Ошибка Open ID #727347

Доброго всем дня. Версия платформы 8.3.4.465 Настроил аутентификацию Open ID по ИТС-ке. Пользователю в БД-провайдере установил галочку авторизации Open ID. В базе, которая обращается к провайдеру указал протокол HTTPS <rely url="; Если в браузере открыть данную ссылку, то без ошибки сертификата скачивается файл "oid2op", в котором описание. Если идти к БД через браузер (эксплорер, хром и пр.) - появляется стандартное окно со списком пользователей 1С. Если подключаться к веб-сервису тонким клиентом, то появляется окно с запросом провайдера, URL правильный, но после ввода учетных данных - ошибка "Ошибка HTTP при обращении к серверу: ... Удаленный узел не прошел проверку". Подскажите, в чем может быть причина? Сертификат? Но он вроде как получен из надежного источника в домене.

На всякий случай апну. Вдруг кто заглянет.

Чето не верится, что никто не ковырял Open ID

Это не опенид, это хттпс. Браузер доверяет сертификату, потому что он или он сам или его корневой в списке доверенных. Тонкий клиент же ничего про хранилища сертификатов ОС не знает - добавь свой сертификат в C:Program Files (x86)1cv8...incacert.pem

хорошо, допустим с тонким клиентом решим таким образом. Остается вопрос, почему в браузере не работает?

Потому что авторизацию непосредственно в базе проверяет не браузер, а wsisapi.dll или подобное. Далее см. пункт 1

у меня получен самоподписанный сертификат, как его можно выгрузить в формат файла cacert.pem?

Зависит от того, в каком он у тебя сейчас виде =) 1) openssl x509 -inform der -in certificate.cer -out certificate.pem 2) Использовать 3) Попробовать экспортировать напрямую из браузера, там должно быть что-то вроде "Сертификат X.509 в формате PEM".

4) Аналогично п3 - засосать сертификат в хранилище ОС, и экспортировать обратно в PEM

он у меня просто есть в списке сертификатов IIS, попробовал экспортнуть из браузера и из хранилища ОС в формате DER (открыв сам сертификат, закладка "Состав" - кнопка "копировать в файл"), получил файлик .CER. Попробовал п.2 получил файлик вида -----BEGIN CERTIFICATE----- По сути он аналогичен, если я делаю экспорт в формате Base64. Добавил в самый конец файла cacert.pem, на компе, откуда запускается тонкий клиент и на сервере, где запускается "wsisapi.dll или подобное". Ситуация ни в браузере, ни в тонкой клиенте не поменялась.

+ если делать экспорт в формате Base64, то получаю сертификат с разделителями, если делать п.1 или п.2 получаю без них. Это имеет значение?

А для самоподписанного сертификата что является корневым?

С одним разобрался - для "доменного" сертификата нужно добавить корневой, т.е. сертификат компа с ЦС в файлик cacert.pem. Ничего конвертировать не надо, выгружаем в формате Base64 и все работает. Остается вопрос с самоподписанным сертификатом. Чьи добавлять в cacert.pem???

Как удалось выяснить, IIS у меня как то кривовато делает самоутвержденный сертификат. Решил проблему запросом доменного. Почему получается кривой самоподписанный для меня осталось загадкой. Остальное все верно (кроме необходимости конвертации, достаточно экспорт в Base64 корневого), спасибо огромное "Записьдампа"!!!!