Peer certificate cannot be authenticated with known CA certificates

0. Максим (Fuego) 417 18.12.10 13:51 Сейчас в теме
Столкнулся с проблемой, когда веб-сервис работает по SSL протоколу, и "1С-ка" никак не хотела работать с этим веб-сервисом, потому, что у сервиса "кривой сертификат". И начал искать информацию...

Перейти к публикации

Комментарии
1. albochkov (Aleksey.Bochkov) 12.09.11 11:24 Сейчас в теме
Подготовку сертификата можно было сделать проще - в IE открываете ресурс, открываете сертификат на просмотр, на закладке "Состав" жмете "Копировать в файл.." и выбираете формат "Файлы X.509 (.CER) в кодировке Base-64".
METAL; manlak; bobo93; smaximaa; swimdog; Spacer; +6 Ответить
2. stark temp (stark.temp) 19.01.12 12:40 Сейчас в теме
О, как мне пригодилось! Спасибо!
3. Владимир Тим (TimVG) 28.03.12 14:40 Сейчас в теме
А как при таком способе определить MD5?
4. Максим (Fuego) 417 09.04.12 20:10 Сейчас в теме
(3) TimVG, после выполнения команды на экране Вы увидите MD5 Fingerprint.
5. Михаил ja-maik-a (ja-maik-a) 21.06.12 11:11 Сейчас в теме
При выполнении команды происходит такая ошибка:
OpenSSL> x509 -inform der -in C:\ThawteSSLCA.cer -out C:\out.pem -text -fingerprint -md5
unable to load certificate
5756:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:.\crypto\asn1\tasn_dec.c:1319:
5756:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:.\crypto\asn1\tasn_dec.c:381:Type=X509
error in x509

из-за чего могут быть ошибки в x509?
6. Valentin Yakovlev (IOL) 11.10.12 11:45 Сейчас в теме
Автору заметки. Самый простой способ выдрать сертификат -- с помощью хрома, клацаем на замок в адресной строке, просмотреть сертификат, потом клацаем на вторую закладку, внизу будет кнопка, копировать в файл. Дальше появляется мастер экспорта сертификатов, в нем выбираем самый верхний крыжик (он по умолчанию там стоит), формат X509 DER, сохраняем в файло, дальше запускаем вашу строчку, после этого копируем МД5 сумму которую выдаст в консоль.... ну а дальше копипастим сертификат в конец файла.
7. Valentin Yakovlev (IOL) 11.10.12 11:47 Сейчас в теме
C:\OpenSSL-Win32\bin>openssl x509 -inform der -in C:\OpenSSL-Win32\bin\ии-der.cer -out C:\OpenSSL-Win32\bin\ии.pem -text -fingerprint -md5
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
MD5 Fingerprint=32:B9:FC:EE:87:74:91:6B:97:4A:5D:29:2A:5A:16:B8
8. Ivan Khorkov (vano-ekt) 854 07.03.13 09:04 Сейчас в теме
(7) IOL, с ошибкой, разобрались?
9. Денис (DennK) 06.05.13 11:41 Сейчас в теме
Коллеги, подскажите, пожалуйста, как сделать чтобы заработало
Делаю следующим образом:
1. открываю в браузере ссылку на файловое хранилище дропбокса, чтобы получить его сертификат
https://dl.dropboxusercontent.com
2. Нахожу сертификат удостоверяющего центра DigiCert Root CA и CA-3 которые в цепочке удостоверяют сертификат для dropboxusercontent.com
3. Выгружаю их в файлы *.cer по инструкции и запускаю конвертацию в Формат PEM.
C:\OpenSSL-Win32\bin>openssl x509 -inform der -in c:\digicertCA3.pem -text -fingerprint -md5 > c:\digicertCA3.txt
4. Получаю два файлика *.pem и *.txt
5. Копирую из обоих инфу и вставляю в конец cacert.pem по подобию уже имеющихся там записей.
6. Запускаю 1С и все равно выскакивает та-же ошибка.

Процедура КнопкаВыполнитьНажатие(Кнопка)
	СерверСоединение = "dl.dropboxusercontent.com";
	СсылкаНаФайл = "dl.dropboxusercontent.com/s/f9b2641zdtu6bhv/version.txt?token_hash=AAHtD9Hx4iGooJ8tyRoH2J2CVY-b26PzdHWQzk4WHI2TwQ&dl=1";
	ФайлВерсий = Новый HTTPСоединение(СерверСоединение,443,,,, Истина); 
	ФайлВерсий.Получить(СсылкаНаФайл, "C:\version.txt");
КонецПроцедуры
...Показать Скрыть



из под 1С нужно скачать маленький текстовый файлик Version.txt по ссылке
https://dl.dropboxusercontent.com/s/f9b2641zdtu6bhv/version.txt?token_hash=AAHtD9Hx4iGooJ8tyRoH2J2CVY-b26PzdHWQzk4WHI2TwQ&dl=1

Заранее спасибо
10. Денис (DennK) 06.05.13 12:49 Сейчас в теме
(9) DennK,
Стоило попросить о помощи, как все получилось.
Пришлось поправить код процедуры

Процедура КнопкаВыполнитьНажатие(Кнопка)
	СерверСоединение = "dl.dropboxusercontent.com";
	СсылкаНаФайл = "/s/f9b2641zdtu6bhv/version.txt?token_hash=AAHtD9Hx4iGooJ8tyRoH2J2CVY-b26PzdHWQzk4WHI2TwQ&dl=1";
	ФайлВерсий = Новый HTTPСоединение(СерверСоединение,,,,, Истина); 
	ФайлВерсий.Получить(СсылкаНаФайл, "C:\version.txt");
КонецПроцедуры
...Показать Скрыть


Получившийся cacert.pem можно взять здесь https://dl.dropboxusercontent.com/u/68925103/cacert.pem
(после всех экспериментов пришел к выводу, что нужно добавлять не сертификат сайта, а сертификат его удостоверяющего центра)
Пример обработки здесь https://dl.dropboxusercontent.com/u/68925103/%D0%A4%D0%B0%D0%B9%D0%BB%D0%A1DropBox.epf
zavedeev; AnderWonder; lazy; +3 Ответить
11. Алексей Столбов (ITAlex) 29.11.13 15:33 Сейчас в теме
Помогло. Спасибо огромное!
DennK прав, нужно добавлять родительские сертификаты, причем все из цепочки, если их несколько
12. totalart totalart (totalart) 05.03.15 10:22 Сейчас в теме
Алилуя получилось

Действия следующие

1. Качаем подходящий дистрибутив http://www.slproweb.com/products/Win32OpenSSL.html
2. После установки нужно указать переменную, открываем командную строку под админом вводим команду
set OPENSSL_CONF=D:\OpenSSL-Win32\bin\openssl.cfg
После этого программа начинает работать

3. В браузере открываем урл где можно посмотреть сертификат, открываем просмотр цепочки сертификатов

Я пользовался Firefox поэтому дальше буду описывать действия для него
Открываем сертификат - подробнее

4. Сохраняем каждый сертификат из цепочки по 2 раза в разных форматах
лучше использовать короткие понятные пути
1й формат
4.1 Экспортировать, выбираем тип файла Сертификат X.509 в формате PEM (*.crt:*.pem)
повторяем для всех сертификатов цепочки
2й формат
4.1 Экспортировать, выбираем тип файла Сертификат X.509 в формате DER (*.der)
повторяем для всех сертификатов цепочки

Далее открываем командную строку
вводим команду, переходим в папку с Open ssl
cd c:\OpenSSL-Win64\bin
Далее формируем подпись
c:\OpenSSL-Win64\bin>openssl x509 -inform der -in D:\p.der -out D:\textcert.pem -text -fingerprint -md5

На экране отображается сгенерированная подпись и сертификат

Через пометить выбираем полученный результат, копируем и добавляем в конец файла
C:\Program Files (x86)\1cv8\8.3.5.1460\bin\cacert.pem

Добавленный результат форматируем

Делаем заголовок
Имя для заголовка лучше брать из добавляемого сертификата
Просмотр сертификата - Выбираем сертификат - Внизу поле субъект CN = Symantec Class 3 EV SSL CA - G3
из него забираем заголовок
Symantec Class 3 EV SSL CA - G3
переносим MD под заголовок

Получается:

Symantec Class 3 EV SSL CA - G3
====================

MD5 Fingerprint=DF:51:CE:65:BC:43:F9:1B:3E:1E:CF:48:AB:23:36:25

остальное оставляем внизу

Далее блокнотом открываем сохраненный сертификат в формате *.crt копируем его содержание
Вставляем в конец файла cacert.pem

Аналогично повторяем для всех сертификатов цепочки
13. Александр Прокопенко (alprk) 21.04.15 15:46 Сейчас в теме
А куда на сервер совать сертификат?
UPD. Разобрался, туда же совать. Проблема была в том что забыл положить сертификат CA.
14. Сергеевич Александр (aleksdiez) 4 13.10.15 09:01 Сейчас в теме
(12) totalart, все делал аналогично, сформировал заголовок и сам сертификат, вставил в cacert.pem, но не работает, что еще посмотреть?
15. Евгений Колтович (depresnjak) 2 04.04.16 10:53 Сейчас в теме
А можно ещё проще:
  • 1. При экспорте выбираем формат PKSC #7 с опцией "По возможности все сертификаты"
  • 2. Выполняем команду openssl pkcs7 -inform der -print_certs -in "x:\cer\certificate.p7b -out "Y:\cer\certificate.pem" -text
  • 3. SHA1 Fingerprint берем из свойств сертификата (Вкладка состав - Вид: Только свойства)
  • 4. Содержимое файла "Y:\cer\certificate.pem" вставлем в cacert.pem
  • 5. PROFIT!
stupidgamer; crs; alexkab; Огонек; +4 Ответить
16. some some (Oleg_SV) 05.04.16 13:33 Сейчас в теме
(12) totalart, Всё получилось! Спасибо!
17. Юрий (yuraer) 34 29.06.16 11:56 Сейчас в теме
(12) totalart, порядок сертификатов имеет значение?
18. Андрей (AKV77) 215 12.07.16 10:11 Сейчас в теме
Привет всем ! Опишу как мы решали данную проблему.
Используем сервис COMARCH EDI для электронного документооборота через провайдера Корус Консалтинг.
В один прекрасный момент при запуске обмена получили ошибку как в заголовке темы.
после общения с тех.поддержкой Коруса скачали с сайта https://www.ecod.pl/webserv2/EDIservice.asmx сертификаты и затем их установили - результат отрицательный.

Продолжили разбираться дальше...
в итоге решили сделать так...

У пользователей, работающих с корусом :

1. Закрыть 1С
2. Изменить файл C:\Program Files\1cv82\8.2.19.130\bin\cacert.pem ( у вас свои пути)

Добавить в конец файла данные : (Получить их можно открыв сертификаты в блокноте)

сам сертификат плюс дополнительные сертификаты родителей:

