Remkomplekty.ru

IT Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Vpn ошибка сертификата

Vpn ошибка сертификата

Не удается подключиться к hap light mikrotik с помощью vpn sstp с сертификатом? Ошибка получения в Windows 8.1 Имя cn сертификата не соответствует полученному значению.

что не так в программе, почему vpn sstp не работает,

Генерация сертификатов на RouterOS

add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign

add name=server-template common-name=server

add name=client1-template common-name=client1

add name=client2-template common-name=client2

sign ca-template ca-crl-host=00.00.00.00 name=myCa

sign server-template ca=myCa name=server

sign client1-template ca=myCa name=client1

sign client2-template ca=myCa name=client2

set myCa trusted=yes

set server trusted=yes

/certificate export-certificate myCa

/certificate export-certificate client1 export-passphrase=xxxxxxxx

/certificate export-certificate client2 export-passphrase=xxxxxxxx

/ppp secret add name=Laptop service=sstp password=123 local-address=192.168.1.1

/ppp secret print detail

/interface sstp-server server set certificate=server

/interface sstp-server server set enabled=yes

/interface sstp-server server set authentication=mschap2

/interface sstp-server server print

Это всё кто такие? Почему взяты именно такие имена, а не реальные?

add name=ca-template common-name=23.53.75.76 key-usage=key-cert-sign,crl-sign

add name=server-template common-name=23.53.75.76

add name=client1-template common-name=36.35.35.54

add name=client2-template common-name=192.168.1.253

set myCa trusted=yes
set server trusted=yes

/certificate export-certificate myCa
/certificate export-certificate client1 export-passphrase=xxxxxxxx
/certificate export-certificate client2 export-passphrase=xxxxxxxx

to create a user

/ppp secret add name=Laptop service=sstp password=123 local-address=23.53.75.76
remote-address=36.35.35.54
/ppp secret print detail

/interface sstp-server server set certificate=server
/interface sstp-server server set enabled=yes
/interface sstp-server server set authentication=mschap2

/interface sstp-server server print

Добавление от 02.08.2019 12:22:

та же ошибка Имя cn сертификата не соответствует полученному значению

Как решить ошибку 0x8007274C в Windows 7 при подключении VPN sstp из Windows 7 к Mikrotik HAP Lite маршрутизатору?

настройка маршрутизатора
——————————-
Генерация сертификатов на RouterOS

/certificate
add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
add name=server-template common-name=35.22.112.151
add name=client1-template common-name=91.13.2.14
add name=client2-template common-name=192.168.1.253
/certificate
sign ca-template ca-crl-host=35.22.112.151 name=myCa
sign server-template ca=myCa name=server
sign client1-template ca=myCa name=client1
sign client2-template ca=myCa name=client2

set myCa trusted=yes
set server trusted=yes

/certificate export-certificate myCa
/certificate export-certificate client1 export-passphrase=xxxxxxxx
/certificate export-certificate client2 export-passphrase=xxxxxxxx

to create a user

/ppp secret add name=rt3453453desg service=sstp password=345asg4tt local-address=35.22.112.151
remote-address=91.13.2.14

/ppp secret print detail

/interface sstp-server server set certificate=server
/interface sstp-server server set enabled=yes
/interface sstp-server server set authentication=mschap2

/interface sstp-server server print

/interface sstp-server monitor 0

/interface ethernet print

Клиент-то как настроен ?
Сертификат CA поместили в Доверенные корневые центры сертификации ?

Клиентские сертификаты зачем вам, есть другие клиенты кроме виндовс ?

Локальный и удаленные адреса в /ppp secret — это не реальные IP адреса сервера и клиента в сети Интернет, а ваши собственные (любые) серые адреса, один для PPP (SSTP в данном случае) интерфейса на сервере, другой для клиента.

сертификат поместили в Доверенные корневые центры сертификации
только windows

адреса выдуманы 35.22.112.151 91.13.2.14 и заменяют реальные адреса

Добавление от 05.09.2019 10:47:

почему не удаётся подключиться с адреса 91.13.2.14
с адреса 192.168.1.253 удаётся подключиться

dave ramsey
только windows [source=14:65890:7]

Для виндовс клиентов клиентские сертификаты не нужны, они их не умеют использовать.

На сервере они ничему не мешают, если создали, пусть будут.

почему не удаётся подключиться с адреса 91.13.2.14
с адреса 192.168.1.253 удаётся подключиться [source=14:65890:7]

Потому что remote address в /ppp secretэто не адрес, с которого подключается клиент

Это адрес, который выдается клиенту для виртуального сетевого адаптера.

Аналогично и local address не является Интернет адресом VPN сервера, а адресом VPN интерфейса, создающегося на сервере при подключении клиента.

Для этих адресов нужно использовать адреса из частного (private) диапазона — см. https://en.wikipedia.org/wiki/IP_address#Private_addresses

Если одновременно подключается несколько VPN клиентов, у каждого должен быть свой, отличный от других, адрес (remote address), для адреса сервера (local address) можно использовать один и тот же адрес.

Добавление от 05.09.2019 17:33:

ошибка в windows при попытке подключиться
цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутсвует отношение довария с поставциком доверия

Устранение неполадок общих кодов ошибок VPN и решения для Windows 10

Виртуальная частная сеть или VPN используется для создания защищенных соединений. Они часто используются через Интернет для более безопасного просмотра. Такие соединения известны как VPN-туннели, которые устанавливаются между локальным клиентом и удаленным сервером.

Настройка и запуск VPN часто является сложной и сложной задачей, требующей специальных знаний и технологий. При сбое подключения программного обеспечения VPN клиентская программа сообщает об ошибке. Это сообщение обычно содержит код ошибки. Существует несколько различных кодов ошибок VPN , но некоторые из них очень распространены и появляются в большинстве случаев. Эти коды ошибок могут помочь вам решить проблемы и проблемы VPN. Вот как можно устранить типичные ошибки VPN, с которыми сталкиваются многие пользователи.

Хотя большинство VPN-сетей используют стандартные процедуры устранения неполадок в сети, существуют определенные коды ошибок, которые имеют свои собственные конкретные решения. Давайте начнем и рассмотрим, как устранять неполадки общих кодов ошибок VPN, таких как 691, 789, 800, 809, 609, 633, 0x80072746, 13801 и 0x800704C9.

Прежде чем вам нужно знать, что для программного обеспечения VPN требуются соответствующие адаптеры TAP-Windows. Большинство программ VPN загружают и устанавливают это автоматически во время их установки, но это то, что вы должны знать.

Устранение неполадок с распространенными кодами ошибок VPN

1. Код ошибки VPN 800

Описание ошибки . Это одна из самых распространенных ошибок VPN. VPN 800 происходит, когда удаленное соединение не было установлено. Обычно это указывает на то, что VPN-сервер может быть недоступен, поэтому сообщения не достигают сервера. Это может быть главным образом из-за:

  • Неверное имя или адрес VPN-сервера
  • Некоторые сетевые брандмауэры блокируют трафик VPN
  • Клиентское устройство теряет соединение с локальной сетью.
  • IPSec-переговоры, если используется туннель L2TP/IPSec, имеют неподходящую конфигурацию в параметрах безопасности

Возможная причина: Когда тип VPN-туннеля установлен как «Автоматический», и установление соединения не удается для всех VPN-туннелей, возникает ошибка 800

Возможное решение .

  1. Проверьте правильность адреса VPN-сервера, имени пользователя и пароля
  2. Настройте параметры маршрутизатора и брандмауэра, чтобы разрешить PPTP и/или VPN-транзит. TCP-порт 1723 и протокол GRE 47 должны быть открыты/включены для PPTP-VPN-подключения.
  3. Для пользователей Windows перейдите в Свойства VPN, перейдите на вкладку Безопасность и измените Тип VPN на Протокол туннелирования точка-точка (PPTP).

2. Коды ошибок VPN 609, 633

Описание ошибки:

  • 609: был указан несуществующий тип устройства.
  • 633: модем или другое соединительное устройство уже используется или неправильно настроено.

Возможная причина . Это еще одна из самых распространенных ошибок VPN. Эта проблема обычно возникает, когда подключающееся устройство VPN (то есть мини-порт) настроено неправильно, а также когда порт TCP, который используется VPN-соединением, уже используется другой программой.

Чтобы подтвердить наличие минипорта, введите netcfg.exe -q в командной строке с повышенными привилегиями. Ниже перечислены имена устройств минипорта для различных туннелей:

  • PPTP-туннель: MS_PPTP
  • Туннель L2TP: MS_L2TP
  • Туннель переподключения VPN (IKEv2): MS_AGILEVPN
  • Туннель SSTP: MS_SSTP

Возможное решение .

  1. Возможное решение для таких распространенных ошибок VPN — встроенная диагностика с исправлением в Windows. Это предусмотрено для проблемы «отсутствует минипорт» для VPN-подключений, которые создаются локально. Нажатие кнопки «Диагностика», отображаемой на странице «Ошибка» VPN-подключения, дает возможность «исправить», которая попытается автоматически устранить проблему, если обнаружит, что проблема отсутствует в минипорте.
  2. Остановка и запуск, служба диспетчера подключений удаленного доступа (rasman).
  3. Просто перезагрузите систему, а затем подключитесь к VPN.
Читать еще:  Suse linux enterprise server for sap applications

3. Код ошибки VPN 0x80072746

Описание ошибки: Это одна из распространенных ошибок VPN, когда существующее соединение принудительно закрывается удаленным хостом.

Возможная причина . Эта ошибка возникает, когда привязка сертификата компьютера сервера к HTTPS не выполняется на сервере VPN, ИЛИ сертификат сервера компьютера не установлен на сервере VPN.

Возможное решение .

  • Чтобы решить эту проблему, вам нужно связаться с администратором вашего VPN-сервера.Это делается для того, чтобы проверить, установлен ли соответствующий сертификат компьютера на сервере VPN или нет.
  • Если он установлен правильно, необходимо проверить привязку HTTPS, выполнив следующую команду в командной строке VPN-сервера: «netsh http show ssl»

4. Код ошибки VPN 809

Сообщение об ошибке . Не удалось установить сетевое соединение между вашим компьютером и сервером VPN, поскольку удаленный сервер не отвечает.

Возможное решение . Включите порт (как указано выше) на брандмауэре/маршрутизаторе. Если это невозможно, разверните VPN-туннель на основе SSTP как на VPN-сервере, так и на VPN-клиенте, что позволяет подключаться через VPN через брандмауэры, веб-прокси и NAT.

5. Код ошибки VPN 13801

Описание ошибки . Хотя это выглядит как случайная ошибка, 13801 является одной из наиболее распространенных ошибок VPN, с которыми сталкиваются пользователи. Эта ошибка возникает, когда учетные данные аутентификации IKE недопустимы.

Возможные причины . Эта ошибка обычно возникает в одном из следующих случаев:

  • Сертификат компьютера, используемый для проверки IKEv2 на RAS Server, не имеет «Аутентификация сервера» в качестве EKU (расширенное использование ключа).
  • Срок действия сертификата на сервере RAS истек.
  • Корневой сертификат для проверки сертификата сервера RAS отсутствует на клиенте.
  • Имя сервера VPN, указанное на клиенте, не совпадает с именем субъекта сертификата сервера.

Возможное решение . К сожалению, вы не сможете решить эту проблему самостоятельно. Вам необходимо связаться с администратором вашего VPN-сервера, чтобы проверить и устранить вышеуказанную проблему. Чтобы узнать больше об этой ошибке, вы можете прочитать Блог о маршрутизации и удаленном доступе.

6. Код ошибки VPN 691

Описание ошибки . Некоторые из распространенных ошибок VPN имеют решения, которые вы можете реализовать. Код ошибки 691 является одной из таких решаемых распространенных ошибок VPN. Ошибка возникает, когда удаленному соединению было отказано, поскольку предоставленная вами комбинация имени пользователя и пароля не распознана или выбранный протокол аутентификации не разрешен на сервере удаленного доступа.

Возможная причина . Эта ошибка выдается, когда фаза аутентификации завершилась ошибкой из-за передачи неверных учетных данных.

Возможное решение .

  • Убедитесь, что введено правильное имя пользователя и пароль.
  • Убедитесь, что «Caps Lock» не включен при вводе учетных данных.
  • Убедитесь, что протокол аутентификации, выбранный на клиенте, разрешен на сервере.

7. Код ошибки VPN 0x800704C9

Возможная причина . Это одна из распространенных ошибок VPN, которая возникает, если на сервере нет доступных портов SSTP.

Возможное решение . К счастью, вы можете устранить эту ошибку самостоятельно. Прежде всего убедитесь, что на сервере RAS достаточно портов, настроенных для удаленного доступа. Для этого выполните следующие действия:

  • Запустите оснастку MMC «Маршрутизация и удаленный доступ».
  • Разверните сервер, щелкните правой кнопкой мыши Порты и выберите Свойства.
  • В списке Имя щелкните Минипорт WAN (SSTP), а затем нажмите Настроить.
  • Измените номер, отображаемый в списке «Максимальное количество портов», в соответствии с вашими требованиями и нажмите кнопку «ОК».

Примечание. . По умолчанию для этого устройства доступно 128 портов.

  • В диалоговом окне «Свойства порта» нажмите «ОК».

8. Код ошибки VPN 789

Сообщение об ошибке . Попытка подключения через L2TP завершилась неудачно, поскольку уровень безопасности обнаружил ошибку обработки во время начальных переговоров с удаленным компьютером.

Возможное решение . Это общая ошибка, возникающая при сбое согласования IPSec для соединений L2TP/IPSec. Поэтому убедитесь, что правильный сертификат используется как на стороне клиента, так и на стороне сервера — подробности см. В этом блоге. В случае использования Pre Shared Key (PSK) убедитесь, что один и тот же PSK настроен на клиенте и на компьютере с VPN-сервером.

Помимо этих распространенных ошибок VPN, есть несколько других ошибок VPN, с которыми вы можете столкнуться. Чтобы просмотреть список других ошибок VPN, их возможную причину и возможное решение, посетите TechNet . Этот пост поможет вам с кодами ошибок VPN 732, 734, 812, 806, 835, 766, 13806, 0x80070040, 0x800B0101, 0x800B0109, 0x800B010F, 0x80092013, 0x800704D4 и 0x80072746.

Vpn ошибка сертификата

Вопрос

Все ответы

Убедитесь, что маршрутизатор, за которым находится VPN-клиент, обеспечивает NAT-T (NAT Traversal).

Также убедитесь, что служба «IPSec Policy Agent» функционирует.

Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! 🙂

Немного не опнял какой маршрутизатор.

Как проверить, что работает служба служба «IPSec Policy Agent»?

Goblany, что используете, «preshared key» или сертификаты?

По поводу маршрутизатора и NAT-T. Как справедливо заметил Дмитрий Никитин, если VPN-клиент успешно соединялся с использованием PPTP, то проблемы с NAT у Вашего VPN-клиента скорее всего нет. Но, все же проверьте, если VPN-клиент находится «за NAT», то обеспечивает ли маршрутизатор клиента NAT Traversal. Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! 🙂

Необходимо дополнительно настроить клиентский компьютер.

добавить в раздел

Для Windows XP: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec
Для Windows Vista: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent

значение DWORD: AssumeUDPEncapsulationContextOnSendRule=2

Перезагрузить коммпьютер.
Пробуем подключиться к VPN серверу.

Использую сертификаты. Не работает именно с ними.

Добавил десятичный параметр
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPSec

Если использовать предварительный ключ проверки, то подключиться удается.

Рассказывайте, как сертификаты ISA и клиентам выдавали.

Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! 🙂

Я так понимаю, что должен быть на клиенте запрошен сертификат пользователя, который мы выбираем при подключении, так же в настройках указать центры сертификации — сервера моей локальной сети.
На сервере ISA я заросил через http://xxx.xxx.xxx.xxx/certsrv/ сертификат администратора (Запросил сертификат администратора. Его запрашивал от учетки Администратор). Затем его импортировал в доверенные центры сертификации.

Может быть еще надо запрашивать каие? Вот только что нашел, что в mmc для локального компьютера-личные надо запростить какой-то сертификат дя компьютера, Но у мня он не запрашивается из-за фильтра RPC, как я понимаю, но отключение RPC недоступно у меня.

Еще хочу добавить (если это имеет значение), что на ISA в мониоринге показывается соединенеи по протоклолу ike-клиент порт 500. Так и должно быть?

Да, IKE используется для установления IPSec-соединения.

Читать еще:  Архитектура ядра операционной системы

По поводу сертификатов. Необходимо обеспечить сертификатом компьютера сервер ISA. Также необходимо обеспечить сертификатом компьютера, не пользователя, компьютеры клиентов. Далее. Важно, чтобы к этим сертификатам было доверие с обеих сторон, т.е. чтобы они были выпущены доверенным удостоверяющим центром. Сертификат на компьютере ISA можно запросить с помощью утилиты «certreq», сохранив запрос в файл. Сертификаты клиентских компьютеров можно запросить через узел «certsrv», разрешив пользователям запрашивать сертификаты на основе шаблона «IPSec offline request». при этом убедитесь, что сертификаты для пользовательких компьютеров Вы получаете с закрытым ключом («allow private key to be exported» в шаблоне и «store certificate in computer store» — когда получаете).

В общем, вот статья:
http://support.microsoft.com/default.aspx/kb/555281 Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! 🙂

Хочу немного уточнить.
1) Значит нам на компьютере пользователя и VPN-сервере и сервера нужно, чобы в доверенных центрах сертификации был сертификат сервера сертификации моей сети. Например, если мой сервер сертификации Sert Aut Center, то его сертификат лежит в доверительных корневых центрах сервера и клиента БЕЗ ключа. Импортировать его можно с диска C: сервера сертификатов.

2) На СЕРВЕРЕ через http://ИмяСервера/cert запрашиваем сертификат шаблона Администратор, который устанавливается в локальное храилище компьютера и является проверочным сертификатом сервера. (есть закрытый ключ)

3) На КЛИЕНТЕ через http://ИмяСервера/cert запрашиваем сертификат шаблона Администратор, который устанавливается в локальное храилище компьютера и является проверочным сертификатом клиентсокго компьютера. (есть закрытый ключ)

4) На клиенте запрашиваем сертификат пользоваля, который выдается каждому пользователю для VPN-подключения (с ключем).

5) На клиенте получил сертификат IKE-посредник IP-безопасности при помощи http://ИмяСервера/cert (IPSEC(автонмный запрос)).

6) На Сервере получил сертификат IKE-посредник IP-безопасности при помощи http://ИмяСервера/cert (IPSEC(автонмный запрос)).

Я не понимаю, какие еще сертияикаты мне нужно получить. Почему по PPTP соединение с сертификатами идет, а L2Tp нет.
Где еще можно покопать?

Как исправить ошибки сертификатов Internet Explorer

Многие пользователи Internet Explorer нередко сталкиваются с ситуацией, при которой браузер, подключаясь к тому или иному интернет-ресурсу, демонстрирует вместо запрашиваемой страницы предупреждение, связанное с ошибкой сертификата безопасности. Это предупреждение является следствием предпринятых разработчиками мер против повсеместно распространённого интернет-мошенничества. В подобных случаях браузер сравнивает отправленный веб-сайтом ключ безопасности с эталонным, и при их несоответствии блокирует пользователю доступ к странице.

Однако далеко не всегда ошибка сертификата может быть вызвана действиями мошенников — чаще всего она возникает по вполне «мирным» причинам. Этими причинами могут быть:

  • вмешательство антивирусного программного обеспечения или брандмауэра, принимающего доверенный ключ за некорректный;
  • ошибочно установленная системная дата и время, причём не обязательно на компьютере пользователя, но и на сервере, где расположен требуемый сайт. Поскольку каждый ключ безопасности действителен строго определённое время, такое временное несоответствие закономерно может вызывать ошибку безопасности;
  • * открываемый сайт обладает доверенным, но уже неактуальным сертификатом.

В зависимости от причины возникновения ошибки пользователь может предпринять следующие действия.

