Ошибка установки защищенного ssl tls соединения 1с
Диагностика ошибок ОС Windows при проверке сертификата
Начиная с версии 8.3.12 платформа "1С:Предприятие" при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: " Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата ". Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера "1С:Предприятия".
Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.
-
По умолчанию журнал не ведется и его следует включить. (Здесь и далее инструкция приводится для Windows 10).
В меню Пуск выберите Средства администрирования – Просмотр событий .
В окне Просмотр событий в списке Журналы приложений и служб выберите Microsoft – Windows – CAPI 2 – Operational .
В списке Действия выберите Включить журнал .
Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:
В разделе System указаны дополнительные сведения. Например:
В данном разделе полезно знать UserID . Этот параметр содержит сведения о пользователе, от имени которого была выполнена операция.
В случае из примера причина невозможности проверки отзыва сертификата сервера - в том, что доступ к http://crl4.digicert.com/DigiCertGlobalRootCA.crl есть только у доменных пользователей, а сервер "1С:Предприятия" запущен как сервис от имени локального пользователя.
Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.
Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).
Варианты настройки платформы
Платформа "1С:Предприятие 8" поддерживает следующие варианты настройки проверки отзыва сертификата:
- По умолчанию. – С получением исключений "Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата".
- Настройка, позволяющая игнорировать ошибки проверки отзыва сертификата и не вызывать на них исключения.
Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
В случае применения данной настройки ответственность возлагается на пользователя.Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:
IgnoreServerCertificatesChainRevocationSoftFail=true
Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.
Найденные решения:
Ошибка наблюдается, в частности, в случае, когда меняются настройки почты. Например мне довелось столкнуться в случае, когда ввели для почты SSL-шифрование. Если это Ваш случай, то из быстрых и простых остается только обновление до версии платформы 8.3, где поддержка этого шифрования для "ИнтернетПочтовыйПрофиль" реализована. И доработка кода типовых конфигураций для учета настроек SSL-шифрования и включения у почтового профиля.
Сопровождающие проблему ошибки:
Яндекс.Почта
адрес_почты@yandex.ru. : Ошибка при вызове метода контекста (Подключиться): Почтовый ящик пользователя "адрес_почты@yandex.ru" на сервере "pop.yandex.ru" не найден. Ответ сервера: "[AUTH] Working without SSL/TLS encryption is not allowed. Please visit https://help.yandex.ru/mail/mail-clients/ssl.xml. sc=NXhLmqHbM4YK"
Не включено SSL-шифрование для учетной записи электронной почты. Ошибка при вызове метода контекста (Подключиться): Can not authenticate to POP3 server: POP3 is available only with SSL or TLS connection enabled
В паролях для почты не использовать спецсимволы, пример из опыта: в пароле к почте был символ "+", пока из пароля не убрали, соединение не происходило! Система выдавала ошибку: Ошибка при вызове метода контекста (Подключиться): Can not authenticate to SMTP server: 535 5.7.8 Error: authentication failed: Invalid user or password!
Разработчики 1С вносят фунционал в рабочие конфигурации, например: УТ 10.3.30.1 от 26.09.2014, описание обновления: В справочник "Учетные записи электронной почты" добавлены реквизиты "Использовать защищенную версию протокола SMTP" и "Использовать защищенную версию протокола POP3". При установке этих реквизитов предоставляется возможность подключаться к почтовым серверам через безопасное соединение (SSL). Реквизиты доступны при использовании версии платформы не ниже 8.3.1.
Найденные решения:
Ошибка наблюдается, в частности, в случае, когда меняются настройки почты. Например мне довелось столкнуться в случае, когда ввели для почты SSL-шифрование. Если это Ваш случай, то из быстрых и простых остается только обновление до версии платформы 8.3, где поддержка этого шифрования для "ИнтернетПочтовыйПрофиль" реализована. И доработка кода типовых конфигураций для учета настроек SSL-шифрования и включения у почтового профиля.
Сопровождающие проблему ошибки:
Яндекс.Почта
адрес_почты@yandex.ru. : Ошибка при вызове метода контекста (Подключиться): Почтовый ящик пользователя "адрес_почты@yandex.ru" на сервере "pop.yandex.ru" не найден. Ответ сервера: "[AUTH] Working without SSL/TLS encryption is not allowed. Please visit https://help.yandex.ru/mail/mail-clients/ssl.xml. sc=NXhLmqHbM4YK"
Не включено SSL-шифрование для учетной записи электронной почты. Ошибка при вызове метода контекста (Подключиться): Can not authenticate to POP3 server: POP3 is available only with SSL or TLS connection enabled
В паролях для почты не использовать спецсимволы, пример из опыта: в пароле к почте был символ "+", пока из пароля не убрали, соединение не происходило! Система выдавала ошибку: Ошибка при вызове метода контекста (Подключиться): Can not authenticate to SMTP server: 535 5.7.8 Error: authentication failed: Invalid user or password!
Разработчики 1С вносят фунционал в рабочие конфигурации, например: УТ 10.3.30.1 от 26.09.2014, описание обновления: В справочник "Учетные записи электронной почты" добавлены реквизиты "Использовать защищенную версию протокола SMTP" и "Использовать защищенную версию протокола POP3". При установке этих реквизитов предоставляется возможность подключаться к почтовым серверам через безопасное соединение (SSL). Реквизиты доступны при использовании версии платформы не ниже 8.3.1.
Участник
удалить crypto pro 3.6 а crypto pro 4 поставить. Т.е не поверх накатывать. т.е Лучше сделать "чистую" установкуdimon
Участник
Удалил крипто про полностью.Теперь при запуске msi установщик дает ошибку:
There is a problem with this Windows Installer package/ A DLL required for this install to complete could not be run. Contact your support personnel or package vendor. Action CheckDll entry: CheckDll, library:
C:\Windows\system32\config\SYSTEM
- -Подумал и добавил - -
Заработало, грохнул процесс инсталлятора, перезагрузил комп. Теперь вроде работает все. Спасибо всем
Apossum
Участник
В общем дело сводится к обновлению браузера, обновлению крипто про или плагина криптопро CSP ?:kaktus:deadushka
Участник
Попробуйте выполнить следующие действия с правами администратора:
- выбрать в меню "Пуск" пункт "Выполнить".
- последовательно выполнить две команды:
Альтернативно, можно попробовать переустановить КриптоПро CSP.
Другие возможные причины возникновения ошибки "Невозможно отобразить страницу" в Internet Explorer:
1. Не включено использование протоколов шифрования SSL\TLS.
Для включения протоколов необходимо в Свойствах обозревателя Internet Explorer ("Cервис" - "Свойства Обозревателя"), на вкладке "Дополнительно" в среди параметров в разделе "Безопасность" отметить пункты "SSL 3.0" и "TLS 1.0".
Если доступ в интернет осуществляется через прокси-сервер, например, на работу через прокси-сервер настроен браузер IE, необходимо добавить узел в исключения для прокси-сервера, либо отключить его использование (Сервис - Свойства обозревателя - Подключения - Настройка сети - Дополнительно). Если используются какие-либо средства фильтрации трафика, то следует проверить, открыт ли доступ к запрашиваемому узлу
Для проверки доступности узла через 443 порт можно воспользоваться утилитой командной строки telnet для операционных систем Windows.
Для этого необходимо:
- выбрать в меню "Пуск" пункт "Выполнить";
- в окне "Запуск программы" ввести команду "cmd" и нажать "ОК";
- в командной строке Windows ввести
Служба Тelnet в ОС Windows Vista, 7, 8 и 8.1 по-умолчанию отключена. Для включения службы необходимо в меню "Пуск" - "Панель управления" - "Программы и компоненты" - "Включение и отключение компонентов Windows" отметить пункт "Клиент Telnet".
Действия необходимые для открытия доступа зависят от способа организации интернет-подключения и в этом случае необходимо обратиться к системному администратору организации.
3) Не установлен корневой сертификат Удостоверяющего центра.
Корневые сертификаты УЦ должны быть доступны на сайте этого УЦ (сайте организации-владельца УЦ).
Установка корневых сертификатов производится следующим образом:
- Открыть сохраненный сертификат и нажать "Установить сертификат";
- в появившемся окне мастера импорта сертификатов нажать кнопку "Далее";
- в следующем окне необходимо выбрать пункт "Поместить сертификат в следующее хранилище" и нажать кнопку "Обзор" для выбора хранилища;
- выбрать хранилище "Доверенные корневые центры сертификации" и нажать кнопку "OK";
- завершить установку сертификата, нажав кнопку "Готово".
4) Не установлено или некорректно установлено ПО СКЗИ КриптоПро CSP.
- антивирусное программное обеспечение;
- вредоносное программное обеспечение, вирусы или последствия их работы;
- другие криптопровайдеры (ЛИССИ-CSP, VipNET CSP и подобные).
Установку КриптоПро CSP необходимо производить, используя последние сборки дистрибутива, необходимой версии КриптоПро CSP (для КриптоПро CSP 3.6 последней является КриптоПро CSP 3.6 Revision 4 \ R4), предварительно отключив ПО антивирусной и проактивной защиты (т.к. их использование может приводить к некорректной установке КриптоПро CSP).
5) Истек срок лицензии КриптоПро CSP.
Срок использования демонстрационной версии КриптоПро CSP ограничен 90 днями с момента установки.
Также есть возможность ввести ключ лицензии для установленного ПО КриптоПро CSP через Панель управления: "Панель управления" - "КриптоПро CSP", вкладка "Общие".
Для версии 3.6 R4 на этой вкладке необходимо нажать кнопку "Ввод лицензии". В результате откроется диалоговое окно мастера установки КриптоПро "Сведения о пользователе" с полем для ввода ключа лицензии.
В более ранних ревизиях КриптоПро CSP на вкладке "Общие" может отображаться ссылка "КриптоПро PKI". При ее нажатии откроется MMC-оснастка "КриптоПро PKI". Для указания ключа лицензии в разделе "Управление лицензиями" необходимо вызвать контекстное меню для пункта "КриптоПро CSP" и выбрать команду "Все задачи" - "Ввести серийный номер".
6) Браузер Internet Explorer не принимает серверный сертификат узла
Читайте также: