Континет TLS-клиент (CRL сертификата сервера не загружен или устарел)

Не могу зайти в личный кабинет ЭБ. Континет TLS-клиент выдаёт следующее сообщение "CRL сертификата сервера не загружен или устарел". CRL загружал и обновлял по несколько раз. Возможно кто то сталкивался с этой проблемой и знает её решение. Сриншоты прилагаю.

Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Wmffre пишет: Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Попробовал, результат тот же.

Переустановите Крипто про

heorhee пишет: Переустановите Крипто про

Вы думаете что проблема в КриптоПро? Просто пару дней назад всё работало без проблем. Никаких манипуляций с ПО не проводилось. Возможно есть другое решение проблемы? В крайнем случае конечно переустановлю.

Сергей пишет:

Wmffre пишет: Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Попробовал, результат тот же.

Может мешать прокси, установленный в Internet Explorer 11 (127.0.0.1). Чтобы это проверить, сделайте следующее. В не зависимости от используемого браузера установите прокси в Internet Explorer 11 через сценарий автоматической настройки wpad.dat , другие прокси в Internet Explorer 11 отключите. Уберите галочку в Континент TLS Клиент "Внешний прокси - настраивать автоматически" (Обязательно нажмите "Сохранить" внизу), далее установите непрозрачное проксирование с портом 8080. Перезапустите Континент TLS Клиент, проверьте, что все заданные настройки в Континент TLS Клиент сохранились. Перезапустите Internet Explorer 11, чтобы проверить, что Континент TLS Клиент не проставил прокси в IE11 127.0.0.1:8080 дополнительно к уже используемому сценарию автоматической настройки wpad.dat. Если проставил, то отключите прокси 127.0.0.1:8080, оставив один только сценарий автоматической настройки wpad.dat.

Далее всё как в предыдущем моём сообщении .

Wmffre пишет:

Сергей пишет:

Wmffre пишет: Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Попробовал, результат тот же.

Может мешать прокси, установленный в Internet Explorer 11 (127.0.0.1). Чтобы это проверить, сделайте следующее. В не зависимости от используемого браузера установите прокси в Internet Explorer 11 через сценарий автоматической настройки wpad.dat , другие прокси в Internet Explorer 11 отключите. Уберите галочку в Континент TLS Клиент "Внешний прокси - настраивать автоматически" (Обязательно нажмите "Сохранить" внизу), далее установите непрозрачное проксирование с портом 8080. Перезапустите Континент TLS Клиент, проверьте, что все заданные настройки в Континент TLS Клиент сохранились. Перезапустите Internet Explorer 11, чтобы проверить, что Континент TLS Клиент не проставил прокси в IE11 127.0.0.1:8080 дополнительно к уже используемому сценарию автоматической настройки wpad.dat. Если проставил, то отключите прокси 127.0.0.1:8080, оставив один только сценарий автоматической настройки wpad.dat.

Далее всё как в предыдущем моём сообщении .

Спасибо за рекомендации, попробую.

Сергей пишет:

Wmffre пишет:

Сергей пишет:

Wmffre пишет: Закройте Континент TLS Клиент 2.0.1440.0 Откройте Пуск --> Крипто-Про --> Сертификаты и удалите в "Сертификаты - текущий пользователь" все установленные Списки отзыва сертификатов. Далее запустите Континент TLS Клиент и удалите, а затем импортируйте Серверные сертификаты.

Попробовал, результат тот же.

Может мешать прокси, установленный в Internet Explorer 11 (127.0.0.1). Чтобы это проверить, сделайте следующее. В не зависимости от используемого браузера установите прокси в Internet Explorer 11 через сценарий автоматической настройки wpad.dat , другие прокси в Internet Explorer 11 отключите. Уберите галочку в Континент TLS Клиент "Внешний прокси - настраивать автоматически" (Обязательно нажмите "Сохранить" внизу), далее установите непрозрачное проксирование с портом 8080. Перезапустите Континент TLS Клиент, проверьте, что все заданные настройки в Континент TLS Клиент сохранились. Перезапустите Internet Explorer 11, чтобы проверить, что Континент TLS Клиент не проставил прокси в IE11 127.0.0.1:8080 дополнительно к уже используемому сценарию автоматической настройки wpad.dat. Если проставил, то отключите прокси 127.0.0.1:8080, оставив один только сценарий автоматической настройки wpad.dat.

Далее всё как в предыдущем моём сообщении .

Спасибо за рекомендации, попробую.

Пробовать не стал проблема ушла сама собой, жаль что не удалось выяснить причину, CRL в статусе "Действителен". После обеда получил новый сертификат сделанный по ГОСТ 2012. Появилась другая проблема (скриншот ниже). Да плюс ко всему Континент TLS-клиент в трее всегда горит красным и при наводке пишет истёк срок действия сертификата.

в сертификаты пользователя внимательно посмотрите, там обычно подписано какой сертификат просрочен.

а если на этапе аутентификации разрывает - сертификата в цепочке может не хватает? у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)

sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)

Как бы для ЭБ это не дополнительно, а обязательное условие?

Gvinpin пишет:

sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)

Как бы для ЭБ это не дополнительно, а обязательное условие?

я в курсе, просто меня всегда в обратном убеждали.
+ сами что-то поставят, а потом приходится вот косяки разыскивать

поэтому я просто поделилась взглядами. вдруг поможет

sam28daphne пишет:

Gvinpin пишет:

sam28daphne пишет: у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)

Как бы для ЭБ это не дополнительно, а обязательное условие?

я в курсе, просто меня всегда в обратном убеждали.
+ сами что-то поставят, а потом приходится вот косяки разыскивать

поэтому я просто поделилась взглядами. вдруг поможет

Наверное. Многие просто упорно игнорируют этот нюанс.

sam28daphne пишет: в сертификаты пользователя внимательно посмотрите, там обычно подписано какой сертификат просрочен.

а если на этапе аутентификации разрывает - сертификата в цепочке может не хватает? у нас такое сообщение уходило после того, как дополнительно воткнули цепочку головного и промежуточного в сертификатах (локальный компьютер), а не только (пользователь)

Просроченный сертификат пользователя удалил, помогло.

В сертификате в путях сертификации есть 2 сертификата Минкомсвязи (действует по 01.07.2036) и ФК (действует по 19.11.2033). Эти 2 сертификата "прописаны" в КриптоПро. Скриншоты прилагаю.

Если "Кому выдан" не совпадает с "Кем выдан", то такой сертификат должен быть установлен в "Промежуточные центры сертификации" и называется он промежуточным Поэтому два сертификата установлены в неверное хранилище: 1)Федеральное казначейство -- Минкомсвязь России и 2)Федеральное казначейство -- Головной удостоверяющий центр)

Реально корневым является только тот, у которого "Кому выдан" совпадает с "Кем выдан" и такой сертификат устанавливается в "Доверенные корневые центры сертификации" (они установлены правильно).


Сертификаты - текущий пользователь --> Доверенные корневые центры сертификаты --> Локальный компьютер -->Сертификаты ___и___ Сертификаты (локальный компьютер) --> Доверенные корневые центры сертификаты --> Реестр --> Сертификаты __это одно и тоже хранилище.

Wmffre пишет: Если "Кому выдан" не совпадает с "Кем выдан", то такой сертификат должен быть установлен в "Промежуточные центры сертификации" и называется он промежуточным Поэтому два сертификата установлены в неверное хранилище: 1)Федеральное казначейство -- Минкомсвязь России и 2)Федеральное казначейство -- Головной удостоверяющий центр)

Реально корневым является только тот, у которого "Кому выдан" совпадает с "Кем выдан" и такой сертификат устанавливается в "Доверенные корневые центры сертификации" (они установлены правильно).


Сертификаты - текущий пользователь --> Доверенные корневые центры сертификаты --> Локальный компьютер -->Сертификаты ___и___ Сертификаты (локальный компьютер) --> Доверенные корневые центры сертификаты --> Реестр --> Сертификаты __это одно и тоже хранилище.

Спасибо большое за уточнение, честно говоря не знал но теперь в курсе, исправлю.

Тех. поддержка прислала следующие рекомендации:
Добрый день! В настоящий момент вход в ЛК ЭБ с помощью сертификатов на основе ГОСТ 2012 реализован по адресу lk2012.budget.gov.ru. В целях корректного отображения информации в подсистемах следует использовать протокол http, а не https. Вход по протоколу http осуществляется с помощью СКЗИ Континент TLS Клиент 2.0. В случае отсутствия необходимых дистрибутивов Вам следует обратиться в ОРСиБИ Федерального казначейства своего региона. Для входа в Личный кабинет Электронного бюджета по сертификатам, выпущенным на основе ГОСТ 2012, необходимо выполнить указанные ниже действия.
1) Установить сертификат ГУЦ (доступен по ссылке: www.roskazna.ru/upload/iblock/7e3/guts_2012.cer) в хранилище Локальный компьютер – Доверенные корневые центры сертификации.
2) Установить сертификат УЦ Федерального казначейства (доступен по ссылке: www.roskazna.ru/upload/iblock/acb/fk_2012.cer) в хранилище Локальный компьютер – Промежуточные центры сертификации.
3)В свойствах браузера, изменить настройки подключения:
1.Если в организации используется прокси, указать адрес и порт прокси-сервера.
2.Если в организации прокси не используется, отключить использование прокси.
4) При использовании в организации прокси-сервера добавить на нем разрешающее правило для 94.25.27.229 tcp-443.
5) Если в организации используется антивирусное средство, то перед настройкой Континент TLS Клиента необходимо внести его исполняемый файл в доверенное программное обеспечение антивирусного средства.
6) Осуществить установку и настройку Континент TLS Клиента в соответствии с разделом «Установка и настройка СКЗИ Континент TLS VPN Клиент» Руководства, доступного по ссылке: roskazna.ru/upload/iblock/3f8/rukovodstv...ya_gost2012-ver2.doc После выполнения указанных выше действий просьба почистить кэш/куки в браузере, сбросить соединения TLS клиента, перезапустить браузер и осуществить попытку входа.

P.S. Сейчас возможности проверить нет. Как только появится возможность, обязательно сообщу о результатах.