Ошибка выпуска сертификата выпуск сертификата завершился неудачей

1. 20.09.2016, 06:55

   
   

   #1

   

   
   Junior Member
   

   ---

   Регистрация

   20.09.2016

   Сообщений

   5

   Не удается получить сертификат Let’s Encrypt
   

   При попытке получения сертификата Let’s Encrypt для любого домена через некоторое время возникает ошибка 429.

   Журнал событий

   Код:

   Запрос на выдачу нового сертифика завершился неудачей
   return code:429
   Details:Error creating new cert :: Too many certificates already issued for exact set of domains: домен.ру,www.домен.ру

   ---

2. 20.09.2016, 13:05

   
   

   #2

   

   
   Senior Member
   

   ---

   Регистрация

   09.04.2013

   Адрес

   Москва

   Сообщений

   2,103

   

   
   

   У lets encrypt есть ограничения на количество выпусков сертификата за промежуток времени

   В ошибке это указано
   5 сертификатов за 7 дней
   Это касается одного домена

   ---

3. 20.09.2016, 16:06

   
   

   #3

   

   
   Junior Member
   

   ---

   Регистрация

   20.09.2016

   Сообщений

   5

   ---

4. 21.09.2016, 00:40

   
   

   #4

   

   
   Senior Member
   

   ---

   Регистрация

   09.04.2013

   Адрес

   Москва

   Сообщений

   2,103

   

   ---

5. 21.09.2016, 01:29

   
   

   #5

   

   
   Junior Member
   

   ---

   Регистрация

   20.09.2016

   Сообщений

   5

   
   

   Я тоже так думаю. Но вот как понять — в чем же проблема с доставкой?

   ---

6. 21.09.2016, 01:35

   
   

   #6

   

   
   Junior Member
   

   ---

   Регистрация

   20.09.2016

   Сообщений

   5

   
   

   Вот пример полного лога

   Код:

   2016-09-20 01:07:38
   Процесс получения сертификата начат
   2016-09-20 01:14:02
   Попытка регистрации
   2016-09-20 01:14:03
   Учетная запись существует
   2016-09-20 01:14:03
   Попытка авторизации
   2016-09-20 01:14:05
   Авторизация успешна для домена
   for domain домен.ру
   2016-09-20 01:14:06
   Авторизация успешна для домена
   for domain www.домен.ру
   2016-09-20 01:14:06
   Начало процедуры подтверждения владения доменом
   2016-09-20 01:14:06
   Токен для проверки создан
   2016-09-20 01:14:07
   Запрос для проверки владения доменом успешно отправлен. Ожидание подтверждения.
   2016-09-20 01:14:07
   Проверка владения доменом прошла успешно
   2016-09-20 01:14:07
   Начало процедуры подтверждения владения доменом
   2016-09-20 01:14:07
   Токен для проверки создан
   2016-09-20 01:14:08
   Запрос для проверки владения доменом успешно отправлен. Ожидание подтверждения.
   2016-09-20 01:14:09
   Проверка владения доменом прошла успешно
   2016-09-20 01:14:09
   Отправка запроса на выдачу нового сертификата

   А потом ошибка 429. Пытался получить сертификат для свежезареганного домена.

   ---

7. 21.09.2016, 03:14

   
   

   #7

   

   
   Senior Member
   

   ---

   Регистрация

   09.04.2013

   Адрес

   Москва

   Сообщений

   2,103

   

   
   

   логи панели в этот момент нужно смотреть наверное

   ---

8. 21.09.2016, 04:35

   
   

   #8

   

   
   Junior Member
   

   ---

   Регистрация

   20.09.2016

   Сообщений

   5

   
   

   Порылся в логах панели.

   Вот этот кусок кажется подозрительным:

   Код:

   Sep 20 23:26:03 [26408:11691] sslcert [1;33mDEBUG plugin_letsencrypt.cpp:972 Acme response '{
     "type": "urn:acme:error:malformed",
     "detail": "Registration key is already in use",
     "status": 409
   }

   ---

9. 22.09.2016, 14:32

   
   

   #9

   

   
   Senior Member
   

   

   ---

   Регистрация

   16.05.2014

   Сообщений

   1,557

   
   

   Напишите в поддержку с доступами.

   ---

10. 27.09.2016, 12:42

    
    

    #10

    

    
    Senior Member
    

    

    ---

    Регистрация

    27.08.2008

    Адрес

    MGNHost.ru

    Сообщений

    3,277

    

    
    

    Аналогичная проблема у одного из клиентов, только в конце выдаёт код 400:

    Код:

    return code:400
    Details:Error creating new cert :: policy forbids issuing for: *.domain.ru

    ---

If restrictive DNS CAA resource records exist in lower domains, the environment certificate issuance will fail.

Summary error text:

The following resource(s) failed to create: [HTTPSCert]. Rollback requested by user.

Full output:

❯ dig example.com CAA +short
0 issuewild ";"
0 issue ";"

❯ dig demo.example.com CAA +short

❯ dig environment.demo.example.com CAA +short

❯ copilot env init
Environment name: certfail
Credential source: [profile default]
Default environment configuration? Yes, use default.
✔ Linked account 920557916861 and region us-west-2 to application demo..

✔ Proposing infrastructure changes for the demo-certfail environment.
- Creating the infrastructure for the demo-certfail environment.                     [rollback failed]  [636.5s]
  The following resource(s) failed to create: [HTTPSCert]. Rollback requ
  ested by user.
  The following resource(s) failed to delete: [EnvironmentHostedZone, HT
  TPSCert].
  - An IAM Role for AWS CloudFormation to manage resources                           [delete skipped]    [19.9s]
  - An ECS cluster to group your services                                            [delete complete]  [3.9s]
  - Delegate DNS for environment subdomain                                           [delete complete]  [40.1s]
  - An IAM Role to describe resources in your environment                            [delete skipped]    [19.4s]
  - A security group to allow your containers to talk to each other                  [delete complete]  [3.9s]
  - Request and validate an ACM certificate for your domain                          [delete failed]    [310.2s]
    Received response status [FAILED] from custom resource. Message return
    ed: Resource is not in the state certificateValidated (Log: /aws/lambd
    a/demo-certfail-CertificateValidationFunction-RsPimSoW88HO/2022/03/11/
    [$LATEST]1e460e9ac23549b0a17fd31b16d28319) (RequestId: 0a415a0e-e2ef-4
    152-917c-5bdc5e0c034f)
    Received response status [FAILED] from custom resource. Message return
    ed: Cannot read property 'Name' of undefined (Log: /aws/lambda/demo-ce
    rtfail-CertificateValidationFunction-RsPimSoW88HO/2022/03/11/[$LATEST]
    1e460e9ac23549b0a17fd31b16d28319) (RequestId: 6432c6dd-96bd-41b7-b04d-
    dc1a5402d3b4)
  - An Internet Gateway to connect to the public internet                            [delete complete]  [0.0s]
  - Private subnet 1 for resources with no internet access                           [delete complete]  [3.9s]
  - Private subnet 2 for resources with no internet access                           [delete complete]  [7.5s]
  - Public subnet 1 for resources that can access the internet                       [delete complete]  [0.0s]
  - Public subnet 2 for resources that can access the internet                       [delete complete]  [2.0s]
  - A Virtual Private Cloud to control networking of your AWS resources              [delete complete]  [17.5s]
✘ stack demo-certfail did not complete successfully and exited with status ROLLBACK_FAILED

I’m undecided on the solution for this. I have a PR staged to add the CAA resource record in the environment CloudFormation stack so that the certificate issuance will always succeed. Although, I wonder if the appropriate solution would be to check the CAA policy through the domain hierarchy and warn the operator if the policy will block ACM certificate issuance. A similar warning mechanism is present when there are delegation concerns with the hosted zone.

Example of warnings on hosted zone:

❯ copilot app init --domain amazon.com
✘ get hosted zone ID for domain amazon.com: domain does not exist

❯ ccopilot app init --domain example.com
Note: The account does not seem to own the domain that you entered.
Please make sure that example.com is registered with Route53 in your account, or that your hosted zone has the appropriate NS records.
To transfer domain registration in Route53, see:
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-transfer-to-route-53.html
To update the NS records in your hosted zone, see:
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/SOA-NSrecords.html#NSrecords

Arguments for copilot env init --domain ecs.example.com to create CAA resource record at the environment sub domain level:

• Pro: Copilot is a «batteries included» way to run applications. VPC, ECS cluster, DNS, certificates, etc..
• Pro: The potential copilot generated CAA policy would only override the base CAA for the Copilot environment sub domain only. Existing organization CAA policy at lower domain levels would still remain in effect.
• Con: Organizations may have a restrictive CAA policy as a technical control for whatever reasons, Security, compliance, anti-shadow IT, etc..

Another solution would be to warn the operator and implement a flag (e.g. --override-caa) that would create the environment level CAA record. That would definitely take more time to implement and the cost of extending the CLI (and adding tests) with a new flag would need to be taken into consideration.

I don’t think the solution is just a documentation update. Operators should not be forced to understand the mechanics of the CAA specification.

References:

• ACM CAA setup guide
• Good explanation of the CAA process

Thanks!

В работе электронной подписи периодически возникают различные ошибки. Иногда они являются результатом неправильных действий пользователя, а иногда — это последствие технических неполадок.

Основные проблемы в работе ЭЦП

Мы выделили самые часто встречающиеся ошибки в работе КЭП. Ниже мы будем описывать причину проблемы и путь её решения.

Выбранная подпись не авторизована

Такая проблема появляется, когда используется новая КЭП на ЭТП (электронной торговой площадке), если пользователь не был зарегистрирован. То же самое происходит, когда не был зарегистрирован сам сертификат.

Решением данной проблемы является авторизация:

1. Перейдите на главную страницу торговой площадки, а затем → ‎«Вход по ЭЦП».
2. Выберите ‎«Авторизация ЭЦП‎» и нажмите кнопку «Пользователь организации‎».
3. Подтвердите выбор нового ключа ЭЦП.
4. В появившемся окне ‎«Идентификационные данные»‎ заполните все обязательные поля и нажмите «Отправить на рассмотрение‎».

В течение часа подпись будет зарегистрирована и ошибка исчезнет. Если же она всё-таки повторятся, то отключите антивирус или поставьте электронную торговую площадку в исключения.

ЭЦП проставлено сертификатом, на который нет заключённого соглашения

Такая проблема появляется при обращении в ПФР без заключённого с ними соглашения.

Чтобы решить проблему, нужно заключить договор с ПФР в письменном виде. Если же он уже был заключён, нужно проверить соответствие данных в документе с данными в сертификате электронной подписи.

‎Алгоритм ключа сертификата не поддерживается

Название ошибки говорит само за себя — тут либо программное обеспечение несовместимо, либо неправильно установлена КриптоПро CSP.

В первую очередь нужно проверить компьютер на совместимость с программными средствами. Если здесь всё нормально, то попробуйте переустановить КриптоПро CSP. Также проверьте хранилище сертификатов на наличие там закрытого ключа. В крайнем случае понадобится переустановка операционной системы.

Электронная подпись документа невалидна

Такая ошибка появляется при работе в системах «1С» как следствие того, что на устройстве не установлен корневой сертификат УЦ. Он нужен для подтверждения того, что удостоверяющий центр сертифицирован Минцифры.

Исправить ошибку можно путём установки соответствующего сертификата в правильное хранилище → ‎«‎Доверенные корневые центры сертификации»‎. Найти его можно на сайте удостоверяющего центра.

Невозможно создание объекта сервером программирования объектов ЭЦП

Подобная проблема может проявиться при подписании электронных документов и при создании запросов в информационных системах.

Чтобы исправить ошибку, достаточно переустановить КриптоПро CSP и КриптоПро ЭЦП Browser plug-in. Если ошибка сохраняется, то скачайте и установите capicom.dll. В крайнем случае отключите защитник Windows и центр обеспечения безопасности.

Ваш сертификат ключа подписи включён в список отозванных

Такая ошибка появляется, когда истекает срок действия сертификата. Решением является продление срока действия.

Если же ошибка возникает, а срок сертификата ещё не подошёл к концу, то нужно установить СОС (список отозванных сертификатов) и перезагрузить компьютер. Если это не помогло, свяжитесь с удостоверяющим центром.

У применения ЭЦП довольно много нюансов, которые в некоторых случаях требуют внимания к себе. Чтобы разобраться в них, мы подготовили материал, в котором вы найдёте ответы на основные вопросы, касающиеся использования ЭЦП.

Получение выписки ЕГРН с помощью электронной подписи

Вопрос получения такого свидетельства актуален при совершении любой сделки с недвижимостью. Заказать выписку можно на бумаге, либо в электронном формате.
Рассказываем, как получить электронную выписку с помощью ЭЦП и сколько это будет стоить.

Как получить выписку из ЕГРЮЛ с ЭЦП ФНС

Выписка из Единого государственного реестра юридических лиц содержит все основные сведения о юрлице. Она необходима для того, чтобы удостовериться или подтвердить данные государственной регистрации, уточнить сведения об адресе местонахождения юрлица и др. Выписку в электронном виде можно получить с помощью электронной подписи. Как это сделать? Отвечаем на этот вопрос в нашей статье.

Как оформить заявление на получение ЭЦП

Согласно правилам оформления ЭП, для получения электронной подписи необходимо подготовить пакет документов и подать заявление в удостоверяющий центр или МФЦ (в зависимости от вида подписи). В статье мы подробно рассмотрим все вопросы оформления электронной подписи: какие документы нужны, в каком порядке происходит получение сертификата и куда нужно обращаться.

Как выглядит электронная подпись

Увидеть ЭЦП в электронном документе своими глазами в буквальном смысле, конечно, нельзя, потому что это не просто какой-то графический символ. Однако можно, например, проверить документ, чтобы наглядно убедиться, что он подписан с помощью электронной подписи. В статье мы раскроем все основные вопросы, касающиеся подписания документов электронной подписью, а также выясним, какие средства и реквизиты для этого применяются.

Как зарегистрироваться в ЕИС

Единая информационная система в сфере закупок (ЕИС) создана для формирования, обработки и хранения данных о закупках. Это позволяет в значительной мере упростить доступ к сведениям о торгах. Рассказываем, что нужно для регистрации в ЕИС и в каком порядке проходит регистрация.

Как работает ЭП

Применение ЭЦП обеспечивает сохранность данных и неизменность подписанного документа, а также позволяет идентифицировать подписанта. Как же работает электронная подпись? Чтобы ответить на этот вопрос, нужно сначала разобраться как устроена подпись и какие средства шифрования используются для её применения. Об этом и пойдёт речь далее.

Как сделать КЭП для торгов

Для участия в торгах необходима квалифицированная электронная подпись. Она потребуется на всех этапах — от регистрации на электронной торговой площадке до подписания договора с контрагентом. Чтобы оформить квалифицированную ЭЦП для торгов, необходимо подать заявление в аккредитованный удостоверяющий центр. Детальное описание процедуры выпуска КЭП — в нашей статье.

Что такое корневой сертификат ЭЦП

В корневом сертификате содержатся сведения об удостоверяющем центре. Без него работа с электронной подписью невозможна. Где достать корневой сертификат? Как установить? Ответы на эти вопросы — в нашей статье.

Продление сертификата ЭП

Сертификаты электронной подписи имеют срок годности, по истечении которого нужно обращаться в удостоверяющий центр для продления. Рассказываем, как узнать срок действия сертификата и в каком порядке подаётся заявление на его продление.

Что такое сертификат ключа электронной подписи

В сертификате ключа ЭЦП содержатся сведения о владельце электронной подписи. В ЭДО сертификат ключа служит подтверждением того, что подтверждением того, что электронная подпись действительно принадлежит её владельцу. Информация о составе сертификата ключа и о том, какие учреждения занимаются выпуском сертификатов — в нашей статье.

Создание заявления на получение ЭП

Чтобы оформить на себя электронную подпись электронную подпись, необходимо подать специальное заявление в аккредитованный удостоверяющий центр. Мы подготовили пошаговые инструкции для юридических лиц, индивидуальных предпринимателей, а также физических лиц. С их помощью вы сможете без труда оформить заявку на получение ЭЦП в личном кабинете пользователя сервиса «Астрал-ЭТ».

Срок действия ключа электронной подписи

Максимальный срок, на который выдаётся сертификат ключа ЭП, составляет 12 месяцев. Чтобы продлить действие сертификата, владелец электронной подписи должен за 14 дней до истечения срока подать заявку на продление действия сертификата. В противном случае работа сертификата будет приостановлена, как только срок его действия истечёт. Подробнее в нашей статье.

Структура ЭЦП: из чего состоит электронная подпись

В состав электронной подписи входят ключевая пара (она состоит из ключей: открытого и закрытого), а также сертификат проверки ключей. Подробности — в нашей статье.

Что делать, если ЭЦП украли

Кража ЭП — это, безусловно, вопрос, требующий немедленного решения. Как узнать, что электронную подпись украли? Что делать в этом случае? Как предупредить возможную кражу или утерю электронной подписи? Рассказываем в нашей специальной статье.

Что такое сертификат ЭП

Для чего нужен сертификат электронной подписи? Что он представляет из себя и какие данные содержит? Рассказываем в нашей статье.

Что такое ЭЦП

Электронная подпись — это атрибут документа, составленного в электронном виде. В зависимости от своего вида ЭЦП может быть равноценной рукописной подписи, а также обеспечивать документы юридической значимостью. Подробнее в нашей статье.

Что такое штамп времени в ЭП

В момент подписания электронного документа с помощью ЭЦП формируется атрибут, который называется штамп времени. Он содержит информацию о дате и времени подписании документа. При подписании документа программа для работы с ЭЦП обращается к службе TSA (time stamping authority), которая сообщает точные дату и время, после чего формируется штамп. Рассказываем об этом здесь.

Как продлить ЭП для ЕГАИС

Для работы с ЕГАИС нужна КЭП. Поскольку срок действия любой электронной подписи ограничен, возникает закономерный вопрос: как продлить её действие? Рассказываем.

Токены ЭЦП. Обзор основных разновидностей токенов в России

Токенами называют USB-носители, предназначенные для хранения и применения ключа электронной подписи. В России сертифицировано несколько разновидностей токенов. В статье мы рассмотрим наиболее распространённые варианты ключевых носителей и расскажем, по какому принципу их выбирать.

Ошибка при удаленном перевыпуске ЭЦП через ЛК ФНС

Сообщений 8