none
Ошибка "Не удалось проверить, не был ли отозван этот сертификат." RRS feed

  • Вопрос

  • Здравствуйте, перечитал уже кучу тем с такой ошибкой, но ошибку устранить так и не получилось. Есть ЦС предприятия на Windows 2012R2, клиент с Windows 7 x64, не входящий в домен. Подключение производится к Windows 8.1 x64. Сертификат ЦС добавлен в доверенные корневые ЦС компьютера на клиенте. При подключении получаю ошибку из заголовка темы. Результат certutil -verify -urlfetch сертификата компьютера, к которому подключается клиент:

    Поставщик:
        CN=SERVER-CA.TC-SOTKA.INT
        DC=tc-sotka
        DC=int
    Субъект:
        CN=sysadmin.tc-sotka.int
    Серийный номер сертификата: 710000000e4662dfd25efc682000000000000e
    
    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 50 Minutes, 3 Seconds
    
    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 50 Minutes, 3 Seconds
    
    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=SERVER-CA.TC-SOTKA.INT, DC=tc-sotka, DC=int
      NotBefore: 21.12.2013 12:29
      NotAfter: 21.12.2014 12:29
      Subject: CN=sysadmin.tc-sotka.int
      Serial: 710000000e4662dfd25efc682000000000000e
      SubjectAltName: DNS-имя=sysadmin.tc-sotka.int
      Template: Machine
      aa 8a 75 be bb 5e 65 97 ad d1 e7 c8 c4 52 bf 13 76 c8 ff 5d
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Проверено "Сертификат (0)" Время: 0
        [0.0] http://server-web.tc-sotka.int/crl/server-ca.tc-sotka.int_SERVER-CA.TC
    -SOTKA.INT.crt
    
      ----------------  Сертификат CDP  ----------------
      Проверено "Базовый CRL (11)" Время: 0
        [0.0] http://server-web.tc-sotka.int/crl/SERVER-CA.TC-SOTKA.INT.crl
    
      Проверено "Разностный CRL (11)" Время: 0
        [0.0.0] http://server-web.tc-sotka.int/crl/SERVER-CA.TC-SOTKA.INT+.crl
    
      ----------------  Базовый CRL CDP  ----------------
      ОК "Разностный CRL (11)" Время: 0
        [0.0] http://server-web.tc-sotka.int/crl/SERVER-CA.TC-SOTKA.INT+.crl
    
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
        CRL 10:
        Issuer: CN=SERVER-CA.TC-SOTKA.INT, DC=tc-sotka, DC=int
        a2 5b 11 b4 ca 01 1b ba 16 a0 ac e9 db 39 cf 96 6e 6a 5b 09
        Delta CRL 10:
        Issuer: CN=SERVER-CA.TC-SOTKA.INT, DC=tc-sotka, DC=int
        15 78 9b dc ae 68 3f d5 7e c7 8d 19 23 80 6b 61 61 af d3 e9
      Application[0] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
      Application[1] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
    
    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=SERVER-CA.TC-SOTKA.INT, DC=tc-sotka, DC=int
      NotBefore: 14.12.2013 20:03
      NotAfter: 14.12.2018 20:13
      Subject: CN=SERVER-CA.TC-SOTKA.INT, DC=tc-sotka, DC=int
      Serial: 1af3f1e88520f6b44200f02c18790d0a
      Template: CA
      56 e3 58 6b 27 1b 59 54 03 44 d6 94 8f 2a fc a8 35 d2 a9 6e
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
    
    Exclude leaf cert:
      a8 22 c5 d5 b9 39 cc 7f ca 92 b7 22 b1 1c af 6c 7c ba 65 ff
    Full chain:
      b3 ec 56 df 6b 01 c3 2a 76 51 8f db 38 7a 66 d1 ac af 89 c8
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
        1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.

    Список отзыва, разностный список отзыва и сертификат ЦС по указанным ссылкам с клиента доступны и скачиваются браузером. Чистил кэш командой certutil -urlcache * delete - не помогает. В одной из тем было, что помогла переустановка ОС на клиенте, но это дикость какая-то. В общем, не могу понять, что я сделал не так.

    21 декабря 2013 г. 2:36

Ответы

  • Привет!, а Вас не смутило, то что Вы допустили две ошибки:

    -вопросу уже более полутора лет;

    -Автор вопроса, не Вы.

    Правильнее задавать свой вопрос, указывая ссылкой на это обсуждение вопроса.

    Начните с внимательного изучения серии статей, начав со статьи "Краткое руководство по Microsoft PKI". Особое внимание обратите на требование для Внешних Пользователей, и Корневой сертификат, должен быть подписан Доверенным корневым центром сертификации.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    26 сентября 2015 г. 23:15
    Модератор

Все ответы

  • Дополните, Ваша проверка, цитата: "Список отзыва, разностный список отзыва и сертификат ЦС по указанным ссылкам с клиента доступны и скачиваются браузером.", проводилась с компьютера который Вы пытаетесь подключить?

    Да, я Жук, три пары лапок и фасеточные глаза :))

    21 декабря 2013 г. 6:01
    Модератор
  • Да, на клиентском компьютере с Windows 7.
    21 декабря 2013 г. 6:17
  • Запрос на клиентский Сертификат, выполнялся с этого клиентского компьютера и установлен в Личные Сертификаты?

    Да, я Жук, три пары лапок и фасеточные глаза :))

    21 декабря 2013 г. 14:48
    Модератор
  • Сертификат запрашивал с компьютера с Windows 8 через оснастку сертификаты. Сейчас в личном хранилище кроме него больше нет сертификатов. На компьютере с Windows 7 только добавлен сертификат ЦС предприятия в доверенные корневые ЦС компьютера.

    На всякий случай упомяну, при подключении "сервер" с Windows 8 выдает для проверки именно сертификат от ЦС, а не самоподписанный. Для этого подправил групповую политику, чтобы RDP использовал сертификаты с шаблоном Machine.



    • Изменено S. Sergey 22 декабря 2013 г. 0:35
    22 декабря 2013 г. 0:10
  • Запрос на создание Сертификата, должен создаваться на том компьютере, для которого он предназначен. Этот сертификат должен быть в Личных, этот Сертификат компьютер должен предъявить Серверу, и этот Сертификат должен проверяться на отзыв. Корневой доверенный Сертификат, как правило, не проверяется на отзыв.

    Ваша цитата: "Да, на клиентском компьютере с Windows 7.", что входит в противоречие с Вашей же цитатой: "Сертификат запрашивал с компьютера с Windows 8 через оснастку сертификаты.".

    Дополнительно, воспользуйтесь серией статей:

    http://kagarlickij.wordpress.com/2013/08/16/pki-%d0%bd%d0%b0-%d0%bf%d0%bb%d0%b0%d1%82%d1%84%d0%be%d1%80%d0%bc%d0%b5-windows-server-2012-%d0%b0%d1%80%d1%85%d0%b8%d1%82%d0%b5%d0%ba%d1%82%d1%83%d1%80%d0%b0/

    http://www.cyberguru.ru/operating-systems/windows-admin/microsoft-pki.html?showall=1

    http://www.redline-software.com/rus/support/articles/msexchange/2007/exchange2007-install-commandline-part2.php


    Да, я Жук, три пары лапок и фасеточные глаза :))


    22 декабря 2013 г. 3:33
    Модератор
  • Я лично под клиентом понимаю компьютер с Windows 7, у него нет никаких своих сертификатов. Свой сертификат есть у компьютера с Windows 8 ("Сертификат запрашивал с компьютера с Windows 8 через оснастку сертификаты."), я его экспортировал в файл, проверил на клиенте ("Да, на клиентском компьютере с Windows 7.") и выложил лог в 1 сообщении. Но когда я подключаюсь с клиента к компьютеру с Windows 8, получаю ту самую ошибку, что не удается проверить, не отозван ли сертификат. Я тут же открываю сведения о сертификате, копирую оттуда URL на список отзыва и без проблем скачиваю этот самый список отзыва, в котором у меня уже штук 5 отозванных сертификатов.

    За статьи спасибо, но не нашел в них решения своей проблемы.

    https://www.dropbox.com/sh/y3qr6f34sf7ip5o/BgQLYhzgQr по данной ссылке выложил сертификаты ЦС, компьютера с Windows 8 и списки отзыва. Само собой, клиент может разрешить имена, указанные в сертификате.

    22 декабря 2013 г. 4:40
  • Из статей, ссылки на которые Вам дал ранее, следует, что для того что бы Клиент мог проверить легитимность предъявляемого  ему Сертификата, необходимо или в ручную установить СОС (Список Отзыва Сертификатов) или обеспечить Клиенту, OCSP проверку Сертификата.

    Установите на Клиенте вручную, СОС сертификата, которого проверяет Клиент, проверьте и напишите результат.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    22 декабря 2013 г. 6:05
    Модератор
  • Попробовал импортировать СОС и в хранилище пользователя и в хранилище компьютера - не помогает.
    22 декабря 2013 г. 6:35
  • СОС необходимо устанавливать в Промежуточные центры сертификации.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    22 декабря 2013 г. 6:55
    Модератор
  • https://www.dropbox.com/s/87vx630gyx5q8dw/1.jpg

    Не помогло.

    22 декабря 2013 г. 7:09
  • Руководствуясь разделом Q9 справки, загрузите в общедоступную папку SkyDrive, публичный Сертификат (cer-файл) компьютера Windows 8.

    СОС необходимо устанавливать от Сертификата который проверяется, на представленном Вами скриншоте - СОС от сервера.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    22 декабря 2013 г. 7:55
    Модератор
  • Публичный сертификат компьютера с Windows 8 я уже выкладывал по ссылке https://www.dropbox.com/sh/y3qr6f34sf7ip5o/BgQLYhzgQr , файл sysadmin.cer

    По 2 части я не понял, что это за СОС. Знаю только СОС, который публикуется ЦС в соответствии с настройками CDP.

    22 декабря 2013 г. 8:26
  • 1. Сертификат sysadmina, если он выпускался Вами для компьютера Windows 8, выпущен как корневой:

    Минимум же, первым в цепочке в Путь сертификации, должен быть SERVER-CA.TC-SOTKA.INT.

    2. Список отзыва данного Вами сертификата, не доступен по указанному в сертификате адресу:

    Внимательно перечитайте статьи, ссылки на которые Вам давал ранее об архитектуре PKI и иерархии CA (Certificate Authority).

    Выпущенный Вами сертификат для Windows 8, на этом компьютере в таком случае должен быть установлен в Корневые центры сертификации и Личные Сертификаты.

    На компьютере Клиенте с Windows 7, он должен быть установлен в Корневые центры сертификации, список отзыва сертификатов для которых, не проверяется. Что неправильно.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    22 декабря 2013 г. 16:29
    Модератор
  • 1. Меня тоже сначала это смутило, но на компьютере с Windows 8 (сразу) и на компьютере с Windows 7 (после добавления сертификата ЦС в корневые доверенные) путь сертификации выглядит вот так https://www.dropbox.com/s/bxiyskoa0kgmvdy/2.jpg Как писал ранее, сертификат для Windows 8 запрашивался через оснастку сертификаты, там небыло иного выбора как запросить сертификат по шаблону Компьютер (Machine).

    2. Он недоступен у Вас, потому что это внутренний адрес. В данный момент решил вопрос добавлением записи в файл hosts. У клиента доступ к сайту по имени работает.

    22 декабря 2013 г. 21:23
  • Внимательно изучите серию статей:

    http://technet.microsoft.com/ru-ru/library/ee649260(v=ws.10).aspx


    Да, я Жук, три пары лапок и фасеточные глаза :))

    22 декабря 2013 г. 22:56
    Модератор
  • Именно по этой статье я настраивал публикацию СОС.

    Сегодня установил онлайн ответчик, с ним проверка сертификата отрабатывает корректно. Очень жаль, что так и не получилось довести до ума проверку СОС по HTTP, придется что-то делать с клиентами на Windows XP.

    Жук, спасибо за желание помочь и с наступающим.

    23 декабря 2013 г. 7:45
  • Ради интереса попробуй следующие:

    В IIS manager, в настройках сайта для CRL, найдите Request Filtering:

    Зайдите туда и справа будут Actions, нажмите там Edit feature settings. Откроется окно как на картинке, выставите там галку Allow double escaping

    И посмотрите изменится ли что-то для машин с Win XP.

    23 декабря 2013 г. 9:00
  • Следуя руководству 2 постами выше, я уже активировал данную опцию. Единственный момент, там говорится про папку с файлами СОС, а не про весь сайт.
    23 декабря 2013 г. 12:51
  • Именно по этой статье я настраивал публикацию СОС.

    Сегодня установил онлайн ответчик, с ним проверка сертификата отрабатывает корректно. Очень жаль, что так и не получилось довести до ума проверку СОС по HTTP, придется что-то делать с клиентами на Windows XP.

    Жук, спасибо за желание помочь и с наступающим.

    Взаимно, так же с наступающим новым годом!!!

    У нас, есть хорошее правило: "Никогда не опускать лапки!!!". Так что, могу только порекомендовать, передохнуть, выпить чашечку кофе, принять ванну :)), и засучив рукава, с новыми силами, всё же постараться разрешить эту проблему.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    24 декабря 2013 г. 5:49
    Модератор
  • Жук, привет. Есть вопрос...

    Сразу скажу что пока силен в вопросе слабо, но головняк уже поймал:

    Есть пара машин вне домена + RDS доменный... вопрос вот о чем:
    1я машина (ipsec + WIN 8.1) DNS конечно не понимает, поэтому по ip к RDS(генерированный фаил с rds), предлагает убедится в надежности издателя и дает запрос на лог/пас домена. Далее сертификат RDP, предупреждение:
    "Не удалось проверить подлинность удаленного компьютера из-за проблем с сертификатом безопасности". И вот проблема: "Не удается проверить не был ли отозван сертификат". В целом не велика, так как это всего лишь предупреждение и жить бы можно... НО хочется по уму. Сертификат тот же самый что предлагается вначале всего для того чтоб убедиться что подключение доверенное(ну зрительно, CA добавлен в доверенные корневые центры сертификации). 

    Вопросы: Что не так? У вас идет речь о клиентском сертификате, пользователя или компьютера? И не в этом ли дело? - т.е. на этой машине доменный сертификат только от CA, других нет.

    2я машина (VPN+Vista sp2, тоже без домена + сложный сис.админ, который не может нормально добраться до клиента(дороги размыло) поэтому там только teamweaver - сложно с поднятым vpn).
    Объясню сразу, того сис.админа надо понатаскать(rds для него) поэтому мучаю его, а не ближайший комп+vpn.
    Так вот на данной машине такая проблема:
    "Подключение было разорвано, поскольку получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера".

    Как я и говорил и сам не ас. Поэтому буду очень рад ответам. И если заодно посоветуешь где на клиенте более подробные логи этого всего посмотреть буду очень благодарен?


    26 сентября 2015 г. 18:47
  • Привет!, а Вас не смутило, то что Вы допустили две ошибки:

    -вопросу уже более полутора лет;

    -Автор вопроса, не Вы.

    Правильнее задавать свой вопрос, указывая ссылкой на это обсуждение вопроса.

    Начните с внимательного изучения серии статей, начав со статьи "Краткое руководство по Microsoft PKI". Особое внимание обратите на требование для Внешних Пользователей, и Корневой сертификат, должен быть подписан Доверенным корневым центром сертификации.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    26 сентября 2015 г. 23:15
    Модератор
  • У клиенты была такая ошибка из-за неустановленных обновлений. Имейте в виду.
    4 ноября 2016 г. 13:05
  • в реестре добавляется запись:
    UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp типа DWORD - значение 1

    Когда сертификат выдаётся внутренним CA, но пользователи подключаются к серверу через интернет (например из дома подключаются к RemoteApp по https), очень часто файлы сертификатов и CRL'ы издающего CA недоступны из интернета. В данном случае необходимо связаться с Системным Администратором, чтобы он переконфигурировал расширения CDP так, чтобы CRL'ы были доступны и из интернета.