Vvmebel.com

Новости с мира ПК
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Неверный сертификат для хоста

Решение проблем

По вопросам и ошибкам, которые вы не смогли решить самостоятельно, просим обращаться в Службу технической поддержки ГАУ РК «ЦИТ».

Решение типовых проблем (редакция от 23.12.2019 12:35)

К сожалению, в RSA-сертификат Системы доступа не внесен адрес gost.security.rkomi.ru, поэтому сообщение об ошибке SSLGOST-004 (отсутствие поддержки ГОСТ) будет дополнительно сопровождаться сообщением о неверном сертификате.

Непосредственно проблемой это не является. Необходимо разобраться с причинами появления ошибки SSLGOST-004.

Продиагностировать прочие проблемы можно с использованием журнала CAPI (криптографической подсистемы) Windows:

  • Панель управленияАдминистрированиеПросмотр событий
  • Разворачиваете Журналы приложений и службMicrosoftWindowsCAPI2
  • Включаете журнал Operational (правой кнопкой — Включить)
  • Очищаете его (правой кнопкой — Очистить журнал), т.к. событий там может быть много
  • Открываете сохраненный сертификат, который не может провериться
  • Обновляете список событий в журнале и смотрите ошибки
  • После окончания диагностики, отключите журнал (очень много событий пишет)

Ошибка касается открытого сайта https://security.rkomi.ru/ и негостовского шифрования. Если на компьютере проблемы с неверным сертификатом только в IE (например, реально просроченный сертификат), а в других браузерах при открытии https://security.rkomi.ru/ проблем нет (сертификат действительный), тогда вероятнее всего проблема в устаревшем браузере на устаревшей ОС — что они не поддерживают разные сертификаты на одном IP адресе.

В нормальном режиме работы таких конфигураций на сервере быть не должно, однако может случиться, что на одном виртуальном хосте установлен 1 сертификат, а на другом — другой (например, в ходе неполной замены сертификата администратором). Необходимо почистить кеш SSL в Internet Explorer, перезагрузиться, если не помогло — обратиться в Службу технической поддержки ГАУ РК «ЦИТ» с заявкой о возможной ошибке конфигурирования серверов SSLGOST.

Не удается отобразить эту страницу. Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2

Ошибка может появляться или всегда или периодически без каких-либо явных предпосылок

Если на защищенном сайте выводится такая ошибка и протоколы TLS включены. А обычные https-сайты (например, https://mail.ru) открываются без проблем, вероятно проблема в антивирусе — он анализирует шифрованный трафик и работает с ним некорректно. Также можно проверить на работу на https://i.vtb.ru/ — тоже должна быть такая ошибка (после согласия с неверным сертификатом).

Попробуйте полностью выключить антивирус (не приостановить, а выключить), закрыть браузер и попробовать снова. Если помогло, то необходимо в настройках антивируса отключить инспекцию TLS/SSL для защищаемого сайта, либо добавить его в доверенные/исключения антивируса.

Простой вариант: Добавить сайт системы, с которой работаете, либо *.rkomi.ru в доверенные (Trusted).

Чуть более сложный (и как минимум один раз не помог — помогло включение в доверенные) — Разрешить перенаправления:

  • Открыть настройки браузера (сервис -> свойства обозревателя)
  • Перейти на вкладку Безопасность (Security)
  • Кликнуть на значок зоны «Интернет» (Internet)
  • Нажать на кнопку «Другой. » (Custom. )
  • Найти пункт «Разное -> Разрешить метаобновления» («Miscellanous -> Allow META REFRESH») и установить его в «Разрешено» («Enable»)
  • Закрыть все окна браузера или перезагрузить компьютер.

Ошибка SSLGOST-001: Информационная система не идентифицирована

Часто бывает, что доступ к СЭД открыт для одной учетной записи (например, под той, под которой работал VPN), а в систему защиты (она же этот Портал по безопасности) вы входите под другой учетной записью. Необходимо сделать одно из следующих действий:

The incorrect localhost certificate is being served by IIS

OK I have a SSL issue that I can’t seem to get past on this 1 Win7 x64 machine. I have been using self-signed certs for years and even blogged about them before so I have experience. However something is happening that I can’t figure out this time.

I have (2) localhost SSL certs created and insalled on my machine.

  1. localhost (friendly name) issued and created in IIS (7.5). It contains the ‘Issued To’ and ‘Issued By’ values of my machine name: ‘DevMachine123’. This is the certificate being served up for applications configured under the ‘Default Web Site’ in IIS.
  2. localhost SSL certificate created using makecert.exe tool where CN=localhost (common name) was used. It contains the ‘Issued To’ and ‘Issued By’ values of ‘localhost’. This is the SSL cert I want served up in IIS for my applications configured under the ‘Default Web Site’.

The error I’m getting is:

‘The security certificate presented by this website was issued for a different website’s address.’

When I view the certificate being served up from the IE browser: it shows the localhost cert issued to ‘DevMachine123’ is being used and not the localhost issued to localhost (#2 above) which should resolve this issue. Hence the name mismatch because ‘DevMachine123’ does not match ‘localhost’.

Another point to make; my certificates have been added to ‘Trusted Root Certification Authorities’ so they both are trusted certificates.

Last point to make, I checked the https port 443 Binding configuration for the ‘Default Web Site’ on my machine in IIS. I view the certificate and it shows the correct localhost certificate is bound (#2 above with CN=localhost).

I feel that I have covered my bases here (yes I have seen this and this so please do not re-post). What am I missing here?

Создан 12 окт. 12 2012-10-12 19:51:18 atconway

3 ответа

I had a similar issue and had also gone through the checks you mentioned above for the site bindings. I ran the following netsh command

This showed me two SSL Certificate bindings. One on IP:Port 0.0.0.0:443 with the correct certificate and one on IP:Port [::]:443 with an expired certificate. I opened CertMgr.msc for the Local Computer (see here for instructions) and searched for the invalid certificate and discovered it had expired.

Читать еще:  Разметка страницы в word 2020

To resolve the issue I did the following

  1. netsh http delete sslcert ipport=[::]:443
  2. iisreset /restart

I would give you like 10 up marks for this if I could. Some answers are just that helpful. I’ve used the netsh.exe utility before but never thought to try this. It worked! Thanks! – atconway 05 дек. 12 2012-12-05 20:41:33

I accidentally deleted the localhost certificate that had been issued by Trusted Authority. The one I did not create. is there anyway to trigger this cert to be recreated? – hal9000 04 июн. 13 2013-06-04 14:00:41

Hal — if you have another machine that contains the same certificate you can export it from that machine, copy it over to yours and then import it. – IsolatedStorage 19 авг. 13 2013-08-19 04:08:40

Had the same issue and it was a solution! – Siim Nelis 18 мар. 14 2014-03-18 12:18:33

I can’t even begin to describe how much relief you’ve just given me after fighting with IIS for hours to get rid of the bogus cert. Thank you so much. – Alex Marshall 21 мар. 15 2015-03-21 17:57:35

Such a great tip!! Worked for me. Like a boss! – sshirley 24 июн. 16 2016-06-24 14:35:42

Thank you! Saved my/our day! Another fail for GUI based administration. – Trygve 12 окт. 17 2017-10-12 09:15:41

Changed HTTPS binding in the drop down list to the server IP (in the site bindings dialog). It was set to «all unassigned» Got a warning about overwriting an existing certificate / IP combination, which I accepted, and and issue resolved.

Very similar answer to @IsolatedStorage but with some more details of what helped me.

First a couple points that are probably the same for you

  • I was trying to update a certificate because it has expired.
  • I have multiple domains bound to the same IP. They happen to be a SAN certificate but that’s probably irrelevant.
  • I was trying to use the centralized certificate store. Again I think this is irrelevant to most of my answer.
  • I had already attempted to update the certificate but it wasn’t showing the new date.
  • You’re probably in a panic right now if your old certificate already expired. Take a deep breath.

