0x80090304 Интеграция DMDK с КриптоПро и Stunnel

There are many posts online listing many different possible causes for these errors, so it’s not possible for this article to encompass all the solutions. These are just solutions to common causes for these errors. If the suggestions listed here don’t work for you, please email support at support@nsoftware.com

baltun


Ошибка 87 – говорит о том, что у нас на Windows 7 не выполняется команды

DISM /Online /Cleanup-image /ScanHealth
DISM /Online /Cleanup-image /RestoreHealth

Для этого требуется установить исправление KB2966583 в моем случае это помогло.

Вторая ошибка связана с работой RDP на Windows 7 при которой нельзя подключится к Windows 10.

Уровень безопасности сервера обнаружил ошибку (0x80090304) в потоке протокола

Для этого потребуется установить 2 исправления KB2592687 и KB2574819-v2-x86 мне опять же помогло, все обновления скачанные с Microsoft прилагаются во вложении. Возможно данный алгоритм можно применить и к Windows 7 x64

Последнее редактирование: 28 Июль 2021

Креатив

24.11.21 – 11:25

Есть крипто про 4. Необходимо установить stunnel. Интернет пишет, что он входит в комплект установки. Но там ничего подобного не видно.
Или он всё-таки устанавливается отдельно? Тогда, где его взять?

Garykom

1 – 24.11.21 – 11:28

Креатив

2 – 24.11.21 – 11:37

(1)Мне под винду.

Aleksey

3 – 24.11.21 – 11:40

(2) И?
На скриншоте как раз ссылки под винду и написано что в линуксе это встроено

Креатив

4 – 24.11.21 – 12:04

(3)Ну да. А оно с 4-й версие крипто про работать будет? И файлик подозрительно мелкий всего 89кб.

Garykom

5 – 24.11.21 – 12:05

(4) ты лучше скажи для чего собрался туннель делать

Креатив

6 – 24.11.21 – 12:06

(5)ГИИС ДМДК.

Garykom

7 – 24.11.21 – 12:28

Garykom

8 – 24.11.21 – 12:29


Для настройки клиентской станции необходимо:
1. Скачать приложение для создания TLS-туннеля stunnel.x86/x64 с
сайта https://www.cryptopro.ru/products/csp/downloads
2. Сохранить скаченное приложение в каталоге c:\stunnel
3. Запустить командную строку от имени администратора и
выполнить c:\stunnel\stunnel.x64 -install
4. В каталоге c:\windows\system32 создать файл конфигурации
stunnel.conf со следующим содержимым:
output=c:\stunnel\stunnel.log

Креатив

9 – 24.11.21 – 16:17

(7)(8)Не читал. Пока тестовый контур пробую запустить. Благодарю за помощь.

BobG

10 – 09.02.22 – 23:13

Здравствуйте. Всё сделал по инструкции. Выдаёт ошибку:

Не удалось запустить службу Stunnel Service на Локальный компьютер
Ошибка 1069: Служба не запущена из-за ошибки входа в систему.

arsik

11 – 09.02.22 – 23:34

(10) Служба от кого запускается?

BobG

12 – 09.02.22 – 23:39

От Администратора

BobG

13 – 09.02.22 – 23:52

Эта ошибка была без пароля. Поставил пароль, Ошибка 1067: Процесс был неожиданно завершён

Сергиус

14 – 10.02.22 – 00:03

(13)Попробуйте переустановить службу.

Builder

15 – 10.02.22 – 00:26

Уже выкладывал тут кусок из инструкции от ювелирсофта

https://prnt.sc/26ndwxa

Это обязательное условие!

У меня все заработало 🙂

Сергиус

16 – 10.02.22 – 01:35

(15)Есть нормальный хостинг картинок?)

Anchorite

17 – 10.02.22 – 06:25

(13) У вас журналирование настроено? В настройках stunnel.conf проверьте опцию “output” — это путь к лог-файлу. Посмотрите, что там в журнале, выложите сюда вывод.

abfm

18 – 10.02.22 – 07:08

Вопрос как решился с сертификатом? У нас 3 раз бубен и третий раз разный.

Кирпич

19 – 10.02.22 – 08:13

Если туннель запускаете под системной учетной записью, то сертификат должен быть установлен в “Сертификаты локальный компьютер”. Если под другой учетной записью, то в хранилище этой учетной записи. Пароль доступа к контейнеру должен быть сохранен. Сертификат с открытым ключем сохранить на диске и прописать к нему путь в конфиге stunnel. В инструкции всё написано.
Смысл этой байды в том, что stunnel должен иметь доступ к закрытому ключу, который у вас в хранилище. Чтобы иметь доступ к хранилищу пользователя, stunnel должен запускаться от этого пользователя. Пароль от контейнера он спрашивать не умеет, потому пароль должен быть вбит заранее и сохранен (галку там поставить).

abfm

20 – 10.02.22 – 08:58

(19)Да конечно всё по инструкции. Всё от одного пользователя. Сертификат сохранен без ключа. Прописан в конфиге. При старте ругается на сертификат. Где то только в консольной версии работает. Где то как служба. ДМДК пишут об обезличенном сертификате, народ утверждает что такие не выдают для ип (проверить не могу). Чем он лучше не говорят. ЮвелирСофт всё молиться на прямые руки сисадмина и просит 14000 за настройку stunnel.


Offline

wraithik

Оставлено
:

25 февраля 2022 г. 17:13:22(UTC)

Установлен stunnel
Содержимое конф-файла

Сертификат получен в налоговой, он обезличенный.
В логах stunnel

2022.02.25 17:00:31 LOG5[4288:5908]: try to read the client certificate
2022.02.25 17:00:31 LOG7[4288:5908]: open file c:\stunnel\cert.cer with certificate
2022.02.25 17:00:31 LOG3[4288:5908]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2022.02.25 17:00:31 LOG3[4288:5908]: Credentials complete
2022.02.25 17:00:31 LOG3[4288:5908]: Error creating credentials

Сертификат установлен в личное хранилище. КриптоПро 5.0.120.
Подскажите что с этим делать.


Online

Александр Лавник

Оставлено
:

25 февраля 2022 г. 17:17:09(UTC)

Автор: wraithik Перейти к цитате

Установлен stunnel
Содержимое конф-файла

Сертификат получен в налоговой, он обезличенный.
В логах stunnel

2022.02.25 17:00:31 LOG5[4288:5908]: try to read the client certificate
2022.02.25 17:00:31 LOG7[4288:5908]: open file c:\stunnel\cert.cer with certificate
2022.02.25 17:00:31 LOG3[4288:5908]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2022.02.25 17:00:31 LOG3[4288:5908]: Credentials complete
2022.02.25 17:00:31 LOG3[4288:5908]: Error creating credentials

Сертификат установлен в личное хранилище. КриптоПро 5.0.120.
Подскажите что с этим делать.

Здравствуйте.

Сертификат установлен в хранилище “Личное” компьютера (не текущего пользователя) с привязкой к ключевому контейнеру?

На ключе не установлен пин-код?


Offline

wraithik

Оставлено
:

25 февраля 2022 г. 17:21:17(UTC)

Нет. В носитель заходит без пин-кода через протестировать.

Как точно проверить что пароля нет или удалить?

Отредактировано пользователем 25 февраля 2022 г. 17:26:24(UTC)
| Причина: Не указана


Online

Александр Лавник

Оставлено
:

25 февраля 2022 г. 17:30:32(UTC)

Автор: wraithik Перейти к цитате

Нет. В носитель заходит без пин-кода через протестировать.

Как точно проверить что пароля нет или удалить?

Какой ключевой носитель?


Offline

wraithik

Оставлено
:

25 февраля 2022 г. 17:41:03(UTC)

Проверка завершена успешно ошибок не обнаружено
Контейнер закрытого ключа пользователя
Имя b051432a-d2df-4eed-8cd7-123feaa3a393
Уникальное имя SCARD\rutoken_lt_3f5461a4\0A00\AF21
FQCN \\.\Aktiv Rutoken lite 0\b051432a-d2df-4eed-8cd7-123feaa3a393
Проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена успешно
экспорт ключа запрещен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу
имя сертификата ООО “ГРИФОН”
субъект ИНН ЮЛ=6154096952, ОГРН=1056154061754, E=grifon_jurwelir@mail.ru, C=RU, S=61 Ростовская область, L=Таганрог, STREET=”ул. Поляковское шоссе, д. 17″, O=”ООО “”ГРИФОН”””, OU=615401001, CN=”ООО “”ГРИФОН”””
поставщик E=uc@nalog.ru, ОГРН=1047707030513, ИНН=007707329152, C=RU, S=77 Москва, L=г. Москва, STREET=”ул. Неглинная, д. 23″, OU=УЦ ЮЛ, O=Федеральная налоговая служба, CN=Федеральная налоговая служба
действителен с 25 февраля 2022 г. 12:32:50
действителен по 25 мая 2023 г. 12:42:50
ключ действителен с 25 февраля 2022 г. 12:32:50
ключ действителен по 25 мая 2023 г. 12:32:50
серийный номер 7714 A000 47AE 739B 4C8E 244E 3E2D 4903
сертификат в хранилище My
субъект ИНН ЮЛ=6154096952, ОГРН=1056154061754, E=grifon_jurwelir@mail.ru, C=RU, S=61 Ростовская область, L=Таганрог, STREET=”ул. Поляковское шоссе, д. 17″, O=”ООО “”ГРИФОН”””, OU=615401001, CN=”ООО “”ГРИФОН”””
cсылка на закрытый ключ SCARD\rutoken_lt_3f5461a4\0A00\AF21; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
AddressBook
субъект ИНН ЮЛ=6154096952, ОГРН=1056154061754, E=grifon_jurwelir@mail.ru, C=RU, S=61 Ростовская область, L=Таганрог, STREET=”ул. Поляковское шоссе, д. 17″, O=”ООО “”ГРИФОН”””, OU=615401001, CN=”ООО “”ГРИФОН”””
cсылка на закрытый ключ отсутствует
cрок действия закрытого ключа 25 мая 2023 г. 12:32:50
использование ключа обмена разрешено до окончания срока действия закрытого ключа.
Ключ подписи отсутствует
Симметричный ключ отсутствует
Загрузка ключей успешно
Версия контейнера 2
Значение ControlKeyTimeValidity 1
Режим работы CSP библиотека
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 25 мая 2023 г. 12:55:03


Online

Александр Лавник

Оставлено
:

25 февраля 2022 г. 17:47:07(UTC)

В Рутокен Lite по умолчанию пин-код “12345678”.

Попробуйте добавить строку:

в секцию [https] конфигурационного файла stunnel, после этого перезапустите службу stunnel и проверьте.


Offline

wraithik

Оставлено
:

25 февраля 2022 г. 19:04:44(UTC)

Добавил пин.

Теперь в логах:

2022.02.25 19:02:36 LOG5[5492:4976]: try to read the client certificate
2022.02.25 19:02:36 LOG7[5492:4976]: open file c:\stunnel\cert.cer with certificate
2022.02.25 19:02:36 LOG5[5492:4976]: pincode option is present. Call CryptSetProvParam
2022.02.25 19:02:36 LOG3[5492:4976]: CryptAcquireCertificatePrivateKey failed. Error = 0x8009001a
2022.02.25 19:02:36 LOG3[5492:4976]: Error creating credentials
2022.02.25 19:02:36 LOG5[5492:4976]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.02.25 19:02:36 LOG7[5492:4976]: free Buffers
2022.02.25 19:02:36 LOG5[5492:4976]: incomp_mess = 0, extra_data = 0
2022.02.25 19:02:36 LOG7[5492:4976]: https finished (0 left)


Offline

wraithik

Оставлено
:

28 февраля 2022 г. 11:14:32(UTC)

Добрый день.
Ваш специалист может подключится по удаленке и помочь решить вопрос?


Online

Александр Лавник

Оставлено
:

28 февраля 2022 г. 22:59:07(UTC)

Автор: wraithik Перейти к цитате

Добрый день.
Ваш специалист может подключится по удаленке и помочь решить вопрос?

Здравствуйте.

Если вопрос еще актуален, то напишите в ЛС – согласуем время подключения.


Offline

Дмитрий Масленников

Оставлено
:

17 марта 2022 г. 12:17:53(UTC)

Добрый день. аналогичную ошибку выводит. вам удалось решить вопрос??


Online

Александр Лавник

Оставлено
:

17 марта 2022 г. 13:49:54(UTC)

Автор: Дмитрий Масленников Перейти к цитате

Добрый день. аналогичную ошибку выводит. вам удалось решить вопрос??

Здравствуйте.

По данному вопросу с вами общается по e-mail наш специалист (обращение № 47954).


Offline

Aleksander_P

Оставлено
:

19 мая 2022 г. 12:35:00(UTC)

Добрый день!
Аналогичная проблема возникла, при это 1,5-2 месяца работало, теперь выходит
2022.05.19 12:16:58 LOG5[4664:12776]: try to read the client certificate
2022.05.19 12:16:58 LOG7[4664:12776]: open file C:\stunnel\clicer.cer with certificate
2022.05.19 12:16:58 LOG3[4664:12776]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2022.05.19 12:16:58 LOG3[4664:12776]: Credentials complete
2022.05.19 12:16:58 LOG3[4664:12776]: Error creating credentials
как решили данную проблему?


Offline

eugenimur

Оставлено
:

22 августа 2022 г. 16:17:00(UTC)

Добрый день! Все работало, поменяли сертификат в налоговой. выводило такую же ошибку. Прописал пин в конфигурационный файл. Теперь выдает 2022.08.22 16:03:50 LOG7[76200:71916]: open file C:\stunnel\clicer.cer with certificate
2022.08.22 16:03:50 LOG5[76200:71916]: pincode option is present. Call CryptSetProvParam
2022.08.22 16:03:50 LOG3[76200:71916]: CryptAcquireCertificatePrivateKey failed. Error = 0x80090016
2022.08.22 16:03:50 LOG3[76200:71916]: Error creating credentials
2022.08.22 16:03:50 LOG5[76200:71916]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.08.22 16:03:50 LOG7[76200:71916]: free Buffers
2022.08.22 16:03:50 LOG5[76200:71916]: incomp_mess = 0, extra_data = 0
2022.08.22 16:03:50 LOG7[76200:71916]: https finished (0 left)


Offline

Андрей *

Оставлено
:

22 августа 2022 г. 16:29:08(UTC)

0x80090016 Набор ключей не существует

Где контейнер,
результаты тестирования через панель управления…?


Offline

eugenimur

Оставлено
:

22 августа 2022 г. 18:55:28(UTC)

Контейнер на рутокене
Проверка завершена успешно ошибок не обнаружено
Контейнер закрытого ключа пользователя
имя 39c2cdf1-1d5e-4259-bff9-135a83e95ade
уникальное имя SCARD\rutoken_lt_3f1b7625\0B00\F3FE
FQCN \\.\Aktiv Rutoken lite 0\39c2cdf1-1d5e-4259-bff9-135a83e95ade
проверка целостности контейнера успешно
Ключ обмена доступен
длина ключа 512 бит
экспорт открытого ключа успешно
вычисление открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена успешно
экспорт ключа запрещен
алгоритм ГОСТ Р 34.10-2012 DH 256 бит
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-2012 256 бит
ГОСТ 28147-89, параметры шифрования ТК26 Z
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище My
ИНН ЮЛ=3306004329, СНИЛС=01933032319, ОГРН=1023300712621, ИНН=330600658180, C=RU, S=33 Владимирская область, L=КОЛЬЧУГИНО Г, STREET=”ЛЕНИНА ПЛ, 6″, O=”ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ “”ШАНС”””, CN=”ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ “”ШАНС”””, T=ГЕНЕРАЛЬНЫЙ ДИРЕКТОР, G=ТАМАРА АРКАДЬЕВНА, SN=МОЧАЛОВА
SCARD\rutoken_lt_3f1b7625\0B00\F3FE; Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider#80; dwFlags: 0x00000000; dwKeySpec: AT_KEYEXCHANGE#1
имя сертификата ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ “ШАНС”
субъект ИНН ЮЛ=3306004329, СНИЛС=01933032319, ОГРН=1023300712621, ИНН=330600658180, C=RU, S=33 Владимирская область, L=КОЛЬЧУГИНО Г, STREET=”ЛЕНИНА ПЛ, 6″, O=”ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ “”ШАНС”””, CN=”ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ “”ШАНС”””, T=ГЕНЕРАЛЬНЫЙ ДИРЕКТОР, G=ТАМАРА АРКАДЬЕВНА, SN=МОЧАЛОВА
поставщик ИНН ЮЛ=7707329152, E=uc@tax.gov.ru, ОГРН=1047707030513, C=RU, S=77 Москва, L=г. Москва, STREET=”ул. Неглинная, д. 23″, O=Федеральная налоговая служба, CN=Федеральная налоговая служба
действителен с 15 августа 2022 г. 11:33:12
действителен по 15 ноября 2023 г. 11:43:12
ключ действителен с 15 августа 2022 г. 11:33:12
ключ действителен по 15 ноября 2023 г. 11:33:12
серийный номер 01E7 B38F 00F2 AE17 8448 5840 AA40 CF38 99
лицензия 449 дней
Срок действия закрытого ключа 15 ноября 2023 г. 11:33:12
Использование ключа обмена разрешено до окончания срока действия закрытого ключа.
Ключ подписи отсутствует
загрузка ключей успешно
Версия контейнера 2
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 15 ноября 2023 г. 11:44:08

Errors

  • 80090302
  • 8009030D
  • 8009030E
  • 80090304
  • 80090308
  • 80090325
  • 80090326
  • 80090327
  • 80090331
  • 8009035D
  • 8009030F and 80090321

This error can occur when the component is using an older version of TLS, but the server requires a newer version. For instance if the component is using TLS 1.0, but the server requires TLS 1.2, you can see this error. Older versions of the components may not have the newer protocols enabled by default. In the current versions TLS 1.2 is enabled by default.

    Possible Solutions

  • Enable Supported Protocol Versions

    This can be done on any of the components that support SSL by using the SSLEnabledProtocols configuration setting. As an example setting the Icharge component to use TLS 1.2 would look like this

    Please note the documentation linked above is specifically for the current .NET Editions. For other editions or older versions please reference the help file included with the product.

This error is often seen when using PEM keys, and translates to “The credentials supplied to the package were not recognized”.

    Possible Solutions

  • Translate the PEM file into a PFX file.

    Using OpenSSL, the certificate can be converted with the command:

    openssl pkcs12 -export -passout pass:”” -in cert_key_pem.txt -out cert_key_out.pfx -name “My Certificate”

    Then change the SSLCertStoreType to PFXFile in your code, before setting the SSLCertSubject.

  • Ensure the Network Service account has access to “C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA.”
  • If using a certificate from a Windows certificate store verify the certificate was imported wit the “Mark this key as exportable” option checked.
  • If you are running the components from IIS, ensure that the Application Pool has Load User Profile set to true.

This error translates to “No credentials are available in the security package”.

    Possible Solutions

  • When using a certificate for client authentication, ensure the certificate’s private keys are accessible.
    The certificate in the Windows certificate store must contain the corresponding private keys, and be marked as exportable.
  • Ensure that the current user and administrators have full access to “C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys”.
  • Import the certificates directly into both LOCAL_MACHINE\Personal and ADAM\Personal if ADAM is installed.

This error translates to “The Local Security Authority cannot be contacted “.

  • This error may to be related to Windows rejecting weak security. Microsoft KB 3061518 explains the issue. To summarize the article, simply set the ClientMinKeyBitLength DWORD value at the following location to 00000200.

    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman

    After a restart, if this corrects the issue, then it is an indication that the server’s certificate uses a DHE Key length that is too small and should be updated.

  • Additional reasons and solutions for this problem are detailed in Microsoft KB 813550

This error translates to “The token supplied to the function is invalid “.

    Possible Causes

  • The server is using a certificate with an outdated signature algorithm. See this MSDN Article
  • The server doesn’t expect SSL over this port.
    Set the SSLStartMode property to sslExplicit.
  • FileZilla and other FTP servers require a PROT P command to be sent for the data connection when using implicit SSL.
    Set the UseProtWhenImplicit configuration setting to True.
  • The server returns a large number of CA’s in the handshake.

Also see this Knowledge Base article about this error: SSL: Error During Handshake: 80090308

This error translatest to “The certificate chain was issued by an authority that is not trusted.”

The SSL client certificate specified in the request was not accepted by the server. During the SSL handshake the issuer certificates of the SSL client certificate are not included. In Linux the OpenSSLCADir configuration setting must be set to the directory where the hash files exist so the chain is included. In Windows the issuer certs must be in the Personal store. In Java, the issuer certificates are read from the PEM file.

This error translates to “The message received was unexpected or badly formatted.”

    Possible Solutions

  • This error may also happen if the server and client don’t posses a common supported cipher suite. This can be the case if you’re connecting from Windows XP to a site that has recent/strict security requirements. Here is a list of ciphers supported in XP. Setting UseInternalSecurityAPI to true may help with this error as it supports many newer protocols not supported on older systems.
  • Client authentication is required. Ensure that you are loading the certificate correctly.
  • The server does not support the SSL Client Hello version being used. Set the SSLEnabledProtocols configuration setting to an appropriate value.
  • The server does not support SSL session re-use. You can disable this by setting the ReuseSSLSession and/or ReuseSSLSessionInDI configuration setting to false.
  • The server returns SSL handshake packets larger than 16K. This is a CryptoAPI limitation.

In ThreeDSecure, this error is typically related to a problem with client authentication.

This error translates to “An unknown error occurred while processing the certificate.”

This usually means that the server requires SSL client authentication and a new certificate is specified. Check the SSLStatus Event for details.

This error translates to “The client and server cannot communicate, because they do not possess a common algorithm”.

Most commonly, especially with Windows XP/Windows Server 2003, the client is probably old and doesn’t support the newer ciphers required by the server. Here is a list of ciphers supported in XP.

This error translates to “One or more of the parameters passed to the function was invalid.”

    Possible Solutions

  • Similar to 80090304, this error may to be related to Windows rejecting weak security. Microsoft KB 3061518 explains the issue. To summarize the article, simply set the ClientMinKeyBitLength DWORD value at the following location to 00000200.

    After a restart, if this corrects the issue, then it is an indication that the server’s certificate uses a DHE Key length that is too small and should be updated.

  • The below Windows updates have been known to cause the issue:

    • KB3172605
    • KB3175024
    • KB3177186
    • KB3184122
    • KB3185911
  • Additional reasons and solutions for this problem are detailed in Microsoft KB 813550

These errors are known to occur on Windows 8.1 and Windows Server 2012 R2 when using TLS 1.2 and one of the following cipher suites:

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

The aforementioned versions of Windows have a bug in their internal security implementations which, under very specific circumstances, can produce either the 0x80090321 (SEC_E_BUFFER_TOO_SMALL) error or the 0x8009030F (SEC_E_MESSAGE_ALTERED) error.

Due to the nature of the issue, we cannot provide a direct fix. However, you can work around these errors by doing one of the following things:

  • Use our internal security API by passing the string “UseInternalSecurityAPI=True” to the Config() method. Our internal security API does not rely on the Windows security APIs, so it is not affected by the bug.
  • Disable the two cipher suites mentioned above
  • Disable support for TLS 1.2
  • Upgrade your machine to a newer version of Windows

We appreciate your feedback. If you have any questions, comments, or
suggestions about this entry please contact our support team at
kb@nsoftware.com
.

Читайте также:  Redirect local USB device to remote Windows 10 host (#2049) · Issues · Remmina / Remmina · GitLab
Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector