Срок действия сертификата сервера истек что делать

Изменение даты окончания срока действия сертификатов, выданных центром сертификации

В этой статье описывается, как изменить срок действия сертификата, выданного центром сертификации (ЦС).

Область действия: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 254632

Аннотация

По умолчанию срок действия сертификата, выданного автономным центром сертификации, составляет один год. По истечении одного года срок действия сертификата истекает, и он не является доверенным для использования. Могут возникнуть ситуации, когда необходимо переопределить дату окончания срока действия по умолчанию для сертификатов, выданных промежуточным или выдавающем ЦС.

Срок действия, определенный в реестре, влияет на все сертификаты, выданные автономными и корпоративными ЦС. Для ЦС предприятия параметр реестра по умолчанию — два года. Для автономных ЦС параметр реестра по умолчанию составляет один год. Для сертификатов, выданных автономными ЦС, срок действия определяется записью реестра, описанной далее в этой статье. Это значение применяется ко всем сертификатам, выданным центром сертификации.

Для сертификатов, выданных ЦС предприятия, срок действия определяется в шаблоне, который используется для создания сертификата. Windows 2000 и Windows Server 2003 Standard Edition не поддерживают изменение этих шаблонов. Windows Server 2003 выпуск Enterprise поддерживает шаблоны сертификатов версии 2, которые можно изменить. Срок действия, определенный в шаблоне, применяется ко всем сертификатам, выданным любым ЦС предприятия в лесу Active Directory. Сертификат, выданный центром сертификации, действителен как минимум в течение следующих периодов времени:

• Срок действия реестра, указанный ранее в этой статье. Это относится к автономному ЦС и сертификатам подчиненного ЦС, выданным ЦС предприятия.
• Срок действия шаблона.

Это относится к ЦС предприятия. Шаблоны, поддерживаемые Windows 2000 и Windows Server 2003 Standard Edition, изменять нельзя. Шаблоны, поддерживаемые windows Server выпуск Enterprise (шаблоны версии 2), поддерживают изменение.

Для ЦС предприятия срок действия выданного сертификата устанавливается как минимум из следующих значений:

• Срок действия реестра ЦС (например, ValidityPeriod == Years, ValidityPeriodUnits == 1)
• Срок действия шаблона
• Оставшийся срок действия сертификата подписи ЦС
• Если EDITF_ATTRIBUTEENDDATE включен в значении реестра EditFlags модуля политики, срок действия, указанный с помощью атрибутов запроса (ExpirationDate:Date или ValidityPeriod:Years\nValidityPeriodUnits:1)

• Синтаксис ExpirationDate:Date не поддерживался до Windows Server 2008.
• Для автономного ЦС шаблоны не обрабатываются. Поэтому срок действия шаблона не применяется.

Дата окончания срока действия сертификата ЦС

ЦС не может выдан сертификат с более длительной сроком действия, чем его собственный сертификат ЦС.

Имя атрибута запроса состоит из пар строковых значений, которые сопутствуют запросу и указывают срок действия. По умолчанию это включено параметром реестра только в автономном ЦС.

Изменение даты окончания срока действия сертификатов, выданных центром сертификации

Чтобы изменить параметры срока действия для ЦС, выполните следующие действия.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. В поле «Открыть » введите regedit и нажмите кнопку » ОК».
3. Найдите и щелкните следующий раздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\
4. В правой области дважды щелкните ValidityPeriod.
5. В поле данных «Значение » введите одно из следующих значений и нажмите кнопку «ОК»:
   • Дни
   • Недель
   • Месяцы
   • Годы
6. В правой области дважды щелкните ValidityPeriodUnits.
7. В поле данных « Значение» введите нужное числовое значение и нажмите кнопку » ОК». Например, введите 2.

