Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2025(UTC)
Сообщений: 4
Откуда: Уганда
|
В одном из учреждений используются криптопро 4, 5 версии. В последнее время появилась проблема - на сайте проверки работоспособности плагина в графе статус красными буквами пишут "Ошибка при проверке цепочки сертификатов. Возможно на компьютере не установлены сертификаты УЦ, выдавшего ваш сертификат". Это лечится подгрузкой файла со списком отзыва сертификатов Казначейства в формате .crl, причем эти списки обычно действуют 1-2 недели и на множестве компьютеров в ручном режиме периодически приходиться это делать. Почему отозванные сертификаты не загружаются автоматически? Скорость ручной загрузки списка довольно быстрая, допустим http://crl.roskazna.ru/crl/ucfk_2023.crl загружается за 10 секунд примерно.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,533
Сказал(а) «Спасибо»: 42 раз
Поблагодарили: 629 раз в 435 постах
|
|
|
 1 пользователь поблагодарил Русев Андрей за этот пост.
|
nickm оставлено 19.08.2025(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2025(UTC)
Сообщений: 4
Откуда: Уганда
|
Автор: Русев Андрей  Здравствуйте, пробовал такое решение - не помогло к сожалению. Устанавливал разные значения и через реестр и через групповые политики.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,779
Сказал(а) «Спасибо»: 633 раз
Поблагодарили: 484 раз в 456 постах
|
Автор: М1ксим Автор: Русев Андрей Здравствуйте, пробовал такое решение - не помогло к сожалению. Устанавливал разные значения и через реестр и через групповые политики. Так в ответе говорилось о настройке СКЗИ в Linux-based-операционных системах. У Вас, можно предположить, что " Microsoft Windows". Так какие скорости загрузки списков отзывов у Вас в системе? В стандартные 15 сек для построения полной цепочки укладываетсь? Можно попытаться отладить и найти, где у Вас происходит "затык".
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2025(UTC)
Сообщений: 4
Откуда: Уганда
|
Автор: nickm Автор: М1ксим Автор: Русев Андрей Здравствуйте, пробовал такое решение - не помогло к сожалению. Устанавливал разные значения и через реестр и через групповые политики. Так в ответе говорилось о настройке СКЗИ в Linux-based-операционных системах. У Вас, можно предположить, что " Microsoft Windows". Так какие скорости загрузки списков отзывов у Вас в системе? В стандартные 15 сек для построения полной цепочки укладываетсь? Можно попытаться отладить и найти, где у Вас происходит "затык". Да, windows, причем ошибка встречается независимо от версии винды начиная с 7 и заканчиваю 10. Время скачивания самого крупного списка отозванных, например http://crl.roskazna.ru/crl/ucfk_2023.crl составляет от 8 до 12 секунд, но как и писал выше с помощью ключа в реестре увеличивал это время, проблема не решилась. Дальше не знаю куда копать.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,779
Сказал(а) «Спасибо»: 633 раз
Поблагодарили: 484 раз в 456 постах
|
Автор: М1ксим но как и писал выше с помощью ключа в реестре увеличивал это время, проблема не решилась. Какого ключа? Автор: М1ксим Да, windows, причем ошибка встречается независимо от версии винды начиная с 7 и заканчиваю 10. Время скачивания самого крупного списка отозванных, например http://crl.roskazna.ru/crl/ucfk_2023.crl составляет от 8 до 12 секунд Можно предположить, что проблема не в системах, а в канале доступа/ скорости к сети Интернет, да и то, это лишь только предположение (может, влияние стороннего ПО и т.д. и т.п.), т.к. Вы до сих пор не привели какой-либо конкретики, просто общие слова - "появилась проблема"; Автор: М1ксим Дальше не знаю куда копать. Для начала понять, что же у Вас там происходит, прикинуть возможные причины, а уже после - копать. Как вариант, попробуйте включить журнал CAPI2, после анализировать события. Отредактировано пользователем 20 августа 2025 г. 16:37:03(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2025(UTC)
Сообщений: 4
Откуда: Уганда
|
Как обычно все проблемы приходиться решать самостоятельно, еще ни одна тех поддержка по существу дельно не ответила, сыпят шаблонными фразами, на большее они не способны. Уж не знаю для чего вообще существуют тех поддержки. Проблема, как выяснилось заключалась в том, что при проверке списка отозванных сертификатов компьютеры обращались по адресу http://ctldl.windowsupda...en/disallowedcertstl.cab для загрузки контейнера disallowedcertstl.cab, содержащего список ненадежных сертификатов, используемый для автоматического обновления списка отозванных сертификатов в операционных системах Windows. Этот адрес каким-то образом блокировался на межсетевом экране (к которому парк компьютеров подключен), соответственно вылезала ошибка 80092013 и цепочки не строились, после внесения в белый список проблема исчезла.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 2,779
Сказал(а) «Спасибо»: 633 раз
Поблагодарили: 484 раз в 456 постах
|
Автор: М1ксим Как обычно все проблемы приходиться решать самостоятельно, еще ни одна тех поддержка по существу дельно не ответила, сыпят шаблонными фразами, на большее они не способны. Уж не знаю для чего вообще существуют тех поддержки. О какой тех.поддержке идёт речь? Автор: М1ксим Этот адрес каким-то образом блокировался на межсетевом экране (к которому парк компьютеров подключен), соответственно вылезала ошибка 80092013 и цепочки не строились, после внесения в белый список проблема исчезла. Как Вы считаете, какая тех.поддержка сможет догадаться, что, как минимум у Вас имеется межсетевой экран? Вот поэтому выше и было сказано: Автор: nickm да и то, это лишь только предположение (может, влияние стороннего ПО и т.д. и т.п.), т.к. Вы до сих пор не привели какой-либо конкретики, просто общие слова - "появилась проблема"; , и предложено: Автор: nickm Для начала понять, что же у Вас там происходит, прикинуть возможные причины, а уже после - копать. Как вариант, попробуйте включить журнал CAPI2, после анализировать события.
|
1 пользователь поблагодарил nickm за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,880   Сказал «Спасибо»: 593 раз
Поблагодарили: 2323 раз в 1821 постах
|
Автор: М1ксим Как обычно все проблемы приходиться решать самостоятельно, еще ни одна тех поддержка по существу дельно не ответила, сыпят шаблонными фразами, на большее они не способны. Уж не знаю для чего вообще существуют тех поддержки. Проблема, как выяснилось заключалась в том, что при проверке списка отозванных сертификатов компьютеры обращались по адресу http://ctldl.windowsupda...en/disallowedcertstl.cab для загрузки контейнера disallowedcertstl.cab, содержащего список ненадежных сертификатов, используемый для автоматического обновления списка отозванных сертификатов в операционных системах Windows. Этот адрес каким-то образом блокировался на межсетевом экране (к которому парк компьютеров подключен), соответственно вылезала ошибка 80092013 и цепочки не строились, после внесения в белый список проблема исчезла. трассировку включить и собрать логи - не судьба, написать такое за попытки помочь - судьба... Причём тут этот cab? Просто прогрузились по цепочке CRL, то в АУЦ, то с сетью проблемы. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,880 Сказал «Спасибо»: 593 раз
Поблагодарили: 2323 раз в 1821 постах
|
включение -  traceall_x64.zip (1kb) загружен 0 раз(а).просмотр - через DebugView |
|
|
|
|
|
|
Перейти
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
