Текущй Сертификат Подписи Недействителен

[kowe4ka]

Здравствуйте,на рабочем месте администратора появляется следующая ошибка:

Предупреждение сервиса безопасности

Текущий сертификат подписи недействителен

Не удалось проверить этот сертификат, поскольку не получены правильные списки отзыва сертификатов от одного или нескольких центров сертификации на пути сертификации.

Отсутствуют действительные личные сертификаты. Обратитесь к администратору УКЦ для получения нового сертификата. До получения Вами нового сертификата подпись корреспонденции и обмен ассиметричными ключами шифрования производиться не будут!

Что следует сделать, чтоб устранить данную ошибку?!

P.S: прикрепить рисунок что-то не получилось

[MORO]

Проверить актуальность списка отозванных сертификатов на АРМ администратора.

Если устарел - обновить.

[KoDA]

Проверить актуальность списка отозванных сертификатов на АРМ администратора.

Если устарел - обновить.

А если действительно истек срок сертификата на АРМ администратора, то при обновлении он продляется только на 2 месяца. Так что каждые 2 месяца его обновлять?

[slavanchuk]

А если действительно истек срок сертификата на АРМ администратора, то при обновлении он продляется только на 2 месяца. Так что каждые 2 месяца его обновлять?

Вы имеете ввиду сертификат VipNet Client на компьютере администратора или корневой сертификат? Проверьте срок действия корневого сертификата. Нельзя создать сертификат на срок, превышающий срок действия корневого сертификата.

[KoDA]

Вы имеете ввиду сертификат VipNet Client на компьютере администратора или корневой сертификат? Проверьте срок действия корневого сертификата. Нельзя создать сертификат на срок, превышающий срок действия корневого сертификата.

Срок отозванного корневого сертификата истек, вот в чем проблема. И продливать разрешает только на 2 мес.Продливаю рассылаю обновления ключей. 2 мес все работает нормально, потом опять сообщение (пост 1)

[slavanchuk]

Срок отозванного корневого сертификата истек, вот в чем проблема. И продливать разрешает только на 2 мес.Продливаю рассылаю обновления ключей. 2 мес все работает нормально, потом опять сообщение (пост 1)

Отозванного корневого сертификата?! А при чём тут отозванный корневой сертификат? Всегда должен быть хотя бы один действительный корневой сертификат... им подписываются все остальные сертификаты, в том числе и сертификат администратора в VipNet Client.

[KoDA]

Отозванного корневого сертификата?! А при чём тут отозванный корневой сертификат? Всегда должен быть хотя бы один действительный корневой сертификат... им подписываются все остальные сертификаты, в том числе и сертификат администратора в VipNet Client.

Как мне помнится я отзывал давненько,корневой сертификат администратора, и создавал новый.

[slavanchuk]

Как мне помнится я отзывал давненько,корневой сертификат администратора, и создавал новый.

А новый сертификат корневой до какого времени действителен?

[KoDA]

А новый сертификат корневой до какого времени действителен?

2014 год по-моему

[kowe4ka]

Эту проблему устранила, как появилась новая...

Когда происходит устанока ViPNet Client'а, то в программе ViPNet Монитор на вкладке Сервис -> Настройка параметров Безопасности на вкладке Подпись имеется информация о текущем сертификате, т.е:

Кому выдан: Client 1

Кем выдан: Administrator

Серийный номер: какой-то номер

Срок действия: с 4.12.2009 по 4.12.2010

Статус: недействителен

Когда открываешь Обновить сертификат, то на последнем шаге вылетает сообщение, что сертификат не верный (ошибка 202 вроде).Если открыть вкладку подробнее, то будет написано, что сертификат недействителен и на вкладке Путь сертификации будет красный крест на Client'е. Когда тоже самое открываешь в УКЦ, то все в порядке и написано, что сертификат действительный.

[MORO]

На вкладке "Путь сертификации", внизу, в поле "Состояние сертификата" текст какой?