First I’d recommend strongly going to https://www.digicert.com/help/ and downloading their DigiCert tool. You can also use it online.

Enter in your website https://example.com and it will show you the expiration date and thumbprint (what MS calls the certificate hash). It does a realtime lookup so you don’t have to worry whether or not your browser (or intermediate server) is caching something.

If you’re using the centralized certificate store you’ll want to be 100% sure the .pfx file is the latest version so go to your store directory and run this command:

This will show you the expiration date and hash/thumbprint. Obviously if this expiration date is wrong you probaly just exported the wrong certifcate to the filesystem so go and fix that first.

If you are using the CCS then assuming this certutil command gives you the expected expiration date (of your updated certificate) you can proceed.

Run the command:

You likely have a lot of stuff in here so it’s easier to open it up in a text editor.

You’ll want to search this file for the WRONG hash that you got from digicert.com (or the thumbprint you got fromChrome).

For me this yielded the following. You’ll see it is bound to an IP and not my expected domain name. This is the problem. It seems that this (for whatever reason I’m not sure) takes precedence over the binding set in IIS that I just updated for example.com .

I don’t even know where this binding came from — I don’t even have any SSL bindings on my default site but this server is a few years old and I think something just got corrupted and stuck.

So you’ll want to delete it.

To be on the safe side you’ll want to run the following comand first to be sure you’re only deleting this one item:

Now we’ve verified this is the ‘bad’ thumbprint, and expected single record we can delete it with this command:

Hopefully if you now go back to Digicert and re-run the command it will give you the expected certificate thumbprint. You should check all SAN names if you have any just to be sure.

Probably want to IISRESET here to be sure no surprises later.

Final note: If you’re using the centralized certificate store and you’re seeing erratic behavior trying to even determine if it is picking up your certificate from there or not don’t worry — it’s not your fault. It seems to sometimes pick up new files immediately, but cache old ones. Opening and resaving the SSL binding after making any kind of change seems to reset it but not 100% of the time.

Неверный сертификат для хоста

Домена нет. Сертификат установил. Узел прописал.
Ошибка: указан. в серт. название неправильно или не совпадает с названием узла. (IE)
Ошибка: вы пытаетесь перейти на сайт 192.168.0.1 однако были направлен. на сервер Control. (Chrom)
Помогите с установкой. Есть вариант отключить совсем запрос сертификата.

Читать еще:  Кавычки в word

Кому категорично мешает или просто не удобен сертификат при аутентификации пользователей для выхода в интернет, необходимо сделать следующее:
1. Выключить керио
2. Открыть файл winroute.cfg
3. Найти раздел: Administration и изменить следующие строки
— 1 на 0
— 1 на 0
4. Запустить керио.

Добавлено через 2 часа 57 минут
Отключить полностью серт. как написано выше не удалось. Неужели только у меня такая проблема с установкой серт. Почему он не хочет устанавливаться нормально?

1. Скорее всего вы всё сделали правильно, но всё таки. Куда конкретно вы установили сертификат, в какое хранилище?

2. «указан. в серт. название неправильно или не совпадает с названием узла»
отключите галку «предупреждать о несоответствии адреса сертификата» во вкладке «дополнительно» свойств IE. Если не боитесь фишинга с подменой адресов в интернете, то ничего страшного не произойдёт. Я например генерил сертификат на сетевое имя сервера, а захожу по привычке всегда по 192.168.100.1.

-Ошибка несоответствия имён происходит потому что ты сертификат генерируешь на имя хоста «Control», а заходишь на адрес «192.168.0.1».
-Ошибка недоверия сертификату происходит потому что в доверенные надо добавлять родительский самоподписанный сертификат самого сервера, а не сгенерированный вами (дочерний).

Энстругция.
0. IP шлюза тут я принимаю за 192.168.0.1, ставим свой.
1. удали из сертификатов всё нахрен. на предупреждения не обр. внимания.
2. жми «добавить» — «новый сертификат для локального центра». Напиши в имени хоста «Kerio Local Authority» чтобы не запутаться и срок 10 лет поставь. Страна Сомали. Это твой корневой сертификат.
3. жми «добавить» — «новый сертификат». имя хоста «192.168.0.1» на 10 лет. Это твой дочерний сертификат, которым будет представляться шлюз.
4. Экспортируй в файл сертификат Kerio Local Authority. (дополнительные действия-экспорт-экспортировать сертификат в PEM)
5. Установи сертификат Kerio Local Authority в хранилище «доверенные корневые центры сертификации»
6. Замени в керио SSL-сертификат веб-интерфейса на новый с айпишником.
7. закрой браузер, перезаходи на шлюз строго через «https://192.168.0.1/admin».
8. всё должно быть нормально.

необязательно:
9. галочку о несоответствии имени можно поставить на место, теперь адрес соответствует сертификату.
10. почисти все остальные доверенные места от того что ты там наставил.

з.ы. если необходимо, пиши, я разжую вплоть до каждой кнопочки.
______________________________________
как это выглядит у меня:

вот что происходит если мой шлюз представляется сертификатом с именем хоста «control». обрати внимание на выделенные строки.
[Для просмотра данной ссылки нужно зарегистрироваться]

а вот тут я поменял сертификат на имя хоста «192.168.100.1»
ошибка, связанная с именем пропала, ошибка доверия осталась.
[Для просмотра данной ссылки нужно зарегистрироваться]

теперь я добавил родительский сертификат в доверенные корневые центры сертификации и ошибок нет.
[Для просмотра данной ссылки нужно зарегистрироваться]

Ошибка SSL: что делать, когда браузер выдает ошибку проверки достоверности SSL сертификата

При посещении веб-сайта с установленным сертификатом безопасности (для шифрования данных по протоколам SSL/TLS), который браузер не может проверить, выдаются следующие предупреждения:

Internet Explorer:

«Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации».

Firefox 3:

«(Имя сайта) использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен». Или: «(Имя сайта) использует недействительный сертификат безопасности. К сертификату нет доверия, так как он является самоподписанным».

Давайте разберемся, почему браузеры так реагируют на некоторые сертификаты и как от избавиться от этой ошибки.

Почему возникает ошибка SSL?

Браузеры обычно разрабатываются с уже встроенным списком доверенных поставщиков SSL сертификатов. К таким относятся всем известные компании Comodo, Thawte, Geotrust, Symantec, RapidSSL, GlobalSign и некоторые другие.

Тем не менее многие поставщики SSL сертификатов в этих списках отсутствуют, так как далеко не у всех есть договоренности с разработчиками веб-браузеров. При открытии сайта с SSL сертификатом, выданным одним из таких поставщиков, браузер выдает предупреждение, что Центр сертификации (ЦС), выдавший SSL сертификат, не является доверенным. То же происходит, когда на сайте установлен самоподписанный SSL сертификат. Internet Explorer выдает довольно общее предупреждение, тогда как Firefox 3 различает SSL сертификаты, выданные самим сервером (самоподписанные SSL сертификаты), и другие виды недоверенных сертификатов.

Если Вы купили SSL сертификат у нас и после его установки возникает такая ошибка, Вы можете устранить ее, следуя инструкциям ниже. Нет необходимости устанавливать дополнительное ПО на клиентские устройства и приложения, чтобы устранить ошибку с доверенным SSL сертификатом. Первое, что следует сделать, это найти причину ошибки SSL с помощью тестера SSL сертификатов. Перейдя по ссылке, Вы можете ввести Ваш домен и запустить проверку SSL сертификата. Если присутствует ошибка SSL о недоверенном сертификате, сервис об этом сообщит. Он различает два типа ошибок:

Самоподписанные SSL сертификаты

Возможной причиной подобной ошибки SSL может быть установленный на сервере самоподписанный SSL сертификат. Браузеры не принимают самоподписанные сертификаты, потому что они сгенерированы Вашим сервером, а не независимым центром сертификации. Чтобы определить, является ли Ваш SSL сертификат самоподписанным, посмотрите с помощью вышеназванного тестера, указан ли центр сертификации в поле Issuer. В случае самоподписанного SSL, в этой графе указывается название Вашего сервера и далее написано «Self-signed».

Решение: Купить SSL сертификат от доверенного центра сертификации.

Если после установки доверенного SSL сертификата на Вашем сервере нашелся самоподписанный, мы рекомендуем пересмотреть инструкции по установке и убедится, что Вы выполнили все нужные шаги.

Ошибка в установке SSL сертификата

Наиболее распространенной причиной ошибки типа «к сертификату нет доверия» — это неверная установка SSL на сервер (или серверы), на котором размещен сайт. С помощью все того же тестера SSL сертификатов Вы можете проверить, в этом ли причина проблемы. В блоке Certification Paths перечислены промежуточные и корневые сертификаты, установленные на Вашем сервере. Если в этом блоке указано «Path #X: Not trusted», значит у Вас ошибка в установке SSL сертификата и клиенту не удалось установить издателя Вашего SSL сертификата.

Читать еще:  Как настроить домен в windows server 2020

Решение: Чтобы устранить эту ошибку SSL, установите файл промежуточного сертификата на сервер, следуя инструкциям по установке для Вашего сервера. Промежуточные и корневые сертификаты Вы можете скачать в личном кабинете, вместе с Вашим основным SSL сертификатом.

После установки сертификата дополнительно убедитесь, что установка была произведена правильно. Если нужно, перезагрузите сервер.

Другие сообщения браузеров об ошибке SSL

Ниже приведены еще несколько предупреждающих сообщений, выдаваемых различными браузерами. Internet Explorer 6:

«Информация, которой Вы обмениваетесь с этим сайтом, не может быть просмотрена или изменена другими. Тем не менее, имеются замечания по сертификату безопасности сайта. Сертификат безопасности выдан компанией, не входящей в состав доверенных. Просмотрите сертификат, чтобы определить, следует ли доверять центру сертификации. Хотите продолжить?»

Internet Explorer 7:

«Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации. Наличие ошибок в сертификате безопасности может означать, что вас пытаются обмануть или хотят перехватить информацию, передаваемую на сервер».

Как убрать ошибку сертификата безопасности веб-узла, учитывая ОС?

» Ошибка сертификата » появляется в виде уведомления браузера с целью повышения защиты пользовательских данных . Устанавливая соединение с сайтами , браузер проверяет действительность сертификата . И если проверка невозможна , соединение прекращается , отображается сообщение о недостаточной защите .

Итак , если при соединении с защищённым вэбсайтом браузер сообщает об ошибке сертификата безопасности веб-узла, как убрать предупреждение для многократно проверенного сервера ?

Причины предупреждения

1 . Сертификат веб — узла не является доверенным , если предоставлена неполная цепочка промежуточных сертификатов , может возникать данное уведомление об ошибке . Вероятно , имеется попытка извлечь информацию пользователя .

2 . Сертификат безопасности был произведен для веб — узла с другим адресом .

3 . Неточное время на компьютере клиента — более позднее , чем предусмотрено сроком действия сертификата » ССЛ» сервера . Стандартная рекомендация — прекратить работу с веб — узлом , закрыв страницу . Или же , как вариант , возможно обнуление таймера : вручную или переустановкой батарейки платы .

4 . Если ошибка повторяется при соединении со многими сайтами , возможно наличие системных или сетевых неполадок . Виновником внедрения недостоверных сертификатов может оказаться антивирус , или же вредоносное ПО , подменяющее настоящие сертификаты .

5 . Ресурс действительно небезопасен . Если вы желаете проигнорировать » тревогу «, нужно внести сайт в исключения . Но до того , как убрать ошибку сертификата безопасности веб-узла таким способом , не мешает дополнительно проверить причину возникновения проблемы .

Если ошибка проявляется изредка , необходимо скачать сертификат безопасности из официального источника , установить его и перезагрузить компьютер .

Windows VISTA

Как убрать ошибку сертификата безопасности веб-узла для Windows VISTA:

1 . Внесите сертификат в доверенные ( не рекомендуется ). Затем следует подтвердить дальнейшее открытие окна , и в появившемся » Ошибка сертификата . » вызвать окно недостоверного сертификата , обозначенное » щитом «.

2 . Выбрать » Просмотр сертификата «, затем » Общие «, где возможно отследить время действия сертификата вэб — узла .

3 . В мастере установки выберите » Установить сертификат » и «Вперёд» .

4 . Отметьте галочкой » Автоматически выбранное хранилище сертификата . «, подтверждая нажатием «Вперёд» .

5 . Выполните подтверждение операции , нажав » ДА» и «Финиш» в окне запроса . Избранный сертификат установлен .

6 . Произведенные изменения подтвердите нажатием » ОК» .

7 . Выберите строку » Поместить все сертификаты в следующее хранилище «, выполните подтверждение нажатием » Обзор «.

8 . В окне под названием » Выбор хранилища сертификатов «, отметьте » Доверенные корневые центры сертификации «, подтверждая нажатием » ОК» .

9 . Завершите процедуру : » Далее «, » Готово «, подтвердите установку , нажимая » ОК» , и презапустите браузер .

Windows ХР

Как убрать ошибку сертификата безопасности веб-узла для Windows ХР :

1 . В » хранилище сертификатов » выберите хранилище согласно типу сертификата » автоматически «.

2 . При нажатии » Далее » импортируется и установится сертификат .

3 . Щёлкните » Готово «.

4 . Если предварительно появляется «Предупреждение безопасности , нажмите » ДА» в качестве подтверждения установки .

5 . Поступит уведомление об установке . Щёлкните » ОК» . Процедура завершена .

Антивирусные продукты

Как исправить ошибку сертификата безопасности веб-узла посредством настроек антивирусного обеспечения ?

В антивирусе присутствует опция сканирования шифрованных соединений , и с переустановкой антивируса сертификаты в хранилище доверенных браузера будут установлены повторно .

В настройках программы Аваст:

  • перейдите по цепочке » Настройки » — » Активная защита «, затем » Настроить » ( возле щитка );
  • уберите галочку с настроек , выберите включение http- сканирования , подтвердите (» ОК» ).

Как убрать ошибку сертификата безопасности веб-узла посредством прграммы «Касперский»:

  • щёлкните в настройках программы : » Настройки » — » Дополнительные » — » Сеть «;
  • в » сканировании защищённых соединений » выберите : » Не сканировать зашифрованные соединения «;
  • в качестве альтернативного действия можно отметить » Дополнительные настройки » и выбрать » Установить сертификат «;
  • затем подтвердите изменения и перезапустите компьютер .

Если повторяется » ошибка сертификата «, вероятно , он скомпрометирован , и не стоит добавлять в исключения сертификат популярного веб — сайта.

Вредоносные программы

Используйте ПО последней версии , включая плагины , так как установка вредоносного ПО возможна из — за уязвимости устаревших программ .

Устанавливая программы в мастерах ПО принимайте их с официального сайта , снимайте флажки с установки непроверенных программ .

Не пользуйтесь лживыми всплывающими окнами , появляющихся с целью внедрения опасных программ . Изучите детали блокирования всплывающих окон для их исключения .

Контролируйте работу антивируса в реальном времени .

Ссылка на основную публикацию
Adblock
detector
×
×