none
Ошибка при отправке зашифрованных сообщений в MS Outlook 2007 RRS feed

  • Общие обсуждения

  • Здравствуйте!
    В нашей организации мы столкнулись с проблемой не позволяющей отправлять зашифрованные сообщения в MS Outlook 2007.
    Есть группа организаций, в каждой из которой осуществляется выпуск сертификатов средствами собственных удостоверяющих центров, входящих в сеть  удостоверяющих центров. При отправке зашифрованных писем внутри нашей организации появляется следующее сообщение об ошибке: "Ошибка на нижнем уровне системы безопасности. Встречено неверное значение тега ASN1". Как правило ошибка появляется при отправке сообщений получателям имеющим сертификат выданный нашим удостоверяющим центром и внутри организации. При отправке сообщения в другую организацию, соответственно с сертификатом выданным её удостоверяющим центром, сообщение уходит без каких- либо проблем. Если отправлять сообщение внутри организации, но использовать при шифровании сертификат выданный удостоверяющим центром другой организации, письмо уходит нормально. Было предположение, что возможно проблема в сертификатах выпускаемым нашим удостоверяющим центром. Проводили тестовые отправки писем с семи рабочих станций, используя учетные записи семи человек. В  тестировании было 5 пользовательских рабочих станций и две тестовые с операционной системой Windows XP Pro и операционной системой Windows 7. Тестовые машины крайне редко использовались для работы пользователей и никогда для шифрованного документооборота средствами MS Outlook. В ходе тестов выяснили следующее:
    1. Почти у всех пользователей с тестовой рабочей станции с операционной системой Windows XP Pro сообщения оправились без проблем. Ошибка возникла только у одного пользователя, она также возникает и на его рабочей станции.
    2. При смене пользователями рабочих станций на  одних местах ошибка возникала, а на других нет. И выявить какую-либо определенную закономерность не удалось. Ошибка возникала у разных пользователей на разных рабочих станциях.
    3. При отправке сообщений с тестовой машины с операционной системой Windows 7 снова появлялась данная ошибка, хотя на некоторых других машинах и в том числе тестовой с Windows XP Pro, ошибки не было.

    4. На тестовой рабочей  станции под управлеинем Windows 7 осуществлялась отправка сообщений от двух пользователей с одинаковыми сертификатами, выдаными одним удостоверяющим центром. От первого пользователя сообщения уходили нормально всем сотрудникам участвовашим в тестировании. От второго пользователя сообщение удалось отправить только первому, во всех других случаях снова возникала ошибка тега ASN1.

    Так как на одних рабочих станциях все работало нормально, а на других нет, причем у одних и тех же пользователей, мне кажется дело не в сертификатах. Скорее всего проблема в самих рабочих станциях, их настройках или в конфликте с  программным обеспечением установленным на машины.  В чем конкретно проблема мы своими силами, к сожалению, выяснить не смогли.
    Так на большинстве рабочих мест в нашей организации установлена операционная система Windows 7 и осуществляется плановый переход на эту систему с Windows XP Pro, где она ещё используется, то хотелось бы решить данную проблему применительно к Windows 7, если нет какого-то общего решения.

    Outlook настроен на шифрование вполне корректно, т.к. ошибка возникает не постоянно при отправке каждого сообщения. Да и обмен зашифрованной почты с сотрудниками других организаций проходит нормально.
    Скажите, пожалуйста, типична ли данная ошибка или нет и корни проблемы стоит искать в конфликте программного обеспечения.
    Какие вообще есть идеи и что можно попробовать или почитать, чтобы решить эту проблему.
    Спасибо!
     

    1 июня 2011 г. 10:51

Все ответы

  • Чаще всего такая проблема вызывается повреждением хранилищ сертификатов либо как раз-таки неполадками в самих сертификатах. В любом случае, чтобы не плодить сущности, обратитесь ко мне на почту (адрес в профиле), я выдам вам карточку для открытия платного инцидента в поддержке с условием, что решение вы опубликуете здесь.

    Можете почитать об этой проблеме несколько более полно вот в этой статье блога MSDN: http://blogs.msdn.com/b/webtopics/archive/2009/01/03/asn1-bad-tag-value-met-error-when-processing-a-certificate-request-in-iis-7.aspx - проявление немного в другой ситуации, но суть та же


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    14 июня 2011 г. 9:44
    Модератор
  • В ходе дальнейших тестов нам вроде как удалось выявить из-за чего возникает данная ошибка. В нашей организации вход в домен осуществляется по смарт-карте, на которую записан сертификат входа с алгоритмом RSA. В этом случае получается, что к учетной записи пользователя в домене прикреплен сертификат с алгоритмом RSA. При шифровании сообщений в Outlook мы используем сертификаты с алгоритмом шифрования ГОСТ 28147-89. К учетной записи пользователя мы дополнительно прикрепляли сертификат с алгоритмом ГОСТ. Результат был тот же - ошибка ASN1. Затем мы удалили у учетной записи пользователя в AD сертификат с алгоритмом RSA и оставили только ГОСТовский. После этого отправка шифрованных сообщений происходит без проблем, даже не нужно создавать локальный контакт, достаточно выбрать адрес получателя из GAL. Отправка шифрованных сообщений новому пользователю, которому не выпускался сертификат для входа в домен также происходит без проблем. Думаю этим и объясняется проблема отправки сообщений сотрудникам внутри организации - у всех есть сертификат RSA для входа в домен. Такое чувство, что эти два типа сертификатов как-то конфликтуют или Outlook для шифрования берет не подходящий сертификат, несмотря на то, что в созданном локальном контакте явно указан сертификат, который нужно использовать. В таком случае возникает другой вопрос: как настроить Outlook (какие параметры указать дополнительно или поменять), чтобы при отправке шифрованного сообщения он брал сертификат из локального контакта, а не из AD.


    16 июня 2011 г. 12:49