21.02.2006 17:36:43Certrequest.AcceptFirstRequest Ответов: 6
Константин
После переустановки заново ЦР и АРМ с новыми сертификатами, появилась ошибка на арме при принятии запроса на сертификат:
Ошибка №: -2147220989
Источник: CertRequest.AcceptFirstRequest
Описание: Ошибка проверки цепочки сертификатов(0x40)
Все CRL проверил. Ошибка не исчезает. Установил АРМ непосредственно на ЦР. ТА же история. ЧТо может быть?
 
Ответы:
22.02.2006 10:16:40Василий
Действующий (по сроку) CRL должен быть установлен на сервере ЦР в хранилище "Промежуточные ЦС" ЛОКАЛЬНОГО КОМПЬЮТЕРА.
Если Ваш ЦС - подчинённый, то должны быть установлены (туда же) все CRL вышестоящих ЦС.
22.02.2006 11:05:10Константин
Так оно и есть. Но кроме этого выяснилось, что не могу выдать сертификат даже с ЦС через WEb интерфейс. В журнале записи:
Предупреждение CertSrv 53
Ошибка VBRunTime 1

На ЦС ничего не менялось кроме WEb сертификата
22.02.2006 14:01:00Василий
В журнале приложений должна быть более подробная причина этого (посмотрите соседние сообщения).
22.02.2006 15:26:40Константин
сводка из журнала::

предупреждение 53
Службы сертификации отклонили запрос 18 по причине При обработке сертификата произошла неизвестная ошибка. 0x80090327 (-2146893017).
Запрос был на CN=Петров, E=ppr@erer.ru, OU=Удостоверяющие центры, O=АНК, L=Санкт-Петербург, C=RU. Дополнительная информация: Модуль политики отверг запрос.

Ошибка 1
The VB Application identified by the event source logged this Application CAPolicy: Thread ID: 2196 ,Logged:
Ошибка при обработке запроса на сертификат модулем политики:
Источник: CA_CryptoProDefault.Policy.Step_DNPolicy
Номер: 0x80041001 (-2147217407)
Описание: Запрос отклонен политикой имен DN ЦС, компонент имени '2.5.4.11' не корректен или имеет некорректный порядок в имени
22.02.2006 15:59:14Василий
В нашем УЦ принят такой порядок следования компонентов DN в запросе на сертификат: CN, OU, O, L, S, C, E.
Если запрос был сделан (и сохранён в файл) другими средствами (не УЦ, например, при формировании запроса через веб-интерфейс MS CA) - то порядок следования может быть другим и сертификат по этому запросу не будет издан.
27.02.2006 16:04:16Константин
1. Каким образом порядок DN мог поменяться? Как его изменить?
2. Сертификаты на ЦР установлены. Что указано в прошлом ответе. ОШибка не исчезает. При попытке поставить на голые серваки все заново возникает та же ошибка. Возможна ли проблема не только в CRL?