-----BEGIN CERTIFICATE-----
MIIEKjCCAxKgAwIBAgIQYAGXt0an6rS0mtZLL/eQ+zANBgkqhkiG9w0BAQsF­ADCB
rjELMAkGA1UEBhMCVVMxFTATBgNVBAoTDHRoYXd0ZSwgSW5jLjEoMCYGA1UE­CxMf
Q2VydGlmaWNhdGlvbiBTZXJ2aWNlcyBEaXZpc2lvbjE4MDYGA1UECxMvKGMp­IDIw
MDggdGhhd3RlLCBJbmMuIC0gRm9yIGF1dGhvcml6ZWQgdXNlIG9ubHkxJDAi­BgNV
BAMTG3RoYXd0ZSBQcmltYXJ5IFJvb3QgQ0EgLSBHMzAeFw0wODA0MDIwMDAw­MDBa
Fw0zNzEyMDEyMzU5NTlaMIGuMQswCQYDVQQGEwJVUzEVMBMGA1UEChMMdGhh­d3Rl
LCBJbmMuMSgwJgYDVQQLEx9DZXJ0aWZpY2F0aW9uIFNlcnZpY2VzIERpdmlz­aW9u
MTgwNgYDVQQLEy8oYykgMjAwOCB0aGF3dGUsIEluYy4gLSBGb3IgYXV0aG9y­aXpl
ZCB1c2Ugb25seTEkMCIGA1UEAxMbdGhhd3RlIFByaW1hcnkgUm9vdCBDQSAt­IEcz
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAsr8nLPvb2FvdeHsb­nndm
gcs+vHyu86YnmjSjaDFxODNi5PNxZnmxqWWjpYvVj2AtP0LMqmsywCPLLEHd­5N/8
YZzic7IilRFDGF/Eth9XbAoFWCLINkw6fKXRz4aviKdEAhN0cXMKQlkC+BsU­a0Lf
b1+6a4KinVvnSr0eAXLbS3ToO39/fR8EtCab4LRarEc9VbjXsCZSKAExQGbY­2SS9
9irY7CFJXJv2eul/VTV+lmuNk5Mny5K76qxAwJ/C+IDPXfRa3M50hqY+bAtT­yr2S
zhkGcuYMXDhpxwTWvGzOW/b3aJzcJRVIiKHpqfiYnODz1TEoYRFsZ5aNOZnL­wkUk
OQIDAQABo0IwQDAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBBjAd­BgNV
HQ4EFgQUrWyqlGCc7eT/+j4KdCtjA/e2Wb8wDQYJKoZIhvcNAQELBQADggEB­ABpA
2JVlrAmSicY59BDlqQ5mU1143vokkbvnRFHfxhY0Cu9qRFHqKweKA3rD6z8K­LFIW
oCtDuSWQP3CpMyVtRRooOyfPqsMpQhvfO0zAMzRbQYi/aytlryjvsvXDqmbO­e1bu
t8jLZ8HJnBoYuMTDSQPxYA5QzUbF83d597YV4Djbxy8ooAw/dyZ02SUS2jHa­Gh7c
KUGRIjxpp7sC8rZcJwOJ9Abqm+RyguOhCcHpABnTPtRwa7pxpqpYrvS76Wy2­74fM
m7v/OeZWYdMKp8RcTGB7BXcmer/YB1IsYvdwY9k5vG8cwnncdimvzsUsZARe­iDZu
MdRAGmI0Nj81Aa6sY6A=
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
MIIEwjCCA6qgAwIBAgIQNjSeGMmcJmm2Vi5s5a1xMjANBgkqhkiG9w0BAQsF­ADCB
rjELMAkGA1UEBhMCVVMxFTATBgNVBAoTDHRoYXd0ZSwgSW5jLjEoMCYGA1UE­CxMf
Q2VydGlmaWNhdGlvbiBTZXJ2aWNlcyBEaXZpc2lvbjE4MDYGA1UECxMvKGMp­IDIw
MDggdGhhd3RlLCBJbmMuIC0gRm9yIGF1dGhvcml6ZWQgdXNlIG9ubHkxJDAi­BgNV
BAMTG3RoYXd0ZSBQcmltYXJ5IFJvb3QgQ0EgLSBHMzAeFw0xMzA1MjMwMDAw­MDBa
Fw0yMzA1MjIyMzU5NTlaMEMxCzAJBgNVBAYTAlVTMRUwEwYDVQQKEwx0aGF3­dGUs
IEluYy4xHTAbBgNVBAMTFHRoYXd0ZSBTSEEyNTYgU1NMIENBMIIBIjANBgkq­hkiG
9w0BAQEFAAOCAQ8AMIIBCgKCAQEAo2Mr1LpdOK6wz7lMON8gffErR3Edi2jz­Vvmc
2qrlhCbepXEwvPMxI53oO4DIZld1tlcO25P1Jo5wumRSZooqiFxEGE2oony9­VmEy
kBL5NYdIYLBukGdEAY3nyQ1jaHJyq2M8hrgffa2IJadqiCn7WcZ4cV8suonm­04D9
V+y5UV9DMy5+JTukBNFgjLNEM5MMrSq2RKIZO6/EkG97BYeGmyxqnStsd8kA­n8nP
rO0+G/fD89n4bNSgV8T7KDKqM/Dmupjf5cJOnHS/ikjC8hvwd0BBBwSyOtVM­xCmp
EUA/AkbwkdXSgYOGE7Mx7UarqId2qZl9vM0xUPSltdylMrOLiwIDAQABo4IB­RDCC
AUAwMgYIKwYBBQUHAQEEJjAkMCIGCCsGAQUFBzABhhZodHRwOi8vb2NzcC50­aGF3
dGUuY29tMBIGA1UdEwEB/wQIMAYBAf8CAQAwQQYDVR0gBDowODA2BgpghkgB­hvhF
AQc2MCgwJgYIKwYBBQUHAgEWGmh0dHBzOi8vd3d3LnRoYXd0ZS5jb20vY3Bz­MDcG
A1UdHwQwMC4wLKAqoCiGJmh0dHA6Ly9jcmwudGhhd3RlLmNvbS9UaGF3dGVQ­Q0Et
RzMuY3JsMA4GA1UdDwEB/wQEAwIBBjAqBgNVHREEIzAhpB8wHTEbMBkGA1UE­AxMS
VmVyaVNpZ25NUEtJLTItNDE1MB0GA1UdDgQWBBQrmjWuARg4MOFwegXgEXaj­zr2Q
FDAfBgNVHSMEGDAWgBStbKqUYJzt5P/6Pgp0K2MD97ZZvzANBgkqhkiG9w0B­AQsF
AAOCAQEAdKZW6K+Tlhn7JvkNsESlzel6SAN0AWwTcbfggpCZYiPj1pmv8Mce­nqgY
Idu0lD80VhuZVS+O8EUzMrdywRNbNNP1YOUuGNFcxWrBqodQDBydZCv/G9zV­LmEL
57m2kVOG2QMq0T17StorB74p8mBCqZEaDi480X2lExQC+u6LjbbIuD5WgVch­JD9l
w7TJzlyNRqxT8/lVdMgr/dJ4cPX4EeX0p60g9Z3x7HD2E6zmjI3bP8byeQ6r­UvLM
G3knzxaz1vPGNoBD7MWU8N2QjfjGUkZW63RHvqbzGa5xTMDh59TP7dQGKCoR­PLrZ
QW4A54E3k+TaYsYdZ29jtBSG2aZi8A==
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
MIIFvjCCBKagAwIBAgIQDppqYIBi9rzuI91UP0qfVTANBgkqhkiG9w0BAQsF­ADBD
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMdGhhd3RlLCBJbmMuMR0wGwYDVQQD­ExR0
aGF3dGUgU0hBMjU2IFNTTCBDQTAeFw0xNjA2MjAwMDAwMDBaFw0xNzA4MTky­MzU5
NTlaMHAxCzAJBgNVBAYTAlBMMRQwEgYDVQQIDAttYWxvcG9sc2tpZTEPMA0G­A1UE
BwwGS3Jha293MRUwEwYDVQQKDAxDT01BUkNIIFMuQS4xDTALBgNVBAsMBEVD­T0Qx
FDASBgNVBAMMC3d3dy5lY29kLnBsMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A­MIIB
CgKCAQEA46lgfb5i+8QW2G7YoZSNrx9c/Xwe4++t0zWHmk5kqblGF8psOBUk­2F4k
+NQVTBbQf4Ls2O4RH7bAhCywn/79jKRaB/urNBCT9ds5NOB02NiRqruaIP7g­TFla
IqboBoiu99JU/j6emMnX6xH5tuvFQ667ouO2g5+rlahe0I02cqUKasMUC3F1­AQNw
PCUw6UuiZJMRP9EJ2k5gdkKZNsinFZ61wiUlsL+J4VYcnzGljxr7uM18b1Zs­fRBW
DgaEVRAJt1ejDhYPfsou6rVVax3pTXSfM1xsxtFzAOo3jPOiYBiwpj3AvlJ0­Qj60
Zh678+6GRwB+FOq8qEtURTW9ErhjWwIDAQABo4ICfzCCAnswHwYDVR0RBBgw­FoIL
d3d3LmVjb2QucGyCB2Vjb2QucGwwCQYDVR0TBAIwADBuBgNVHSAEZzBlMGMG­BmeB
DAECAjBZMCYGCCsGAQUFBwIBFhpodHRwczovL3d3dy50aGF3dGUuY29tL2Nw­czAv
BggrBgEFBQcCAjAjDCFodHRwczovL3d3dy50aGF3dGUuY29tL3JlcG9zaXRv­cnkw
DgYDVR0PAQH/BAQDAgWgMB8GA1UdIwQYMBaAFCuaNa4BGDgw4XB6BeARdqPO­vZAU
MCsGA1UdHwQkMCIwIKAeoByGGmh0dHA6Ly90Zy5zeW1jYi5jb20vdGcuY3Js­MB0G
A1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjBXBggrBgEFBQcBAQRLMEkw­HwYI
KwYBBQUHMAGGE2h0dHA6Ly90Zy5zeW1jZC5jb20wJgYIKwYBBQUHMAKGGmh0­dHA6
Ly90Zy5zeW1jYi5jb20vdGcuY3J0MIIBBQYKKwYBBAHWeQIEAgSB9gSB8wDx­AHcA
3esdK3oNT6Ygi4GtgWhwfi6OnQHVXIiNPRHEzbbsvswAAAFVbdfCVgAABAMA­SDBG
AiEA/hUCNknuOQe/jjsAwCnDyU2AGtTBcad/wFfCz+bXPT4CIQD94wk1rdeV­+7x+
g4GSvp8+FwNmIIw72fTFJCLfaubbRAB2AKS5CZC0GFgUh7sTosxncAo8NZgE­+Rvf
uON3zQ7IDdwQAAABVW3XwnEAAAQDAEcwRQIgQ/m2JtNVDRTuqMnEGpiWp6cU­J1KH
HUZvbyJo2OE3D6MCIQCrvi+wDSQJYPhAJqzJT/hPDmH1iFv6z2pTOyTwmIDc­8TAN
BgkqhkiG9w0BAQsFAAOCAQEAZFyhKs7jAIOzgVHJvzoQa+6eUkP63/C9X44s­DS8z
abcyVOKdEJnAJh+nDlv79JxTnBHy4HFkqxgMtCL1iRP/VPWptIZA4rzZ0ymv­vcK8
dNqr5f43xDKNkwrVXQjpjgvKuTBOKmkLJALGnnX+LZAG9UxOMMp8FsT9kijD­iJne
OnplOOvWtaYBnw9JB0S8KymY9ceJRpTXSsnvUgiYx22P5rNrWVNr0Gtmciz4­mhpu
4n+uD493wXNNRpF0IJXtLdGGPbbLDYMh364ZslUihXOtrXwsI/9yPTS03B+W­fLnq
+ZQ1Kw00O1mh/wunnTowLIJ0iIw0XMpQq60ZGuT1KITkKQ==
-----END CERTIFICATE-----

После этого все заработало как надо





Прикрепленные файлы:
Загрузка сертификата.docx
19. Андрей (AKV77) 215 12.07.16 10:13 Сейчас в теме
Забыл написать в прикрепленном файле инструкция от Коруса
20. Артур Ланцов (alhimikos) 20.12.16 07:37 Сейчас в теме
(12)
Написал более развернуто:
Действия следующие

1. Качаем подходящий дистрибутив http://www.slproweb.com/products/Win32OpenSSL.html (я скачал первый из списка)
2. Устанавливаем, ничего не меняя в настройках. После установки нужно указать переменную, открываем командную строку под админом вводим команду
set OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg
После этого программа начинает работать. Я не закрывал командную строку, просто свернул

3. В Хроме открываем сайт где установлен сертификат, щелкаем по замочку слева от адреса, далее открываем сертификат, открываем вкладку путь сертификации. Будет видна иерархия сертификатов.

4. Выделяем самый верхний сертификат, щелкаем по кнопке Просмотр сертификата
4.1 Открываем вкладку Состав
4.2 Жмем по кнопке Копировать в файл
4.3 Открывается Мастер экспорта, экспортируем в формате "Файлы X.509 (.CER) в кодировке DER"
4.4 Указываем место и имя сохранения (например: C:\1.cer)
4.5 Повторяем действия для остальных сертификатов иерархии

Далее открываем свернутую командную строку
вводим команду: cd c:\OpenSSL-Win32\bin
Жмеме Enter
Далее команда
openssl x509 -inform der -in С:\1.cer -out D:\textcert.pem -text -fingerprint -md5

Открываем блокнотом файл textcert.pem

Также открываем блокнотом файл по пути (путь может немного отличаться)
C:\Program Files\1cv8\8.3.5.1460\bin\cacert.pem

Выделяем и копируем содержимое файла textcert.pem и вставляем в самый низ файла cacert.pem

!!!После каждой генерации файла textcert.pem, я его удалял!!!

Делаем заголовок:
Имя для заголовка лучше брать из добавляемого сертификата:
Просмотр сертификата - Состав - выделяем строку субъект - Внизу поле например: CN = DST Root CA X3
из него копируем заголовок
DST Root CA X3
переносим скопированное название в заголовок скопированного текста из textcert.pem
Также перенесем строку MD5 Fingerprint вначало, перед словом Certificate:

Для примера, получится должно вот так:

DST Root CA X3
======================================

MD5 Fingerprint=41:03:52:DC:0F:F7:50:1B:16:F0:02:8E:BA:6F:45:C5
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b
Signature Algorithm: sha1WithRSAEncryption
Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3
Validity
Not Before: Sep 30 21:12:19 2000 GMT
Not After : Sep 30 14:01:15 2021 GMT
Subject: O = Digital Signature Trust Co., CN = DST Root CA X3
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:df:af:e9:97:50:08:83:57:b4:cc:62:65:f6:90:
82:ec:c7:d3:2c:6b:30:ca:5b:ec:d9:c3:7d:c7:40:
c1:18:14:8b:e0:e8:33:76:49:2a:e3:3f:21:49:93:
ac:4e:0e:af:3e:48:cb:65:ee:fc:d3:21:0f:65:d2:
2a:d9:32:8f:8c:e5:f7:77:b0:12:7b:b5:95:c0:89:
a3:a9:ba:ed:73:2e:7a:0c:06:32:83:a2:7e:8a:14:
30:cd:11:a0:e1:2a:38:b9:79:0a:31:fd:50:bd:80:
65:df:b7:51:63:83:c8:e2:88:61:ea:4b:61:81:ec:
52:6b:b9:a2:e2:4b:1a:28:9f:48:a3:9e:0c:da:09:
8e:3e:17:2e:1e:dd:20:df:5b:c6:2a:8a:ab:2e:bd:
70:ad:c5:0b:1a:25:90:74:72:c5:7b:6a:ab:34:d6:
30:89:ff:e5:68:13:7b:54:0b:c8:d6:ae:ec:5a:9c:
92:1e:3d:64:b3:8c:c6:df:bf:c9:41:70:ec:16:72:
d5:26:ec:38:55:39:43:d0:fc:fd:18:5c:40:f1:97:
eb:d5:9a:9b:8d:1d:ba:da:25:b9:c6:d8:df:c1:15:
02:3a:ab:da:6e:f1:3e:2e:f5:5c:08:9c:3c:d6:83:
69:e4:10:9b:19:2a:b6:29:57:e3:e5:3d:9b:9f:f0:
02:5d
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Certificate Sign, CRL Sign
X509v3 Subject Key Identifier:
C4:A7:B1:A4:7B:2C:71:FA:DB:E1:4B:90:75:FF:C4:15:60:85:89:10
Signature Algorithm: sha1WithRSAEncryption
a3:1a:2c:9b:17:00:5c:a9:1e:ee:28:66:37:3a:bf:83:c7:3f:
4b:c3:09:a0:95:20:5d:e3:d9:59:44:d2:3e:0d:3e:bd:8a:4b:
a0:74:1f:ce:10:82:9c:74:1a:1d:7e:98:1a:dd:cb:13:4b:b3:
20:44:e4:91:e9:cc:fc:7d:a5:db:6a:e5:fe:e6:fd:e0:4e:dd:
b7:00:3a:b5:70:49:af:f2:e5:eb:02:f1:d1:02:8b:19:cb:94:
3a:5e:48:c4:18:1e:58:19:5f:1e:02:5a:f0:0c:f1:b1:ad:a9:
dc:59:86:8b:6e:e9:91:f5:86:ca:fa:b9:66:33:aa:59:5b:ce:
e2:a7:16:73:47:cb:2b:cc:99:b0:37:48:cf:e3:56:4b:f5:cf:
0f:0c:72:32:87:c6:f0:44:bb:53:72:6d:43:f5:26:48:9a:52:
67:b7:58:ab:fe:67:76:71:78:db:0d:a2:56:14:13:39:24:31:
85:a2:a8:02:5a:30:47:e1:dd:50:07:bc:02:09:90:00:eb:64:
63:60:9b:16:bc:88:c9:12:e6:d2:7d:91:8b:f9:3d:32:8d:65:
b4:e9:7c:b1:57:76:ea:c5:b6:28:39:bf:15:65:1c:c8:f6:77:
96:6a:0a:8d:77:0b:d8:91:0b:04:8e:07:db:29:b6:0a:ee:9d:
82:35:35:10
-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUF­ADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNV­BAMT
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDEx­NVow
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYD­VQQD
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoC­ggEB
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmT­rE4O
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0R­oOEq
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7d­IN9b
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/­yUFw
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAic­PNaD
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAO­BgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0G­CSqG
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+­DT69
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv­8uXr
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87i­pxZz
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJW­FBM5
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bq­xbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----


Аналогично повторяем для всех сертификатов цепочки
Когда добавили все сертификаты в файл, сохраните его и желательно перезагрузите компьютер. Так как у меня 1с крутится на сервере SQL от Microsoft я перезагрузил сам сервер. Без перезагрузки не хотел соединяться с сайтом.
Если короче, то делаем по аналогии уже добавленных сертификатов в файле cacert.pem
21. Александр (Aliaxandr) 17.02.17 15:06 Сейчас в теме
Привет всем!
Проделал все манипуляции с сертификатом, но не получается использовать web-сервис.

Буду признателен за подсказку.
Исходные данные:
- сервер Apache с самоподписанным сертификатом
- на нем опубликована база и web-сервис.

При использовании web-сервиса на том же компьютере (Определение = Новый WSОпределения("http://localhost/******")) все проходит без проблем.

При попытке использования web-сервиса по https
ssl = Новый ЗащищенноеСоединениеOpenSSL();
Определения = Новый WSОпределения("https://******", , , , , ssl);
выдает ошибку:
При создании описания сервиса произошла ошибка. URL сервиса: https://******
Код ответа сервера: 403
22. Андрей Елец (aesoftterra) 19.05.17 13:02 Сейчас в теме
(12)Добрый день,
Подскажите, пжслт, с какими параметрами вы создаете объект ЗащищенноеСоединениеOpenSSL, после того как формировали файл cacert.pem.
Как бы не пробовал пишет "Ошибка инициализации SSL".
Оставьте свое сообщение