Средство командной строки Certutil.exe¶
Средство командной строки Certutil.exe используется для отображения информации о цифровых сертификатах, установленных в клиенте DirectAccess, на сервере DirectAccess или ресурсе интрасети.
Утилита Certutil обладает большим количеством функций, многие из которых описаны в статье Шпаргалка по certutil.
Просмотр сведений о сертификате¶
Для просмотра сведений о сертификате достаточно выполнить:
Так как сведения сертификата содержат много информации, для удобства лучше перенаправить вывод файл:
В примере рассматривается случай когда сертификат находится на рабочем столе. Весь вывод будет записан в файл cert-info.txt .
Подробнее о работе с командной строкой и перенаправлении вывода смотрите в разделе Работа с командной строкой данного руководства.
Проверка отзыва сертификата¶
Чтобы проверить открытый сертификат на отозванность, необходимо:
- Открыть командную строку «Пуск → Выполнить → cmd»;
- Ввести команду certutil -verify и указать путь до сертификата, например, certutil -verify 6654074390-632701001-613402108217.cer ;
Будет показана информация о сертификате. В случае, если сертификат действующий, то будет выведено сообщение:
В случае, если сертификат отозван, то будет выведено сообщение Сертификат ОТОЗВАН (причина=5) и код причины отзыва.
Например, код причины 5 означает, что сертификат отозван по окончанию срока действия.
Проверка SSL-сертификатов на предмет отзыва
В наше время одним из самых важных аспектов безопасной передачи информации является шифрование. Данные при передаче от клиента к серверу зашифровываются с помощью SSL-сертификата. Сертификат – это публичный ключ, заверенный удостоверяющим центром.
Все SSL-сертификаты, как правило, выдаются на ограниченный срок, по окончании которого они теряют силу и должны быть переизданы. Однако бывают случаи, когда сертификат может быть отозван ещё до окончания срока действия. Причин на отзыв SSL-сертификата довольно много, самые распространённые из них – закрытый ключ был утерян или скомпрометирован, изменились регистрационные данные компании и т.п.
Существует 2 альтернативных способа проверить, находится ли SSL-сертификат в списках отзыва:
- CRL (Certificate Revocation List) – проверяется наличие серийного номера сертификата в списке отзыва.
- OCSP (Online Certificate Status Protocol) – сертификат отправляется на специализированный сервер, где проверяется его статус.
Скачаем сертификат интересующего нас домена:
Спасибо legioner за подсказку добавить параметр -servername — он необходим для правильного выбора сертификата, если на один IP-адрес их установлено несколько (SNI).
Смотрим детали сертификата:
Здесь нас интересует в разделе «X509v3 CRL Distribution Points» пункт «Full Name».
Скачиваем по этой ссылке список CLR:
Выдираем серийный номер сертификата:
Смотрим, есть ли этот номер в списке CRL:
Если ничего не нашлось, значит сертификат не является отозванным.
Выведем на экран сертификат интересующего нас домена и цепочки промежуточных (Intermediate) сертификатов:
Сохраним в файлы сертификат домена и промежуточный сертификат (код между строками ——BEGIN CERTIFICATE—— и ——END CERTIFICATE——):
Отправим запрос OCSP-серверу проверить сертификат на предмет отзыва:
Если всё указали правильно, то OCSP-сервер должен вернуть информацию по сертификату.
Здесь интерес представляют последние строчки:
Об отсутствии сертификата в списке отозванных говорит значение «good», если же сертификат отозвали, то значение будет «revoked».
Автоматизация
Проверять SSL-сертификаты на предмет отзыва вручную не всегда удобно, поэтому процесс проверки можно автоматизировать.
Для этого берём с Github готовый скрипт ssl-check-revoc.sh, который осуществляет проверку сертификатов методом CRL:
Далее делаем скрипт исполняемым:
Теперь можно проверять как уже установленные сертификаты для домена, так и сохранённые локально в файлы (опция -f):
Zabbix
Скрипт ssl-check-revoc.sh может проверять сертификаты не только из консоли, он также вполне подходит в качестве чекера для Zabbix, поэтому всю грязную работу по отслеживанию попадания сертификатов в список отзыва можно поручить системе мониторинга.
Заходим в конфиг Zabbix /etc/zabbix/zabbix_server.conf и смотрим, где лежат скрипты для внешних проверок:
Копируем в этот каталог наш скрипт и рестартуем Zabbix:
Заходим в веб-интерфейс и создаём шаблон (Configuration >> Templates >> Create template). В качестве имени шаблона указываем «Template SSL Checking». Затем внутри шаблона создаём элемент данных (Item) «SSL Certificate in Revocation List», в качестве ключа указываем «ssl-check-revoc.sh[
Также понадобятся два триггера:
1. Для сигнализации отзыва сертификата «Certificate for domain
Expression: «].last()>=1″
2. Для сигнализации об ошибке на случай, если что-то пойдёт не так (например возникнут проблемы с CLR-сервером и т.п.) «Error to check certificate for domain
Expression: «].last()>=2″
Не забываем в экшенах (Configuration >> Actions) настроить способ оповещения в случае срабатывания триггеров.
Теперь осталось создать хосты, сертификаты которых будем регулярно проверять (Configuration >> Hosts >> Create host). На вкладке Templates прилинковываем наш темплейт «Template SSL Checking».
И всё! Можно спать спокойно: если SSL-сертификат вашего домена по какой-либо причине попадёт в список отозванных, Zabbix сразу же вам сообщит.
Сертификат не действителен. Не удалось проверить сертификат в списке отозванных т.к. соответствующий сервер в состоянии offline (код ошибки 103,104).
Ошибка связана с тем, что на компьютере не установлен актуальный список отозванных сертификатов Удостоверяющего Центра.
1. В программе 1С пройти по пути: Сервис — Обмен электронными документами — Профили настроек ЭДО (зайти в профиль) — закладка «Сертификаты организации» (открыть сертификат) — Все действия — Сохранить сертификат в файл.
2. Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Точки распространения списков отзыва (CRL)» и скопировать ссылку на список отзыва Удостоверяющего Центра (ссылка должна заканчиваться на .crl):
3. Скачать по данной ссылке через браузер список отзыва.
4. Навести курсор на скаченный файл, нажать правую клавишу мыши и выбрать пункт «Установить список отзыва (CRL)». В «Мастере импорта сертификатов» на этапе определения хранилища необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».
Если после этой процедуры ошибка не исчезнет, рекомендуем дополнительно скачать и установить список отзыва Головного Удостоверяющего Центра. Для этого нужно зайти в файл скаченного сертификата (см. пункт 1 данной инструкции), перейти на закладку «Путь сертификации» и открыть сертификат Удостоверяющего Центра (как правило, он располагается посередине цепочки сертификации). Ссылку на список отзыва ищем по аналогии с пунктом 2 данной инструкции:
Установка этого списка отзыва проводится тем же способом, что описан выше.
Не удалось выполнить проверку отзыва сертификата 1С
Помощь экспертов ЭДО по любым вопросам работы ЭДО в 1С. Гарантия на услуги до 12 мес.
При работе с online сервисами 1С и других разработчиков, где необходимо обращение к электронной подписи, пользователи часто сталкиваются с ошибками ее проверки. Что делать, если не удалось выполнить проверку отзыва сертификата 1С и какие еще возникают ошибки работы с ЭДО, разбираем подробно с вариантами решений.
Что вообще такое списки отзывов сертификатов
Certificate Revocation List или список отозванных сертификатов – это информация, предоставляемая удостоверяющими центрами о недействительных сертификатах, о тех, чей срок действия уже либо закончился, либо был прерван по различным обстоятельствам.
Ключи могут отзываться по различным причинам. Самые распространенные:
- компрометация ключа или истечение срока годности ЭП;
- неверно заполненные реквизиты в составе ключа;
- поменялся владелец компании или ресурса;
- если речь идет про ключи сайтов, сайт более недоступен, перестал работать.
Список отозванных сертификатов ключей электронных подписей имеет расширение CRL. Сокращенное наименование СОС. В некоторых кругах можно услышать также понятие — Список аннулированных сертификатов (САС).
В настоящий момент (процесс был запущен еще в далеком 2017 г.) все чаще прибегают к отказу от СОС в сторону Online Certificate Status Protocol (OCSP, Онлайн Протокол Состояния Сертификата).
Принципы работы списков отозванных сертификатов
Актуализирует и публикует списки отозванных сертификатов САС Certificate Authority (CA — центр сертификации), который данный сертификат и выпустил.
Предпосылки для отзыва сертификата
Причины, по которым требуется аннулировать сертификат:
Почему аннулирован сертификат ключа проверки ЭП
Отправляет запрос на аннулирование/отзыв сертификат:
- Владелец.
- Директор компании.
- ФНС может послать запрос, если обнаружит компрометацию ключа.
Ошибка работы с ЭДО в 1С. Сертификат не прошел проверку или отозван
Пользователи онлайн-сервисов 1С нередко спрашивают: почему только недавно все работало, а теперь программа пишет, что сертификат недействительный или не удалось проверить сертификат в списке отозванных. Почему же этот сертификат не удалось проверить? Ответ прост: потому что на ПК нет установленных актуальных СRL-сертификатов от удостоверяющих центров, которые бы «сказали», что сертификат все еще действителен.
Для того, чтобы установить списки отозванных необходимо выполнить следующие шаги:
-
Из своей 1С выгрузить открытую часть ключа сертификата. Для этого необходимо идти по цепочке таких действий:
Администрирование → Обмен электронными документами → Настройка электронной подписи и шифрования → Найти необходимый сертификат и двойным щелчком его открыть → Сохранить в файл → Выбрать удобную папку и нажать ОК.
Если сертификатов и организаций много, можно открыть Учетную запись ЭДО и выгрузить сертификат оттуда.
Выгрузка открытой части ключа из программы 1С
Выгрузка открытой части ключа из программы 1С
Выгрузка открытой части ключа из программы 1С
Как найти Точки распространения списков отозванных в открытой части ключа электронной подписи в 1С
- Если по крайней не скачивается, проверьте весь ли путь скопировали.
- Если после установки сертификата ничего не изменилось, попробуйте следующую ссылку (снизу вверх).
- Ошибка воспроизвелась опять? Установите СОС по всей цепочке сертификации.
- Если и после этих действий ошибка остается, скачайте списки отозванных сертификатов с официального сайта вашего удостоверяющего центра (там данные публикуются и обновляются ориентировочно раз в сутки).
- Все еще сертификат недействителен? Проверьте валидность ключа на сайте госуслуг или иным способом. Обратитесь в УЦ за проверкой ключа.
Как выглядит ссылка на списки отозванных (аннулированных) в открытой части электронной подписи
Скачиваем списки отозванных по ссылке через браузер
При прохождении по ссылке может выйти ошибка:
Ошибка перехода по ссылке из сертификата для скачивания СОС
В таком случае, как было указано ранее, можно попробовать скачать сертификат по другой ссылке из открытой части ключа ЭП.
Как выглядят скачанные списки отозванных сертификатов
Как выглядят скачанные списки отозванных сертификатов
На сайте ФНС находятся также различные сертификаты, которые можно скачать и установить (от доверенных корневых до отозванных списков).
Сертификаты, которые можно скачать с сайта ФНС России
Сертификаты, которые можно скачать с сайта ФНС России
Сертификаты, которые можно скачать с сайта ФНС России
Устанавливаем СОС
Откроется мастер импорта сертификатов, так называемый, помощник в установке сертификатов на компьютер.
Нажимаем Далее → Автоматически выбирать хранилище на основе типа сертификата → Готово.
Автоматическая установка списков отозванных сертификатов на персональный компьютер
Автоматическая установка списков отозванных сертификатов на персональный компьютер
Автоматическая установка списков отозванных сертификатов на персональный компьютер
Если выбирать пункт Поместить все сертификаты в следующие хранилища важно выбрать правильное хранилище, а именно: Промежуточные центры сертификации. И если активирована функция Показать физические хранилища указать Реестр (в зависимости от политики безопасности компании).
Установка отозванных списков в Промежуточные центры сертификации
Установка отозванных списков в Промежуточные центры сертификации
Если установка списков отозванных для личного сертификата не помогла, установите списки отзывов от других сертификатов из цепочки сертификации.
Цепочка сертификатов в открытой части электронной подписи
Удаленный узел не прошел проверку
Сообщение, которое также связано с корректной проверкой сертификатов.
Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
С помощью операционной системы Windows платформа 1С:Предприятие проводит проверку сертификата средствами защищенного соединения TLS/SSL.
SSL (Secure Sockets Layer) — это протокол безопасности в Интернете, основанный на шифровании. Впервые он был разработан компанией Netscape в 1995 году с целью обеспечения конфиденциальности, аутентификации и целостности данных при общении через Интернет. SSL является предшественником современного шифрования TLS, используемого сегодня.
Веб-сайт, реализующий SSL/TLS, имеет в своем URL-адресе «HTTPS» вместо «HTTP». Протокол TLS (Transport Layer Security) основан на протоколе SSL. Безопасность транспортного уровня, или TLS, — это широко распространенный протокол безопасности, предназначенный для обеспечения конфиденциальности и безопасности данных при обмене данными через Интернет.
1С-ЭДО — встроенный сервис в 1С
Подходит малому бизнесу для типовых 1С. Оперативное подключение и настройка от экспертов ЭДО