Certmgr.exe (средство диспетчера сертификатов)certmgr.exe (certificate manager tool)

Содержание:

Электронная подпись. Не удается построить цепочку сертификатов для доверенного корневого центра Произошла внутренняя ошибка в цепочке сертификатов 0x800b010a

Возможная причина: Не установлен корневой сертификат вашего Удостоверяющего Центра (УЦ).

Ваши действия: Установить корневой сертификат Удостоверяющего центра.

Ошибка №2. Failed to create CPSigner

Возможные причины: 1) Не установлено дополнительное ПО с сайта Фабрикант; 2) Некорректно работает библиотека КриптоПРО Cadescom.

Ваши действия:

2) Переустановить КриптоПРО Cadescom.

Подробную инструкцию можете скачать

Ошибка №3. Ошибка при открытии хранилища. Объект не поддерживает средство или метод “Open”

Возможные причины: 1) Не установлено дополнительное ПО;

2) Не запущены дополнительные надстройки в браузере.

Ваши действия: 1) Установить Специализированное ПО с Портала Фабрикант; 2) Запустить всплывающие надстройки браузера.

Подробную инструкцию можете скачать

Возможная причина: Не установлены или не обновляются автоматически списки отозванных сертификатов УЦ.

Ваши действия: Обратитесь в УЦ или самостоятельно установите на своём ПК списки отозванных сертификатов.

Подробную инструкцию можете скачать

Возможные причины: 1) Рассинхронизация OCSP-сервер вашего УЦ; 2) Отсутствует ссылка на OCSP-сервер УЦ в сертификате.

Ваши действия: Обратитесь в Удостоверяющий центр для проверки сертификата или проверьте самостоятельно.

Подробную инструкцию можете скачать

Возможные причины: 1) Вставлен ключевой носитель, не соответствующий выбранному сертификату;

2) Выбран сертификат, не соответствующий вставленному ключевому носителю.

Ваши действия: 1) Проверить, какой ключевой носитель вставлен; 2) Проверить выбранный сертификат.

Подробную инструкцию можете скачать

Ошибка №7. Ошибка исполнения функции

Возможная причина: Истек срок действия лицензии на КриптоПРО CSP.

Ваши действия: 1) Обратитесь в Удостоверяющий центр для получения лицензии на КриптоПРО CSP; 2) Введите лицензию на КриптоПРО CSP.

Подробную инструкцию можете скачать

Ошибка №8. Надпись “undefined”

Возможная причина: Некорректно отрабатывают настройки браузера Internet Explorer.

Ваши действия: 1) В браузере зайдите в меню “Сервис” и выберите пункт “Свойства обозревателя”; 2) В открывшемся окне перейдите на вкладку “Дополнительно” и нажмите кнопку “Сброс”; 3) Перезапустите браузер Internet Explorer. Подробную инструкцию можете скачать

Ошибка №9. Ошибка алгоритма

Многие пользователи сталкиваются с ошибкой 0x800B010A, возникающей при попытке регистрации на сайтах госзакупок, а также при использовании ЭЦП в подписании документов. Этот сбой не стоит путать с аналогичным кодом в Windows 7. Сегодня мы кратко расскажем как можно исправить эту проблему цепочки сертификатов.

Причины конфликта сертификатов

Чаще всего подобная ошибка появляется на сайте zakupki.mos.ru, но её появление не зависит от посещаемого ресурса, на проблема связана только с неверным использованием ключей ЭЦП и сертификатами. Среди основных причин стоит выделить:

  • истечение срока действия используемого сертификата;
  • Отсутствие в цепочке иерархии всех корневых сертификатов (от ГУЦ до УЦ) – часто пользователи забывают добавить их все;
  • необходимость обновления всех узлов и программного обеспечения CryptoPro до актуальной версии.

Полностью проблемное уведомление выглядит следующим образом: “Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)”. Так же встречаются другие описания – “Ошибка вычисления подписи”, например.

Проверяем сроки

Редко, но все же бывает такое, что пользователь проглядел необходимость обновления и не запросил новые ключи. Проверьте срок их действия, возможно он истек. В таком случае стоит выбрать актуальный на данный момент сертификат.

Проверяем наличие основного ГУЦ

Проверьте что бы в цепочке представленных корневых сертификатов был ключ ПАК «Головной удостоверяющий центр». Он является первым звеном и главным в иерархической цепочке сертификатов.

Проверка CryptoPro

  1. Если все вышеуказанное не поможет, пробуйте удалить и полностью переустановить программу КРИПТО-ПРО.
  2. Заодно обновите все привязанные сертификаты.
  3. Если вы работаете в тестовом режиме проверьте, верно ли указан адрес службы TSP.

Проверка корневого сертификата

Вывод показывает:

  • Используемый алгоритм Signature Algorithm
  • Даты периода действия сертификата Validity
  • Длину публичного ключа Public-Key
  • Эмитент сертификата Issuer, который является объектом, который подписал сертификат
  • Предмет Subject, который относится к самому сертификату.

Эмитент (Issuer) и предмет (Subject) идентичны для самоподписанных сертификатов. Все корневые сертификаты являются самоподписанными.

Вывод также показывает расширения X509v3, т.к. было применено расширение , и опции из секции отражены в выводе.

Создание промежуточной пары ключей

Промежуточным центомр сертификации является объект, который может подписывать сертификаты от имени корневого центра сертификации. Корневой центр сертификации подписывает промежуточный сертификат, образуя цепочку доверия.

Цель использования промежуточного центра сертификации, прежде всего, для обеспечения безопасности. Корневой ключ должен храниться «оффлайн» и использоваться как можно реже. Если промежуточный ключ будет скомпрометирован, корневой центр сертификации может отозвать промежуточный сертификат  и создать новую промежуточную криптографическую пару.

В каких случаях используются списки CRL?

Эта статья является частью в тестовом окружении.

После выбора схемы иерархии, необходимо выбрать:

  • срок действия сертификата CA ;
  • сроки действия издаваемых сертификатов;
  • сроки действия Base CRL и Delta CRL ;
  • срок действия перекрытия (overlap) Base CRL и Delta CRL ;
  • использование OCSP Online Responder;
  • CRL Distribution Points (CDP) и Authority Information Access (AIA).

Необходимо заранее спланировать изменения, которые будут вносится в настройки CA , как минимум, это параметры CDP и AIA расширений. Их необходимо внести сразу после установки, и до выдачи первых сертификатов. По умолчанию, некоторые шаблоны помечены для автоматического издания. Доменный контроллер запросит себе два сертификата сразу же, как только обнаружит появление CA . Это произойдет при автоматическом обновлении групповых политик. По этой причине, после полной настройки CA нужно будет убедится, что ни один сертификат еще не был выдан.

Использование CRL клиентами

Для серверных сертификатов, обычно клиентское приложение (к примеру, веб-браузер) выполняет проверку. Это приложение должно иметь удаленный доступ к CRL.

Если сертификат был подписан с расширением, которое включает , клиентское приложение может прочитать эту информацию и получить CRL из указанного места.

Точки распространения CRL видны в спецификациях X509v3 сертификата.

Online Certificate Status Protocol

Online Certificate Status Protocol (OCSP) был создан в качестве альтернативы CRL. Как и CRL, OCSP позволяет запрашивающей стороне (к примеру, веб-браузеру) определять статус отзыва сертификата.

Когда центр сертификации подписывает сертификат, он обычно включает адрес сервера OCSP (к примеру, http://ocsp.example.com) в в сертификат. Это похоже на функцию , используемой для CRL.

Например, когда веб-браузеру предоставлен сертификат сервера, он посылает запрос на адрес сервера OCSP, указанном в сертификате. По этому адресу OCSP слушает запросы и отвечает статусом отзыва сертификата.

Рекомендуется использовать OCSP вместо CRL, где это возможно, хотя реально,  как правило, OCSP нужен только для сертификатов веб-сайтов. Некоторыми веб-браузерами поддержка CRL считается устаревшей, или вообще убрана.

Некорректный путь сертификации

Эта та самая проблема, с которой пришлось столкнуться мне. Удивительно но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

Открываем хранилище сертификатов
при помощью консоли certmgr.msc

Переходим в Личное/Сертификаты.
Открываем сертификат, который не работает и переходим на вкладку Путь сертификации
.

Как видно на рисунке в качестве корневого удостоверяющего центра
указан «Минкомсвязь России», а промежуточного удостоверяющего центра
ООО «КОМПАНИЯ «ТЕНЗОР».

Вернемся на вкладку «Общие»
, чтобы проверить кем выдан личный сертификат
. Сертификат выдан той же компании, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат
. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

Находим в списке сертификат, который соответствует условиям.
Средства УЦ: КриптоПРО УЦ 2.0
Кем выдан: CN=Головной удостоверяющий центр
Действует: текущая дата входит в указанный промежуток дат
.

Этот сертификат необходимо установить в промежуточные центры сертификации.

Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

Выбор сроков действия издаваемых сертификатов

Значение по-умолчанию 2 года. Шаблоны переопределяют это значение.

Со временем CRL может очень сильно вырасти в размерах. Чтобы уменьшить нагрузку по получению CRL , используется Delta CRL .

Ссылки в расширениях CDP и AIA можно изменить и добавить двумя способами. При помощи certutil.exe
и при помощи оснастки certsrv.msc
. Однако при помощи оснастки certsrv.msc
нельзя поменять порядок следования ссылок в сертификатах. И если планируется изменить порядок по умолчанию, то certutil.exe
остается единственным выбором. Единственным, потому, что через оснастку доступны не все свойства ссылок. Взгляните сами на дефолтные ссылки AIA из свежеустановленного CA . Для LDAP ссылки установлено свойство CSURL_SERVERPUBLISH, однако в оснастке просто нет возможности установить это свойство. Интересно, не правда-ли.

Планирование CDP

Код
65 C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl

65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl

1 79 ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10- Publish CRL s to this location- Include in all CRL s. Specifies where to publish in the Active Directory when publishing manually.- Publish Delta CRL s to this location

2 6 http://%1/CertEnroll/%3%8%9.crl

6:http://%1/CertEnroll/%3%8%9.crl- Include in CRL s. Clients use this to find Delta CRL locations.- Include in the CDP extension of issued certificates

3 file://%1/CertEnroll/%3%8%9.crl

0:file://%1/CertEnroll/%3%8%9.crl

certutil.exe
:

certutil -setreg CA\CRLPublicationURLs «65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://%1/CertEnroll/%3%8%9.crl\n0:file://%1/CertEnroll/%3%8%9.crl»

certutil -setreg CA\CRLPublicationURLs «65:C:\Windows\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://%%1/CertEnroll/%%3%%8%%9.crl\n0:file://%%1/CertEnroll/%3%8%9.crl»

Планирование AIA

Код Ссылка и используемые параметры
1 C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt

1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt- CSURL_SERVERPUBLISH

1 3 ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11

3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11- CSURL_SERVERPUBLISH

2 2 http://%1/CertEnroll/%1_%3%4.crt

2:http://%1/CertEnroll/%1_%3%4.crt- Include in the AIA extension of issued certificates

3 file://%1/CertEnroll/%1_%3%4.crt

0:file://%1/CertEnroll/%1_%3%4.crt

4 32 http://%1/ocsp

32:http://%1/ocsp- Include in the online certificate status protocol (OCSP) extension

Примечания и отличия от конфигурации по-умолчанию:

Итоговая команда для изменений при помощи certutil.exe
:

certutil -setreg CA\CACertPublicationURLs «1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://%1/CertEnroll/%1_%3%4.crt\n0:file://%1/CertEnroll/%1_%3%4.crt\n32:http://%1/ocsp»

Она же, но в случае выполнения из командного файла:

Установка отозванных сертификатов

В некоторых случаях необходимо установить списки отозванных сертификатов дополнительно. Для установки нужно:

  • Проделать путь «Internet Explorer»/«Сервис»/«Свойства»/«Содержание»/«Сертификаты».
  • Через вкладку «Состав» выбрать «Точки распространения списка отзыва».
  • В разделе «Имя точки» скопировать ссылку на список.

Сохранить список в любое место на ПК.

  • Нажать на сохраненном списке правой кнопкой мыши для выбора режима установки.
  • Следовать инструкции «Мастера импорта сертификатов».

Иногда в строке списка отозванных сертификатов имеется две ссылки, т.е. два списка. В этом случае действия со вторым списком отозванных сертификатов аналогичны и полностью повторяют путь установки через «Мастера импорта».

После проведенных действий для корректной работы электронной подписи лучше произвести перезагрузку ПК. При соблюдении последовательности действий проблем в установке списка отозванных ключей электронной подписи и исправлении ошибки не возникает. Единственной причиной, по которой процесс может сбиться, является нестабильное подключение к интернету.

Все определения CRL

Акроним Определение
CRL Churngold рекультивации ООО
CRL Библиотека ресурсов карьеры
CRL Вклад sur les Revenus де мест
CRL Длина короны крестца
CRL Кабель работает список
CRL Калифорнийский закон перепланировки
CRL Каноны регулярные Латеранский собор
CRL Кембридж научно-исследовательская лаборатория
CRL Клетки исследований en Linguistique
CRL Клинические Справочная библиотека
CRL Клинические референс лаборатория
CRL Коалиция за ответственное кредитование
CRL Криклвуд Лимитед перепланировки
CRL Мел реки лаборатории
CRL Научно-исследовательская лаборатория компьютерных
CRL Научно-исследовательская лаборатория сознания
CRL Научно-исследовательская лаборатория химии
CRL Общие записи журнала
CRL Общий язык среды выполнения
CRL Обычные вращающиеся Launcher
CRL Отель Résidence Loisirs шале
CRL Полная справочная библиотека
CRL Полный ответ на письмо
CRL Последовательной обратная связь
CRL Просьба страны живут
CRL Робототехника Канада Лтд.
CRL Связь научно-исследовательская лаборатория
CRL Сертифицированные отчетности предел
CRL Сертифицированный зарегистрированных слесарь
CRL Совместные научно-исследовательская лаборатория
CRL Сообщество референс лаборатория
CRL Список отзыва сертификатов
CRL Список требований Секретариат Содружества
CRL Строительство опорной линии
CRL Уголовное рекомендательное письмо
CRL Уровень готовности к коммерциализации
CRL Уровень стоимости готовности
CRL Уровни готовности противодействия
CRL Центр Ressources де Linguistiques
CRL Центр Régional des Lettres
CRL Центр Régional du Livre
CRL Центр де Ressources en Langues
CRL Центр де Réadaptation де Laryngectomisés
CRL Центр для ответственного кредитования
CRL Центр исследований по вопросам обучения
CRL Центр научных библиотек
CRL Центральная региональная лаборатория
CRL Чикаго железнодорожной ветки
CRL Язык индикации CODA

Что означает CRL в тексте

В общем, CRL является аббревиатурой или аббревиатурой, которая определяется простым языком. Эта страница иллюстрирует, как CRL используется в обмена сообщениями и чат-форумах, в дополнение к социальным сетям, таким как VK, Instagram, Whatsapp и Snapchat. Из приведенной выше таблицы, вы можете просмотреть все значения CRL: некоторые из них образовательные термины, другие медицинские термины, и даже компьютерные термины. Если вы знаете другое определение CRL, пожалуйста, свяжитесь с нами. Мы включим его во время следующего обновления нашей базы данных. Пожалуйста, имейте в информации, что некоторые из наших сокращений и их определения создаются нашими посетителями. Поэтому ваше предложение о новых аббревиатур приветствуется! В качестве возврата мы перевели аббревиатуру CRL на испанский, французский, китайский, португальский, русский и т.д. Далее можно прокрутить вниз и щелкнуть в меню языка, чтобы найти значения CRL на других 42 языках.

Резюме файла CRL

У нас есть три существующие программные обеспечения, связанные с файлами CRL (как правило это программное обеспечение от Open Source, известное как OpenSSL), и их можно отнести к категории основных типов файлов один. Традиционно эти файлы имеют формат Certificate Revocation List File .
Чаще всего файлы CRL классифицируют, как Web Files.

Расширение файла CRL поддерживается Windows, Mac и Linux. Данные типы файлов можно найти в основном на настольных компьютерах и некоторых мобильных устройствах.

Рейтинг популярности основного типа файла CRL составляет «Низкий», что означает, что эти файлы встречаются на стандартных настольных комьютерах или мобильных устройствах достаточно редко.

Планирование политик выдачи сертификатов

Определение политик

  • Сертификаты для подписи электронной почты могут выдаваться автоматически с минимальной проверкой заявителя (только на основании успешной аутентификации пользователя в Active Directory). Никаких дополнительных действий для выпуска этих сертификатов не проводится.
  • Сертификаты для цифровой подписи документов могут выдаваться только после согласования с непосредственным руководителем и предоставления письменной заявки со всеми необходимыми подписями.
  • Сертификаты для смарт-карт могут выдаваться только при личном присутствии работника наряду с инструктажем по правилам использования карт, подписанием соответствующих регулирующих документов.
  • Все пользователи могут получить сертификат аутентификации для доступа к беспроводной сети с мобильных устройств, но доступ к критическим системам будет разрешён, если аутентификация была выполнена только с помощью смарт-карт.

Network Policy Server (NPS)Active Directory Dynamic Access Control

Описание политик

Certificate Practice Statementописанный в RFC 3647

  1. Описание иерархий PKI, общих для всех процедур и положений, которые будут общими для всех конкретных политик выдачи.
  2. Описание положения специфичные для конкретной политики выдачи. В зависимости от размерности PKI, её особенностей, на каждую политику может составляться отдельный CPS, но чаще всего это сводится к составлению единого документа, который будет описывать всё.

Программирование политик

Что в OID’е тебе моём?

  • 1.3.6.1.4.1.x.1.1
  • 1.3.6.1.4.1.x.1.2
  • 1.3.6.1.4.1.x.1.3
  • 1.3.6.1.4.1.x.1.4

Extended ValidationCertificate Policies extension – all you should know (part 1)Certificate Policies extension – all you should know (part 2)

Отзыв сертификата

Утилита OpenSSL ocsp может выступать в качестве ответчика OCSP, но она предназначена только для тестирования. Для производственной среды OCSP ответчики тоже существуют, но они выходят за рамки данной статьи.

Создадим серверный сертификат для тестирования.

Запустим ответчик OCSP на локальной машине. Вместо того, чтобы хранить статус отзыва в отдельном CRL файле ответчик OCSP напрямую читает файл index.txt. Ответ подписывается криптографической парой OCSP (используя опции –rkey и –rsigner).

В другом терминале пошлем запрос к OCSP ответчику. Опция указывает сертификат для запроса.

Начало вывода показывает следующее:

  • был ли получен положительный ответ (OCSP Response Status)
  • идентичность ответчика (Responder Id)
  • статус отзыва сертификата (Cert Status)

Отзыв сертификата.

Как и раньше, запускаем ответчик OCSP в другом терминале и шлем запрос. В этот раз вывод показывает и .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector