Головна
Програми
Continent tsl client crl не премина повторното потвърждаване. Разширени помилвания при свързване към GІІС „електронен бюджет. Инсталиране на модул за електронен подпис на Cubesign

Continent tsl client crl не премина повторното потвърждаване. Разширени помилвания при свързване към GІІС „електронен бюджет. Инсталиране на модул за електронен подпис на Cubesign

Спомням си онези трудности, които трябваше да платим за създаването на тестови лаборатории в продължение на много години. През 90-те години на миналия век компютрите не бяха толкова евтини, колкото днес, и им трябваха много пари, за да получат тестова среда, ако искаха много машини. Понякога сме имали повод да провеждаме тестове в нашите собствени лабораторни среди само за тези, които не могат да си позволят оборудването за създаване на типична лабораторна среда. Както можете да видите, той извика безлични проблеми. Но нямахме избор, фрагментите на програмата за създаване на дискови изображения бяха или недостъпни, или неподходящи и нямаше страхотно решение за виртуализация на сървъри. Имахме повод да работим усилено с наличните инструменти.

Всичко се е променило значително през остатъка от 15 години и, сякаш по мир, към по-добро. Една от най-значимите промени беше виртуализацията на работни станции и сървъри. С инструменти като VMware или Microsoft Hyper-V вече можем да купуваме сървъри със среден хардуер, базирани на 16GB+ Nehalem процесор оперативна паметче vikonuvat повече сгънати тестове, yakі с право може да симулира нашите физически инсталации.

Въпреки това, докато все още разбираме как проблемите могат да бъдат идентифицирани при работа с тестова среда, инфраструктурата на публичния ключ (PKI) е дълъг списък. Инфраструктура на публичен ключ - важен момент във всяка тестова среда, фрагментите на сертификати са победители в различни ситуации по време на тестване на продукти и технологии на Microsoft. Един от най-важните аспекти на PKI инфраструктурата е наличието на списък за анулиране на сертификати (CRL). Изводът е, че някои решения се нуждаят от успешна повторна проверка на CRL, а някои не. Проблемът се крие във факта, че в документацията на Microsoft не винаги пише, че ако има промяна в ситуацията, това е друга ситуация, трябва да се отгатне дали такава повторна проверка е необходима или не (в противен случай, по-лошо, проверете целия процес на конфигуриране, така че, правилно, правилно, това решение не работи).

Една от стъпките преди неуспеха на повторната проверка на CRL е изпращането на всички сертификати до CRL, които се надяват на клиентите. Ако се страхувате, CRL ревизиите няма да са близо, фрагментите няма да бъдат ревизирани никъде. Очевидно понижаването на нивото на безопасност, така че в повече случаи в средата на предприятието, тази опция не е подходяща, но в тестовите среди, в някакъв среден план, това не е проблем, има няколко начина за растеж .

Ако не искате да активирате повторното потвърждаване на CRL във вашата среда, можете да създадете своя собствена гореща точка за разрешаване на CRL DP сертификати или можете да потвърдите в тестова среда и след това да конфигурирате сървър за сертификати за активиране на CRL DP сертификати.

Нека да разгледаме два начина на vimknennya reverbir CRL.

Предупреждение за преглед на CRL

По първия начин настроихме сертифициращия орган (сертификационен орган), така че VIN да не включва информация за адреса за точката за репликация на CRL в сертификата. За кого отидете в менюто Административни пособияи натискаме.

Малюнок 1

В конзолата, до центъра за сертификати, щракнете с десния бутон върху името на сървъра в левия панел и изберете Мощност (Свойства).

Малюнок 2

На диалозата на властите (Имоти)сървърен сертификат изберете маркер Разширения. Върнете уважение, каквото има в списъка с менюто Изберете разширениецена Точка на разпространение на CRL (CDP). Под него ще знаете някои адреси. Уловете уважението, че първият адрес беше взет. Perekonaytes, scho zhodna s options не е назначен за прапорщик в долната част на диалога. Опции и НЕ ТРЯБВА да бъдат маркирани с отметки.

Бебе 3

Има още един запис в списъка, както е показано в малкото поле по-долу. Помислете отново, че тези опции НЕ са маркирани със следните пропорции: Публикувайте CRL на това местоположение, і Публикувайте Delta CRL на това място.

Малюнок 4

Кликнете върху третия запис в списъка. Моля, имайте предвид, че следващите опции НЕ са маркирани с отметки: Увеличете CRL. Клиентите печелят данни за търсене на местоположения на Delta CRL. (Включете в CRL. Клиентите използват това, за да намерят местоположения на Delta CRL), Включете в CDP разширението на издадените сертификатиі Включете в разширението за IDP на издадени CRL.

Малюнок 5

Натиснете четвъртия запис. Perekonaytes, scho параметри, показани малко по-ниско, не са маркирани от знамена.

Малюнок 6

Натиснете Добреслед като промяната е направена. Може да се наложи да рестартирате Сертификационните услуги, ако е така, за да го направите.

Въведена е по-висока процедура, която позволява на услугата да бъде настроена така, че всички сертификати на CA, които изглежда да включват тази информация. Е, може би ще трябва да получите само един шаблон на сертификат, а не всички сертификати, които виждате в CA. Във всеки случай можете да създадете и персонализирате шаблон на сертификат, за да деактивирате информацията за CRL DP от сертификати, които могат да се видят в допълнение към този шаблон.

За да разгледате, как да практикувате, да натиснете менюто Започнетеи въведете в полето Виконати MMC, след което натиснете ENTER.

Малюнок 7

За новата MMC конзола натиснете менюто Файли изберете опция Добавяне/Премахване на Snap-inДобавете съоръжение, както е показано на малката по-долу.

Малюнок 8

На конзолата Шаблони за сертификатинатиснете разделението Шаблони за сертификатив левия панел. щракнете с десния бутон върху шаблона за сертификат и изберете Мощност (Свойства).

Малюнок 9

В случай на органи, отидете на отметката за шаблона на сертификата Сървър. С отметка Сървързнаете опцията Не включвайте известия за анулиране на сертификати (само за Windows Server 2008 R2 и по-нови версии) ( ). Ако изберете тази опция, сертификатите, които се показват извън този шаблон, без да включват анулиране на сертификат и повторно валидиране на сертификата за такива сертификати, може да не са неуспешни.

Малюнок 10

Създаване на CRL за точка на разширение за вашата тестова среда

Ако не искате да активирате повторното потвърждаване на CRL във вашата среда, можете да създавате powerpoints навсякъде, така че да можете да отмените в тестова среда, след което можете да конфигурирате сървъра за сертификати да активира CRL DP в сертификата. Първата стъпка ще бъде да надстроим CA до целта до точката на разширяване на точката за разпространение на CRL, както можем да направим. Друг начин би бил да създадете CRL DP и да публикувате CRL в CRL DP

Нека коригираме параметрите на точката за разпространение на точката за разпространение на CRL в центъра за сертифициране. По-точни и точни са фрагменти от малки мащаби от корекцията на CA и точките на rozpovsyudzhennya, ще ускорим финия подход, за да не разкрием нищо.

  1. На компютъра с центъра за сертифициране натиснете менюто Започнете, преместете курсора към елемента администрацияи натиснете сертифициращ орган.
  2. В левия панел на конзолата щракнете с десния бутон върху името на сървъра и изберете мощност.
  3. При диалози мощностотидете на отметка Разширения.
  4. С отметка РазширяванеНатиснете Добавете. На терена Адреси (местоположение)въведете URL адреса, който клиентът ще използва, за да се свърже с точката за разпространение на CRL чрез HTTP връзка. IN това дупе http://crl.corp.contoso.com/crld/. Проверете дали имате DNS запис, който задава FQDN от сървъра, на който е назначена точката за разпространение на CRL. Нека създадем начин и да го свържем към уебсайта по-късно.
  5. На терена Zminna (променлива)Натиснете и след това натиснете Вмъкване.
  6. На терена ZminnaНатиснете и след това натиснете Поставете.
  7. На терена ZminnaНатиснете и след това натиснете Поставете.
  8. На терена Адреси (местоположение)въведете .crlв края на реда с адреси и след това натиснете Добре.

Малюнок 11

  1. Изберете опция Включете CRL. Клиентите използват това, за да намерят местоположения на Delta CRL (Включете в CRL. Клиентите използват това, за да намерят местоположения на Delta CRL)і Включете в CDP разширението на издадените сертификатии след това натиснете Zastosuvati (Прилагане). Натиснете не (не)в dialozi, който ви пита за необходимостта от повторно премахване на услугите Active Directoryсертификационни услуги.
  2. Натиснете Добавете.
  3. На терена Адресивъведете UNC път към файловия ресурс, който е подходящата точка за разпространение на CRL. За това приложение използваме file://app1/crldist$/ , de app1 е името на сървъра, което е правилната точка на разпространение на CRL, а пътят към ресурса на CRL DP ще бъде \crldist$. Mi nalashtuєmo tsі адреси на обидните krocі.
  4. На терена ZminnaНатиснете , и тогава Поставете.
  5. На терена ZminnaНатиснете , и тогава Поставете.
  6. На терена ZminnaНатиснете , и тогава Поставете.
  7. На терена Адресивъведете .crlв края на реда и натиснете Добре.

Малюнок 12

  1. Изберете опция Публикувайте CRL на това местоположениеі Публикувайте Delta CRL на това мястои след това натиснете Добре.

Малюнок 13

  1. Сега натиснете даза да преконфигурирате услугите за сертификати на Active Directory.
  2. Затворете конзолите към CA.

Сега нека създадем уеб-базирана точка за разпространение на CRL на машината, където трябва да разпространяваме CRL. Създаваме уеб точка за разпространение на CRL, така че клиентите да имат достъп до CRL чрез HTTP връзка.

  1. С кола, където трябва да отпечатате CRL, натиснете менюто Започнетеи задръжте курсора на мишката върху реда администрация. Изберете диспечер.
  2. Отидете до левия панел на конзолата \Sites\Default Web Site. Кликнете с десния бутон Уеб сайт по подразбиранекоито избират Добавяне на виртуална директория (Добавяне на виртуална директория).

Малюнок 14

  1. Добавяне на виртуален каталог към текстовото поле Псевдонимвъведете CRLD(може би be-yak im'ya, ние избрахме CRLD). Да се ​​изпотим край полето Физически пътнатиснете бутона за пропускане „‘‘.

Малюнок 15

  1. При диалози Прегледайте за папкаизберете запис местен диск(C:) (Локален диск (C:)и натиснете Създайте нова папка (Направете нова папка).
  2. Въведете CRLDistКак да наименувате папката и натиснете ENTER. Натиснете Добре at dialosі Търсене на папка.

Малюнок 16

  1. Натиснете Добре at dialosі Добавете виртуален каталог.

Малюнок 17

  1. Натиснете средния панел на конзолата Преглеждане на директория.
  2. В десния панел на конзолата натиснете Изключване (Активиране).

Малюнок 18

  1. В левия панел на конзолата натиснете папката CRLD.
  2. В средния панел на конзолата щракнете върху иконата Конфигурационен редактор
  3. Щракнете върху стрелката надолу до списъка с неща, които да отворите Роздил (Секция)и отидете на system.webServer\security\requestFilterring.
  4. В средния панел на конзолата натиснете върху записа позволетеDoubleEscapingза да промените стойността Невярнона Вярно.

Малюнок 19

  1. В десния панел на конзолата натиснете Застосуват.

Малюнок 20

  1. затворете конзолата Мениджър на интернет информационни услуги (IIS)..

Сега трябва да коригираме споделянето на файл с точка на разпространение на CRL. Тук решихме да създадем файлов ресурс за създадената папка CRL Distribution Point.

  1. На компютъра, за да проверите CRL DP, натиснете менюто Започнетекоито избират Компютър.
  2. Двойно натискане Локален диск (C:).
  3. В десния панел на изследователя windows explorerнатиснете десния клавиш на татко CRLDistкоито избират мощност.
  4. На диалозата на властите Свойства на CRLDistщракнете върху раздела Горещ достъп (споделяне). На депозит Горещ достъп (споделяне)натискаме бутона Разширяване на подобрения достъп (Разширено споделяне).
  5. В диалоговия прозорец поставяме знамена срещу опциите Дайте споделен достъп до тази папка (Споделете тази папка).
  6. На терена Im'ya zagalnogo ресурс (Име на споделяне)добавете $ например името на предстоящия ранг CRLDist$
  7. При диалози Разширяване на подобрения достъпНатисни бутона Разрешения.
  8. При диалози Разрешете CRLDist$Натиснете Добавете.

Малюнок 21

  1. При диалози Избиране на публични записи на кореспондент, компютър, услуга или група (Избор на потребители, компютри, акаунти за услуги или групи)Натисни бутона Типове обекти (типове обекти).
  2. При диалози Видове обектизадайте опция Компютрии натиснете Добре.
  3. При диалози vibir oblikovogo записползавача, компютър, сервиз або групив текстовото поле Въведете имената на обекти, които да изберете Проверете имената. Натиснете Добре.
  4. При диалози Разрешете CRLDist$изберете името на компютъра, за който се издават Сертификационните услуги от списъка Групови или потребителски имена. В търговията на дребно Остави на мензадайте опция Позволяваза Povny достъп (пълен контрол). Натиснете Добре.

Малюнок 22

  1. При диалози Разширяване на подобрения достъпНатиснете Добре.
  2. При диалози Dominion CRLDistнатиснете маркер Безпека (Сигурност).
  3. С отметка БезпекаНатисни бутона Промяна.
  4. При диалози Разрешаване на CRLDistНатисни бутона Добавете.
  5. Натиснете бутона в диалоговия прозорец Видове обекти.
  6. При диалози Видове обектисложи прапор за опция Компютри. Натиснете Добре.
  7. При диалози Селекция от публични записи на coristuvach, компютри, услуги от всяка групав текстовото поле Въведете имена на обекти, които да изберетевъведете името на компютъра, на който е назначен CA, и щракнете Повторна проверка на имената. Натиснете Добре.
  8. При диалози Разрешаване на CRLDistизберете от списъка името на компютъра, за който е издадена услугата за удостоверяване Имена на групи или потребители. В търговията на дребно Остави на менсложи прапорщик при стовпците позволяваза опция Пълен контрол. Натиснете Добре.

Малюнок 23

  1. Натисни бутон Близо at dialosі Органи CRLDist.
  1. На всички компютри, за да проверите CA, натиснете менюто Започнетеи отидете на администрация. Избирам Център за сертифициране.
  2. В левия панел на конзолата натиснете името на сървъра и щракнете с десния бутон Отменени сертификати, след което задръжте курсора на мишката върху реда Всички задачии изберете опция Публикуване (публикуване).
  3. При диалози CRL публикацияИзбери опция Нов CRLи натиснете Добре.
  4. Натиснете Започнетеи в текстовото поле Търсене на програми и файловевъведете \\\CRLDist$, натиснете ENTER. В каква посока е im'yam компютър, разопаковане на CRL.
  5. По-късно Windows Explorer намери два нови файла в CRL DP файловия сподел.
  1. Затворете прозореца на Windows Explorer.
  2. Затворете CA конзолата.

Висновок

В тези статии разгледахме скиците за редица процедури, които могат да се използват за опростяване на повторната проверка на CRL в тестовата среда. Започнахме да разглеждаме редица начини да активираме пренасочването на CRL в тестовата среда. След това съобщихме, че прегледахме процедурата, в който момент се създава точката на отказ, така че проверката на сертификатите е неуспешна, CRL фрагментите са наистина достъпни. Посочете кое повторно потвърждаване на CRL ще бъде приложено към вътрешни клиенти на вашата тестова среда. Ако имате клиенти, разположени извън границите на вътрешните области, ще трябва да знаете как да публикувате вътрешния CRL на тези външни клиенти. Можете да го направите безпроблемно, а аз не мога да уловя всички числени сценарии в тази статия. Изпратете ми лист, ако имате конкретен сценарий, върху който можете да кликнете, и аз ще напиша статия за това как да публикувам CRL в този сценарий.

