| ||||
| ||||
| 1. Установлен изолированный корневой сервер сертификатов (оффлайновый) + КриптоПро 3.0 , в CApolicy.inf в CRLDistributionPoint был прописан URL="" Точка доступа для CRL установлена только одна через htpp. Линк правильный, в браузере открывается. 2. Установлен изолированный промежуточный сервер сертификатов + КриптоПро 3.0, сертификат для ЦС выписан на корневом сервере. Установлен сертификат корневого сервера сертификатов в доверенные корневые. При установке сертификата для промежуточного ЦС ошибка - сервер отзыва сертификатов недоступен 0x80092013. После установки списка отзыва корневого ЦС в хранилище сертификатов лок компьютера промежуточный ЦС стартовал. Точка доступа для CRL установлена только одна через htpp. Линк правильный, в браузере открывается. Установлен УЦ 1.4 без серийного номера. 3. Установливается ЦР. Создается запрос на сертификат для веб-сервера. При выпуске клиентского сертификата для центра регистрации при помощи мастера выдается следующее сообщение об ошибке: Error: GetCaPage_Nex Source: CaCliMask Number: 0x80040200 (-2147220992) Description: Не найден список отзыва выпущенный сервером сертификатов .. описание параметров корневого оффлайн сервера сертификатов для ... описание параметров корневого оффлайн сервера сертификатов Данная ошибка происходит при установке галочки "Включать в результат соответствующие списки отзыва сертификатов" в мастере выпуска клиентского сертификата утилит ЦС. При этом на сервере сертификатов сертификат попадает в "Выданные сертификаты". ЦР 1.4. был установлен, соединение с УЦ прошло без ошибок (при получении следующих сертификатов галочка "включать " не ставилась). После установки ЦР на этом же компьютере был установлен АРМ Администратора. При создании сертификата для администратора/оператора ЦР если установить "Включать в результат соответствующие списки отзыва сертификатов" выдается новая ошибка: Произошла ошибка: Метод: IWizardPage_Next Источник: CaCliMask Код ошибки: 0x80040200 (-2147220992) Описание: В HKLM/CA не найден список отзыва, выпущенный центром с следующим сертификатом: <описание параметров промежуточного сервера сертификатов> Вопрос - насколько критичны эти ошибки? И как их исправить, если это возможно. Может ли это быть связано с тем, что установка КриптоПро была произведена без ввода серийого номера. Диагностика CRL: При запуске на промежуточном центре сертификатов и на Центре Регистрации / АРМ Администратора : certutil -URL <сертификат промежуточного ЦС> загрузка CDP происходит без ошибок но за 22 секунды. certutil -verify -urlfetch <сертификат промежуточного ЦС> certutil -verify <сертификат промежуточного ЦС> проходит без ошибок При запуске с простой рабочей станции (Windows XP SP2, установлен КриптоПро КС2 3.0.3300.2 в ознакомительном режиме (без серийного номера)) Сертификат корневого оффлайн сервера установлен в доверенные корневые. certutil -URL <сертификат промежуточного ЦС> загрузка CDP происходит без ошибок за 0 секунд. certutil -verify -urlfetch <сертификат промежуточного ЦС> проходит без ошибок но с предупреждением Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. 0x800b0109 (-214 6762487) ------------------------------------ 419.3403.0: 0x800b0109 (-2146762487) Verifies against UNTRUSTED root Leaf certificate is REVOKED (Reason=4) CertUtil: -verify command completed successfully. certutil -verify <сертификат промежуточного ЦС> проходит без ошибок но с аналогичным предупреждением. Cтранно, что выдает Verifies against UNTRUSTED root несмотря на то, что сертификат корневого CA находится в доверенных. На всех серверах - Windows 2003 SP2, компьютеры в рабочей группе. Версия КриптоПро КС2 3.0.3300.2 в ознакомительном режиме (без серийного номера) P.S. На рабочей станции удалил из доверенных корневых сертификат своего оффлайн сервера, проверка certutil -verify <сертификат промежуточного ЦС> стала выдавать следующее: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. 0x800b0109 (-214 6762487) ------------------------------------ 419.3403.0: 0x800b0109 (-2146762487) Verifies against UNTRUSTED root ERROR: Verifying leaf certificate revocation status returned Невозможно проверит ь функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146 885613) CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов н едоступен . CertUtil: -verify command completed successfully. | ||||
| Ответы: | ||||
| ||||
| Откройте содержимое сертификата корневого ЦС. Может там у Вас есть CDP но с пустым значением? Если да, то придется перевыпускать корневой сертификат и, как следствие все сертификаты компонент и подчиненного ЦС | ||||
| ||||
| > Может там у Вас есть CDP но с пустым значением? В сертификате корневого центра сертификатов нет CDP с пустым значением. с Untrusted Root на рабочей станции разобрался - забыл скопировать сертификат корневого ЦС в хранилище лок. компьютера. Попробовал еще раз, заново переустановить все (начиная с корневого ЦС) - ошибка та же. при выписывании сертификата для веб сервера ЦР мастер ругается на несуществующий список отзыва для корневого сертификата, в логах системы ошибок нет. Можно я вам на почту передам скрины и сертификаты? Не знаю, что и поделать. Может не обращать внимания на ошибку и выдавать сертификаты для ЦР и прочие нужные при установке УЦ без сопутствующих CRL? p.s. отправил все сервера на windows update за обновлениями (после 2-го сервис-пака их не много вышло, но вдруг случится чудо и все заработает?) Заметил у себя еще одну неточность в установке - в панели КриптоПро кэширование было включено для КриптоПровайдера ГОСТ 34.10-2001 CSP, а для ГОСТ 34.10-2001 КС2 CSP галочка не была установлена - может ли она быть причиной вышеописанных ошибок при выписке сертификатов? | ||||
| ||||
| Вряд ли проблема в кэшировании - это кэширование ключей, а не crl. Пришлите, пожалуйста, скриншоты и сертификаты, посмотрим. Можно на support, можно на мой личный ящик: tatianka@cryptopro.ru | ||||
Малакшинов Евгений.