Невозможно проверить функцию отзыва т к сервер отзыва сертификатов недоступен 1c
Диагностика ошибок ОС Windows при проверке сертификата
Начиная с версии 8.3.12 платформа "1С:Предприятие" при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: " Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата ". Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера "1С:Предприятия".
Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.
-
По умолчанию журнал не ведется и его следует включить. (Здесь и далее инструкция приводится для Windows 10).
В меню Пуск выберите Средства администрирования – Просмотр событий .
В окне Просмотр событий в списке Журналы приложений и служб выберите Microsoft – Windows – CAPI 2 – Operational .
В списке Действия выберите Включить журнал .
Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:
В разделе System указаны дополнительные сведения. Например:
В данном разделе полезно знать UserID . Этот параметр содержит сведения о пользователе, от имени которого была выполнена операция.
В случае из примера причина невозможности проверки отзыва сертификата сервера - в том, что доступ к http://crl4.digicert.com/DigiCertGlobalRootCA.crl есть только у доменных пользователей, а сервер "1С:Предприятия" запущен как сервис от имени локального пользователя.
Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.
Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).
Варианты настройки платформы
Платформа "1С:Предприятие 8" поддерживает следующие варианты настройки проверки отзыва сертификата:
- По умолчанию. – С получением исключений "Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата".
- Настройка, позволяющая игнорировать ошибки проверки отзыва сертификата и не вызывать на них исключения.
Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
В случае применения данной настройки ответственность возлагается на пользователя.Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:
IgnoreServerCertificatesChainRevocationSoftFail=true
Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.
Сервер отзыва сертификатов недоступен
Попытавшись из оснастки запустить его, выскочила ошибка уже с кодом, что уже хорошо так как можно понять причину и как следствие найти решение.
Как видите все они ругаются на недоступность сертификата в цепочке сертификатов, CRL, или как его еще называют списка отозванных. Открываем пуст и вводим mmc, для открытия оснастки. (Я уже рассказывал как создать мега мощную и удобную консоль mmc, почитайте будет очень полезно)
Нажимаем CTRL+M для добавления оснастки.
Вам нужно добавить две оснастки
- PKI предприятия
- Учетной записи компьютера
Выбираем локальный компьютер, так как мы сейчас на центре сертификации.
В итоге у вас два варианта
Пробуем пропинговать внешнее имя, щас все ок, запускаем CA. Видим, что ошибка опять выскочила ошибка Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613) пропала, но появилась уже другая, что у вас просрочен CDP crl, и действительно его срок кончился.
Идем на root CA открываем оснастку Центра сертификации и в пункте Отозванные сертификаты щелкаем правым кликом > Все задачи > Публикация. Чтобы у вас сформировался новый список отозванных, появится он в папке C:WindowsSystem32certsrvCertEnroll. Его от туда нужно скопировать в папку где у вас лежат на издающем Центре сертификации crl файлы. После этого
Все видим в консоли подхватился новый crl список отозванных.
Все видим и PKI предприятие показывает, что вся цепочка жива.
Вот так вот просто решить ошибку Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613). А вообще я подумываю написать цикл статей, о том как работает и устанавливается Центр сертификации в Windows Server 2008 r2 и 2012 r2, но все зависит от свободного времени.
Сервер отзыва сертификатов недоступен
Попытавшись из оснастки запустить его, выскочила ошибка уже с кодом, что уже хорошо так как можно понять причину и как следствие найти решение.
Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613)
Как видите все они ругаются на недоступность сертификата в цепочке сертификатов, CRL, или как его еще называют списка отозванных. Открываем пуст и вводим mmc, для открытия оснастки. (Я уже рассказывал как создать мега мощную и удобную консоль mmc, почитайте будет очень полезно)
Нажимаем CTRL+M для добавления оснастки.
Вам нужно добавить две оснастки
- PKI предприятия
- Учетной записи компьютера
Выбираем локальный компьютер, так как мы сейчас на центре сертификации.
В итоге у вас два варианта
Пробуем пропинговать внешнее имя, щас все ок, запускаем CA. Видим, что ошибка опять выскочила ошибка Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613) пропала, но появилась уже другая, что у вас просрочен CDP crl, и действительно его срок кончился.
Идем на root CA открываем оснастку Центра сертификации и в пункте Отозванные сертификаты щелкаем правым кликом > Все задачи > Публикация. Чтобы у вас сформировался новый список отозванных, появится он в папке C:\Windows\System32\certsrv\CertEnroll. Его от туда нужно скопировать в папку где у вас лежат на издающем Центре сертификации crl файлы. После этого
Все видим в консоли подхватился новый crl список отозванных.
Все видим и PKI предприятие показывает, что вся цепочка жива.
Вот так вот просто решить ошибку Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613). А вообще я подумываю написать цикл статей, о том как работает и устанавливается Центр сертификации в Windows Server 2008 r2 и 2012 r2, но все зависит от свободного времени.
На сервере настроен Апач с самоподписанным сертификатом SSL на порт, отличный от 443.
Платформа: 1С:Предприятие 8.3 (8.3.13.1644)
Чего только не делал, но побороть не удается. При этом проблема на новом компе с Win10. На старом компе с Win10 проблем нет.
Мне кажется я проверил уже все, что возможно из интернета, но не факт. Буду благодарен вашему опыта как вы решали похожие проблемы и что вам помогло.
ArtemFF; flagman61; OzzY; user1028355; user681387_dmitry; kurganovm; RazorSky; user674917_ip.kosh; e-rogov; bmf; Mondoc; fortran; totkot; SnegSneg; Sfera_07; ganjaman; DirksAV; H1nt; sibdemon; ruslan_ozu; Ashandy; seregas34; HomutovAV; vlast; IvanPoh; krylovim; vv2; yulya57; sorry_z; MikeLetto; user1292646; pun4er; Niang; Kyrales; Dinamika-IT; + 35 – Ответить
(1) возможно, что этот самоподписанный сертификат нужно импортировать на компьютер с тонким клиентом. Тонкий клиент о нем ничего не знает, вот и ошибка.
Так же в конфиге платформы на клиенте прописал "IgnoreServerCertificatesChainRevocationSoftFail=true" - не помогло ни одно, ни второе.
Удивляет, что на другом компьютере работает - подумываю, что где-то 1С вызывыет проверку виндовую - но где, какую и как отключить?
(2) Заменил свой сертификат SSL на 3-х месячный от Let's Encrypt
1С-ка продолжает ругаться. Похоже это все-таки блок какой-то от винды. Нашел информацию, что я не отключил проверку сертификата для платформы локальной, а просто игнорирую результат:
Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.
Антивирус и брандмауэр естественно я отключал. Попробую вырубить в принципе все, что хоть что-то блокирует (по факту оставить беззащиты комп) и пробиться к серверу
ArtemFF; flagman61; OzzY; user1028355; user681387_dmitry; kurganovm; RazorSky; user674917_ip.kosh; e-rogov; bmf; Mondoc; fortran; totkot; SnegSneg; Sfera_07; ganjaman; DirksAV; H1nt; sibdemon; ruslan_ozu; Ashandy; seregas34; HomutovAV; vlast; IvanPoh; krylovim; vv2; yulya57; sorry_z; MikeLetto; user1292646; pun4er; Niang; Kyrales; Dinamika-IT; + 35 – Ответить
(7) я не поленилась восстановить пароль от этого сайта, чтобы поставить тебе плюс, добрый человек! спасибо)
Описание проблемы
В платформе 8.3.10 была переработана логика валидации доверенных сертификатов.
При работе в ОС Windows для проверки сертификата происходит обращение к внешнему ресурсу в сети Internet. Для успешного выполнения данной операции у пользователя, от которого запускается процесс rphost, должна быть возможность обратиться к этому внешнему ресурсу, а также сам ресурс должен быть доступен.
В случае некорректно заданных настроек доступа в Internet после перехода на 8.3.10 с более ранних версий платформы могут возникать ошибки :
а) при обращении к веб-сервисам или получении определения веб-сервиса по причине «ошибка работы с Интернет: Удаленный узел не прошел проверку»
б) при попытке выполнить OpenID-авторизацию вида «Ошибка подключения к OpenID провайдеру», сопровождающиеся появлением в технологическом журнале событий EXCP вида:
Также может не происходить попытка OpenID-авторизации, сопровождающаяся появлением в технологическом журнале аналогичных указанным ранее событий EXCP.
Диагностика проблемы
В большинстве случаев проблема может быть вызвана отсутствием у пользователя, под которым запускается rphost, доступа к необходимому ресурсу в Internet.
Целенаправленно только сайты, предназначенные для валидации сертификатов, никто не блокирует, поэтому скорее всего у пользователя не доступен ни один сайт (можно легко проверить, запустив браузер от имени данного пользователя – зажать Shift, правой кнопкой мыши на ярлык браузера, «Запустить от имени другого пользователя»). Однако расследование необходимо проводить именно на том примере, на котором ошибка воспроизводится.
Наиболее распространенные причины:
- Доступ к ресурсу заблокирован через файл hosts
- Нет доступа к ресурсу из-за использования прокси-сервера
- Ресурс заблокирован firewall
- Ресурс блокирован антивирусом
Для подробной диагностики ошибки в случае, если причина оказалась нетривиальной, рекомендуется настроить сбор дополнительных event-логов Windows, согласно описанию, приведенному в статье.
Решение проблемы
Про антивирус и firewall все очевидно – проверяем, какие ресурсы блокируются, и понимаем, есть ли в списке нужный нам ресурс (похожий по имени на ссылку на сайт поставщика сертификата, если точное имя сайта неизвестно).
Про настройки прокси и hosts опишем подробнее.
Прокси сервер
1) Запустить Internet Explorer от имени пользователя, под которым работает rphost
2) В меню Свойства браузера (Свойства обозревателя) на закладке Подключения нажать кнопку Настройка сети
3) Если в настройках указано использование прокси-сервера, которая не предусмотрена политикой безопасности (кто-то когда-то установил и забыл) – отключить использование прокси-сервера, сняв соответствующий флаг
4) Если использование прокси действительно предусмотрено, нужно разрешить прямое обращение к ресурсам, на которые пытается обратиться платформа для валидации сертификата, нажав кнопку Дополнительно и указав данный ресурс в качестве исключения для прокси-сервера
Файл hosts
Доступ к некоторым сайтам может блокироваться через файл hosts. Лежит здесь:
Сервер отзыва сертификатов недоступен ошибка 0x80092013 (-2146885613)
Сервер отзыва сертификатов недоступен ошибка 0x80092013 (-2146885613)
Сетевые заметки системного администратора
при попытке подключения к серверу Windows 2008 R2 по SSTP постоянная ошибка
«Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .»
По умолчанию для VPN-подключений по протоколу SSTP клиенты должны проверить, что сертификат не отозван.
Для этого проверяется сервер, указанный в сертификате как сервер, на котором размещается список отзыва сертификатов (CRL).
Если с сервером, на котором размещается список отзыва сертификатов, не удается связаться, проверка завершается с ошибкой,
а VPN-подключение отбрасывается. Чтобы предотвратить это, следует опубликовать список отзыва сертификатов на сервере,
доступном через Интернет, или отменить обязательную проверку этого списка на клиенте. Чтобы отменить проверку списка отзыва сертификатов,
удалите параметр реестра в следующем расположении:
7Кб), всё проходит хорошо: сервер возвращает xml с информацией о том, что всё ок.
5) А вот если файл длиной больше 7Кб, то при получении ответа от сервера падает Exception:
A call to SSPI failed, see inner exception; The message received was unexpected or badly formatted.
Проверял на разных машинах, из разных мест. Проблема точно не в канале связи.
Но есть пара непонятных для меня моментов:
1) При валидации сертификата сервера не находится корневой сертификат. В ValidateServerCertificate:
2) После установки соединения в SslStream.LocalCertificate == null, хотя стрим создаётся с передачей userCertificateSelectionCallback:
и в методе ClientCertificateSelectionCallback локальный сертификат находится и проставляется куда следует.
Ребята, спасайте. Несколько дней бьюсь, куда копать – не ясно. С SSL раньше дела не имел, поэтому мог ошибиться где-то в элементарных вещах.
Читайте также: