сертификат был отозван по заявлению владельца сертификата.

4. Сменилось уполномоченное лицо, владеющее сертификатом;

Формируется указанный список центром сертификации и публикуется в любое доступное место для пользователей, чтобы пользователь в свою очередь мог его установить.

После проведенной установки CRL файла ПО использующее функции подписания и шифрования будет проверять находится ли ваш сертификат в указанном списке. В случае если ваш сертификат находится в списке, то подписывать и шифровать файлы и документы данным сертификатом вы уже не сможете.

Что это нам дает? Прежде всего вы всегда можете быть уверены, что сертификат, с которым вы сейчас работаете, является действующим и легитимность выполняемых действий будет подтверждена. Соответственно все законно и мы можем работать в дальнейшем спокойно.

Предположим, что кому-то (или чему-то) сертификат больше не нужен (человек уволился, скомпрометирован секретный ключ и т.п.). Срок действия сертификата ещё не кончился, но нужно, чтобы он не работал. Для этого администратор CA обновляет список отозванных сертификатов и размещает его в доступном для всех месте.

Петя уволился (сам или нет..)
1. На место Пети посадили Колю, который получил полный доступ к всей информации Пети. При этом ещё не все знают, что Пети нет.
2. Маша (которая ещё не знает, что случилось) шлёт Пете файл (что-то личное?!), зашифровав его Петиним открытым ключом.
3. Коля имеет доступ к секретному ключу Пети и может прочитать информацию от Маши. Так же не забываем, что он может ставить ЭЦП от имени Пети.

Если бы Маша проверила Петин сертификат по CRL, то она бы узнала, что сертификатом Пети шифровать уже нельзя. Да и другие люди должны знать, что Петя ничего больше подписывать не должен. Т.е. все должны регулярно обновлять CRL (если это не делается автоматически или ПО само не производит on-line проверку сертификата).

Таким нехитрым образом происходит работа CRL. Более глубже вдаваться в теорию работы со списками отзывов сертификатов нет смысла, поэтому перейдем к практике.

Практическое применение CRL

Итак, что же нам прежде всего необходимо сделать, чтобы мы могли полноценно использовать CRL в практических целях организации? Во-первых, если ЦС не развернут в вашей организации, то желательно запрашивать раз в неделю (т.к. CRL во внешних организациях, зачастую формируются именно раз в неделю), и проводить его установку на локальные машины в профиль пользователя. Если же в вашей организации развернут ЦС, то формирование crl и его применение в дальнейшем лежит на ваших плечах. Подробнее опишем ситуацию ниже.

Читать еще:  Установка sp1 для Windows 7 x64

Ситуация: ЦС был выдан сертификат. В DIRECTUM указанным сертификатом даже было подписано задание, задачи, документы. Выданным сертификатом завладело третье лицо, нам необходимо обеспечить, чтобы в рамках системы DIRECTUM, указанный сертификат уже не мог использоваться.

В дальнейшем будем иметь дело со следующим сертификатом:

А вот и подписанное задание данным сертификатом.

Отзыв сертификата

Итак опишу действия необходимые для отзыва сертификата.

1. Заходим в консоль ЦС. Открываем раздел «Выданные сертификаты».

2. Вызываем контекстное меню на необходимом нам сертификате, выбираем пункт «Все задачи» -> «Отзыв сертификата».

3. Проверяем, что сертификат отозван. На рисунке будет также видно, что серийный номер совпадает с тем, что был изначально указан в задаче.

На этом операции по отзыву сертификата окончены. Сейчас переходим к следующему пункту

Формирование CRL

CRL формируется также на самом ЦС довольно нехитрыми действиями.

1. Зайдите в консоль ЦС. Выбираем раздел «Отозванные сертификаты. Вызовем контекстное меню и выберем пункт «Все задачи» -> «Публикация».

Выберите тип публикуемого CRL: полный или разностный. Основное отличие это формирование полного списка или за выбранный при настройке период публикации. Если в вашей организации выдачей сертификатов не занимаются каждый день, и список формируемых сертификатов не велик, то лучше выбрать тип «Полный». После выполнения указанных действий, получаем список отозванных сертификатов.

