Не удалось проверить статус отзыва рутокен

“Сертификат ненадежен” “Не удалось проверить статус отзыва”

Форум Рутокен → Техническая поддержка пользователей → “Сертификат ненадежен” “Не удалось проверить статус отзыва”

Страницы 1

Сообщений 3

#1 Тема от Алексей Несененко 2014-04-08 09:46:50

• Алексей Несененко
• Посетитель
• Неактивен

“Сертификат ненадежен” “Не удалось проверить статус отзыва”

Если при просмотре сертификата через Панель управления Рутокен вы видите одно из таких сообщений, то это не значит что сертификат “плохой“. Скорее всего система либо не до конца настроена, либо есть проблемы с сетевым подключением.

“Хороший” сертификат на настроенной системе отображается так:

Сообщение о том что “Сертификат ненадежен” обычно выводится, если на Вашем компьютере не установлен корневой сертификат Удостоверяющего Центра.

Сообщение “Не удалось проверить статус отзыва” или “Сведения о сертификате не удалось проверить проследив его до доверенного ЦС” обычно выводится, если нет связи с Удостоверяющим Центром.

#2 Ответ от Vintik 2016-12-22 19:38:15

• Vintik
• Посетитель
• Неактивен

Re: “Сертификат ненадежен” “Не удалось проверить статус отзыва”

Хорошие заметки, спасибо, если бы их ещё читали некоторые поросята 🙂 эх.

Сегодня по другому вопросу приходили (ответ дали ваши коллега, по XP там проблема была..)
Так вроде не первый день администрируют, а такие вопросы глупые задают,
подобные которые вы описали. У меня понятно вся цепочка выстроена и проблем нет.
Хотя при выдаче ЭП им уже самописные инструкции с подробными картинками делаем,
что куда и откуда. Совсем кажется народ обленился. При чём понятно если это БХ у которых
и без этого своих дел, но если ты взялся заниматься и внедрять системы которые используют ЭП,
назвался сисадмином, то мозгами хоть чуть чуть начинай шевелись.

Говоришь им ищите по поиску, спрашивайте у тех.п. – мы всё искали не чего не нашли.
Стоит начать писать запрос как тут же получаешь ответ – искали они.

#3 Ответ от Ксения Шаврова 2016-12-23 10:44:45

• Ксения Шаврова
• Администратор
• Неактивен

Re: “Сертификат ненадежен” “Не удалось проверить статус отзыва”

Возможно, будет интересно: эта же инструкция есть в нашей Базе знаний: http://kb.rutoken.ru/display/KB/PU1004
Если доверенный корневой сертификат есть на токене, наша “Панель управления Рутокен” теперь предлагает его поставить: http://kb.rutoken.ru/display/KB/PU1010

Сообщений 3

Страницы 1

Форум Рутокен → Техническая поддержка пользователей → “Сертификат ненадежен” “Не удалось проверить статус отзыва”

На вашем компьютере отсутствуют или некорректно настроены средства для работы с ЭЦП. Обратитесь к поставщику вашего сертификата и СКЗИ

Если библиотеки установлены, но ошибка остается – необходимо произвести следующие настройки Internet Explorer:

1. Добавить адреса ЭТП в Надежные узлы.

• в Internet Explorer “Сервис” – “Свойства обозревателя” – вкладка “Безопасность”;
• выделить “Надежные узлы” (“Надежные сайты”); – кнопка “Узлы” (“Сайты”);
• убрать внизу флаг “Для всех узлов этой зоны требуется проверка серверов (https:)” (не все ЭТП работают по защищенному соединению https://);
• в строку “Добавить в зону следующий узел” ввести адрес ЭТП (по http и https); кнопка “Добавить”.

2. Для зоны “Надежные узлы” (“Надежные сайты”) разрешить использование элементов Active-X.

• в Internet Explorer “Сервис” – “Свойства обозревателя” – вкладка “Безопасность”; выделить “Надежные узлы” (“Надежные сайты”); нажать кнопку “Другой…”;
• в разделе “Элементы Active-X и модули подключения” у всех параметров отметить “Включить” (для IE 6 – “Разрешить”).

3. Установить и зарегистрировать библиотеку capicom.dll.

• скачайте файл capicom.dll
• скопируйте файл capicom.dll в папку C:WINDOWSsystem32 (для Windows XP, Vista, Win7 – C:WINDOWSsystem32regsvr32);
• нажмите кнопку “Пуск” и выберите “Выполнить”;
• в окне “Запуск программы” в поле “Открыть” наберите или скопируйте: для Windows XP, Vista, Win7 – C:WINDOWSsystem32regsvr32 capicom.dll нажмите кнопку “ОК”.
• Регистрация библиотек может быть запрещена локальной политикой прав доступа. В таком случае, нужно обращаться к системному администратору.

4. Проверить статус сертификата

• зайдите в “Панель управления Рутокен” – вкладка “Сертификаты”
• выделите сертификат – статус сертификата должен быть “Действителен”
• возможны ошибки: “Сертификат ненадежен”/”Не удалось проверить статус отзыва” или “Не установлен корневой сертификат. Просмотреть | Установить”, выполните решение из инструкции.

5. Проверить права на библиотеку capicom.dll

• откройте каталог C:WindowsSystem32,
• найдите capicom.dll,
• правой кнопкой мыши “Свойства” – вкладка “Безопасность” – “Дополнительно” – “Изменить разрешения”.
• в списке найти текущего пользователя компьютера, проверить, какой статус стоит в колонке “Разрешения”. Если отличный от “Полный доступ” – выделить строку, нажать “Изменить”. Поставить галку “Полный доступ”, сохранить.

Если при сохранении выйдет сообщение о нехватке прав – перейти на вкладку “Владелец”, Изменить, выбрать текущего пользователя компьютера, попробовать заново назначить “Полный доступ”.

6. Как правило, для участия в торгах необходимо пользоваться браузером Internet Explorer версии 6.0 и выше. В IE 9 и выше могут возникать ошибки, которые можно решить, воспользовавшись режимом совместимости (“Свойства браузера” – “Сервис” – “Параметры режима представления совместимости” – добавить адрес площадки.

Это общие настройки для всех ЭТП. На некоторых площадках необходимо установить дополнительные компоненты, необходимые для корректной работы.

Остались вопросы?

Отдел технической поддержки

Не удалось проверить статус отзыва рутокен

Вопрос

Ответы

Проверьте контролеры домена, там в нужных контейнерах присутствуют сертификаты RCA и ICA?

Распространите сертификаты Центров Сертификации с помощью Групповых политик.

• Предложено в качестве ответа Zaza Abramov 22 июля 2014 г. 13:15
• Помечено в качестве ответа Lester_strange 23 июля 2014 г. 4:59

Разобрался.
Похоже решение которое я описал выше помогло, дело было за перезагрузкой серверов!

Резюме.
К устранению ошибки аутентификации привели следующие действия:
Удалил все сертификаты на всех контроллерах домена, включая сертификаты RCA и ICA;

Исправил http адрес в CDP на рабочий;

Установил сертификаты заново, на смарт карту тоже, т.к. были оновлены точки распространения CRL;

Перезагрузка серверов, что бы сработала autoenrollment.

Спасибо большое за помощь! P.S. Поделитесь ссылкой на подробную инструкцию по развёртыванию двухуровневого PKI на базе Server 2012?

• Помечено в качестве ответа Lester_strange 22 июля 2014 г. 11:23

Все ответы

Пользователи заходят в систему с использованием сертификатов?

1. Сертификат корневого центра сертификации должен быть установлен на клиентском компьютере в ” Доверенные Корневые Центры Сертификации”

2. Сертификат от Промежуточного (Доверенного) Центра сертификации доложен быть установлен в “Промежуточные Центры сертификации”

3. Должны быть доступны Списки отзывов.

4. Проверьте, что пользовательский сертификат выдан именно тем центром который используется на данный момент.

• Изменено Zaza Abramov 21 июля 2014 г. 14:14
• Предложено в качестве ответа Zaza Abramov 22 июля 2014 г. 11:30

3. В папке промежуточные центры сертификации -списки отзывов -установлены оба,с промежуточного и с корневого.

4. именно тем который работает, прослеживается ципочка до корневого,всё в порядке.
Пробовал удалить все сертификаты,запросить заново, и переопубликовать списки отозванных, не помогло.

Проверьте контролеры домена, там в нужных контейнерах присутствуют сертификаты RCA и ICA?

Распространите сертификаты Центров Сертификации с помощью Групповых политик.

• Предложено в качестве ответа Zaza Abramov 22 июля 2014 г. 13:15
• Помечено в качестве ответа Lester_strange 23 июля 2014 г. 4:59

Проверьте контролеры домена, там в нужных контейнерах присутствуют сертификаты RCA и ICA?

Распространите сертификаты Центров Сертификации с помощью Групповых политик.

Сертификаты стоят, на обоих контроллерах.
Я пытаюсь войти на удалённый сервер с помощью личной смарт карты. На моём компьютере и учётной записи тоже стоят все сертификаты и все они валидны.

Пользователи заходят в учётные записи используя смарт карту рутокен с сертификатом

Я пытаюсь войти на удалённый сервер с помощью личной смарт карты . На моём компьютере и учётной записи тоже стоят все сертификаты и все они валидны.

Вы специально так пишите, или случайно получается?

Когда входите локально, проблем нет?

Какая ОС у Вас на компьютере?

• Изменено Lester_strange 22 июля 2014 г. 7:28

Важные нюансы нужно писать при начале диалога.

Драйвера присутствуют к Вашему рутокен? Они установлены на удаленной машине?

В свойствах RDP-Локальные-Смарт Карты стоит галочка?

• Изменено Zaza Abramov 22 июля 2014 г. 7:37

• Изменено Lester_strange 22 июля 2014 г. 7:44

Если компьютер не включен в розетку то Вы не дошли бы до RDP, это очевидно.

Если не приятно получать лишние вопросы, то излагайте свои мысли и происходящее правильно.

К сожаления или к счастью я не телепат.

Обнаружил интересную особенность:

После обновления на контроллерах домена всех сертификатов,включая промежуточный и корневой, на контроллеры со смарт картой пускать стал.
После обновления всех сертификатов на терминальном сервере, теперь пишет:
“Статус отзыва контроллера домена при проверке смарт карты не определён”.
На контроллере домена открываю один из личных сертификатов машины, и смотрю там адрес точки распространения CRL, пробую тыкнуться на неё через браузер -403 такой дериктории нет.
Есть другая ссылка, по которой список отозванных сертификатов доступен. Может её нужно прописать и перезапросить сертификаты на контроллерах?