1с удаленный узел не прошел проверку
В данной статье рассказывается об ошибке «Удалённый узел не прошёл проверку» в 1С. Мы затронем причины возникновения неполадки, а также подробно опишем способы, которые помогут в её устранении.
Начиная с 10-ой версии платформы 1С 8.3 был изменён порядок валидации сертификатов. Из-за этого, когда пользователь работает с операционной системой Windows, чтобы проверить легитимность сертификата, система обращается в Интернет, внешний ресурс. Чтобы вышеуказанная операция прошла успешно, необходимо, чтобы человек, который запустил rphost в 1С, мог обращаться в Интернет, при этом должен быть доступ к самому ресурсу.
В случае, когда первичные настройки доступа в Интернет не были верно установлены, могут появляться следующие ошибки:
· когда задавались запросы к сервисам в Интернете, либо при определении адреса веб-сервиса, возникает ошибка «Удалённый узел не прошёл проверку» (её вид в системе 1С показан на скриншоте ниже):
Рис. 1 Ошибка Удаленный узел не прошел проверку в 1С
· когда происходит попытка исполнения OpenID, в авторизации вроде «Ошибка подключения к OpenID провайдеру», в техническом журнале системы 1С возникает «Ошибка работы с Интернет: Удалённый узел не прошёл проверку» (текст данной ошибки указан на скриншоте ниже):
Рис. 2 Ошибка работы с Интернет 1С
2. Диагностика ошибки «Удаленный узел не прошел проверку»
Обычно в данном случае неполадка заключается в том, что пользователь не имеет доступ к нужной странице в Интернете.
Специальной блокировки сайтов, которые предназначены, чтобы проводить валидацию сертификатов, нет. Так что в данной ситуации, наиболее вероятно, что у пользователя нет доступа ни к одному сайту. Чтобы это проверить запускается браузер: необходимо кликнуть на «Shift» и на ярлык браузера, после чего выбрать «Запустить от имени другого пользователя». Лучше всего выяснять на конкретном примере, где произошла ошибка.
Чаще всего, причинами служат следующие факторы:
· файл hosts повлиял на блокированный ресурс;
· из-за работы прокси-сервера нет возможности зайти на ресурс;
· firewall заблокировал сайт;
· антивирус заблокировал сайт.
Чтобы более детально продиагностировать ошибку, если она не входит в список типичных, лучшим решением будет настройка сбора добавочных event-логов в ОС Windows.
3. Устранение ошибки «Удаленный узел не прошел проверку»
Разберём каждый случай из диагностики ошибки «Удаленный узел не прошел проверку» в 1C:
1. с антивирусом и браузером Firewall решение очевидное: проверяем блокируемые ресурсы и сверяем, содержится ли там ресурс, который блокируется в конкретном случае – если да, то необходимо отключить его блокировку;
2. если дело в работе прокси-сервера, то необходимо провести следующий алгоритм действий:
· запускаем браузер Internet Explorer как пользователь, с чьего имени запускается rphost в 1С;
· во вкладке «Свойства браузера» переходим в следующую вкладку, «Подключения», и кликаем на «Настройка сайта»;
· когда указывается в настройках, что был использован прокси-сервер и, при этом, согласно политике безопасности, тогда отключаем работу прокси-сервера, для чего убираем лишнюю «галочку» с соответствующей настройки, как показано на скриншоте ниже:
Рис. 3 Отключение работы прокси-сервера
· в случае, если, всё-таки, прокси-сервер действует по предусмотрению, то необходимо дать доступ к прямому обращению к ресурсам, к которым система 1С обращается, чтобы сделать валидацию сертификата, для чего кликаем на «Дополнительно» и прописываем нужный ресурс в виде исключительного случая для прокси-сервера:
Рис. 4 Исключение для работы прокси-сервера
3. Если проблема возникает из-за того, что файл hosts производит блокировку доступа к сайтам, проверяем это, как показано ниже:
Рис. 5 Проверка блокировки доступа к сайтам
Далее показано, где находится заблокированный ресурс в файле и как его устранить:
Рис. 6 Устранение блокировки доступа к сайтам
Один из вышеприведённых способов обязательно решит ошибку «Удалённый узел не прошёл проверку» в 1С.
В данной статье было описано две вариации ошибки в 1С 8.3 «Удалённый узел не прошёл проверку», проведена диагностика данных ошибок, а также представлены алгоритмы, при помощи которых, можно устранить неполадку.
Диагностика ошибок ОС Windows при проверке сертификата
Начиная с версии 8.3.12 платформа "1С:Предприятие" при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: " Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата ". Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера "1С:Предприятия".
Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.
-
По умолчанию журнал не ведется и его следует включить. (Здесь и далее инструкция приводится для Windows 10).
В меню Пуск выберите Средства администрирования – Просмотр событий .
В окне Просмотр событий в списке Журналы приложений и служб выберите Microsoft – Windows – CAPI 2 – Operational .
В списке Действия выберите Включить журнал .
Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:
В разделе System указаны дополнительные сведения. Например:
В данном разделе полезно знать UserID . Этот параметр содержит сведения о пользователе, от имени которого была выполнена операция.
В случае из примера причина невозможности проверки отзыва сертификата сервера - в том, что доступ к http://crl4.digicert.com/DigiCertGlobalRootCA.crl есть только у доменных пользователей, а сервер "1С:Предприятия" запущен как сервис от имени локального пользователя.
Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.
Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).
Варианты настройки платформы
Платформа "1С:Предприятие 8" поддерживает следующие варианты настройки проверки отзыва сертификата:
- По умолчанию. – С получением исключений "Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата".
- Настройка, позволяющая игнорировать ошибки проверки отзыва сертификата и не вызывать на них исключения.
Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
В случае применения данной настройки ответственность возлагается на пользователя.Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:
IgnoreServerCertificatesChainRevocationSoftFail=true
Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.
Безопасность для многих всегда идет на первом месте, многие интернет-гиганты, типа Google даже добавляют в свои браузеры предупреждения, что соединение не безопасно, если на сайте не используется SSL-сертификат.
Реквизиты в полях Network Domain, Server Name и Administartor Email произвольные. Реквизиты в полях Network Domain, Server Name и Administartor Email произвольные.Жмем Next > Next > Next. Выбираем Typical.
LoadModule ssl_module modules/mod_ssl.so
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
</IfModule>
<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLSessionCache none
</IfModule>
5. Из каталога bin установленной папки с Apache cкопируем файлы ssleay32.dll и libeay32.dll в C:\Windows\System32 . Так же скопируем файл openssl.cnf из папки c:\Program Files\Apache Software Foundation\Apache2.4\conf\ в папку c:\Program Files\Apache Software Foundation\Apache2.4\bin\.
6. Запустим редактор реестра regedit (Пуск > Выполнить ввести текст regedit и нажать Enter) откроется окно реестра в нем найдем ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Apache2.4
В этой ветке найдем переменную ImagePath и два раза кликнем на ней.
7. Добавим SSL-сертификаты для домена. Тут есть варианты.
7.1. Если у Вас уже есть SSL-сертификаты для домена, то создайте папку ssl в папке C:\Program Files\Apache Software Foundation\Apache2.4\conf и переместите их туда (файлы *.key и *.cert). Идем на шаг 8.
7.2. Если у Вас нет SSL-сертификатов, то вы можете их сгенерировать самостоятельно.
7.2.1. Открываем командную строку в режиме администратора и переходим в папку bin Apache. Вводим команду:
cd "C:\Program Files\Apache Software Foundation\Apache2.4\bin"
7.2.2. Далее вводим:
openssl req -config openssl.cnf -new -out ssl.csr
Идем по шагам в командной строке и заполняем необходимые поля. То, что вы введете не принципиально. Самое главное на этом этапе надо запомнить пароль (когда спросит pass phrase)
openssl rsa -in privkey.pem -out ssl.key
Спросит пароль, который вы вводили ранее.
openssl x509 -in ssl.csr -out ssl.cert -req -signkey ssl.key -days 3000
days - это срок действия сертификата в днях.
7.2.5. Ну и наконец:
openssl x509 -in ssl.cert -out ssl.der.crt -outform DER
7.2.6. Создадим папку ssl в C:\Program Files\Apache Software Foundation\Apache2.4\conf и переместим из папки bin файлы ssl.key и ssl.cert (а вообще можно все сразу туда скопировать, что было получено на шагах 7.2.1. - 7.2.5) из C:\Program Files\Apache Software Foundation\Apache2.4\bin в C:\Program Files\Apache Software Foundation\Apache2.4\conf\ssl.
9. Перезапустим Apache. Открываем Monitor в правом нижнем углу, щелкнем по иконке и нажимаем restart. Если все хорошо, то Apache запустится без ошибок и появится зеленый значок.
11. Теперь попробуем запустить 1С. В браузере открывается:
Теперь попробуем открыть базу через тонкий клиент и если мы использовали самодписанный сертификат то тут нас ждет разочарование:
Открываем командную строку и в ней выполняем команду:
openssl x509 -inform der -in ssl.der.crt -out ssl.pem -text -fingerprint -md5
После выполнения команды на экране Вы увидите Fingerprint. Скопируйте его. Это будет строка вида:
MD5 Fingerprint=64:5C:11:03:46:F1:22:9A:5B:C3:DD:AA:CC:EE:FF:A3
Откройте файл cacert.pem в папка 1С, перейдите в конец файла и с этой строки начинайте добавление своего сертификата в файл cacert.pem. После строки контрольной суммы сертификата, нужно добавить в файл cacert.pem содержимое файла, в который Вы экспортировали сертификат.
После этого запуск тонкого клиента будет работать без ошибок.
Если же и после этого есть ошибки, то можно вообще заставить клиент 1С не проверять сертификат. Для этого необходимо отредактировать информационную базу:
Решение проблемы: Удаленный узел не прошел проверку: Не удалось выполнить проверку отзыва сертификата
АДМИНИСТРИРОВАНИЕ 1С 8 → перейти в меню [СТАТЬИ И ИНСТРУКЦИИ]На сервере установлена платформа 1С Предприятие. Так же для дополнительной защиты системы настроен программный продукт Kerio Control. Последняя версия платформы (начиная с 8.3.12) при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера.
Поэтому без дополнительной настройки 1С и Kerio Control, платформа не может выполнить данную проверку из-за ограничений межсетевого экрана. При настройке автоматического обновления в программе выскакивает ошибка «Удаленный узел не прошел проверку: не удалось выполнить проверку отзыва сертификата».
Для того, чтобы 1С могла проверить обновления через Керио, нужно добавить в группу URL следующие адреса:
Еще адреса доверенных центров сертификации, которые иногда "проскакивают" на сайте 1С:
Но и после добавления URL в исключения, не решило проблему. Всё дело в необходимости проверки сертификата самой 1С. Для того, чтобы сама платформа игнорировала ошибку проверки сертификата, нужно найти файл conf.cfg (C:\Program Files (x86)\1cv8\<Ваша версия платформы>\bin\conf). Открыть с правами Администратора с помощью любого текстового редактора(блокнота). И добавить строку:
IgnoreServerCertificatesChainRevocationSoftFail=true
Должно получиться как на скриншоте (см.выше). Сохранить и закрыть conf.cfg . Запускайте платформу и пробуем настроить автоматическое обновление. Проверяйте - обновление должно пройти успешно!
Читайте также: