Чтобы решить эту проблему, пришлось немного покопаться в настройках программы.
Для начала нужно кликнуть правой клавишей мыши по значку установленной программы, расположенному в трее, чтобы перейти непосредственно в раздел «Настройки».
Далее переходим во вкладку «Криптосервер 3» и в открывшемся окне «Какие сертификаты проверять» выбираем «Только конечный сертификат»
В «Режим проверки» подставляем значение
отмечаем чекбокс «Не проверять»
Остальное я оставила как было. Естественно, для вступления изменений в силу нужно не забыть кликнуть по кнопке ОК. В моем случае это решило проблему дальнейшей работы с сайтом ПФР.
Ошибка центра сертификации
Эта ошибка возникает из-за невозможности проверки путей AIA или CDP. То есть подчиненный центр не смог их найти, пути можно увидеть как часть сертификата подчиненного ЦС. Размещение файлов CRL и корневого сертификата по этим путям устранит эту ошибку. До сих пор нет правильного способа полностью отключить проверку отзыва сертификатов. Это также исправит вашу ошибку. Откройте командную строку и введитеcertutil -setreg ca CRLFlags + CRLF_REVCHECK_IGNORE_OFFLINE
Алексей Игнатьев/ автор статьиСпециалист и эксперт zhivye-oboi-windows. ru — профессиональный консультант, системный администратор. Опыт работы в этой сфере 7 лет.
Являюсь автором проекта Windows, будь вкурсе всего, который насчитывает за пол года уже более 1000 статей. Смотреть все записи автора cinquefoil2014
На днях попытался подключиться к своему домашнему серверу через VPN SSTP, подключение всегда работало идеально, но тут не смог подключиться и получил ошибку: «Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен».
«Админы делятся на тех, кто не делает бэкапы, и тех, кто уже делает». Народная мудрость.
Сообщения: 5
Благодарности: 0
Есть 1000 ПК, операционки разные; развернут внутрений центр сертификации; сертификаты успешно выдаются на 700 машинах.
На остальных 300 (в основном это XP Pro) сертификаты не получаются.
При попытке запросить на проблемном ПК сертификат выдает ошибку «Неудача при выполнении запроса сертификата. Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен», хотя при тех же действиях не на проблемных ПК сертификат без проблем выдается, сервер центра сертификации работает, в списках «неудачных запросов» сертификатов эти компьютеры даже не светятся, то есть они туда даже не пытаются ломиться. По URL к CRL проходит и файлик загружается
В логах на этих машинах стабильно вылазиет ошибка
«Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Сертификат клиента ConfigMgr (0x80092013). Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен
«Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Autheticated Computer (0x80092013). Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен
Я уже не знаю куда копать. Пытался выявить какие то проблемы с сетью, обновления какие нибудь которые не стоят, сбрасывал шаблоны безопасности, копировал ветки реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptography с рабочих ПК на проблемные.
при попытке подключения к серверу Windows 2008 R2 по SSTP постоянная ошибка“Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен. ”По умолчанию для VPN-подключений по протоколу SSTP клиенты должны проверить, что сертификат не отозван. Для этого проверяется сервер, указанный в сертификате как сервер, на котором размещается список отзыва сертификатов (CRL). Если с сервером, на котором размещается список отзыва сертификатов, не удается связаться, проверка завершается с ошибкой,
а VPN-подключение отбрасывается. Чтобы предотвратить это, следует опубликовать список отзыва сертификатов на сервере,
доступном через Интернет, или отменить обязательную проверку этого списка на клиенте. Чтобы отменить проверку списка отзыва сертификатов,
удалите параметр реестра в следующем расположении:Этот параметр имеет значение типа DWORD с именем NoCertRevocationCheck. Присвойте параметру значение 1. файлик можно взять у метя тут sstp_no_CRLпосле изменения реестра компьютер нужно перезагрузить, ошибка исчезнет.
ОС Windows 10, проверка выполняется. net приложением, следующим кодом:X509Certificate2 certificate = new X509Certificate2(«certificate. cer»);X509Chain chain = new X509Chain();bool successful = chain. Build(certificate);
Вначала формируется список сертификатов из цепочки, которые будут проверяться в списках отозванных сертификатов.
Этим поведением можно управлять через свойство chain. ChainPolicy. RevocationFlag
По умолчанию, если не трогать это свойство, оно инициализуется в X509RevocationFlag. ExcludeRoot, что означает, что все сертификаты в цепочке подлежат проверке в своих списках отозванных сертификатов, кроме корневого.
Далее, проверка начинается с сертификата, который идет после корневого и запускается процедура поиска списка отзыва сертификатов для этого сертификата:
- Проверяется есть ли действующий (для понимания, что такое действующий см. Примечание 2 далее в статье) список отозванных сертификатов в оффлайн хранилище (Текущий пользовательПромежуточные центры сертификацииСписок отзыва сертификатов). Список отозванных сертификатов добавляется в это хранилище правой кнопкой по файлу списка и выбором «Установить список отзыва (CLR)».Если список находится, то проверяется в нём и дальше поиск не идет.
- Если список отозванных сертификатов не удалось получить за три предыдущих шага, то в результате выполнения chain.Build(certificate) вернется ошибка:1) Функция отзыва не смогла произвести проверку отзыва для сертификата.2) Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступенв англоязыной версии системы:1) The revocation function was unable to check revocation for the certificate.2) The revocation function was unable to check revocation because the revocation server was offline.
Затем все шаги повторяются для следующего сертификата в цепочке.
Примечание 1: Список точек распространения для сертификата можно посмотреть в поле CRL Distribution Points:
Примечание 2: Дата, когда список отозванных сертификатов будет считаться истекшим указана в свойствах этого списка, в поле Next update, списки с истекшим сроком действия пропускатся, как на первом, так и на втором шаге и в любом случае для них будет выполнен третий шаг, т. будет произведен запрос свежего списка у точек распространения.
Сертификат не действителен. Не удалось проверить сертификат в списке отозванных т. соответствующий сервер в состоянии offline (код ошибки 103,104).
Ошибка связана с тем, что на компьютере не установлен актуальный список отозванных сертификатов Удостоверяющего Центра.
Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Точки распространения списков отзыва (CRL)» и скопировать ссылку на список отзыва Удостоверяющего Центра (ссылка должна заканчиваться на. crl):
Навести курсор на скаченный файл, нажать правую клавишу мыши и выбрать пункт «Установить список отзыва (CRL)». В «Мастере импорта сертификатов» на этапе определения хранилища необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».
Установка этого списка отзыва проводится тем же способом, что описан выше.
Инструкция при возникновении проблем подключения к АИС
Инструкция обновлена 19. 2020.
Общая инструкция при возникновении проблем подключения к АИС с помощью TLS-клиента и ЭП:
Если предыдущие шаги не помогли, то найдите описание своей ошибки:
Способы решения перечисленных ошибок:
Данная ошибка возникает по разным причинам. Решение: выполните шаги 1-9 в начале данной инструкции.
Решение: Проверьте, что флешка с электронной подписью подключена к компьютеру. Необходимо установить все серверные сертификаты.
Решение: необходимо получить новую электронную подпись и/или удалить сертификат истекшей подписи из TLS-клиента, для этого:
Решение: необходимо установить корневые сертификаты по аналогии с ошибкой.
Решение: необходимо импортировать списки отзыва сертификатов по аналогии с ошибкой.
Решение: нарушен порядок установки программ либо произошел сбой.
Решение : нажмите «Да».
Решение: выполните действия по аналогии с предыдущей ошибкой.
Решение: в настройках TLS-Клиента уберите галочку «Самотестирование драйвера прозрачного проксирования»:
Сервер отзыва сертификатов недоступен
И так давайте опишу ситуацию, есть у нас в компании для своих внутренних нужд Цент сертификации, развертывал я его на Windows Server 2008 r2 и мы с вами его уже даже лечили от ошибки Не найдены шаблоны сертификатов. Вы не имеете прав запрашивать сертификат на этом ЦС. В один из дней пишет мой коллега и говорит, что у него не стартует служба, так как он был загружен, он попросил посмотреть, что там. И так заходим на сервер с Windows Server 2008 r2 и в пункте администрирование открываем оснастку Центр Сертификации. Он во первых долго открывался, так как пытался рестартовать службу, после чего появилась оснастка с квадратиком на значке, означающем, что он выключен. Вы области описания было вот такое сообщение.
Попытавшись из оснастки запустить его, выскочила ошибка уже с кодом, что уже хорошо так как можно понять причину и как следствие найти решение.
Если зайти в просмотр событий в журнал Приложения, то сможете найти сообщение с кодом события 48, который вам выдаст туже ошибку.
Как видите все они ругаются на недоступность сертификата в цепочке сертификатов, CRL, или как его еще называют списка отозванных. Открываем пуст и вводим mmc, для открытия оснастки. (Я уже рассказывал как создать мега мощную и удобную консоль mmc, почитайте будет очень полезно)
Нажимаем CTRL+M для добавления оснастки.
Вам нужно добавить две оснастки
Выбираем локальный компьютер, так как мы сейчас на центре сертификации.
В итоге у вас два варианта
Пробуем пропинговать внешнее имя, щас все ок, запускаем CA. Видим, что ошибка опять выскочила ошибка Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613) пропала, но появилась уже другая, что у вас просрочен CDP crl, и действительно его срок кончился.
Идем на root CA открываем оснастку Центра сертификации и в пункте Отозванные сертификаты щелкаем правым кликом > Все задачи > Публикация. Чтобы у вас сформировался новый список отозванных, появится он в папке C:WindowsSystem32certsrvCertEnroll. Его от туда нужно скопировать в папку где у вас лежат на издающем Центре сертификации crl файлы. После этого
Все видим в консоли подхватился новый crl список отозванных.
Все видим и PKI предприятие показывает, что вся цепочка жива.
Вот так вот просто решить ошибку Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613). А вообще я подумываю написать цикл статей, о том как работает и устанавливается Центр сертификации в Windows Server 2008 r2 и 2012 r2, но все зависит от свободного времени.
Загрузка не удалась не удалось подключиться к серверу отзыва сертификатов
Этот форум закрыт. Спасибо за участие!
Спрашивающий
При попытке запросить на проблемном ПК сертификат выдает ошибку «Неудача при выполнении запроса сертификата. Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен«, хотя при тех же действиях не на проблемных ПК сертификат без проблем выдается, сервер центра сертификации работает, в списках «неудачных запросов» сертификатов эти компьютеры даже не светятся, то есть они туда даже не пытаются ломиться. По URL к CRL проходит и файлик загружается
Добрый день уважаемые читатели, сегодня хочу рассказать как решается вот такая ошибка Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. IssueCrmCA «Невозможно проверить функцию отзыва, т. сервер отзыва сертификатов недоступен. 0x80092013 (-2146885613)». Из-за этой ошибки не открывался сам центр выдачи сертификатов, и как следствие не работал Web выпуск, давайте рассмотрим, как это устраняется и исправим это дело.