Ошибка срок действия crl истек

Представленные ошибки:

1. Не удалось проверить список отзыва CRL.
2. Сертификат недействителен. Срок действия истек или еще не наступил.
3. Сертификат недействителен. Сертификат отозван.
4. Подпись недействительна. (Подпись математически неверна).
5. Не удалось полностью проверить один или несколько сертификатов в цепочке.

Для проверки и исправления ошибок в подписанных документах используется программное обеспечение Крипто АРМ, Его Вы можете скачать по ссылке

Визуально ошибка отображена на картинке ниже:

Причина возникновения:

В КриптоАРМ не установлен актуальный список отзыва.

Как устранить данную проблему:

• Скачать список отзыва CRL

• Открываем сертификат, далее делаем все пошагово как на скриншоте.

1 – нажимаем Статус сертификата, 2 – двойным кликом открываем сертификат, 3- нажимаем Состав, 4 – выбираем Точки распространения, 5 – выделяем ссылку после = , нажимаем Ctrl + C (плюс не нажимаем , одновременно две клавиши Ctrl и C на клавиатуре), вставляем ссылку в строке поиска в браузере.

• Если все действия проделаны правильно, в загрузки добавится файл (список отзыва).

• Запоминаем куда сохранился файл, и открываем программу КриптоАРМ. Нажимаем списки отзыва сертификатов, и нажимаем Импорт:

• Откроется окошко импорта, далее выполняем действия пошагово, как показано на скриншотах:

Нажимаем Готово. Перезагружаем Компьютер и проверяем повторно. Ошибка должны быть устранена.

2. Сертификат недействителен. Срок действия истек или еще не наступил.

Визуально ошибка отображена на картинке ниже:

Причина возникновения:

• Истек срок действия Сертификата или закрытого ключа.

Как устранить данную проблему:

• Обратиться в удостоверяющий центр для выпуска нового сертификата(продления). Или подписать документ действующей ЭЦП (при наличии таковой).

3. Сертификат недействителен. Сертификат отозван.

Ошибка указана на картинке ниже:

При возникновении данной ошибки, если ранее вы самостоятельно не отзывали сертификат. Вам необходимо обратиться в Удостоверяющий центр, выдавший сертификат, для уточнения причины возникновения данной проблемы.

Удостоверяющий центр выдавший сертификат, обычно указан в разделе Издатель.

4. Подпись недействительна. (Подпись математически неверна).

Пример ошибки на картинке ниже:

Причина возникновения данной проблемы: файл был изменен или поврежден, после подписания.

Файл может быть изменен в следствии воздействия антивирусного ПО. Или в результате изменений внесенным в структуру файла почтовым сервисом, при отправке по электронной почте.

Файл необходимо повторно подписать, предварительно отключив антивирус (при его наличии, и при повышенном уровне защиты файловой системы).

Перед отправкой по электронной почте, файл необходимо заархивировать.

Так же если Вы используете при подписании сервис КриптоДок, у Вас должна быть активирована лицензия Крипто Про CSP, как проверить действительность лицензии Вы можете узнать по ссылке

Так же, если для подписания используется программа КриптоАРМ, перед подписанием обратите внимание, чтобы был отключен режим Квалифицированная подпись в КриптоАРМ.

Проверить это можно нажав правой кнопкой мыши, по иконке в области уведомлений.

5. Не удалось полностью проверить один или несколько сертификатов в цепочке.

Визуально ошибка отображена на картинке ниже:

Причина возникновения:

Не установлен корневой сертификат удостоверяющего центра, выдавшего сертификат.

Не установлен корневой сертификат Минкомсвязь России

Как устранить данную проблему:

1. Скачать корневой сертификат УЦ
2. Открываем сертификат, далее делаем все пошагово как на скриншоте:

1. Откроется мастер экспорта сертификата, все оставляем по умолчанию, нажимаем далее –далее – выбираем место для сохранения файла и задаем ему имя.
2. Запоминаем куда сохранился файл, и открываем его. Нажимаем — установить сертификат (далее выполняем действия, последовательно как на скриншотах)

1. По окончании установки перезапускаем программу КриптоАРМ, и повторно выполняем операцию, которую не удалось выполнить ранее.
2. Если проблема не исчезла.
   • Необходимо скачать и установить сертификат Минкомсвязь России.
   • Скачиваем по ссылке — https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ufoCertificates/download/34656
   • Проделываем те же действия что показаны в пункте 4 , но в качестве хранилища выбираем Доверенные корневые центры сертификации.

Проверка документа подписанного электронной подписьюКак установить корневые сертификаты на Windows

hh1nt	#1 Оставлено : 1 ноября 2013 г. 16:00:45(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз	Добрый день. Прошу прощения за может быть нубские вопросы. Хотим в организации наладить документооборот с другими организациями. В данный момент закупили офис сигнатур плюс крипто про и ЭЦП для каждого из офисов. Интересует каким образом происходит проверка ЭЦП в документах Допустим организация подписала документ своей ЭЦП, отправила этот документ мне. Я добавил корневой сертификат в доверенные (предварительно проверив его на госуслугах). При открытии документа ЭЦП действительна для данного документа. А каким образом определить что данная ЭЦП была отозвана или не отозвана? Знаю, существуют списки отзыва CRL, которые прописаны в самой ЭЦП. Через IE я их могу скачать просмотреть, но кнопки добавить там не нахожу, не так как в добавлении обычного сертификата. Плюс у каждого crl сертификата есть такой же срок действия. Правильно ли я понимаю, что при открытии подписанного файла (к примеру word) у меня открывается этот сертификат и в этот момент автоматически средствами Windows скачивается crl список и проверяется на отзыв сам сертификат. Если это так, то что будет если на момент открытия файла срок действия crl истек, а новый не скачался (например нет интернета на данный момент или УЦ список новый не выпустил). Мне как то об этом программа сообщит? Где в системе хранятся crl? Их можно посмотреть в самой системе?

Андрей Писарев	#2 Оставлено : 1 ноября 2013 г. 17:02:21(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,010 Сказал «Спасибо»: 457 раз Поблагодарили: 1912 раз в 1478 постах	Автор: hh1nt Где в системе хранятся crl? Их можно посмотреть в самой системе? ПускВыполнить certmgr.msc Пользователь Андрей * прикрепил следующие файлы: СОС.png (134kb) загружен 89 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Техническую поддержку оказываем тут Наша база знаний
	WWW

hh1nt	#3 Оставлено : 5 ноября 2013 г. 9:35:58(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз	Посмотрел по данному пути, увидел только один crl файл. Тех crl по сертификатам что я открывал- нет, даже нет тех, которые я скачивал в ручную с сайтов. Каким образом их можно установить? Каким образом происходит проверка сертификатов по crl? Что будет если crl истек, новый не скачивается, как в таком случае произойдет проверка сертификата/подписанного файла.

Андрей Писарев	#4 Оставлено : 5 ноября 2013 г. 10:59:53(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,010 Сказал «Спасибо»: 457 раз Поблагодарили: 1912 раз в 1478 постах	Установить можно несколькими способами: 1) правой кнопкой — установить, выбрать хранилище «Промежуточные ЦС» 2) открыть certmgr.msc: выбрать хранилище «Промежуточные ЦС»,правой кнопкой: Все задачиИмпорт в мастере выбрать «Список отзыва сертификатов» 3) используя утилиты, типа certmgr.exe Цитата: CertMgr.exe /add /all «c:file.crl» /s /r currentUser CA Пользователь Андрей * прикрепил следующие файлы: Установка СОС.png (61kb) загружен 38 раз(а). У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Техническую поддержку оказываем тут Наша база знаний
	WWW
1 пользователь поблагодарил Андрей * за этот пост.	hh1nt оставлено 05.11.2013(UTC)

Андрей Писарев	#5 Оставлено : 5 ноября 2013 г. 11:06:10(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,010 Сказал «Спасибо»: 457 раз Поблагодарили: 1912 раз в 1478 постах	Автор: hh1nt Посмотрел по данному пути, увидел только один crl файл. Тех crl по сертификатам что я открывал- нет, даже нет тех, которые я скачивал в ручную с сайтов. Каким образом их можно установить? Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему.
Техническую поддержку оказываем тут Наша база знаний
	WWW
1 пользователь поблагодарил Андрей * за этот пост.	hh1nt оставлено 05.11.2013(UTC)

hh1nt	#6 Оставлено : 5 ноября 2013 г. 12:20:17(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз	Автор: Андрей * Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему. 1. Т.е. если мне пришел подписанный документ и я хочу проверить, что в данном документе подпись не состоит в списках отзыва, то нужно каждый раз скачивать СОС с сайта и каждый раз делать импорт? Или же по истечению СОСа автоматически скачается новый средствами ОС Windows? 2. Какую ошибку покажет документ при проверке сертификата, если СОС по данному сертификату истек, а новый не загружен?

hh1nt	#7 Оставлено : 7 ноября 2013 г. 7:26:51(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз	ап

Юрий	#8 Оставлено : 7 ноября 2013 г. 8:19:57(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.01.2008(UTC) Сообщений: 671 Откуда: Йошкар-Ола Сказал «Спасибо»: 3 раз Поблагодарили: 93 раз в 67 постах	Автор: hh1nt Автор: Андрей * Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему. 1. Т.е. если мне пришел подписанный документ и я хочу проверить, что в данном документе подпись не состоит в списках отзыва, то нужно каждый раз скачивать СОС с сайта и каждый раз делать импорт? Или же по истечению СОСа автоматически скачается новый средствами ОС Windows? 2. Какую ошибку покажет документ при проверке сертификата, если СОС по данному сертификату истек, а новый не загружен? Поймите, что за проверку подписи отвечает только та программа, с помощью которой вы работаете с подписями. То есть это её обязанность смотреть CRL, запрашивать обновления, устанавливать обновления CRL в локальные хранилища и т.д. Так же и ошибка при истекшем CRL также может быть специфична. Обычно показывается, что статус сертификата неизвестен (так как нет информации о более новом CRL).
С уважением, Юрий Строжевский
	WWW
1 пользователь поблагодарил Юрий за этот пост.	hh1nt оставлено 07.11.2013(UTC)

hh1nt	#9 Оставлено : 7 ноября 2013 г. 9:04:27(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 01.11.2013(UTC) Сообщений: 7 Откуда: Москва Сказал(а) «Спасибо»: 4 раз	Спасибо, Юрий. Описывал в 1 посте. Используется Word + Офис Сигнатур. И черт его знает в момент проверки ЭЦП сам WORD подгружает CRL или не подгружает. И возможности нет проверить, отозвать сертификат, снова проверить

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

🔍 Простой поиск по базе знаний

Достаточно часто при использовании списка отозванных сертификатов через месяц становится невозможно установить связь с сервером OpenVPN. В логах OpenVPN появляется ошибка установления соединения с сервером:

TLS: Initial packet from [AF_INET]ХХ.ХХ.ХХ.ХХ:62889, sid=ba13f8a4 4c4aec28
VERIFY ERROR: depth=0, error=CRL has expired: CN=client1
OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting

Причина — в превышении времени жизни списка отозванных сертификатов, который хранится в файле crl.pem (CRL — certificate revoke list). Проверить это можно выдав следующую команду:

$ sudo openssl crl -inform PEM -in /etc/openvpn/easy-rsa/keys/crl.pem -text -noout
[sudo] пароль для user1: 
Certificate Revocation List (CRL):
Version 1 (0x0)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=RU/ST=RU/L=Moscow/O=ХХХХ/OU=ХХХХ/CN=ХХХХ/name=EasyRSA/emailAddress=хххх@yourmail.ru
Last Update: Sep 10 09:26:36 2020 GMT
Next Update: Sep 11 09:26:36 2021 GMT

Из вывода видно что не позднее 11 сентября необходимо перевыпустить список отозванных сертификатов. Иначе будет появляться эта ошибка.

Можно конечно перевыпустить список ещё на год, но лучше всё таки увеличить его срок жизни.

Время жизни списка отозванных сертификатов задается в файле /etc/openvpn/easy-rsa/openssl-1.0.0.cnf в следующей секции:

# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
# so this is commented out by default to leave a V1 CRL.
# crl_extensions = crl_ext

default_days = 3650 # how long to certify for
default_crl_days= 365 # how long before next CRL
default_md = sha256 # use public key default MD
preserve = no # keep passed DN ordering

default_crl_days= 365 это и есть количество дней до перевыпуска списка отозванных сертификатов или время жизни этого списка. Открываем файл конфигурации любимым редактором, например nano:

$ sudo nano  /etc/openvpn/easy-rsa/openssl-1.0.0.cnf

и изменяем default_crl_days= 365 на, например, default_crl_days= 3650. То-есть на 10 лет. Затем перевыпускаем сам список:

$ sudo su
# cd /etc/openvpn/easy-rsa
# openssl ca -gencrl -keyfile keys/ca.key -cert keys/ca.crt -out keys/crl.pem -config ./openssl-1.0.0.cnf
# exit

Проверяем:

$ sudo openssl crl -inform PEM -in /etc/openvpn/easy-rsa/keys/crl.pem -text -noout
[sudo] пароль для user1: 
Certificate Revocation List (CRL):
Version 1 (0x0)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=RU/ST=RU/L=Moscow/O=ХХХХ/OU=ХХХХ/CN=ХХХХ/name=EasyRSA/emailAddress=хххх@yourmail.ru
Last Update: Sep 10 09:26:36 2020 GMT
Next Update: Sep 11 09:26:36 2030 GMT

Все нормально и все должно работать.

Hello, as a noob, i spent some time figuring out why my VPN stopped working, client connection stuck at status message:

«VERIFY OK: depth=0, CN=server»

the /var/log/messages at server shown this:

Aug 29 00:46:53 h31 openvpn[11357]: myclientip:45962 VERIFY ERROR: depth=0, error=CRL has expired: CN=client
Aug 29 00:46:53 h31 openvpn[11357]: myclientip:45962 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Aug 29 00:46:53 h31 openvpn[11357]: myclientip:45962 TLS_ERROR: BIO read tls_read_plaintext error
Aug 29 00:46:53 h31 openvpn[11357]: myclientip:45962 TLS Error: TLS object -> incoming plaintext read error
Aug 29 00:46:53 h31 openvpn[11357]: myclientip:45962 TLS Error: TLS handshake failed

Someone got similar issue and solved it like this: https://forums.openvpn.net/viewtopic.php?t=23166#p67004

Can you please allow during installation to set longer period before CRL have to be renewed or an installed option to renew this? What is suggested workaround?