1с ошибка безопасности ssl

Обновлено: 05.07.2024

Эта статья поможет вам решить проблему, которая возникает при попытке сделать зашифрованное подключение к SQL Server.

Оригинальная версия продукта: SQL Server
Исходный номер КБ: 2007728

Симптомы

Причина

Эта ошибка возникает при попытке сделать зашифрованное подключение SQL Server с помощью не поддаемого проверке сертификата. Это может произойти в следующих сценариях:

Сценарий Шифрование на стороне сервера Шифрование на стороне клиента Тип сертификата Полномочия по выдаче сертификатов, присутствующие в хранилище Доверенные корневые органы сертификации
1 Да Нет Вы выдаёте сертификат из не доверенного источника (орган по выдаче сертификатов не указан в качестве доверенного органа в доверенных корневых органах сертификации на клиентской машине) Нет
2 Выкл. Да SQL Server самогенерирован сертификат Самозаверяемые сертификаты не показываются в этом магазине.

Решение

Если для шифрования подключений в SQL Server используется сертификат из не доверенного органа или самозаверяется сертификат, можно использовать один из следующих вариантов:

Для сценария 1. Добавьте полномочия сертификата в хранилище доверенных корневых органов сертификации на клиентном компьютере, инициационав зашифрованное подключение. Для этого выполните экспорт сертификата сервера и установите корневой орган сертификата (CA) на процедуры клиентской машины, указанные ниже в этой последовательности.

Экспорт сертификата сервера.

В примере в качестве файла сертификата используется файл с именем caCert.cer. Этот файл сертификата необходимо получить на сервере. Следующие действия объясняют, как экспортировать сертификат сервера в файл:

В MMC откройте сертификаты.

Расширение персональных и затем сертификатов.

Щелкните правой кнопкой мыши сертификат сервера, а затем выберите Все задачи\Экспорт.

Подтверди, что нет, не экспортировать закрытый ключ выбран, а затем нажмите кнопку Далее.

Убедитесь, что либо DER закодирован двоичный X.509 (. CER) или Base-64, закодированные X.509 (. CER) выбирается, а затем нажмите кнопку Далее.

Введите имя экспортного файла.

Установка органа корневого сертификата (CA) на клиентской машине

Запустите оснастку сертификатов для MMC на клиентский компьютер и добавьте оснастку Сертификаты.

В диалоговом окне "Сертификаты" выберите учетную запись Компьютера и выберите Далее.

В области Выбор компьютера выберите локальный компьютер: (на компьютере эта консоль запущена), а затем выберите Finish.

Выберите ОК, чтобы закрыть диалоговое окно Add или Remove Snap-ins.

В левой области MMC расширь узел Сертификаты (Локальный компьютер).

Развяжите узел Доверенные корневые органы сертификации, щелкните правой кнопкой мыши подмостки Сертификаты, выберите все задачи, а затем выберите Импорт.

В мастере импорта сертификатов на странице Welcome выберите Далее.

На странице Импорт файлов выберите Просмотр.

Просмотрите расположение файла сертификата caCert.cer, выберите файл и выберите Открыть.

На странице Файл импортировать выберите Далее.

На странице Хранилище сертификатов примите выбор по умолчанию и выберите Далее.

На странице Завершение мастера импорта сертификатов выберите Finish.

Для сценариев 1 и 2. Установите параметр сертификата trust Server до true в клиентских приложениях.

Дополнительные сведения о том, как это сделать, просмотрите следующие разделы:

Использование шифрования без проверки в SQL Server Native Client.

Подключение с шифрованием с помощью драйвера Microsoft JDBC для SQL Server.

Использование шифрования с помощью Sqlclient.

Если вы используете SQL Server Management Studio, вы можете нажать на вкладку Параметры и проверить параметр сертификата доверяемого сервера в вкладке Свойства подключения.

Внимание: Соединения SSL, зашифрованные с помощью самозаверяемого сертификата, не обеспечивают сильной безопасности. Они подвержены man-in-the-middle атакам. Не следует полагаться на SSL с помощью самозаверяемого сертификата в производственной среде или на серверах, подключенных к Интернету.

Если конфигурация, обсуждаемая в предыдущих разделах этой статьи, непреднамеренна, для решения этой проблемы можно использовать один из следующих вариантов:

Настройка двигателя базы данных для использования шифрования в рамках процедуры Включить зашифрованные подключения к ядро СУБД

Если шифрование не требуется:

Отключение параметров шифрования (если таково) в клиентских приложениях.

Отключить шифрование на стороне сервера с помощью SQL Server диспетчера конфигурации. Дополнительные сведения о том, как это сделать, просмотрите Configure Server.

Что такое SSL

Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).

SSL

  1. Сертификат выпускается доверенным центром Certification Authority (CA).
  2. После выдачи он подключается к домену средствами провайдера хостинга.
  3. Срок его действия ограничен 1 годом, после чего требуется продление.

Сертификат ССЛ

При появлении любых сомнений в исправности защиты регистрироваться на сайте или вводить ранее выданные логин и пароль не рекомендуется. Тем более не стоит осуществлять онлайн-оплату с банковских карт или электронных кошельков, ведь не исключено, что проблема возникла из-за взлома ресурса злоумышленниками.

Причины появления ошибок SSL

Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.

Остальные проблемы обычно скрываются на локальном компьютере:

  1. Произошел сброс системного времени.
  2. Неправильно настроена антивирусная программа.
  3. Сбоит браузер или установленное расширение.
  4. Срабатывает вредоносный скрипт.

Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.

Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.

Время и дата

Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.

Варианты исправления ситуации:

  1. Вручную внести корректную дату и время, после чего обновить страницу в браузере.
  2. Воспользоваться функцией синхронизации через интернет, встроенной в Windows.
  3. Заменить батарейку на памяти BIOS. При первом запуске ПК нужно внести корректные данные.

Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).

Настройки антивируса и брандмауэра

Ошибка антивируса

Варианты исправления ситуации:

Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).

Браузер и операционная система

Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.

Браузер и операционная система

Варианты исправления ситуации:

  1. Полностью очистить историю браузера вместе с кэшем и другими данными.
  2. Временно отключить все ранее установленные и активные расширения.
  3. Переустановить программу после ее полной деинсталляции.

Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.

Заражение компьютерными вирусами

Выдачей ошибки SSL браузер, вероятно, предупреждает о попытке его подмены, переадресации на сайт-клон или иной угрозе. В это случае рекомендуется провести полную проверку компьютера на наличие вирусов. Если присутствуют другие признаки заражения, стоит скачать парочку программ со свежими антивирусными базами (например, CureIt).

Заражение компьютерными вирусами

Варианты исправления ситуации:

  1. Временно отключить все программы из автозагрузки.
  2. Провести очистку диска от временных файлов.
  3. Перезагрузить компьютер после предыдущих шагов.

Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.

Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.

Предлагаем разобраться со способами устранения подобных ошибок.

Что такое SSL?

SSL (Secure Socket Layer) — это интернет-протокол для создания зашифрованного соединения между пользователем и сервером, который гарантирует безопасную передачу данных.

Когда пользователь заходит на сайт, браузер запрашивает у сервера информацию о наличии сертификата. Если сертификат установлен, сервер отвечает положительно и отправляет копию SSL-сертификата браузеру. Затем браузер проверяет сертификат, название которого должно совпадать с именем сайта, срок действия сертификата и наличие корневого сертификата, выданного центром сертификации.

