Представленные ошибки:
- Не удалось проверить список отзыва CRL.
- Сертификат недействителен. Срок действия истек или еще не наступил.
- Сертификат недействителен. Сертификат отозван.
- Подпись недействительна. (Подпись математически неверна).
- Не удалось полностью проверить один или несколько сертификатов в цепочке.
Для проверки и исправления ошибок в подписанных документах используется программное обеспечение Крипто АРМ, Его Вы можете скачать по ссылке
1. Не удалось проверить список отзыва CRL.
Визуально ошибка отображена на картинке ниже:

Причина возникновения:
В КриптоАРМ не установлен актуальный список отзыва.
Как устранить данную проблему:
- Скачать список отзыва CRL
- Открываем сертификат, далее делаем все пошагово как на скриншоте.
1 – нажимаем Статус сертификата, 2 – двойным кликом открываем сертификат, 3- нажимаем Состав, 4 – выбираем Точки распространения, 5 – выделяем ссылку после = , нажимаем Ctrl + C (плюс не нажимаем , одновременно две клавиши Ctrl и C на клавиатуре), вставляем ссылку в строке поиска в браузере.

- Если все действия проделаны правильно, в загрузки добавится файл (список отзыва).

- Запоминаем куда сохранился файл, и открываем программу КриптоАРМ. Нажимаем списки отзыва сертификатов, и нажимаем Импорт:

- Откроется окошко импорта, далее выполняем действия пошагово, как показано на скриншотах:



Нажимаем Готово. Перезагружаем Компьютер и проверяем повторно. Ошибка должны быть устранена.
2. Сертификат недействителен. Срок действия истек или еще не наступил.
Визуально ошибка отображена на картинке ниже:

Причина возникновения:
- Истек срок действия Сертификата или закрытого ключа.
Как устранить данную проблему:
- Обратиться в удостоверяющий центр для выпуска нового сертификата(продления). Или подписать документ действующей ЭЦП (при наличии таковой).
3. Сертификат недействителен. Сертификат отозван.
Ошибка указана на картинке ниже:

При возникновении данной ошибки, если ранее вы самостоятельно не отзывали сертификат. Вам необходимо обратиться в Удостоверяющий центр, выдавший сертификат, для уточнения причины возникновения данной проблемы.
Удостоверяющий центр выдавший сертификат, обычно указан в разделе Издатель.
4. Подпись недействительна. (Подпись математически неверна).
Пример ошибки на картинке ниже:

Причина возникновения данной проблемы: файл был изменен или поврежден, после подписания.
Файл может быть изменен в следствии воздействия антивирусного ПО. Или в результате изменений внесенным в структуру файла почтовым сервисом, при отправке по электронной почте.
Файл необходимо повторно подписать, предварительно отключив антивирус (при его наличии, и при повышенном уровне защиты файловой системы).
Перед отправкой по электронной почте, файл необходимо заархивировать.
Так же если Вы используете при подписании сервис КриптоДок, у Вас должна быть активирована лицензия Крипто Про CSP, как проверить действительность лицензии Вы можете узнать по ссылке
Так же, если для подписания используется программа КриптоАРМ, перед подписанием обратите внимание, чтобы был отключен режим Квалифицированная подпись в КриптоАРМ.
Проверить это можно нажав правой кнопкой мыши, по иконке в области уведомлений.

5. Не удалось полностью проверить один или несколько сертификатов в цепочке.
Визуально ошибка отображена на картинке ниже:

Причина возникновения:
Не установлен корневой сертификат удостоверяющего центра, выдавшего сертификат.
Не установлен корневой сертификат Минкомсвязь России
Как устранить данную проблему:
- Скачать корневой сертификат УЦ
- Открываем сертификат, далее делаем все пошагово как на скриншоте:

- Откроется мастер экспорта сертификата, все оставляем по умолчанию, нажимаем далее –далее – выбираем место для сохранения файла и задаем ему имя.
- Запоминаем куда сохранился файл, и открываем его. Нажимаем — установить сертификат (далее выполняем действия, последовательно как на скриншотах)


- По окончании установки перезапускаем программу КриптоАРМ, и повторно выполняем операцию, которую не удалось выполнить ранее.
- Если проблема не исчезла.
- Необходимо скачать и установить сертификат Минкомсвязь России.
- Скачиваем по ссылке — https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ufoCertificates/download/34656
- Проделываем те же действия что показаны в пункте 4 , но в качестве хранилища выбираем Доверенные корневые центры сертификации.
Остались вопросы? Как мы можем помочь?
Как мы можем помочь?
Проверка документа подписанного электронной подписьюКак установить корневые сертификаты на Windows
|
hh1nt |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 4 раз |
Добрый день. Прошу прощения за может быть нубские вопросы. Допустим организация подписала документ своей ЭЦП, отправила этот документ мне. Я добавил корневой сертификат в доверенные (предварительно проверив его на госуслугах). При открытии документа ЭЦП действительна для данного документа. А каким образом определить что данная ЭЦП была отозвана или не отозвана? Правильно ли я понимаю, что при открытии подписанного файла (к примеру word) у меня открывается этот сертификат и в этот момент автоматически средствами Windows скачивается crl список и проверяется на отзыв сам сертификат. |
![]() |
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Автор: hh1nt Где в системе хранятся crl? Их можно посмотреть в самой системе? ПускВыполнить certmgr.msc Пользователь Андрей * прикрепил следующие файлы:
У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
|
Техническую поддержку оказываем тут |
|
![]() |
WWW |
|
hh1nt |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 4 раз |
Посмотрел по данному пути, увидел только один crl файл. Тех crl по сертификатам что я открывал- нет, даже нет тех, которые я скачивал в ручную с сайтов. Каким образом их можно установить? Каким образом происходит проверка сертификатов по crl? Что будет если crl истек, новый не скачивается, как в таком случае произойдет проверка сертификата/подписанного файла. |
![]() |
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Установить можно несколькими способами: Цитата: CertMgr.exe /add /all «c:file.crl» /s /r currentUser CA Пользователь Андрей * прикрепил следующие файлы:
У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться. |
|
Техническую поддержку оказываем тут |
|
![]() |
WWW |
|
|
hh1nt
оставлено 05.11.2013(UTC) |
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Автор: hh1nt Посмотрел по данному пути, увидел только один crl файл. Тех crl по сертификатам что я открывал- нет, даже нет тех, которые я скачивал в ручную с сайтов. Каким образом их можно установить? Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему. |
|
Техническую поддержку оказываем тут |
|
![]() |
WWW |
|
|
hh1nt
оставлено 05.11.2013(UTC) |
|
hh1nt |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 4 раз |
Автор: Андрей * Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему. 1. Т.е. если мне пришел подписанный документ и я хочу проверить, что в данном документе подпись не состоит в списках отзыва, то нужно каждый раз скачивать СОС с сайта и каждый раз делать импорт? Или же по истечению СОСа автоматически скачается новый средствами ОС Windows? 2. Какую ошибку покажет документ при проверке сертификата, если СОС по данному сертификату истек, а новый не загружен? |
![]() |
|
|
hh1nt |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 4 раз |
ап |
![]() |
|
|
Юрий |
|
|
Статус: Активный участник Группы: Участники Сказал «Спасибо»: 3 раз |
Автор: hh1nt Автор: Андрей * Скачивание и просмотр файлов средствами ОС не освобождает от необходимости импорта СОС в систему. 1. Т.е. если мне пришел подписанный документ и я хочу проверить, что в данном документе подпись не состоит в списках отзыва, то нужно каждый раз скачивать СОС с сайта и каждый раз делать импорт? Или же по истечению СОСа автоматически скачается новый средствами ОС Windows? 2. Какую ошибку покажет документ при проверке сертификата, если СОС по данному сертификату истек, а новый не загружен? Поймите, что за проверку подписи отвечает только та программа, с помощью которой вы работаете с подписями. То есть это её обязанность смотреть CRL, запрашивать обновления, устанавливать обновления CRL в локальные хранилища и т.д. Так же и ошибка при истекшем CRL также может быть специфична. Обычно показывается, что статус сертификата неизвестен (так как нет информации о более новом CRL). |
|
С уважением, |
|
![]() |
WWW |
|
|
hh1nt
оставлено 07.11.2013(UTC) |
|
hh1nt |
|
|
Статус: Новичок Группы: Участники Сказал(а) «Спасибо»: 4 раз |
Спасибо, Юрий. Описывал в 1 посте. Используется Word + Офис Сигнатур. И черт его знает в момент проверки ЭЦП сам WORD подгружает CRL или не подгружает. И возможности нет проверить, отозвать сертификат, снова проверить 🙂 |
![]() |
|
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
TLS: Initial packet from [AF_INET]XXX.XXX.XXX.XXX:60382, sid=c9c9a1f3 02ce9312 VERIFY ERROR: depth=0, error=CRL hasexpired: CN=client_name OpenSSL: error:14089086:SSL routines: ssl3_get_client_certificate:certificate verify failed TLS_ERROR: BIO read tls_read_plaintext error TLS Error: TLS object -> incoming plaintext read error TLS Error: TLS handshake failed SIGUSR1[soft,tls-error] received, client-instance restarting
Сегодня речь пойдет об одном нюансе, связанном со списком отозванных сертификатов (Сertificate Revocation List, CRL) в OpenVPN. Данный механизм применяется, когда требуется блокировать доступ отдельных узлов к сети (в случае увольнения сотрудника или подозрения что выданный сертификат скомпрометирован).
В какой-то момент времени, может возникнуть ошибка OpenVPN CRL has expired (просрочен список CRL) и клиенты перестают подключаться. Убедиться, что проблема именно в этом довольно просто, достаточно закомментировать в конфиге сервера строку проверки отозванных сертификатов и перезапустить сервер.
crl-verify crl.pem
После чего клиенты спокойно начнут подключаться.
Обновление списка отозванных сертификатов OpenVPN
Для решения проблемы со списком CRL надо этот список обновить. Делается это элементарно, о чём я уже рассказывал в статье про отзыв пользовательских сертификатов OpenVPN на FreeBSD 10/11:
# cd /usr/local/etc/openvpn/easy-rsa # ./easyrsa.real gen-crl
Почему возникла данная проблема? Дело в том, что периодичность обновление списка отозванных сертификатов задаётся в переменной default_crl_days в конфиге /usr/local/openvpn/easy-rsa/openssl-1.0.cnf:
default_crl_days= $ENV::EASYRSA_CRL_DAYS # how long before next CRL
Сами значения переменных задаются в файле /usr/local/openvpn/easy-rsa/vars. По умолчанию обновление списка CRL происходит каждые 180 дней (можно задать своё значение, например 365 дней) :
#set_var EASYRSA_CRL_DAYS 180
Подписывайтесь на канал
Яндекс.Дзен
и узнавайте первыми о новых материалах, опубликованных на сайте.
🔍 Простой поиск по базе знаний

Достаточно часто при использовании списка отозванных сертификатов через месяц становится невозможно установить связь с сервером OpenVPN. В логах OpenVPN появляется ошибка установления соединения с сервером:
TLS: Initial packet from [AF_INET]ХХ.ХХ.ХХ.ХХ:62889, sid=ba13f8a4 4c4aec28 VERIFY ERROR: depth=0, error=CRL has expired: CN=client1 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned TLS_ERROR: BIO read tls_read_plaintext error TLS Error: TLS object -> incoming plaintext read error TLS Error: TLS handshake failed SIGUSR1[soft,tls-error] received, client-instance restarting
Причина — в превышении времени жизни списка отозванных сертификатов, который хранится в файле crl.pem (CRL — certificate revoke list). Проверить это можно выдав следующую команду:
$ sudo openssl crl -inform PEM -in /etc/openvpn/easy-rsa/keys/crl.pem -text -noout [sudo] пароль для user1: Certificate Revocation List (CRL): Version 1 (0x0) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=RU/ST=RU/L=Moscow/O=ХХХХ/OU=ХХХХ/CN=ХХХХ/name=EasyRSA/emailAddress=хххх@yourmail.ru Last Update: Sep 10 09:26:36 2020 GMT Next Update: Sep 11 09:26:36 2021 GMT
Из вывода видно что не позднее 11 сентября необходимо перевыпустить список отозванных сертификатов. Иначе будет появляться эта ошибка.
Можно конечно перевыпустить список ещё на год, но лучше всё таки увеличить его срок жизни.
Время жизни списка отозванных сертификатов задается в файле /etc/openvpn/easy-rsa/openssl-1.0.0.cnf в следующей секции:
# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs # so this is commented out by default to leave a V1 CRL. # crl_extensions = crl_ext default_days = 3650 # how long to certify for default_crl_days= 365 # how long before next CRL default_md = sha256 # use public key default MD preserve = no # keep passed DN ordering
default_crl_days= 365 это и есть количество дней до перевыпуска списка отозванных сертификатов или время жизни этого списка. Открываем файл конфигурации любимым редактором, например nano:
$ sudo nano /etc/openvpn/easy-rsa/openssl-1.0.0.cnf
и изменяем default_crl_days= 365 на, например, default_crl_days= 3650. То-есть на 10 лет. Затем перевыпускаем сам список:
$ sudo su # cd /etc/openvpn/easy-rsa # openssl ca -gencrl -keyfile keys/ca.key -cert keys/ca.crt -out keys/crl.pem -config ./openssl-1.0.0.cnf # exit
Проверяем:
$ sudo openssl crl -inform PEM -in /etc/openvpn/easy-rsa/keys/crl.pem -text -noout [sudo] пароль для user1: Certificate Revocation List (CRL): Version 1 (0x0) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=RU/ST=RU/L=Moscow/O=ХХХХ/OU=ХХХХ/CN=ХХХХ/name=EasyRSA/emailAddress=хххх@yourmail.ru Last Update: Sep 10 09:26:36 2020 GMT Next Update: Sep 11 09:26:36 2030 GMT
Все нормально и все должно работать.
- Remove From My Forums
-
Question
-
This is a simple question 🙂 but not about renewing CRL but what happens when a CRL is expired (reachable but expired) ?
Let’s say i have a Enterprise ADCS server and also an UAG server with Direct Access clients.
If the CRL is expired will connectin still work, will clients still communicatie over SSL?
I read on blogs if a CRL cannot be reached clients will stop working but what if the CRL is reachable but expired, will this break client server SSL communication (in my case Direct Access) ?
Answers
-
Expired CRL means «Revocation Offline» error behavior is per-application. Each application define its own behavior. For example, continue with connection (for example, Internet Explorer, IPsec with default settings skip this error),
or break connection (SSTP VPN, Direct Access), they will raise 0x80092013 error. In other words, there is no difference between unreachable CRL and expired/not yet valid CRL.
Vadims Podāns, aka PowerShell CryptoGuy
My weblog: en-us.sysadmins.lv
PowerShell PKI Module: pspki.codeplex.com
PowerShell Cmdlet Help Editor pscmdlethelpeditor.codeplex.com
Check out new: SSL Certificate Verifier
Check out new:
PowerShell File Checksum Integrity Verifier tool.-
Marked as answer by
Monday, January 12, 2015 11:33 AM
-
Marked as answer by
-
As Vadims pointed out, the exact behavior when a CRL is unreachable or expired is up to each application. In the case of Internet Explorer, by default it only performs «SOFT» CRL checking. Which means IF it can reach the CRL AND it contains the
serial number of the host, it will display an error. If no CRL is available, it is expired or doesn’t contain the host serial number then NO error message is displayed. That is the specific behavior of IE.http://blogs.msdn.com/b/ieinternals/archive/2011/04/07/enabling-certificate-revocation-check-failure-warnings-in-internet-explorer.aspx
When dealing with CRLs, it best to assume that certificate authentication will fail if the CRL is inaccessible or has expired. Then design a methodology around ensuring that doesn’t occur in your environment.
Mark B. Cooper, President and Founder of PKI Solutions Inc., former Microsoft Senior Engineer and subject matter expert for Microsoft Active Directory Certificate Services (ADCS). Known as “The PKI Guy” at Microsoft for 10 years. Connect with Mark at http://www.pkisolutions.com
-
Edited by
Mark B. Cooper
Saturday, January 10, 2015 5:37 PM -
Marked as answer by
dirkverhagen123
Monday, January 12, 2015 11:34 AM
-
Edited by
-
Exactly! One of the first things I do prior to any migration is extend the CRL lifetime (if needed) and publish the CRL to ensure that clients will have valid information during the migration. Just keep in mind that the local HTTP website (if used) on
the server may become unavailable at some state in the migration and if it is the sole or only HTTP CDP location, then HTTP dependent clients may be unable to retrieve CRL information.
Mark B. Cooper, President and Founder of PKI Solutions Inc., former Microsoft Senior Engineer and subject matter expert for Microsoft Active Directory Certificate Services (ADCS). Known as “The PKI Guy” at Microsoft for 10 years. Connect with Mark at http://www.pkisolutions.com
-
Marked as answer by
Amy Wang_
Wednesday, January 14, 2015 6:08 AM
-
Marked as answer by
- Remove From My Forums
-
Question
-
This is a simple question 🙂 but not about renewing CRL but what happens when a CRL is expired (reachable but expired) ?
Let’s say i have a Enterprise ADCS server and also an UAG server with Direct Access clients.
If the CRL is expired will connectin still work, will clients still communicatie over SSL?
I read on blogs if a CRL cannot be reached clients will stop working but what if the CRL is reachable but expired, will this break client server SSL communication (in my case Direct Access) ?
Answers
-
Expired CRL means «Revocation Offline» error behavior is per-application. Each application define its own behavior. For example, continue with connection (for example, Internet Explorer, IPsec with default settings skip this error),
or break connection (SSTP VPN, Direct Access), they will raise 0x80092013 error. In other words, there is no difference between unreachable CRL and expired/not yet valid CRL.
Vadims Podāns, aka PowerShell CryptoGuy
My weblog: en-us.sysadmins.lv
PowerShell PKI Module: pspki.codeplex.com
PowerShell Cmdlet Help Editor pscmdlethelpeditor.codeplex.com
Check out new: SSL Certificate Verifier
Check out new:
PowerShell File Checksum Integrity Verifier tool.-
Marked as answer by
Monday, January 12, 2015 11:33 AM
-
Marked as answer by
-
As Vadims pointed out, the exact behavior when a CRL is unreachable or expired is up to each application. In the case of Internet Explorer, by default it only performs «SOFT» CRL checking. Which means IF it can reach the CRL AND it contains the
serial number of the host, it will display an error. If no CRL is available, it is expired or doesn’t contain the host serial number then NO error message is displayed. That is the specific behavior of IE.http://blogs.msdn.com/b/ieinternals/archive/2011/04/07/enabling-certificate-revocation-check-failure-warnings-in-internet-explorer.aspx
When dealing with CRLs, it best to assume that certificate authentication will fail if the CRL is inaccessible or has expired. Then design a methodology around ensuring that doesn’t occur in your environment.
Mark B. Cooper, President and Founder of PKI Solutions Inc., former Microsoft Senior Engineer and subject matter expert for Microsoft Active Directory Certificate Services (ADCS). Known as “The PKI Guy” at Microsoft for 10 years. Connect with Mark at http://www.pkisolutions.com
-
Edited by
Mark B. Cooper
Saturday, January 10, 2015 5:37 PM -
Marked as answer by
dirkverhagen123
Monday, January 12, 2015 11:34 AM
-
Edited by
-
Exactly! One of the first things I do prior to any migration is extend the CRL lifetime (if needed) and publish the CRL to ensure that clients will have valid information during the migration. Just keep in mind that the local HTTP website (if used) on
the server may become unavailable at some state in the migration and if it is the sole or only HTTP CDP location, then HTTP dependent clients may be unable to retrieve CRL information.
Mark B. Cooper, President and Founder of PKI Solutions Inc., former Microsoft Senior Engineer and subject matter expert for Microsoft Active Directory Certificate Services (ADCS). Known as “The PKI Guy” at Microsoft for 10 years. Connect with Mark at http://www.pkisolutions.com
-
Marked as answer by
Amy Wang_
Wednesday, January 14, 2015 6:08 AM
-
Marked as answer by




1 пользователь поблагодарил Андрей * за этот пост.