P.S. Важно понимать, что событие "Сертификат недействителен" это лишь следствие. А причин этого следствия - много. И далеко не каждая причина требует обновления сертификата. По сему: прежде чем создавать запрос в УКЦ на обновление сертификата, я бы советовал сначала точно выяснить какая именно причина повлекла недействительность сертификата.

[kowe4ka]

На вкладке "Путь сертификации", внизу, в поле "Состояние сертификата" текст какой?

P.S. Важно понимать, что событие "Сертификат недействителен" это лишь следствие. А причин этого следствия - много. И далеко не каждая причина требует обновления сертификата. По сему: прежде чем создавать запрос в УКЦ на обновление сертификата, я бы советовал сначала точно выяснить какая именно причина повлекла недействительность сертификата.

На вкладке "Путь сертификации", внизу в поле "Состояние сертификата" текст следующий- Сертификат не действиетелен.

А причина,повлекшая недействительность сертификта - обновление сертификата Текущего администратора УКЦ...

[slavanchuk]

На вкладке "Путь сертификации", внизу в поле "Состояние сертификата" текст следующий- Сертификат не действиетелен.

А причина,повлекшая недействительность сертификта - обновление сертификата Текущего администратора УКЦ...

Под причиной имеется ввиду то, что говорит программа VipNet. В свойствах сертификата обычно пишется одна из следующих причин:

1. Сертификат находится в СОС

2. Истёк срок действия

3. Корневой сертификат недействителен

4. Сертификат повреждён (при проблемах с криптопровайдером).

Посмотрите какая именно причина у Вас.

[BVE]

Под причиной имеется ввиду то, что говорит программа VipNet.

Имею подобную проблему. Путь сертификации - Состояние сертификата:

Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.

В УКЦ сертификат действителен до 2015 года. Поставил галку на пункте "Игнорировать отсутствие списков отозванных сертификатов" в ViPNet Client [Монитор] : Сервис -> Настройка параметров безопасности... -> Администратор -> Подпись. Больше не ругается. Но хочется разобраться, что же случилось со списком отзыва сертификатов? Я сам никаких сертификатов не отзывал, в УКЦ все красиво - все сертификаты действительны.

[MORO]

Имею подобную проблему. Путь сертификации - Состояние сертификата:

Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.

В УКЦ сертификат действителен до 2015 года. Поставил галку на пункте "Игнорировать отсутствие списков отозванных сертификатов" в ViPNet Client [Монитор] : Сервис -> Настройка параметров безопасности... -> Администратор -> Подпись. Больше не ругается. Но хочется разобраться, что же случилось со списком отзыва сертификатов? Я сам никаких сертификатов не отзывал, в УКЦ все красиво - все сертификаты действительны.

Скорее всего, свежий список отозванных сертификатов из Вашего УКЦ по каким-то причинам не попал на проблемный АП.

Смотрите на проблемном АП файл ..\d_station\***x.crl (***x - номер Вашей VPN в HEX, в моем случае - VPN № 419 - это 01a3.crl), откройте CRL, гляньте в него - "Действителен с", "Следующее обновление". Если дата в "Следующее обновление" ранее текущей, значит список отзыва не обновляется.

Смотрите/проверяйте правильность работы транспорта MFTP между ЦУС и АП.

Попробуйте принудительно разослать список отзыва на свои АП и СМ.

Как-то так...

[BVE]

Смотрите на проблемном АП файл ..\d_station\***x.crl

Файла с таким расширением на АП в каталоге d_station нет вообще (:

В ЦУС (Службы - Прикладная администрация - Список рассылки СОС) добавлены все АП.

В УКЦ (Настройка - Сертификаты - Список отозванных сертификатов) поставил галку "Копировать в ЦУС при наличии изменений каждые 0 часов" и руками сделал экспорт файла 053B_rem.crl в каталог FOR_NCC (Удостоверяющий центр - Списки отозванных сертификатов - Своя сеть ViPNet - Администратор безопасности - Экспорт).

Файл CLR Действителен с 16 июня 2010 г., Следующее обновление 15 августа 2010 г.

Дальше какие-то ручные действия в ЦУСе по передаче этого CLR-файла на АП требуются?

Взял 053B_rem.crl из каталога FOR_NCC и тупо скопировал в каталог d_station на АП.

Результат тот же. На клиенте захожу в Сервис - Настройки параметров безопасности - Подпись - Статус: недействителен (Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат).

Как скормить этот файл АП?

[MORO]

>> Файла с таким расширением на АП в каталоге d_station нет вообще (:

Сорри, протупил. 053b_trl.p7s - есть?

Попробуйте выполнить обновление ключей в УКЦ для проблемного АП, передать обновление в ЦУС и выслать из ЦУС обновления на проблемный АП.

P.S. И проконтролировать бы факт поступления обновлений из ЦУС и их применения на проблемном АП не мешало бы.

[BVE]

Попробуйте выполнить обновление ключей в УКЦ для проблемного АП, передать обновление в ЦУС и выслать из ЦУС обновления на проблемный АП.

У меня на проблемном компьютере установлен:

1. ViPNet Координатор

2. ViPNet Клиент (Только Деловая Почта).

Сделал обновление ключей в УКЦ для СМ (ViPNet Координатора) и диспетчера Деловой Почты, передал в ЦУС и разослал из ЦУС. Не помогло.

Тогда создал в УКЦ для всех узлов ключевые наборы и обновления ключей. Передал в ЦУС и разослал на все СУ (дату изменил изменил на текущий день, время - через 1 минуту).

Контролирую:

ЦУС - Файлы - Запросы и ответы:

Получатель: (1339.1.2) Деловая почта

Тип запроса: Отпр. подтв. KEACUVZ.CNF

Статус: Отправлен, нет ответа

Получатель: (1339.1.0) СМ Координатор

Тип запроса: Отпр. подтв. KEAKKVZ.CNF

Статус: Принят ответ

То есть на одном и том же компьютере обновление ключей из ЦУС для Координатора прошло и подпись стала действительной, а для Деловой Почты не проходит очень долго (17 часов). Думаю, больше ждать нет смысла.

[BVE]

Решил проблему таким способом:

Откопал архив с транспортным каталогом Деловой почты, увидел, что файлы enet.doc и mftp.ini отличаются.

В файле enet.doc не было нужной строки:

053B0001000 6 111.222.333.444

В файле mftp.ini отсутствовал раздел [Nodes] и разделы по всем нодам:

[Nodes]

053B0011=1

053B0012=0

053B0013=0

[053B0011]

ToPoll=1

ToPollBtn=1

TimePoll=300

ToCall=1

LastPollTime=17.06.2010 14:40:28

LastConnectPort=5000

[053B0012]

ToPoll=0

ToPollBtn=0

TimePoll=0

ToCall=1

[053B0013]

ToPoll=0

ToPollBtn=0

TimePoll=0

ToCall=1

Добавил нужные строки, перезапустил Деловую почту, и обновление ключей пришло!

Изменено 17 Июня 2010 пользователем BVE

[MORO]

>> 1. ViPNet Координатор

>> 2. ViPNet Клиент (Только Деловая Почта).

Чисто из спортивного интереса - а чем продиктован столь необычный симбиоз?

[BVE]

>> 1. ViPNet Координатор

>> 2. ViPNet Клиент (Только Деловая Почта).

Чисто из спортивного интереса - а чем продиктован столь необычный симбиоз?

Я тоже не совсем понимаю, но этот "симбиоз" был установлен, еще до моего прихода в эту организацию.

Наверное, были свои причины

[MORO]

Я тоже не совсем понимаю, но этот "симбиоз" был установлен, еще до моего прихода в эту организацию.

Наверное, были свои причины

Вас понял

[BVE]

MORO, спасибо за ответы.

Этот файл enet.doc ... Где в графическом интерфейсе можно прописать IP-адрес сервера-маршрутизатора, если сам Монитор от клиента не установлен, а вместо него работает Монитор Координатора (лежит в другом каталоге)? Действительно, "симбиоз"

[Fisher37]

Господа ПОМОГИТЕ!

Сразу прошу не пинать ногами если что-то не так спрошу...

Установлено:

1) ViPNet Monitor (ViPNet Client 3.0)

2) VipNet Деловая почта

и все..., никаких УКЦ, СОС и т.п. НЕТ, я так понимаю они находяться на том "портале" с которым необходимо устанавливать защищенный канал связи.

Дык в мониторе доступны только моя станция ARM-#### и Coordinator, все остальное серое и недоступное!

Внимание вопрос: выданный сертификат действителен до 2015 года, а предупреждение сервиса безопасности выдает обратное -

что он не действителен, обновить нет возможности так как ADM-NET (Как я подозреваю тот самый УКЦ или СОС) недоступен, ЧТО ДЕЛАТЬ?

[MORO]

Господа ПОМОГИТЕ!

Сразу прошу не пинать ногами если что-то не так спрошу...

Установлено:

1) ViPNet Monitor (ViPNet Client 3.0)

2) VipNet Деловая почта

и все..., никаких УКЦ, СОС и т.п. НЕТ, я так понимаю они находяться на том "портале" с которым необходимо устанавливать защищенный канал связи.

Дык в мониторе доступны только моя станция ARM-#### и Coordinator, все остальное серое и недоступное!

Внимание вопрос: выданный сертификат действителен до 2015 года, а предупреждение сервиса безопасности выдает обратное -

что он не действителен, обновить нет возможности так как ADM-NET (Как я подозреваю тот самый УКЦ или СОС) недоступен, ЧТО ДЕЛАТЬ?

Первое - просмотрите журналы и очереди MFTP на Вашем АП "ViPNet Клиент" и СМ "ViPNet Координатор". Если в журналах есть транспортные конверты обмена между Вашими СУ и ЦУСом, а очереди пусты, значит обмен по MFTP с ЦУСом происходит нормально. При этом совсем необязательна прямая доступность (по ping`у или по проверке соединения в Мониторе (F5) с СУ, находящимися за пределами Вашей ЛВС).

Если в очередях лежат конверты и не могут уйти, то да, со связью у Вас проблема... Проверяйте журналы регистрации IP-пакетов, маршрутизацию, настройки МСЭ в ПО "ViPNet Клиент" и т.п. ...

Второе - а, если с Вашего Координатора проверить соединение (F5) со всем СУ, которые присутствуют в "Защищённой сети", связь есть с кем-то из них (ну, кроме Вашего АП, с ним-то связь будет, как я понял из Вашего описания выше)?

Третье - "Сертификат недействителен" это только следствие! Не надо паниковать и судорожно создавать запросы на обновление сертификата! Зачем?! У него срок действия до 2015 года. Сначала (совет на будущее) всегда нужно выяснить и понять причину недействительности сертификата. А уж потом решать как её устранить.

Мне, конечно, отсюда не видно, но мой многолетний опыт администрирования ПО ViPNet подсказывает, что наверняка причина недействительности Вашего сертификата - неполучение правильного списка отозванных сертификатов от УЦ, издавшего этот сертификат. Откройте сам сертификат и посмотрите внимательно на весь текст, на всех закладочках...

Если это так, то проблема в том, что истёк срок действия списка отозванных сертификатов (сам сертификат в порядке - не трогайте Вы его, не обновляйте), а свежий список отзыва по каким-то причинам не прошёл по MFTP и не попал на Ваш АП. Тут либо обновления из ЦУС приходят на Ваш АП, но не применяются (бывает такое...) и MFTP в порядке, либо с MFTP всё-таки проблемы и хождения транспортных конвертов между Вашими СМ и АП и ЦУСом нет в принципе.

Я не буду расписывать тут весь протокол первичной диагностики (анализ журналов IP-пакетов, проверку IP-маршрутизации и т.п. ...) - это отдельная тема, да и лениво.

Лучше всего - свяжитесь с администратором ViPNet сети, к которой принадлежат Ваши АП и СМ. Он подскажет как Вам действовать дальше. Уверен, это самый оптимальный вектор действий в Вашей ситуации.