Отказ от посещения веб-сайта

Рекомендуется в тех случаях, когда выданное браузером предупреждение полностью или частично оправдано: неизвестный сайт (переход на подобные сайты чаще всего осуществляется через выданные поисковой системой ссылки), веб-страница социальной сети (скорее всего, поддельная) или ресурс, предполагающий финансовое взаимодействие через платежные системы и банковские карты. Иными словами, любой сайт, предполагающий ввод в специальные формы данных учётной записи, реквизитов карты и т.д.

В подобных ситуациях целесообразно проверить адресную строку браузера на предмет шифрования по протоколу https: принадлежащие мошенникам сайты-клоны обычно используют защищённые протокол http, что неприемлемо для официальных веб-страниц.

Игнорирование ошибки сертификата

Допустимо использовать этот способ, если открывается веб-ресурс общеизвестен и является при этом доверенным (к примеру, Youtube, Google и т.д.). Последовательность действий довольно проста:

  • во всплывающим уведомлении под адресной строкой нажать «Продолжить открытие этого веб-узла (не рекомендуется)»;
  • обозреватель перейдёт на запрашиваемый сайт, но уведомление о сертификате безопасности в верхней части окна никуда не денется;
  • проверка установленной системной даты.

Если ошибка возникает из-за некорректно настроенной системной даты, устранить её просто, выставив точную дату и время. Для этого нужно:

  • В правом нижнем углу экрана кликнуть правой кнопкой мыши по часам (либо в Панели управления выбрать раздел «Дата и время»).
  • В открывшемся окне перейти по ссылке «Изменение настроек даты и времени», затем при наличии несоответствий установить верные значения вручную.

Следует иметь в виду, что несоответствие даты и времени может быть вызвано и весьма банальной причиной: разряженной батарейкой системной платы. В этом случае батарейку необходимо заменить, однако у многих пользователей эта процедура по тем или иным причинам может вызвать затруднения, и в качестве решения можно воспользоваться автоматической синхронизацией.

Однако не стоит исключать и тот факт, что установка времени по серверам Windows не всегда срабатывает корректно, что связано с отменённым в России переходом на летнее время, поэтому более целесообразным способом решения проблемы будет именно замена элементы питания микросхемы BIOS.

Отключение информирования об ошибке

Способ, предполагающий полное доверие со стороны пользователя к посещаемым ресурсам. При наличии уверенности, что на веб-страницах отсутствует всё то, чем любят пользоваться интернет-злоумышленники (фиктивные страницы, редиректы, вирусы, спам-баннеры и т.д.), можно изменить настройки браузерных уведомлений.

Делается это так:

  • В правой верхней части окна Internet Explorer нажмите на пиктограмму в виде шестерни, вызвав основное меню обозревателя.
  • Перейдите в пункт «Свойства обозревателя».
  • В разделе «Дополнительно» отыщите подраздел «Параметры», где надо активировать отметку напротив пункта «Предупреждать о несоответствии адреса сертификата».
  • Сохраните внесённые изменения нажатием кнопки «Применить», а следом «ОК».

Если речь идёт об организациях, в которых интернет-соединение управляется и контролируется серверными решениями Майкрософт, то процедура несколько сложнее.

  • В «Панели управления» нужно открыть ссылку «Администрирование», а следом выбрать «Средство управления групповой политикой».
  • Отметить имеющуюся или создать новую политику.
  • В «Редакторе управления групповыми политиками» нужно отыскать раздел «Конфигурация пользователя», затем «Настройка» — «Параметры панели управления» — «Параметры обозревателя». Вызвав ПКМ контекстное меню, выбрать пункт «Создать», а следом браузер нужной версии.
  • С правой стороны выбрать свойства элемента, а во вкладке «Дополнительные параметры связи» снять отметку со строки «Предупреждать о несоответствии адреса сертификата».
  • Сохранить сделанные изменения и закрыть окно настроек.
  • Далее следует воспользоваться консолью (команда «cmd»), чтобы сервер принял внесённые ранее поправки и обновил новые правила политики: в консоли набрать «gpupdate /force».
  • Проделать операцию из предыдущего пункта на каждой из требуемых рабочих станций, после чего проверить работоспособность.

Загрузка файла сертификата в IE

В Internet Explorer специалистами Майкрософт была предусмотрена возможность добавления сертификатов вручную. Речь идёт, разумеется, о вполне безопасных ресурсах, возникновение ошибки на которых не связано с угрозами безопасности.

Для добавления ключа такого сертификата в браузер нужно, проигнорировав ошибку безопасности, перейти на соответствующий сайт и отыскать при наличии ссылку на загрузку ключа. (файлы типа *.cer, *pkcs, *.crt и др.). Загрузив сертификат, можно добавить его в браузер. Для этого требуется:

  • В правом верхнем углу окна Internet Explorer нужно нажать на значок шестерёнки, вызывая таким способом основное меню обозревателя.
  • Перейти в пункт «Свойства обозревателя».
  • Во вкладке «Содержание» выбрать «Сертификаты», затем «Импорт».
  • Откроется «Мастер импорта сертификатов», где нужно нажать «Далее».
  • Кликнуть «Обзор», после чего перейти в папку, куда файлы сертификатов были загружены, и выбрать нужный.
  • Определить место хранения ключей: автоматически (по выбору системы) или вручную, выбрав место хранения и название хранилища, после чего нажать кнопку «Далее».
  • Когда процесс создания хранилища будет завершён, «Мастер импорта сертификатов»» отобразит финальное диалоговое окно, в котором будут отображены заданные пользователем параметры.
  • После нажатия кнопки «Готово» сертификаты будут загружены в браузер, а также проверена их актуальность. Если не возникло никаких проблем, интеграция и настройка сертификатов будет завершена, что Мастер подтвердит сообщением «Импорт успешно выполнен».
Читать еще:  Типы сетевой архитектуры

Ошибка «Сертификат безопасности сайта не является доверенным». Как ее исправить?

Доброго дня!

Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.

С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов — обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google).

Суть происходящего, и что это значит?

Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ ( сертификат ) о том, что сайт является подлинным (а не фейк или клон чего-то там. ). Кстати, если с таким сайтом все хорошо, то браузеры их помечают «зеленым» замочком: на скрине ниже показано, как это выглядит в Chrome.

Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.) , так и вообще кто-угодно. Разумеется, если браузер и ваша система «не знает» того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.

Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.

Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, VK и многих других. Их же вы не откажетесь посещать?).

Как устранить ошибку

1) Обратите внимание на адрес сайта

Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL). Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все OK — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.

Пример ошибки «Сертификат безопасности сайта не является доверенным»

Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе.

2) Проверьте дату и время, установленные в Windows

Второй момент — подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по «времени» в панели задач Windows (в правом нижнем углу экрана). См. скрин ниже.

Настройка даты и времени

После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.

Также обращаю внимание на то, что, если у вас постоянно сбивается время — вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую «таблетку», благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).

Батарейка на материнской плате ПК

3) Попробуйте провести обновление корневых сертификатов

Еще один вариант, как можно попробовать решить эту проблему — установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/

4) Установка «доверенных» сертификатов в систему

Этот способ хоть и рабочий, но хотелось бы предупредить, что он «может» стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.

Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority .

Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.

Кстати, чтобы скачать GeoTrust Primary Certification Authority:

    нажмите правой кнопкой мышки по ссылке download и выберите вариант «сохранить ссылку как. «;

Сохранить ссылку как.

далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.

Файл с расширением PEM

Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:

  1. сначала нажимаем сочетание кнопок Win+R, и вводим команду certmgr.msc, жмем OK;
  2. должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку «Доверенные корневые центры сертификации/сертификаты», щелкнуть по ней правой кнопкой мышки и выбрать «Все задачи — импорт».

далее запустится мастер импорта сертификатов. Просто жмем «Далее».

Мастер импорта сертификатов

после нажмите кнопку «Обзор» и укажите ранее загруженный нами сертификат. Нажмите «Далее» (пример показан ниже);

Указываем сертификат, который загрузили

в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите «Далее».

Поместить сертификаты в доверенные. Далее

  • в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).
  • 5) Обратите внимание на антивирусные утилиты

    В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка.

    Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже).

    Avast — основные настройки (отключение сканирование https трафика)

    На этом у меня всё.

    За дополнения по теме — отдельное мерси!

    Ссылка на основную публикацию
    Adblock
    detector