клиент пусни ме на работа. Също така е необходимо да конвертирате приставката за роботаJava JRE (Среда, в която функция DІІS) -Инструментариум за внедряване на Java и Java(TM) Platform SE

За кого се нуждаете:

но. Какъв браузър имашInternet Explorer:

отворете Internet Explorer, натиснете бутонаОбслужване(shіstka) и след това изберете елементНалащуват надстройки . Добави към списъка ВизуализирайтеИзбери предмет Usy nadbudovi. Изберете nadbudova, натиснете бутона Unmute и след това - Close.

б. Какъв браузър имашMozilla Firefox , тогава:

щракнете един час ctrl+shift+a (на английски). Изберете артикулПлъгини, знам Джин-клиент, сложи пред новото "Да почакаме".

в Какъв браузър имашGoogle Chrome , тогава:

необходимо е да отворите менюто на браузъра с трима партньори в задната част на екрана, изберете елемента "Допълнителни инструменти" - "Разширение", в менюто завъртете плъгинаджин-клиент. За да активирате приставката, трябва да поставите отметка в квадратчето до името на разширението.

3. Само в хода на предишния параграф, вие не познавахте приставката във вашия браузърджин-клиент і Java , тогава нямате инсталирани програми и трябва да се върнете при системния администратор на вашата организация.

4. Веднага след час за друг артикул, плъгинът ви беше разкритджин-клиент Разрешено е да направите това в браузъра, необходимо е да проверите разрешението в браузъра на разделения прозорец.

За кого се нуждаете:

но. Какъв браузър имашInternet Explorer:

Vіdkryte Internet Explorer , натиснете бутона за обслужване и след това изберете елемента за захранване на браузъра.

В раздела Поверителност на клона „Блокиране на викони за снаждане“ задайте или премахнете знака. Премахнете блокирането на викони за снаждане и натиснете бутона OK.

б. Какъв браузър имашMozilla Firefox, тогава:

Щракнете върху бутона на менюто три услуги и изберете Настройки. - Изберете панел Vmіst - В панела Vmіst близо до разпределението на прозорците за снаждане - Махнете отметката от квадратчето Блокиране на прозорци за снаждане, за да деактивирате блокирането на прозорците за снаждане.

в Какъв браузър имашGoogle Chrome, тогава:

Стартирайте браузъраChrome . - Щракнете върху иконата Shche вдясно горна торбаекран.

Изберете Настройки. - Изберете Покажи dodatkovі nalashtuvannyaв долната част на страната. - Натиснете бутона Регулиране на съдържанието в секцията "Специални данни". - За разпространението на "Hot Vicons" изберете необходимата опция: Разрешаване на показването на обединяващи се викони на всички сайтове.

5. Деактивирайте разширенията за блокиране на реклами в браузъра.

Просто не помагайте: включете едновременно защитната стена, включете антивирусната в този момент.


Едно от най-широкообхватните помилвания на програмата AWP "Електронен бюджет" е помилването, което се дължи при свързване към сървъра, има индекс номер 434. Лесно е да го направите, в повечето случаи помага да направите само 2 неща :

1. Сгъваема надстройка на Continent TLSкъм текущата версия Например, версия номер 920 работеше нестабилно и често завършваше с помилване 434. Сървърът беше разпознат като недостъпен. Текущата версия може да бъде изтеглена от уебсайта securitycode.ru.

2. Проверка на коректността на въведения адресспециален офис на кореспондента на програмата "Електронен бюджет" на TLS Continent, както и номера на порта (8080). Подред не е виновно, че има пропуски или други символи, нито на кочана на реда, нито в края. Правилният адрес би бил: lk.budget.gov.ru(като на снимката). Ако сте инсталирали прокси сървър през браузър, вие сте виновни за заместник ранг. Ако не работите през прокси сървър - квадратчето за отметка TLS не е виновно. Относно по-долу.

Извинете 434 "Недостъпен сървър за разпознаване". Как да подредя?

Сякаш двете преработени опции не ви помогнаха (актуализиране на сгъването и правилно изписване на адреса на специалния офис) - това означава, че проблемът е по-вероятно да се срине при грешна инсталация на root сертификати в центъра, което е очевидно, в противен случай проксито се инсталира в браузъра и извън него.

- Какви сертификати- deyakі koristuvachі в случай на неправилна инсталация на програмата, инсталирайте коренните сертификати на CA и TLS към регистъра, след това след инструкциите правилно - на локален компютър. І тук допълнително прехвърляне на сертификати.

Ако изберете да настроите прокси сървър във вашия браузър, той може да бъде активиран в правилния ред. Трябва да посочите типа прокси-HTTP и да поставите отметка в квадратчето, за да активирате прокси сървъра за всички протоколи. задник закован Браузър Firefoxнисък.

Разширено извинение при свързване към DIVS

« Електронен бюджет»

Ако откриете проблеми с връзките към DIVS "Електронен бюджет", е необходимо да промените настройката:

1. входът в специалния кабинет подлежи на заявка http://л.к. бюджет. gov. en/ udu- уеб център;

2. Проверете настройката на „TLSVPN Continent Client“.

Влезте в настройката на конфигуратора (Старт > Всички програми > Код за защита > Клиент > Задаване на TLSClient Continent), може да се посочи "Порт" 8080 , "Адреси" -lk.Значки "Викорирайте текущия прокси сървър" не е виновен, тъй като организацията не печели текущия прокси сървър, поддръжката на Vimagati на RFC 5746 може да бъде премахната.

След като сертификатът бъде добавен към TLS Continent, полето „Сертификат“ може да бъде зададено на „<»;

Фигура 1. Настройка на услугата

3. Променете настройките на браузъра.

В приложението за браузър MozillaFireFox стартирайте Lookout, въведете параметрите за настройка (меню на главата на браузъра „Инструменти“> „Настройка“> раздел „Допълнителни“> раздел „Мережа“> бутон „Настройка“). Изберете "Ръчно конфигуриране на прокси услугата", в полето прокси въведете стойността 127.0.0.1, "Порт" - 8080. Поставете отметка в квадратчето "Промяна на прокси сървъра за всички протоколи".

Полето "Не мами прокси за" не е виновно, но стойността е 127.0.0.1.

Фигура 2. Параметри на повикване

Типични извинения при свързване към DIVS

« Електронен бюджет»


Опции за прекъсване на връзката: 1) Деактивирайте антивирусната програма. Ако проблемът е решен, променете антивирусните параметри 2) Променете настройките на TLS на браузъра.

2. 403 Достъпът е блокиран. Сертификатът на сървъра се актуализира според посочения в настройките. Срокът на валидност на сертификатите се преразглежда.

Решение: Проверете отново записите в TLS сертификата за имената в реда. виновна плячка"<».

3. Не важи за избор на сертификат.

Решение: Махнете отметката от квадратчето "Vymagati RFC 5746" като брадавица. В противен случай пренапишете други корекции.

4. 403 Достъпът е блокиран. Не е намерен коренен сертификат.

Решение: Повторно инсталиране на сертификата за CA на Федералното съкровище (както вече е инсталиран).

За WindowsXP:

Старт>Vikonati>mmc>конзола>добавете или премахнете щракване>добавете „сертификат” (малък 3) коренови центрове» - "сертификати" десен бутон Mishі ta vibrati (Mal. 4)>всички задачи>импорт>

Бебе 3

Малюнок 4

За Windows 7:

Старт>Vikonati>mmc>файл>добавете или премахнете snap-in>добавете "сертификат" за щракване (фиг. 5)>добавете>my obl_kovo запис>Готово>OK>отворете вместо това и посочете на реда "доверете се на root център" - "сертификати" 6 )>на празно място със сертификати щракнете с десния бутон на мишката и изберете>всички задачи>импорт>изберете необходимия сертификат и инсталирайте.

Малюнок 5

Програми

Можете също да подхождате