Не удалось инициализировать возврат сертификата

Зачастую после установки SSL-сертификатов многие пользователи сталкиваются с ошибками, которые препятствуют корректной работе защищенного протокола HTTPS.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:

Но при наличии ошибок она выглядит несколько иначе:

Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

• Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
• Ненадежный SSL-сертификат;
• Брандмауэр или антивирус, блокирующие сайт;
• Включенный экспериментальный интернет-протокол QUIC;
• Отсутствие обновлений операционной системы;
• Использование SSL-сертификата устаревшей версии 3.0;
• Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

создаю Сертификат

makecert.exe» -n CN=»<имя компьютера>.europe.corp.microsoft.com» -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localmachine -sky exchange -sp «Microsoft RSA SChannel Cryptographic Provider» -sy 12 -e 12/12/2023 -a sha1 -r «c:\1\sqlr2.cer»

добавляю в личные сертификаты .В реестре правлю

HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\MSSQL14.MSSQLSERVER\MSSQLSERVER\SuperSocketNetLib

слепок сертификата , в Диспетчер конфигурации SQL Server, затем «Настройка сети SQL Server», в разделе «Протоколы для MSSQLSERVER» «Свойства» и перейдите на вкладку «Сертификат указываю свой Сертификат , делаю рестарт sql и службы не стартуют

в error log
SQL Server не удалось создать поток FRunCommunicationsManager. Просмотрите журнал ошибок SQL Server и журналы событий Windows и попытайтесь найти сведения о похожих проблемах.

Не удалось запустить сетевую библиотеку из-за ее внутренней ошибки. Чтобы определить причину этой ошибки, откройте журнал ошибок и изучите ошибки, которые произошли непосредственно перед ее возникновением.

Не удалось инициализировать TDSSNIClient. Ошибка 0x80092004, код состояния 0x1. Причина: Initialization failed with an infrastructure error. Check for previous errors. Cannot find object or property.

Не удалось инициализировать TDSSNIClient. Ошибка 0x80092004, код состояния 0x80. Причина: Unable to initialize SSL support. Cannot find object or property.

Что я делаю не так ?

Вопрос

Ошибка инициализации TDSSNIClient с ошибкой 0x80092004, код состояния
  0x1. Причина: Ошибка инициализации с ошибкой инфраструктуры. Проверьте
  для предыдущих ошибок. Не удается найти объект или свойство.

Ошибка инициализации TDSSNIClient с ошибкой 0x80092004, код состояния
  0x80. Причина: Не удалось инициализировать поддержку SSL. Не удается найти объект или
  имущество.

Инициализация сертификата FallBack завершилась неудачно с кодом ошибки: 1,
  состояние: 20, номер ошибки: 0.

Из комментариев:

  
  
  
  

0
2016-06-01T16:29:54+00:00
1

1-го июня 2016 в 4:29
37 просмотров

1-го июня 2016 в 6:54

2016-06-01T18:54:29+00:00

#83555596

SQL Server говорит вам, что не может найти некоторые из ваших системных баз данных (модель и MSDB).

Убедитесь, что файлы существуют и что SQL Server имеет разрешение на доступ к ним. SQL ищет в E: \ sql12_main_t.obj.x86Release \ sql \ mkmastr \ databases \ mkmastr.proj , и именно там они и должны быть.

Если их там нет, восстановите их из резервной копии. (Кто-то удалил их?)

Похожие сообщества
4

Общаемся и обсуждаем темы, посвященные DBA, PostgreSQL, Redis, MongoDB, MySQL, neo4j, riak и т.д.
См. также: @devops_ru, @kubernetes_ru, @docker_ru, @nodejs_ru
Рекомендуем сразу отключить уведомления, чтобы пребывание здесь было полезным и комфортным.

Канал для тех, кто знает или интересуется SQL 🛢
Взаимная помощь и позитив =)
Вакансии тут — @sql_jobs !
Бан за: оскорбления, спам, рекламу, расизм, сексизм.
Наш MSSQL канал — @sqlcom
У нас есть викторина по mssql, наберите в привате c @Gopnegbot /quiz и

Обязательны: компания, город, позиция, вилка, наличие удалёнки, требования, контакты. Бан за рекламу, сексизм, расизм и неадекватный обсёр объявлений

One of my clients came with an issue with SQL Server startup. As per them, they just changed the password of SQL Server Service account using the configuration manager. In this blog we would learn about how to fix Initializing the FallBack certificate failed with error code: 1, state: 20, error number: 0 during SQL startup.

THE INVESTIGATION

As I mentioned earlier, my client informed that they have changed the service account password. As usual, I first asked to check SQL ERRORLOG to know the exact message. SQL SERVER – Where is ERRORLOG? Various Ways to Find ERRORLOG Location

Here are the messages toward the end of the ERRORLOG file.

1. Error: 17190, Severity: 16, State: 1.
2. Initializing the FallBack certificate failed with error code: 1, state: 20, error number: 0.
3. Unable to initialize SSL encryption because a valid certificate could not be found, and it is not possible to create a self-signed certificate.
4. Error: 17182, Severity: 16, State: 1.
5. TDSSNIClient initialization failed with error 0x80092004, status code 0x80. Reason: Unable to initialize SSL support. Cannot find object or property.
6. Error: 17182, Severity: 16, State: 1.
7. TDSSNIClient initialization failed with error 0x80092004, status code 0x1. Reason: Initialization failed with an infrastructure error. Check for previous errors. Cannot find object or property.
8. Error: 17826, Severity: 18, State: 3.
9. Could not start the network library because of an internal error in the network library. To determine the cause, review the errors immediately preceding this one in the error log.

Note that I have added line number for clarity. The service account was a domain account.

I search on the internet and found many blogs having a wealth of information based on the error message. It looks like SQL Server generates a self-signed certificate by default for encryption. When I searched for 0x80092004 I could find below on Microsoft site.

The value 0x80092004 is an SSPI error code that translates to CRYPT_E_NOT_FOUND. This error was generated by SSL because it could not locate the certificate. Here are the possible causes

1. SQL Server Startup account (service account) does not have permission or does not have a local profile in the system.
2. The SQL server startup account cannot access a pre-existing key container needed to create the self-signed certificate.

Читать также:  Сертификат на смесь сухую гипсовую ротбанд в

I captured Process Monitor to see which key is getting accessed. I saw that below key is getting accessed.

SOLUTION/WORKAROUND

Above test confirmed that this was an issue due to Temporary profile getting loaded for SQL Service account. I tool back up and delete the key SID.bak. Please make sure you delete the key belonging to SID of service account only. Here is the screenshot to make sure you are at the right key

Hopefully, this would help you in fixing the SQL Server startup issue.

First appeared on SQL SERVER – Initializing the FallBack Certificate Failed With Error Code: 1, State: 20, Error Number: 0

Проблемы с датой и временем

Если на устройстве установлены некорректные дата и время, ошибка SSL-соединения неизбежна, ведь при проверке сертификата происходит проверка срока его действия. Современные браузеры умеют определять такую ошибку самостоятельно и выводят сообщение о неправильно установленной дате или времени.

Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат

Иногда при переходе на сайт, защищенный протоколом HTTPS, появляется ошибка «SSL-сертификат сайта не заслуживает доверия».

Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

• Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
• Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».

• Запустится мастер импорта сертификатов. Жмем «Далее».

• Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:

• В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.

После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.

Также SSL может блокировать антивирусная программа. Попробуйте отключить в антивирусе проверку протоколов SSL и HTTPS и зайти на сайт. При необходимости добавьте сайт в список исключений антивируса.

Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:

• Откройте браузер и введите команду chrome://flags/#enable-quic;
• В появившемся окне будет выделен параметр: Experimental QUIC protocol (Экспериментальный протокол QUIC). Под названием этого параметра вы увидите выпадающее меню, в котором нужно выбрать опцию: Disable.

• После этого просто перезапустите браузер.

Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

• Откройте браузер и перейдите в раздел «Настройки».
• Прокрутите страницу настроек вниз и нажмите «Дополнительные».
• В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.

• Откроется окно. Перейдите на вкладку «Дополнительно».
• В этой вкладке вы увидите чекбокс «SSL 3.0».

• Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

• Неправильное имя FQDN (полное имя домена) в качестве Common Name (в некоторых панелях управления это поле может также называться Host Name или Domain Name). В этом поле должно быть указано полное доменное имя вида domain.com или subdomain.domain.com (для субдоменов). Имя домена указывается без https://. В качестве данного значения нельзя использовать интранет-имена (text.local). В запросе для wildcard-сертификатов доменное имя необходимо указывать как *.domain.com.
• В CSR или пароле есть не латинские буквы и цифры. В CSR поддерживаются только латинские буквы и цифры – спецсимволы использовать запрещено. Это правило распространяется и на пароли для пары CSR/RSA: они не должны содержать спецсимволов.
• Неверно указан код страны. Код страны должен быть двухбуквенным ISO 3166-1 кодом (к примеру, RU, US и т.д.). Он указывается в виде двух заглавных букв.
• В управляющей строке не хватает символов. CSR-запрос должен начинаться с управляющей строки ——BEGIN CERTIFICATE REQUEST—— и заканчиваться управляющей строкой ——END CERTIFICATE REQUEST——. С каждой стороны этих строк должно быть по 5 дефисов.
• В конце или начале строки CSR есть пробелы. Пробелы на концах строк в CSR не допускаются.
• Длина ключа меньше 2048 бит. Длина ключа должна быть не менее 2048 бит.
• В CRS-коде для сертификата для одного доменного имени есть SAN-имя. В CSR-коде для сертификата, предназначенного защитить одно доменное имя, не должно быть SAN (Subject Alternative Names). SAN-имена указываются для мультидоменных (UCC) сертификатов.
• При перевыпуске или продлении сертификата изменилось поле Common Name. Это поле не должно меняться.

Аverage rating: 5.0

Оценок: 2