Остановите, а затем перезапустите службу служб сертификатов. Для этого:

1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. В поле Открыть введите cmd и нажмите кнопку ОК.
3. В командной строке введите следующие строки. После каждой строки нажмите клавишу ВВОД.

net stop certsvc net start certsvc 

Обратная связь

Были ли сведения на этой странице полезными?

Не открываются сайты! Что делать, если истек срок действия корневого сертификата.

С 30 сентября 2021 года миллионы пользователей начали сталкиваться с проблемой, которая не позволяет им открыть многие сайты и сервисы. Сложности в работе стали возникать на устаревших устройствах со старыми операционными системами, которые больше не поддерживаются и не обновлялись последнее время. Причиной ограничения доступа послужило окончание срока действия корневого сертификата DST Root CA X3, выданного некоммерческим центром сертификации Let’s Encrypt. Цифровой сертификат DST Root CA X3 применялся при шифровании данных для установления защищенного SSL соединения между сайтами и устройствами. Соответственно, при истечении срока его действия, сервисы и устройства перестали доверять друг другу.

Ситуация была прогнозируема, и для этого Let’s Encrypt несколько лет назад выпустила, вошедший в новые сборки апдейтов, обновленный сертификат ISRG Root X1, который должен был заменить DST Root CA X3, когда тот перестанет действовать. Получается, что те устройства, которые не обновлялись — не смогли получить новый сертификат, что и послужило возникновению проблемы.

Что делать?

Для решения проблемы с истекшим сроком действия корневого сертификата можно применить несколько способов:

Со стороны клиента:

1. Если есть возможность, то лучшим способом будет обновить ПО до версий, включающих новый корневой сертификат. Для этого необходимо найти соответствующие сборки на проверенных ресурсах или обратиться к нашим специалистам.

2. Если обновиться не получается, то потребуется установить сертификат ISRG Root X1 вручную.

Как установить корневой сертификат на примере Windows 7:

• Скачать сертификат в формате .der с сайта Let’s Encrypt;

• Запустить скаченный файл и нажать кнопку Открыть;

• В открывшемся окне нажать кнопку Установить сертификат;

• В окне Мастер импорта сертификатов выбрать для кого установить сертификат и выбрать пункт Поместить все сертификаты в следующее хранилище и нажать кнопку Обзор;

• В открывшемся дереве найти и выбрать хранилище Доверенные корневые центры сертификации, нажать кнопку Ок, затем кнопки Далее и Готово;

• После установки сертификата перезагрузить браузер и попробовать открыть недоступный ранее ресурс.

Стоит обратить внимание, что данное решение применимо для домашних и личных устройств, в то время как устройства в корпоративной сети требуют иного подхода, особенно, если их количество значительно.

Со стороны сервера:

Для исправления проблемы на стороне сервера фактически нужно провести работы по деинсталляции существующего решения Let’s Encrypt со старой цепочкой сертификатов, и выполнить инсталляцию нового решения Let’s Encrypt с новой альтернативной цепочкой валидных сертификатов. Но данная схема не дает гарантий и не всегда подходит для корпоративного использования из-за ограниченности решения, к тому же требует от специалиста глубокого знания серверного администрирования.

Если же требуется провести замену SSL сертификата, то мы рекомендуем посмотреть в сторону использования платных сертификатов, которые приобретаются в коммерческих центрах сертификации, например, в GlobalSign Domain SSL, Comodo, TrustWave или у их партнеров. Это позволит увеличить доверие к вашему сайту за счет обеспечения надежного устойчивого шифрования и юридической проверки организации.

Купить данные сертификаты можно у доменных регистраторов >nic.ru, reg.ru и других центров. Главное стоит определить, какие функции они предлагают и для каких ресурсов их использовать.