Причины возникновения ошибок SSL-соединения

Когда сертификат работает корректно, адресная строка браузера выглядит примерно так:


Но при наличии ошибок она выглядит несколько иначе:


Существует множество причин возникновения таких ошибок. К числу основных можно отнести:

  • Некорректную дату и время на устройстве (компьютер, смартфон, планшет и т.д.);
  • Ненадежный SSL-сертификат;
  • Брандмауэр или антивирус, блокирующие сайт;
  • Включенный экспериментальный интернет-протокол QUIC;
  • Отсутствие обновлений операционной системы;
  • Использование SSL-сертификата устаревшей версии 3.0;
  • Появление ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера.

Давайте рассмотрим каждую из них подробнее.

Проблемы с датой и временем


Для исправления этой ошибки достаточно установить на устройстве актуальное время. После этого необходимо перезагрузить страницу или браузер.

Ненадежный SSL-сертификат


Одной из причин появления такой ошибки, как и в предыдущем случае, может стать неправильное время. Однако есть и вторая причина — браузеру не удается проверить цепочку доверия сертификата, потому что не хватает корневого сертификата. Для избавления от такой ошибки необходимо скачать специальный пакет GeoTrust Primary Certification Authority, содержащий корневые сертификаты. После скачивания переходим к установке. Для этого:

  • Нажимаем сочетание клавиш Win+R и вводим команду certmgr.msc, жмем «Ок». В Windows откроется центр сертификатов.
  • Раскрываем список «Доверенные корневые центры сертификации» слева, выбираем папку «Сертификаты», кликаем по ней правой кнопкой мышки и выбираем «Все задачи — импорт».


  • Запустится мастер импорта сертификатов. Жмем «Далее».


  • Нажимаем кнопку «Обзор» и указываем загруженный ранее сертификат. Нажимаем «Далее»:


  • В следующем диалоговом окне указываем, что сертификаты необходимо поместить в доверенные корневые центры сертификации, и нажимаем «Далее». Импорт должен успешно завершиться.


После вышеперечисленных действий можно перезагрузить устройство и проверить отображение сайта в браузере.

Брандмауэр или антивирус, блокирующие сайт

Некоторые сайты блокируются брандмауэром Windows. Для проверки можно отключить брандмауэр и попробовать зайти на нужный сайт. Если SSL-сертификат начал работать корректно, значит дело в брандмауэре. В браузере Internet Explorer вы можете внести некорректно работающий сайт в список надежных и проблема исчезнет. Однако таким образом вы снизите безопасность своего устройства, так как содержимое сайта может быть небезопасным, а контроль сайта теперь отключен.



Включенный экспериментальный протокол QUIC

QUIC — это новый экспериментальный протокол, который нужен для быстрого подключения к интернету. Основная задача протокола QUIC состоит в поддержке нескольких соединений. Вы можете отключить этот протокол в конфигурации вашего браузера.

Показываем как отключить QUIC на примере браузера Google Chrome:


Этот способ работает и в Windows и в Mac OS.

Отсутствие обновлений операционной системы

Проблемы с SSL-сертификатами могут возникать и из-за того, что на вашей операционной системе давно не устанавливались обновлений. Особенно это касается устаревших версий Windows (7, Vista, XP и более ранние). Установите последние обновления и проверьте работу SSL.

Использование SSL-сертификата версии 3.0

Некоторые сайты используют устаревший SSL-протокол версии 3.0, который не поддерживают браузеры. По крайней мере, по умолчанию. Чтобы браузер поддерживал устаревший SSL необходимо сделать следующее (на примере браузера Google Chrome):

  • Откройте браузер и перейдите в раздел «Настройки».
  • Прокрутите страницу настроек вниз и нажмите «Дополнительные».
  • В разделе «Система» найдите параметр «Настройки прокси-сервера» и кликните на него.


  • Откроется окно. Перейдите на вкладку «Дополнительно».
  • В этой вкладке вы увидите чекбокс «SSL 3.0».


  • Поставьте галочку в чекбоксе, нажмите кнопку «Ок» и перезагрузите браузер.

Ошибки «Invalid CSR» при генерации сертификата из панели управления облачного провайдера

В процессе активации сертификата можно столкнуться с ошибкой «Invalid CSR». Такая ошибка возникает по следующим причинам:

Выкладываю свой опыт решения проблем, с которыми столкнулась при установке APACHE 2.4 . Надеюсь, кому-то поможет сэкономить время.

На другом сервере используется IIS. Но при передаче больших объемов данных, вот выкладывала вопрос по этой ссылке Мой вопрос, жутко грузит систему. Ничего не помогло, поэтому было решение попробовать поработать с APACHE 2.4 .

Саму установку не буду описывать, на просторах интернета выложено много статей на эту тему. Отмечу то, что использовала:

  • это установка готовой сборки со встроенной OpenSSL, (подробно как это сделать описано здесь Готовая сборка)
  • и отдельно установка APACHE 2.4 , скачанная с официального сайта (Оф сайт) + настройка SSL (Настройка SSL).

Оба попробовала и оба рабочие варианты.

Больше понравился первый вариант со встроенным Openssl, хотя OpenSSL пришлось все равно устанавливать (не для создания сертификата), но об этом ниже.


1С Платформа: 1С:Предприятие 8.3 (8.3.18.1208) 64-разрядная.

1. Первое, с чем столкнулась, это не запускалась служба Apache 2.4 При запуске выдавалась информация про специфическую ошибку 1 (при рестарте вручную).

В логах Apache пусто.

В логах ОС в журнале "Неверно указаная функция".

Для того, чтобы проверить порт 80 на доступность, воспользовалась командой netstat -aon | findstr 0.0:80.

Для этого необходимо запустить командную строку с правами администратора и выполнить эту команду.

Получается такой список. Это как у меня сейчас, уже после решения проблемы.



В моем случае показало, что PID процесса 4 (последний столбец PID). Это значит, что порт занят системным процессом.
(Если отличный от 4, то нужно сохранить PID , перейти в диспетчер задач, выбрать Вид - Выбрать столбцы , поставить галку ИД процесса(PID). найти процесс, который занимает порт 80.)

Вернемся к PID = 4. Здесь было непонятно, что за процесс и как его искать. я пошла другим путем, не стала искать, что за процесс.

Мне помогло решить эту проблему следующее:

Находим параметр "Start" (определяющий порядок запуска драйвера или сервиса) и меняем значение на 0 (число).

После этого успешно получилось запустить Apache.

2. Вторая проблема: проблема аутентификации.

При переходе в браузере по адресу публикации базы постоянно требует ввода пользователя и пароля.


Есть два способа решения, которыми воспользовалась и которые работают. Первый и очевидный: прописать в самом файле default.vrd имя пользователя и пароль, но это будет не совсем верно, так как при повторной публикации придется прописывать заново.

Второй вариант: создание отдельной учетной записи для запуска службы Apache. Опишу по шагам.

Именно его использую.

1. Создаем пользователя домена, запоминаем его пароль.
2. Заходим в локальную политику безопасности (Панель управления - Администрирование) находим Локальные политики - Назначение прав пользователя. Назначаем пользователю права: вход в качестве службы, работа в режиме операционной системы.
3. Проверяем, что пользователь является членом группы "Пользователи"
4. Предоставляем полный доступ к папке Apache 2.4. В мануале по Apache 2.4 написано, что достаточно прав на чтение и выполнение, и только на папку logs - запись, но так у меня служба не запускалась.
5. Находим службу Apache 2.4 , переходим в свойства и выбираем этого пользователя для запуска службы. Перезапускаем Apache. Если ошибка, то проверяем все ли права.
6. Далее идем в 1С. Создаем пользователя, устанавливаем ему Аутентификация ОС и указываем созданного пользователя.

3. Третье. Это даже не проблема, скорее дополнение. Использование сертификата, который уже был создан на сервере.

В статьях, которые использовала для установки выше, описано, как самим создать сертификат и его использовать. У меня уже был созданный само подписанный сертификат, для его использования необходимо было разобрать файл pfx (формат, в котором сохраняется сертификат при экспорте) на cert и key. При экспорте, отмечу, необходимо указать пароль и указать экспорт закрытого ключа.

1. Для этого устанавливаем OpenSSL по ссылке
Open SSL

2. В командной строке переходим к bin папки, где был установлен OPENSSL. Вводим команду
openssl pkcs12 -in certificate.pfx -clcerts -nokeys -out certificate.crt
с помощью команды получаем сертификат (необходимо указать пароль, который был указан при
экспорте)

3. Извлекаем ключ , указав и пароль экспорта и новый пароль ключа.
openssl pkcs12 -in certificate.pfx -nocerts -out key-encrypted.key

4. Снимаем пароль с ключа командной
openssl rsa -in key-encrypted.key -out key-decrypted.key

5. Если нужно получить cert, то команда
openssl pkcs12 -in certificate.pfx -clcerts -nokeys -out certificate.cert

В итоге получаем файлы: certificate.crt , key-decrypted.key.

Теперь можем использовать эти файлы для настройки Apache по SSL.

4. Проблема, которую так и не решила: Для работы 1С в режиме тонкого клиента необходимо указать сертификат в папке cacert.pem (здесь также использовала OPENSSL, если кому будет интересно, могу дописать, а так можно найти информацию на Инфостарте).

Помогает только отключение проверки сертификата в 1С, возможно, это из-за того, что сертификат самоподписанный. Или, еще как вариант, это блокировка интернет провайдера, или настройки сети. Буду признательна за подсказки.

Ошибка | Проверка SqlServerValidator: Ошибка: не удается подключиться к следующей SQL Server: «Имя сервера». Убедитесь, что сервер работает и что имеются административные учетные данные SQL Server. [DBNETLIB] [ConnectionOpen (SECDoClientHandshake()).] Ошибка безопасности SSL.

Причина

Мастер Dynamics CRM Server 2016 требует проверки подключения через Поставщик Microsoft OLE DB для SQL Server , чтобы начать создание базы данных. Документацию по установке список программное обеспечение устанавливается во время установки. Это включает Собственный клиент Microsoft SQL Server. Программа установки использует этот собственный клиент и на этапе создания базы данных конфигурации подключения OLE DB не требуется.

Этот сбой подключения воспроизводит при создании подключения теста для данного SQL Server с использованием файла UDL.

Сохраните файл с именем «Test.udl связи» и тип файла как «Все файлы»

Откройте сохраненный файл

Выберите поставщик Microsoft OLE DB для SQL Server в качестве поставщика

Содержат подробные сведения подключения и проверки подлинности сервера

Проверьте подключение или открыть список баз данных

Завершается неудачей, поскольку TLS 1.0 должно быть включено для поставщика OLE DB для SQL Server требуется безопасное подключение между Dynamics CRM Server 2016 и SQL Server. И SQL Server может не иметь TLS 1.0 для безопасного канала связи.

Может произойти сбой подключения, даже если TLS 1.1 и 1.2 включена в SQL Server как поставщик OLE DB для SQL Server поддерживает только протокол TLS 1.0. Для поставщиков, указанных в этой статье, обеспечивает поддержку TLS 1.2.

Решение

Включите протокол TLS 1.0 для поставщика Microsoft OLE DB для SQL Server в SQL Server. Протокол TLS 1.0 могут быть включены следующие изменения реестра:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "DisabledByDefault"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000000

Если политика организации требует отключения TLS 1.0, это можно сделать после завершения установки:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000001

Протокол TLS 1.0 также может потребоваться включить Dynamics CRM Server 2016 как клиент.

Дополнительные сведения

Протокол TLS 1.0 может быть отключена на SQL Server и сервера 2016 Dynamics CRM после завершения установки, если политика организации требует отключен протокол TLS 1.0.

Читайте также: