В таком случае его установка в доверенные промежуточные ЦС не поможет.
Попробуйте установить его в доверенные корневые ЦС. Сначала в хранилище УЗ пользователя, если не поможет - в хранилище УЗ компьютера (выбор доступен при добавлении оснастки "сертификаты" в mmc).
Ну и если хотите всё сделать правильно - поднимите свой ЦС в домене (как сделать это правильно - можно почитать тут www.sysadmins.lv), которому будут верить доменные машины.
Или можно воспользоваться бесплатным SSL сертификатом от www.startssl.com, что ещё проще, но сертификат всего на год.
Очевидно, что проверить состояние отзыва нельзя т.к. сертификат не был выдан каким-либо ЦС который каким-либо образом распространяет списки отзыва (CRL) (обычно это http ссылки), а был просто сгенерирован. НО В ошибке говорится про цепочку сертификатов и проблему именно с доверием, а не с невозможностью проверить отозван ли сертификат (обычно эти сообщения действительно различаются по тексту в продуктах MS). Поэтому проблема в первых строчках скриншота.
С учётом того что в CERT_CHAIN_CONTEXT нет строчки Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8), я склоняюсь к тому что сертификат не самозаверенный, а просто имеет совпадающие имена ЦС и получателя (mail.XXXX.ru) (Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)).
В таком случае следует устанавливать именно сертификат ЦС. Его следует поискать на сервере где этот сертификат был сгенерирован (обычно это расширения *.pem, *.crt, *.cer) или если этот сертификат используется в каком-либо веб интерфейсе - вытащить корневой сертификат со вкладки "путь сертификации" в информации о сертификате.
на вебинтерфейсе используется да, но там в пути тоже фигурирует mail.XXXX.ru спасибо за комментарии, я уже склоняюсь к тому что сертификат просто сгенерирован не должным образом
Бесплатно выдают Class 1 (www.startssl.com/?app=1) , про домашнее использование нет ни слова: "StartSSL™ Бесплатные сертификаты предназначены для веб-сайтов, которым необходима защита секретности личных данных и предотвращение возможности прослушивания интернет-соединений. Тем не менее информация, представленная в сертификатах этого вида, кроме имени домена и адреса электронной почты, не подтверждена. В случае, если Вам необходима сертификация более высокого уровня, обратите внимание на наши StartSSL™ Verified (Класс 2) сертификаты. StartCom CA, выдаёт StartSSL™ Free сертификаты мгновенно, без ограничений и бесплатно при условии, что подписчик указал его/её полные, правильные личные данные и принимает обязательства пользователя требумые правилами StartCom CA."
при добавлении в группу "Сертификаты, к которым нет доверия" слегка меняется текст предупреждения, пишет что он отозван.продолжать его еспользование или нет
пытались получить бесплатный, но получили отказ с формулировкой коммерческое использование или что-то в этом роде
А можно поподробней про отказ? Просто я использую эти сертификаты для некоторых некритичных сервисов и до этого не сталкивался с подобными проблемами и мне это интересно.
Вот в этой инструкции habrahabr.ru/post/127643/ , на каком шаге вы получили отказ?
Reply
( ... )
Reply
Reply
Reply
Попробуйте установить его в доверенные корневые ЦС. Сначала в хранилище УЗ пользователя, если не поможет - в хранилище УЗ компьютера (выбор доступен при добавлении оснастки "сертификаты" в mmc).
Ну и если хотите всё сделать правильно - поднимите свой ЦС в домене (как сделать это правильно - можно почитать тут www.sysadmins.lv), которому будут верить доменные машины.
Или можно воспользоваться бесплатным SSL сертификатом от www.startssl.com, что ещё проще, но сертификат всего на год.
Reply
Например: certutil -verify -urlfetch CertFile.cer
Reply
( ... )
Reply
НО
В ошибке говорится про цепочку сертификатов и проблему именно с доверием, а не с невозможностью проверить отозван ли сертификат (обычно эти сообщения действительно различаются по тексту в продуктах MS).
Поэтому проблема в первых строчках скриншота.
Reply
( ... )
Reply
В таком случае следует устанавливать именно сертификат ЦС. Его следует поискать на сервере где этот сертификат был сгенерирован (обычно это расширения *.pem, *.crt, *.cer) или если этот сертификат используется в каком-либо веб интерфейсе - вытащить корневой сертификат со вкладки "путь сертификации" в информации о сертификате.
Reply
спасибо за комментарии, я уже склоняюсь к тому что сертификат просто сгенерирован не должным образом
Reply
у нас нет домена
а бесплатно выдают только для домашнего использования
Reply
Бесплатно выдают Class 1 (www.startssl.com/?app=1) , про домашнее использование нет ни слова:
"StartSSL™ Бесплатные сертификаты предназначены для веб-сайтов, которым необходима защита секретности личных данных и предотвращение возможности прослушивания интернет-соединений. Тем не менее информация, представленная в сертификатах этого вида, кроме имени домена и адреса электронной почты, не подтверждена. В случае, если Вам необходима сертификация более высокого уровня, обратите внимание на наши StartSSL™ Verified (Класс 2) сертификаты.
StartCom CA, выдаёт StartSSL™ Free сертификаты мгновенно, без ограничений и бесплатно при условии, что подписчик указал его/её полные, правильные личные данные и принимает обязательства пользователя требумые правилами StartCom CA."
Reply
пытались получить бесплатный, но получили отказ с формулировкой коммерческое использование или что-то в этом роде
Reply
Просто я использую эти сертификаты для некоторых некритичных сервисов и до этого не сталкивался с подобными проблемами и мне это интересно.
Вот в этой инструкции habrahabr.ru/post/127643/ , на каком шаге вы получили отказ?
Reply
Reply
Leave a comment