Также сформировать список CRL можно и при помощи командной строки вызвав команду certutil -crl.

2. После публикации указанного списка, необходимо его сформировать в файл. Для этого зайдите в веб-форму ЦС. Выберите действие «Загрузка сертификата ЦС, цепочки сертификатов или CRL» -> «Загрузка сертификата ЦС, цепочки сертификатов или CRL». Сохраните указанный файл на компьютере.

После проделанных операций мы получаем список отзывов сертификата. Выглядит он следующим образом:

Замечаем, что в указанном списке уже есть наш сертификат, который мы отозвали. Операция формирования CRL завершена, перейдем к следующему пункту

Установка CRL

Установка CRL проводится на каждом локальном профиле. При этом устанавливается указанный список, как обычный сертификат:

Далее знакомый интерфейс по установке сертификатов предложит нам установить сертификат. Особенностей в этом случае нет: выбираем «Автоматический выбор хранилища». После установки списка отзывов, можно проверять работает ли он, и можем ли мы подписать, что-либо после указанных операций.

Проверка работоспособности CRL

Итак, наступает ответственный момент, в котором нам необходимо проверить работает ли список отозванных сертификатов в нашем случае. Для этого после установки CRL зайдите в систему DIRECTUM и попытайтесь подписать какой-либо объект системы отозванным сертификатом. Если все действия были проделаны верно, то мы получим сообщение следующего вида:

А теперь проверим данные в компоненте «Пользователи», действительно ли ИД сертификата в сообщении равен тому, что указан в карточке пользователя:

Как видно из скриншота, информация совпадает, выполнять подписание указанным сертификатом мы больше не можем. Главное предназначение списка отзыва сертификатов выполняется.

Дополнительную информацию о процедуре формирования CRL, а также необходимых команд, вы можете найти на следующем ресурсе:

Установка списка отозванных сертификатов

Имеются два контроллера домена на Server 2012 R2, ICA на Server 2008 R2 и оффлайновый RCA на на 2008.
Пользователи аутентифицируются на терминальном сервере или в своих доменных рабочих станциях при помощи смарт-карт рутокен с сертификатами выданными СА предприятия.
Корневые и промежуточные сертификаты распространяются при помощи групповых политик на все компы домена.
Точки распространения crl настроенны через ldap, http, файл.
Но на некоторых компьютерах вылезает ошибка которая вызывает головную боль у всего предприятия, при попытки войти в комп со смарт-картой пишет:

«Статус отзыва сертификата контроллера домена используемого для проверки сертификата смарт-карты не определён. «

В других случаях пишет:

«Не возможно проверить статус отзыва сертификата так как сервера отзыва сертификата offline»

Причём такое сугубо на еденичных машинах, на всех остальных нормально работает.
Скачиваю на проблемную машину файлы списков отзывов .crl и устанавливаю, не помогает.
У меня такие подозрения что надо установить .crl на сервер, что бы они были видны в контейнере списков отзывов локального компьютера. Но если устанавливать файл, то он устанавливается по умолчанию для текущего пользователя!

Помогите пожалста! Куда копать. Уже начинаю подумывать о полной переустановки PKI во всём предприятии.

Скорее всего контроллер домена (и, возможно, некие другие сервисы) получили свои сертификаты, когда ваш PKI был не до конца (некорректно) настроен.

Если вы полагаете, что сейчас списки отзыва настроены корректно, то просто перевыпустите сертификаты, на которые ругаются клиенты.

Все проблемы с проверкой на отзыв диагностируются через

certutil -verify -urlfetch

Команда запускается на клиенткой машине.

Скопируйте сертификат контроллера домена на проблемную машину и проверяйте там.

Microsoft Certified Doing Nothing Expert

  • Помечено в качестве ответа Lester_strange 4 августа 2014 г. 13:29

На всех клиентах стоит CryptoPRO .
Но что странно, если скопировать эту URL в браузер, скачанные упадёт файлик списка отзывов.
А в PKIview — на уровне RCA состояние: «не удалось загрузить».

Проблема решилась первыпуском сертификатов для контроллеров домена.
То есть, я сначала починил сломанный сетевой ответчик.
Убедился, что среди всех точек распространения есть хотя бы по одной работоспособной, после чего перевыпуск сертификатов для КД помог.
НО остаётся куча вопросов, почему именно на нескольких клиентах не работало а не на всех?
Как работало до этого, при не функционирующем сетевом ответчике?
Почему недоступны половина точек распространения?
Лес! В любом случае, спасибо Вам Дмитрий.

  • Помечено в качестве ответа Lester_strange 4 августа 2014 г. 13:29

Все ответы

Скорее всего контроллер домена (и, возможно, некие другие сервисы) получили свои сертификаты, когда ваш PKI был не до конца (некорректно) настроен.

Если вы полагаете, что сейчас списки отзыва настроены корректно, то просто перевыпустите сертификаты, на которые ругаются клиенты.

Все проблемы с проверкой на отзыв диагностируются через

certutil -verify -urlfetch

Команда запускается на клиенткой машине.

Скопируйте сертификат контроллера домена на проблемную машину и проверяйте там.

Microsoft Certified Doing Nothing Expert

  • Помечено в качестве ответа Lester_strange 4 августа 2014 г. 13:29

Перевыпустил сертификаты для контроллера.
Проверка на проблемном компьютере выдаёт такой результат:

C:Windowssystem32>certutil -verify -urlfetch c:ad.cer
Поставщик:
CN=easystep-CANEV-CA
DC=easystep
DC=local
Субъект:
EMPTY (DNS-имя=AD1.easystep.local, DNS-имя=easystep.local, DNS-имя=EASYSTEP)

Серийный номер сертификата: 530000014297e512514ceb924f000000000142

dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
——— CERT_CHAIN_CONTEXT ———
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
ChainContext.dwRevocationFreshnessTime: 429 Days, 6 Hours, 43 Minutes, 39 Second
s

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
SimpleChain.dwRevocationFreshnessTime: 429 Days, 6 Hours, 43 Minutes, 39 Seconds

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040
Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
NotBefore: 04.08.2014 16:08
NotAfter: 04.08.2015 16:08
Subject:
Serial: 530000014297e512514ceb924f000000000142
SubjectAltName: DNS-имя=AD1.easystep.local, DNS-имя=easystep.local, DNS-имя=EA
SYSTEP
Template: Kerberos Authentication
f4 bd 02 11 eb 0e eb e4 45 c6 a8 07 7c 57 0f cb 13 a0 12 cd
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
—————- Сертификат AIA —————-
Проверено «Сертификат (0)» Время: 0
[0.0] ldap:///CN=easystep-CANEV-CA,CN=AIA,CN=Public%20Key%20Services,CN=Serv
ices,CN=Configuration,DC=easystep,DC=local?cACertificate?base?objectClass=certif
icationAuthority

—————- Сертификат CDP —————-
Проверено «Базовый CRL (50)» Время: 0
[0.0] http://CAnev.easystep.local/CertEnroll/easystep-CANEV-CA.crl

Ошибка «CDP» Время: 0
Ошибка при получении URL: Не удается найти указанный файл. 0x80070002 (WIN32
: 2)
[0.0.0] ldap:///CN=easystep-CANEV-CA,CN=CAnev,CN=CDP,CN=Public%20Key%20Servi
ces,CN=Services,CN=Configuration,DC=easystep,DC=local?deltaRevocationList?base?o
bjectClass=cRLDistributionPoint

Проверено «Разностный CRL (50)» Время: 0
[0.0.1] http://CAnev.easystep.local/CertEnroll/easystep-CANEV-CA+.crl

Старый базовый CRL «Разностный CRL (50)» Время: 0
[0.0.2] http://crln.easystep.local/CAnev.crl

Проверено «Базовый CRL (3d)» Время: 0
[1.0] http://crln.easystep.local/CAnev.crl

Ошибка «CDP» Время: 0
Ошибка при получении URL: Не удается найти указанный файл. 0x80070002 (WIN32
: 2)
[1.0.0] ldap:///CN=easystep-CANEV-CA,CN=CAnev,CN=CDP,CN=Public%20Key%20Servi
ces,CN=Services,CN=Configuration,DC=easystep,DC=local?deltaRevocationList?base?o
bjectClass=cRLDistributionPoint

Ошибка «CDP» Время: 0
Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
[1.1.0] http://crln.easystep.local/crleasystep-CANEV-CA

Читать еще:  Как отформатировать системный диск с Windows 7?

Ошибка «CDP» Время: 0
Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
http://crln.easystep.local/CAnev.crleasystep-CANEV-CA.crl

—————- Базовый CRL CDP —————-
Ошибка «CDP» Время: 0
Ошибка при получении URL: Не удается найти указанный файл. 0x80070002 (WIN32
: 2)
ldap:///CN=easystep-CANEV-CA,CN=CAnev,CN=CDP,CN=Public%20Key%20Services,CN=S
ervices,CN=Configuration,DC=easystep,DC=local?deltaRevocationList?base?objectCla
ss=cRLDistributionPoint

Ошибка «CDP» Время: 0
Ошибка при получении URL: Ошибка 0x80190194 (-2145844844)
http://crln.easystep.local/crleasystep-CANEV-CA

—————- OCSP сертификата —————-
Ошибка «Протокол OCSP» Время: 0
Ошибка при получении URL: Ошибка 0x80190195 (-2145844843)
http://CAnev.easystep.local/CertEnroll/CAnev.easystep.local_easystep-CANEV-C
A.crt

Проверено «Протокол OCSP» Время: 0
[1.0] http://canev.easystep.local/ocsp

———————————
CRL 3d:
Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
e2 aa ef 06 00 0b 81 b5 58 04 9d d9 db bb 89 a9 be ae 26 ac
Delta CRL 03:
Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
b9 9b fe dd 62 fd d0 d9 2b 01 7f 30 17 2a 9c 42 7f 4b cb c3
Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
Application[1] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
Application[2] = 1.3.6.1.4.1.311.20.2.2 Вход со смарт-картой
Application[3] = 1.3.6.1.5.2.3.5 Проверка подлинности центра распространения к
лючей

CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
Issuer: CN=ROOTCANEV-CA
NotBefore: 31.05.2013 16:29
NotAfter: 14.05.2023 13:25
Subject: CN=easystep-CANEV-CA, DC=easystep, DC=local
Serial: 501c3ec7000000000003
Template: SubCA
09 7b 33 99 05 4c 79 88 16 df 6b 31 38 6c 14 ef 64 da 22 0e
Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
—————- Сертификат AIA —————-
Проверено «Сертификат (0)» Время: 0
[0.0] http://crln.easystep.local/root.crt

—————- Сертификат CDP —————-
Недопустимый поставщик «Базовый CRL (0e)» Время: 0
[0.0] http://crln.easystep.local/root.crl

—————- Базовый CRL CDP —————-
Отсутствуют URL «Нет» Время: 0
—————- OCSP сертификата —————-
Отсутствуют URL «Нет» Время: 0
———————————
CRL 0d:
Issuer: CN=ROOTCANEV-CA
6b 5e f0 bc b3 b0 dd 7e 92 21 97 81 35 e7 e9 39 31 73 2a 71

CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
Issuer: CN=ROOTCANEV-CA
NotBefore: 14.05.2013 13:15
NotAfter: 14.05.2023 13:25
Subject: CN=ROOTCANEV-CA
Serial: 16808844131c9bb44faa95273b72ca5d
72 40 15 0e c8 97 ab 77 ae ac f2 98 9b c3 55 f2 ae 0a c8 4b
Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
—————- Сертификат AIA —————-
Отсутствуют URL «Нет» Время: 0
—————- Сертификат CDP —————-
Отсутствуют URL «Нет» Время: 0
—————- OCSP сертификата —————-
Отсутствуют URL «Нет» Время: 0
———————————

Exclude leaf cert:
9d cb e5 6d ef cc 13 41 87 04 2a c2 e3 f5 32 9c 79 e2 af ec
Full chain:
54 e7 65 76 6c c5 b9 aa cc 03 cf 98 2c 4f 9f 7d 20 11 60 a3
Issuer: CN=easystep-CANEV-CA, DC=easystep, DC=local
NotBefore: 04.08.2014 16:08
NotAfter: 04.08.2015 16:08
Subject:
Serial: 530000014297e512514ceb924f000000000142
SubjectAltName: DNS-имя=AD1.easystep.local, DNS-имя=easystep.local, DNS-имя=EA
SYSTEP
Template: Kerberos Authentication
f4 bd 02 11 eb 0e eb e4 45 c6 a8 07 7c 57 0f cb 13 a0 12 cd
Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен
. 0x80092013 (-2146885613)
————————————
Проверка списка отзыва пропущена — сервер отключен или вне сети

ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функц
ию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)

CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов н
едоступен .

CertUtil: -verify — команда успешно выполнена.

Как вручную обновить корневые сертификаты в Windows

В операционных системах семейства Windows, начиная с Windows 7, присутствует система автоматического обновления корневых сертификатов с сайта Microsoft. MSFT в рамках программы Microsoft Trusted Root Certificate Program , ведет и публикует в своем онлайн хранилище список сертификатов для клиентов и устройств Windows. В том, случае если проверяемый сертификат в своей цепочке сертфикации относится к корневому CA, который участвует в этой программе, система автоматически скачает с узла Windows Update и добавит такой корневой сертификат в доверенные.

В том случае, если у Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневой сертификат, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), либо с установкой / запуском подписанных приложений или скриптов .

В этой статье попробуем разобраться, как можно вручную обновить список корневых сертификатов в TrustedRootCA в изолированных системах, или системах без прямого подключения к интернету.

Примечание . В том случае, если пользователи получают доступ в интернет через прокси сервер, для того, что работало автоматическое обновление корневых сертификатов на компьютера пользователей, Microsoft рекомендует открыть прямой доступ (bypass) к узлам Microsoft. Но это не всегда возможно/применимо.

Утилита rootsupd.exe

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe , список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates). Посмотрим, можно ли использовать ли ее сейчас.

  • Скачайте утилиту rootsupd.exe , перейдя по ссылке http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe (по состоянию на 15.09.2017 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа).

Для установки сертификатов, достаточно запустить файл. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды: rootsupd.exe /c /t: C:PSrootsupd

  • Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
    updroots.exe authroots.sst
    updroots.exe -d delroots.sst

Но , как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP ). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов.

Получения списка корневых сертификатов с узла Windows Update с помощью Сertutil

Последняя версия утилиты для управления и работы с сертификатам Сertutil (представленная в Windows 10), позволяет скачать и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10 с прямым доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU roots.sst

Совет . Для генерации индивидуальных файлов сертификатов можно использовать команду certutil -syncWithWU. Полученные таким образом сертификаты можно распространить на клиентов с помощью GPO .

Для установки всех сертификатов, содержащихся в файле, воспользуемся утилитой updroots.exe (она содержится в архиве rootsupd.exe, который мы распаковали в предыдущем разделе).

Установка сертификатов из STT фалйла выполняется командой:

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab . Он содержит один файл authroot.stl .

Файл authroot.stl представляет собой контейнер со списком доверенных сертификатов в формате Certification Trust List.

Данный файл можно установить в системе с помощью контекстного меню файла STL ( Install CTL ).

Или с помощью утилиты certutil:

certutil -addstore -f root authroot.stl

После выполнения команды, в консоли управления сертификатами (certmgr.msc) в контейнере Trusted Root Certification Authorities появится новый раздел с именем Certificate Trust List .

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab ( http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab ), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -addstore -f disallowed disallowedcert.stl

В это статье мы рассмотрели несколько простейших способов обновления списка корневых сертификатов на изолированной от Интернета системе Windows. В том случае, если возникла задача регулярного обновления корневых сертификатов в отделенном от внешней сети домене, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. Об этом подробнее в одной из ближайших статей.

Ссылка на основную публикацию
Adblock
detector