Услуги 2В Сервис

Как можно понять из статьи, описанная выше проблема является достаточно специфической и ее решение может оказаться весьма не простой задачей, особенно, если с ней столкнулись пользователи других операционных систем, ведь проблема актуальна не только для устройств на Windows 7, но и также затрагивает смартфоны, планшеты, игровые консоли и другие. Если вы один из тех «счастливчиков», кто столкнулся с описанной выше проблемой и не знаете, как ее решить, или у вас возникли трудности в процессе обновления сертификата, то рекомендует обратиться в нашу компанию. В штате 2В Сервис имеются специалисты, обладающие необходимыми компетенциями в части администрирования компьютерного и серверного ПО, которые проведут диагностику и предложат оптимальный вариант решения.

Мы будем рады предоставить вам консультацию или предварительный расчет стоимости. Для этого следует обратиться к нашим менеджерам:

• по телефону +7 (495) 787-56-15;
• по электронной почте info@2bservice.ru;
• оставить электронную заявку на сайте.

Задайте нам вопрос или оставьте заявку на предварительный расчет стоимости

Открываю Оперу, выскакивает окно «Срок действия сертификата сервера истек» . Что делать чтобы это окно не вылазило?

На каждом сайте появляется окно и внизу кнопки «принять» отклонить» и т. п. Надоело уже! Что делать?? ? Может дело во времени и даты на компе?

Лучший ответ

Дату на нормальную смени. а точнее год

Остальные ответы

дату на компе правильную выстави

Купите Лицензию!

Похожие вопросы

Ваш браузер устарел

Мы постоянно добавляем новый функционал в основной интерфейс проекта. К сожалению, старые браузеры не в состоянии качественно работать с современными программными продуктами. Для корректной работы используйте последние версии браузеров Chrome, Mozilla Firefox, Opera, Microsoft Edge или установите браузер Atom.

Продление сертификата

Срок действия зарегистрированного сертификата клиента истекает по истечении определенного периода использования. Дата окончания срока действия сертификата указывается сервером. Чтобы обеспечить непрерывный доступ к корпоративным приложениям, Windows поддерживает процесс продления сертификата, инициированного пользователем. Пользователю будет предложено ввести текущий пароль для корпоративной учетной записи. Клиент регистрации получает новый сертификат клиента с сервера регистрации и удаляет старый сертификат. Клиент создает новую пару закрытых и открытых ключей, создает запрос PKCS#7 и подписывает запрос PKCS#7 с помощью существующего сертификата. В Windows также поддерживается автоматическое продление сертификата клиента MDM.

Убедитесь, что EntDMID в поставщике службы конфигурации DMClient задан перед активацией запроса на продление сертификата.

Автоматический запрос на продление сертификата

Windows поддерживает автоматическое продление сертификата, также известное как Продление от имени (ROBO), которое не требует взаимодействия с пользователем. Для автоматического продления клиент регистрации использует существующий сертификат клиента MDM для обеспечения безопасности транспортного уровня клиента (TLS). Маркер безопасности пользователя не требуется в заголовке SOAP. В результате сервер регистрации сертификатов MDM требуется для поддержки протокола TLS клиента для проверки подлинности клиента на основе сертификата для автоматического продления сертификата.

Продление сертификата регистрации через ROBO поддерживается только в Microsoft PKI.

Автоматическое продление сертификата — это единственный поддерживаемый метод продления сертификата клиента MDM для устройства, зарегистрированного с помощью проверки подлинности WAB. Это означает, что параметру AuthPolicy присвоено значение Федеративная. Это также означает, что если сервер поддерживает проверку подлинности WAB, сервер регистрации сертификатов MDM должен также поддерживать протокол TLS клиента для продления сертификата MDM.

Для устройств Windows на этапе регистрации сертификата клиента MDM или во время раздела управления MDM сервер регистрации или сервер MDM может настроить устройство для поддержки автоматического продления сертификата клиента MDM с помощью узла ROBOSupport сертификата CertificateStore CSP в url-адресе CertificateStore/My/WSTEP/Renew .

При автоматическом продлении содержимое сообщения PKCS#7 не кодируется отдельно в кодировке Base64. При продлении сертификата вручную требуется кодировка Base64 для содержимого сообщений PKCS#7.

В процессе автоматического продления сертификата, если устройство не доверяет корневому сертификату, проверка подлинности завершается ошибкой. Используйте один из предварительно установленных корневых сертификатов устройства или настройте корневой сертификат через сеанс интеллектуальной аналитики с помощью поставщика сертификатов CertificateStore.

В процессе автоматического продления сертификата устройство отклоняет http-запрос перенаправления с сервера. Он не отклоняет запрос, если используется тот же URL-адрес перенаправления, который пользователь принял во время начальной регистрации MDM.

В следующем примере показаны сведения об автоматическом запросе на продление.

   http://schemas.microsoft.com/windows/pki/2009/01/enrollment/RST/wstep urn:uuid:61a17f2c-42e9-4a45-9c85-f15c1c8baee8 http://www.w3.org/2005/08/addressing/anonymous  https://dm.contoso.com/EnrollmentService/DeviceEnrollmentService.svc  2011-07-11T19:49:08.579Z 2011-07-11T19:54:08.579Z  user@contoso.com       http://schemas.microsoft.com/5.0.0.0/ConfigurationManager/Enrollment/DeviceEnrollmentToken http://docs.oasis-open.org/ws-sx/ws-trust/200512/Renew BinarySecurityTokenInsertedHere  WindowsPhone  5.0.7616.0      

Настройка расписания продления сертификата

В Windows период продления можно задать только на этапе регистрации MDM. Windows поддерживает период продления сертификата и повторную попытку обновления. Они настраиваются как сервером регистрации MDM, так и более поздним сервером управления MDM с помощью узлов CertificateStore CSP RenewPeriod и RenewInterval. Устройство может повторить автоматическое продление сертификата несколько раз, пока срок действия сертификата не истечет. Для продления сертификата вручную устройство Windows напоминает пользователю диалоговое окно при каждой попытке продления до истечения срока действия сертификата.

В отличие от продления сертификата вручную, устройство не выполняет автоматическое продление сертификата клиента MDM, если срок действия сертификата уже истек. Чтобы убедиться, что у устройства достаточно времени для автоматического продления, рекомендуется установить период продления за пару месяцев (40–60 дней) до истечения срока действия сертификата. И задайте интервал повтора продления каждые несколько дней, например каждые 4–5 дней, а не каждые семь дней (еженедельно). Это изменение увеличивает вероятность того, что устройство попытается подключиться в разные дни недели.

Ответ на продление сертификата

Если параметр RequestType имеет значение Продлить, веб-служба проверяет следующее (в дополнение к первоначальной регистрации):

• Сигнатура PKCS#7 BinarySecurityToken является правильной
• Сертификат клиента находится в периоде продления
• Сертификат выдается службой регистрации.
• Инициатор запроса совпадает с инициатором запроса для начальной регистрации.
• Для стандартного запроса клиента клиент не заблокирован.

После завершения проверки веб-служба извлекает содержимое PKCS#10 из binarySecurityToken PKCS#7. Остальные данные совпадают с первоначальной регистрацией, за исключением того, что в XML-файле подготовки требуется только новый сертификат, выданный ЦС.

Ответ HTTP-сервера не должен быть фрагментирован; Оно должно быть отправлено в виде одного сообщения.

В следующем примере показаны сведения об ответе на продление сертификата.

Клиент получает новый сертификат, а не обновляет первоначальный сертификат. Администратор определяет, какой шаблон сертификата должен использовать клиент. Во время продления шаблоны могут отличаться от времени начальной регистрации.

Поставщики служб конфигурации, поддерживаемые во время регистрации MDM и продления сертификата

Следующие поставщики служб конфигурации поддерживаются в процессе регистрации MDM и продления сертификата.

• CertificateStore
• ПРИЛОЖЕНИЕ w7
• DMClient
• EnterpriseAppManagement

Обратная связь

Были ли сведения на этой странице полезными?