Sync1C - статьи

8.2 HTTPS - добавление сертификатов в cacert.pem

В 1С 8.2, при попытке установить HTTPS соединение с сайтом, можно получить такую ошибку: "Peer certificate cannot be authenticated with known CA certificates". В то же время, при соединении с тем же адресом в 1С 8.3, всё работает. В чём дело, и как это исправить?

Дело в том, что 8.3 пользуется системным хранилищем сертификатов. А в 8.2 в качестве такого хранилища выступает файл cacert.pem, расположенный в каталоге 1С (например: C:\Program Files\1cv82t\8.2.17.169\bin\cacert.pem). И там есть не все современные корневые сертификаты. Надо добавить недостающее, и всё должно заработать.

План такой:

  1. Получить сертификаты с сайта
  2. Преобразовать сертификаты в текстовый вид
  3. Добавить тексты сертификатов в cacert.pem

Поскольку я не знаю, каким веб-браузером вы пользуетесь, то рассмотрю разные варианты. Из-за этого первый пункт плана получился самым обширным. Полное содержание этой статьи выглядит так:

1. Получить сертификаты с сайта
1.1 Открыть адрес в браузере
1.2 Открыть окно просмотра сертификата
1.2.1 Internet Explorer 11
1.2.2 Google Chrome 68
1.2.3 Opera 54
1.2.4 Firefox 61
1.3 сохранить нужные сертификаты в файл
1.3.1 выбор нужных сертификатов
1.3.2 Экспорт сертификата в стандартном просмотрщике
1.3.3 экспорт сертификата в Firefox
2. Подготовка текста сертификата
3. Добавление сертификата в cacert.pem

1. Получить сертификаты с сайта

Чтобы получить сертификаты, можно открыть нужный адрес в браузере, затем попросить браузер показать дополнительную информацию или свойства, среди них выбрать просмотр сертификата, и сохранить нужные сертификаты в файле.

1.1 Открыть адрес в браузере

Первый пункт (открыть нужный адрес) затруднений не вызывает: надо просто ввести нужный адрес (не забывая префикс https:// в начале) в адресную строку. Для примера я возьму свой сайт для демо-магазина https://demo.sync1c.ru:

Адресная строка браузера

Кстати, на момент написания статьи, я так и не привёл этот сайт в порядок в плане HTTPS... поэтому браузеры ругаются, что на странице присутствует небезопасное содержимое. Если посмотреть исходный код страницы, то видно, что адреса всех картинок, скриптов, и т.д. начинаются на "http://". Надо поменять на "https://" или "//", но пока руки не доходят. Впрочем, это сделает наш пример даже интереснее. Поскольку я точно знаю, что сайт безопасен, знаю, чем вызваны предупреждения, и не собираюсь вводить сюда данные кредитки, то могу не обращать внимание на опасения браузера.

1.2 Открыть окно просмотра сертификата

Итак, надо добраться до сертификата сайта. В разных браузерах это выглядит по-разному:

1.2.1 Internet Explorer 11

В главном меню выбрать Файл / Свойства. Либо нажать правой кнопкой на пустом месте страницы (где нет ничего: ни картинок, ни надписей, ни кнопок, и т.д.) и выбрать "Свойства" - обычно это самый нижний пункт меню. Откроется окно свойств страницы:

Свойства страницы в Internet Explorer 11

Нажмём кнопку "Сертификаты" - откроется окно "Сертификат":

Окно "Сертификат" в Internet Explorer 11

1.2.2 Google Chrome 68

Google Chrome 68, адресная строка

Слева от адреса кликнуть иконку "сведения о сайте". Она может выглядеть как буква "i" в кружочке, или надпись "Защищено", и т.д. Появится окошко сведений:

Google Chrome 68, окошко сведений

Нажмём "Сертификат" - откроется окно "Сертификат", практически такое же, как в IE:

Google Chrome 68, окно "Сертификат"

1.2.3 Opera 54

Opera 54, адресная строка

Слева от адреса кликнуть иконку "сведения о сайте". Она может выглядеть как замочек, или земной шар, и т.д. Появится окошко сведений:

Opera 54, окошко сведений

Нажмем "Подробнее" - появятся подробности:

Opera 54, окошко подробностей

Кликнем на сертификат - откроется стандартное окно "Сертификат", как в Google Chrome:

Opera 54, окно "Сертификат"

1.2.4 Firefox 61

Firefox 61, адресная строка

Слева от адреса кликнуть иконку "Show site information". Появится окошко сведений:

Firefox 61, окошко сведений

Нажать уголок "Show connection details". Появится окошко "Site security":

Firefox 61, окошко "Site security"

Нажать "More Information". Появится "Page Info":

Firefox 61, "Page Info"

Нажать "View Certificate". И вот тут, наконец-то, появится "Certificate Viewer":

Firefox 61, "Certificate Viewer"

В отличие от остальных браузеров, Firefox использует свой собственный просмотрщик сертификатов.

1.3 сохранить нужные сертификаты в файл

1.3.1 выбор нужных сертификатов

Цепочка сертификатов для demo.sync1c.ru выглядит так:

Цепочка сертификатов сайта demo.sync1c.ru

Здесь мы видим, что сертификат для сайта "demo.sync1c.ru" выпущен издателем "cPanel, Inc. Certification Authority". В свою очередь, его сертификат выпущен издателем "COMODO SECURE (tm)". Т.е., грубо говоря, COMODO ручается за cPanel, а cPanel ручается за demo.sync1c.ru. У всех браузеров есть списки сертификатов, которым можно доверять, и этот сертификат COMODO туда входит. Поэтому браузеры доверяют COMODO, с его подачи они доверяют cPanel, и, уже с её подачи - сайту demo.sync1c.ru. Примерно так это работает, если грубо и упрощённо.

Чтобы 1С 8.2 стала работать с нашим сайтом по HTTPS, надо добавить соответствующие сертификаты в её список доверенных. Можно пойти двумя путями:

  • добавить сертификаты COMODO и cPanel.
  • добавить сразу сертификат demo.sync1c.ru

Я в своё время пошёл первым путём, т.е. добавил сертификаты COMODO и cPanel, после этого доступ к demo.sync1c.ru заработал. Затем ещё добавил сертификат для localhost, т.е. это я уже сделал вторым путём. Тоже работает. Сейчас я хотел поэкспериментировать, удаляя/добавляя сертификаты, и обнаружил, что старая версия cacert.pem почему-то стала позволять работать с demo.sync1c.ru. Вероятно, что-то как-то изменилось в родительских сертификатах цепочки. Мир сертификатов, он не является статичным: выпускаются новые, старые отзываются, либо прекращается срок действия, и т.д. Соответственно, не факт, что тот или иной рецепт однозначно сработает - возможно, вам придётся попробовать несколько вариантов.

1.3.2 Экспорт сертификата в стандартном просмотрщике

Напомню: IE, Chrome и Opera используют одинаковые окна для просмотра сертификата (видимо, это стандартное системное окно), а Firefox пользуется своим.

1. На вкладке "Путь сертификации" выбираем нужный сертификат, нажимаем "Просмотр сертификата". Это, если нужен какой-то из родительских сертификатов. Если сам конечный сертификат - этот шаг пропускаем, мы и так уже его просматриваем.

  1. Переходим на вкладку "Состав", и видим кнопку "Копировать в файл":
Окно "Сертификат", вкладка "Состав"

В браузере Internet Explorer эта кнопка почему-то всегда неактивная, но в Chrome и Opera она работает. Для тех же самых сертификатов. Поэтому, если у вас Internet Explorer, и тоже кнопка неактивная - закройте браузер, и скачайте другой.

После нажатия "Копировать в файл" появляется окно "Мастер экспорта сертификатов":

Окно "Мастер экспорта сертификатов"

Нажмём "Далее", попадаем на выбор формата:

Мастер экспорта сертификатов, выбор формата

Оставляем первый пункт (Файлы X.509 (.CER) в кодировке DER).

Далее выбираем папку и имя файла:

Мастер экспорта сертификатов, выбор имени файла

Ещё одно окно с подтверждением:

Мастер экспорта сертификатов, окно подтверждения

Готово:

Мастер экспорта сертификатов, сообщение "Экспорт успешно выполнен"

1.3.3 экспорт сертификата в Firefox:

На вкладке Details выбираем нужный сертификат, нажимаем "Export...":

Certificate Viewer, вкладка Details

Для типа файла выбираем "X.509 Certificate (DER) (*.der)":

Выбор имени и типа файла

И нажимаем "Сохранить". Готово!

2. Подготовка текста сертификата

Теперь надо подготовить текст сертификата для вставки в файл cacert.pem. Он выглядит примерно так: 

Название
========

MD5 Fingerprint=....
Certificate:
   ...
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Название сертификата надо написать вручную, остальное можно получить с помощью консольного приложения openssl.

Проект OpenSSL - это бесплатный набор инструментов с открытым исходным кодом, он широко используется в криптографических задачах подобного рода. Но на официальном сайте можно скачать только исходные тексты. Однако официальная Wiki предлагает несколько ссылок на хранилища OpenSSL в откомпилированном (готовом к использованию) виде: https://wiki.openssl.org/index.php/Binaries

Например, первая ссылка ведёт на этот сайт: http://slproweb.com/products/Win32OpenSSL.html

Здесь предлагается скачать OpenSSL в виде программы-инсталлятора для Windows. Если вы владеете английским, то чтение раздела "System Requirements" наверняка вас развлечёт :) Не знаю, зачем нужен инсталлятор для консольной программы... хотя, возможно, он прописывает путь в системную переменную PATH - это как бы удобно. В общем, надеюсь, вы сумеете найти и скачать OpenSSL из надёжного источника, либо собрать её самостоятельно.

Чтобы получить текст сертификата для cacert.pem, выполните такую команду: 

openssl.exe x509 -inform der -in <файл-сертификата> -fingerprint -md5 -text > text.txt

Вместо <файл-сертификата> подставьте имя файла, куда вы скачали/экспортировали сертификат. Обратите внимание, что выход (результат работы) программы перенаправляется в файл text.txt - после выполнения этой команды там будет готовая часть текста для cacert.pem (без названия). Если вы обрабатываете несколько сертификатов, то не забывайте менять имя выходного файла.

Надеюсь, вы сумеете справиться с запуском консольной программы и получением результатов. Иначе надо писать про это отдельную статью. Попробуйте погуглить "работа в командной строке Windows", например.

3. Добавление сертификата в cacert.pem

Добавьте название и текст сертификата, полученный на шаге 2, в конец cacert.pem с помощью любого хорошего текстового редактора (блокнот Windows не рекомендуется). Поскольку cacert.pem находится внутри каталога "Program Files", надо запускать редактор от имени администратора. Либо перенести cacert.pem в другое место, исправить, а потом перенести обратно - проводник Windows будет запрашивать разрешение администратора.

Если у вас нет хорошего текстового редактора - скачайте Notepad++.

 

Следующая статья: Подключение существующего интернет-магазина OpenCart к 1С
Предыдущая статья:
Sync1C - статьи