Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Диагностика ошибок ОС Windows при проверке сертификата

Причины возникновения ошибки

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

По данным статистики наибольший «всплеск» этой ошибки был зафиксирован при переходе пользователей 1С на Платформу 8.3.10.

Согласно информации от разработчиков в Платформе 8.3.10 была переработана логика подтверждения доверенных сертификатов. В случае некорректно заданных настроек доступа в интернет после перехода на новые Платформы с более ранних версий может возникнуть ошибка:

Если у вас возникла эта ошибка, то предложенный ниже алгоритм действий должен вам помочь. Рассмотрим, что нужно сделать, чтобы исправить эту ситуацию.

При работе с 1С может возникнуть ошибка:

Ошибка связана с проверкой сертификатов при работе в ОС, поскольку, начиная с версии Платформы 8.3.8, 1С выполняет проверку, используя те же сертификаты, что установлены в операционной системе Windows. Исходя из этого, можно с высокой долей вероятности утверждать, что в большинстве случаев ошибка связана не с самой 1С, а с настройками подключения к интернету.

Прочитав статью, вы узнаете:

  • как определить причину указанной ошибки;
  • получите рекомендации по исправлению проблемы.

В некоторых случаях при обмене с контролирующими органами возникает следующая ошибка (текст из журнала регистрации):

XDTOРезультат = Сервис.ReceiveUpdatedPacket(Строка(ИдентификаторАбонента),ДатаОбновленияФайлаНаСервере);

При вызове веб-сервиса произошла ошибка. Неизвестная ошибка. Ошибка работы с Интернет: Удаленный узел не прошел проверку

Ошибка работы с Интернет: Удаленный узел не прошел проверку

1. Необходимо закрыть программу 1С.
2. В папке с платформой найти файл cacert.pem, скопировать его в любую папку на случай неудачной попытки.

3. Далее в папку с платформой залить новый файл cacert.pem с заменой.

4. Запустить 1С и попробовать еще раз обменяться с контролирующими органами.

Возврат к списку

Описание проблемы

В платформе 8.3.10 была переработана логика валидации доверенных сертификатов.

При работе в ОС Windows для проверки сертификата происходит обращение к внешнему ресурсу в сети Internet. Для успешного выполнения данной операции у  пользователя, от которого запускается процесс rphost, должна быть возможность обратиться к этому внешнему ресурсу, а также сам ресурс должен быть доступен.

В случае некорректно заданных настроек доступа в Internet после перехода на 8.3.10 с более ранних версий платформы могут возникать ошибки:

а) при обращении к веб-сервисам или получении определения веб-сервиса по причине «ошибка работы с Интернет: Удаленный узел не прошел проверку»

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

б) при попытке выполнить OpenID-авторизацию вида «Ошибка подключения к OpenID провайдеру», сопровождающиеся появлением в технологическом журнале событий EXCP вида:

896db6ac-cc39-4065-8298-1bf5fccb9d98: Ошибка работы с Интернет:   Удаленный узел не прошел проверку»

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Также может не происходить попытка OpenID-авторизации, сопровождающаяся появлением в технологическом журнале аналогичных указанным ранее событий EXCP.

Методика выявления причины исключения

Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.

  • По умолчанию журнал не ведется и его следует включить. (Здесь и далее инструкция приводится для Windows 10). В меню Пуск выберите Средства администрирования – Просмотр событий.В окне Просмотр событий в списке Журналы приложений и служб выберите Microsoft – Windows – CAPI2 – Operational.В списке Действия выберите Включить журнал.
  • Ошибка проверки отзыва сертификата средствами операционной системы может выглядеть следующим образом:

Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

В разделе System указаны дополнительные сведения. Например:

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.

Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).

Прокси сервер

1) Запустить Internet Explorer от имени пользователя, под которым работает rphost

2) В меню Свойства браузера (Свойства обозревателя) на закладке Подключения нажать кнопку Настройка сети

3) Если в настройках указано использование прокси-сервера, которая не предусмотрена политикой безопасности (кто-то когда-то установил и забыл) – отключить использование прокси-сервера, сняв соответствующий флаг

Читать также:  В национальном реестре на одного работника должно быть зарегистрировано не менее двух сертификатов о прохождении аттестации

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

4) Если использование прокси действительно предусмотрено, нужно разрешить прямое обращение к ресурсам, на которые пытается обратиться платформа для валидации сертификата, нажав кнопку Дополнительно и указав данный ресурс в качестве исключения для прокси-сервера

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Диагностика проблемы

В большинстве случаев проблема может быть вызвана отсутствием у пользователя, под которым запускается rphost, доступа к необходимому ресурсу в Internet.

Целенаправленно только сайты, предназначенные для валидации сертификатов, никто не блокирует, поэтому скорее всего у пользователя не доступен ни один сайт (можно легко проверить, запустив браузер от имени данного пользователя – зажать Shift, правой кнопкой мыши на ярлык браузера, «Запустить от имени другого пользователя»). Однако расследование необходимо проводить именно на том примере, на котором ошибка воспроизводится.

Наиболее распространенные причины:

  • Доступ к ресурсу заблокирован через файл hosts
  • Нет доступа к ресурсу из-за использования прокси-сервера
  • Ресурс заблокирован firewall
  • Ресурс блокирован антивирусом

Для подробной диагностики ошибки в случае, если причина оказалась нетривиальной, рекомендуется настроить сбор дополнительных event-логов Windows, согласно описанию, приведенному в статье.

Удаленный узел не прошел проверку +4

В новых версиях конфигурации у множества пользователей вдруг ни с того ни с сего возникла проблема:

  • Контрагенты по ИНН заполняться не хотят;
  • Банки и валюты не загружаются;
  • Всякие прочие системы, активно использующие обращения к интернет ресурсам, выдают непонятную ошибку.

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Первое, что приходит в голову: 1С опять все разломали! Не работает!!!
Но если на секунду задуматься, «не прошел проверку», что это может значить?

Статья написана в два блока:

Что понимается под защищенным соединением?

Установленный с помощью криптографических алгоритмов туннель, по которому можно безопасно передавать данные.

При чем здесь проверка?

Все дело в доверии. Изначально устанавливая с кем-то соединение мы никому не доверяем. Может быть кто-то выдает себя за того, с кем мы действительно хотим связаться, в этом случае мы отправим данные злоумышленнику или же получим от него какие-то сведения, которые на самом деле он просто нам впихнул вместо реальных запрошенных данных.

Ну как тогда кому-то доверять?

Для этого умные люди придумали PKI, это такой способ организации доверия, когда мы не доверяем никому, кроме тех, кто изначально у нас в списке доверенных. А список доверенных жестко зафиксирован, например, в настройках операционной системы или браузера (а некоторые программы имеют свой личный список доверенных).

Доверенные центры являются удостоверяющими центрами и могут подтвердить, что ты — это ты, а, к примеру, яндекс — это яндекс. Для подтверждения выдают сертификат.

Если кто-то попытается выдать себя за яндекс — то проверяя его сертификат мы обнаружен, что либо сертификат не удостоверен (ни один из удостоверяющих центров его не подтвердил), либо сертификат устарел (в целом сертификат выдается на 1-3 года и его надо вовремя переиздавать), либо такого сертификата вовсе нет.

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Так вот что значит не прошел проверку!

Да, это значит, что нам не удалось выполнить проверку сертификата того, с кем мы пытались связаться.

Начиная с версии 8.3.8 1С выполняет проверку, используя те же сертификаты, что установлены в Windows. Это значит, что проблема скорее всего все-таки не в 1С, а в том, каким образом 1С подключается к интернету.

В первую очередь получив сообщение «Удаленный узел не прошел проверку» надо задуматься о безопасности интернет соединения не только с 1С, но и со всем другим окружением.

Я вижу проблему только в 1С, все остальное работает!

Попробуйте открыть проблемную ссылку (она будет указана в сообщении об ошибке) с помощью браузера Internet Explorer (другие браузеры, например Mozilla используют свое хранилище сертификатов, а нам нужно проверить хранилище сертификатов Windows).

Microsoft Edge, например, будет ругаться так:

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Internet Explorer подсветит строку адреса и сообщит об ошибке сертификата

Читать также:  Индексируется ли материнский капитал после получения сертификата на руки в 2014 году

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Вы меня совсем напугали, что мне делать и почему все небезопасно? Меня прослушивают?

Действительно, прослушка может быть одной из причин, и это первое, ради чего действительно сделана установка защищенного соединения.

Но на практике чаще всего проблема из-за неправильно настроенного способа раздачи интернета.

Например, если интернет раздается с помощью прокси-сервера, то прокси может пытаться расшифровать трафик, прочитать, а затем опять зашифровать и подставить свой сертификат. В этом случае сертификат прокси будет не соответствовать ресурсу, который запрашивали, и программа начинает ругаться.

Да, у меня интернет настроен через прокси! Как настроить правильно?

В первую очередь нужно понять, действительно ли выполняется расшифровка трафика на прокси сервере или нет. Об этом чаще всего пишут разработчики прокси в своей документации.

Во вторых нужно настроить 1С на передачу через прокси. А это сильно по-разному делается для разных режимов работы информационной базы.

Если следовать инструкции дальше сложно — лучше обратиться к специалисту.

Диагностика ошибок ОС Windows при проверке сертификата

Методика выявления причины исключения

Варианты настройки платформы

Начиная с версии 8.3.12 платформа «1С:Предприятие» при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата». Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера «1С:Предприятия».

Файл hosts

Доступ к некоторым сайтам может блокироваться через файл hosts. Лежит здесь:

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Пример того, как блокированный сайт выглядит в файле hosts:

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Варианты настройка прокси сервера в 1С

Итак, в первую очередь надо понимать, что 1С может обращаться к интернет ресурсам на клиенте и на сервере. Но чаще всего — на сервере.

  • при обращении с клиента следует устанавливать прокси на клиентском компьютере
  • при обращении с сервера — на сервере

Может быть вариант, когда пользователи работают через терминальный сервер. В этом варианте мысленно заменяем по тексту далее слово «клиентский компьютер» на слово «сеанс терминального сервера».

1С может работать во множестве разных режимов:

  • В файловом варианте с подключением к сетевому диску. В этом случае сервер так же будет являться клиентским компьютером.
  • в файловом варианте через веб-сервер. В этом случае прокси сервер надо задавать на веб-сервере.
  • в клиент-серверном варианте (в.т.ч через веб сервер) — надо настраивать сервер 1С (в этот же вариант попадет и работа в модели сервиса, но я думаю те, кто разворачивают у себя сервис, способны решить эту проблему самостоятельно).

Источники настроек прокси сервера настраиваются по приоритету:

  • Из настроек информационной базы.
    1.1. Для клиентского компьютера и для файлового режима работы в параметрах пользователя.
    1.2. Для серверных информационных баз в настройках сервера «Администрирование Общие настройки Параметры серверной информационной базы Параметры доступа в интернет».
  • Если в настройках ИБ установлен режим «Использовать системные настройки прокси-сервера», то платформа попытается получить настройки из файла inetcfg.xml из каталога конфигурационных файлов (например, C:Program Files (x86)1cv8conf)
  • При отсутствии файла в Windows настройки берутся из настроек Internet Explorer (Панель управления Настройки браузеров Соединение Настройки LAN Использовать прокси сервер).

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Для linux и mac из переменных окружения см. документацию по inetcfg.xml

Необходимо обязательно помнить, что настройки должны быть установлены для пользователя Windows, от имени которого запускается сервер 1С или стартует пул IIS или работает Apache.

Если все настройки прокси выставлены то их можно проверить с помощью простенького инструмента, который я собрал.

Ну настроил я прокси, интернет работает, но все равно постоянно возникает ошибка, что делать?

Тут нужно знать некоторую особенность работы удостоверяющего центра, он поставляет список отозванных сертификатов, это те сертификаты, которые были выданы каким-то лицам, а потом их признали недействительными. Этот список обновляется через интернет.

Читать также:  Как выглядит сертификат на материнский капитал фото второго ребенка

Но как дать возможность эти отозванные сертификаты обновить?

Для Windows достаточно настроить прокси в настройках Internet Explorer. Для той учетной записи, под которой будет работать сервер 1С.

У меня вообще нет никаких прокси-серверов, но все равно возникает ошибка!

Честно говоря, список отозванных сертификатов может быть не доступен для скачивания потому что есть ограничение интернета по белому списку, и по каким-то причинам администратор в белый список не добавил серверы удостоверяющих центров.

Чаще всего эта проблема возникает при развертывании собственного центра сертификации, ну, в этом случае надо искать проблему локально и внимательнее читать документацию и руководство по развертыванию.

Как понять что добавить в белый список?

Варианты настройки платформы

Платформа «1С:Предприятие 8» поддерживает следующие варианты настройки проверки отзыва сертификата:

  • По умолчанию. – С получением исключений «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата».
  • Настройка, позволяющая игнорировать ошибки проверки отзыва сертификата и не вызывать на них исключения.

Внимание! Такая настройка снижает уровень доверия к внешним ресурсам! В случае применения данной настройки ответственность возлагается на пользователя.

Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:

Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.

Рекомендации по исправлению ошибки

Проверка сертификатов 1С использует хранилище сертификатов Windows, т.е. работает с браузером Internet Explorer. Для того, чтобы убедиться, что проблема заключается не в 1С, а настройках интернета, выполните проверку в браузере Internet Explorer

Шаг 1. Откройте Internet Explorer.

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Шаг 3. Убедитесь, что проблема не в 1С.

Если проверка сертификата не прошла, то ссылка подсвечивается красным цветом и выводится сообщение Certificate error.

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Это подтверждает предварительное предположение, что ошибка не в 1С, а в настройках интернета. Наиболее часто это происходит, если интернет раздается с помощью прокси-сервера. В этом случае нужно проверить и настроить 1С на передачу через прокси.

Настройка прокси-сервера будет отличаться в зависимости от режимов, в которых работает 1С.

1С может работать в:

  • файловом варианте с подключением к сетевому диску — надо настраивать клиентский компьютер;
  • файловом варианте через веб-сервер — надо настраивать веб-сервер;
  • клиент-серверном варианте — надо настраивать сервер 1С.

Последние два варианта требуют обращения к специалистам, чтобы выполнить все настройки грамотно. Здесь мы рассмотрим настройку прокси-сервера при файловом варианте работы 1С.

Шаг 1. Запустите Internet Explorer.

Шаг 2. Откройте .

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Шаг 3. Перейдите на вкладку Подключения — кнопка Настройка сети.

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Шаг 4. Проверьте использование прокси-сервера.

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Если в настройках указано использование прокси-сервера, которое не используется политикой безопасности, его необходимо отключить, сняв флажок Использовать прокси-сервер для локальных подключений.

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Если использование прокси-сервера действительно предусмотрено, нужно разрешить прямое обращение к ресурсам, на которые пытается обратиться платформа для подтверждения сертификата

Шаг 5. Нажмите кнопку и укажите данный ресурс в качестве исключения для прокси-сервера.

Удаленный узел не прошел проверку не удалось выполнить проверку отзыва сертификата исмп

Если указанные действия не помогли, то следует определить адрес сервера, с которым устанавливается защищенное соединение, и также внести его в исключения. Для этого нужно проанализировать момент возникновения ошибки, который зависит от сервиса, к которому пытается подключиться 1С. Наиболее частые случаи:

В сложных случаях рекомендуем обратиться к специалистам.

Получите еще секретный бонус и полный доступ к справочной системе БухЭксперт8 на 14 дней бесплатно

Решение проблемы

Про антивирус и firewall все очевидно – проверяем, какие ресурсы блокируются, и понимаем, есть ли в списке нужный нам ресурс (похожий по имени на ссылку на сайт поставщика сертификата, если точное имя сайта неизвестно).

Про настройки прокси и hosts опишем подробнее.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *