Приложение не может быть выполнено, обнаружены несоответствия в цифровой подписи
Обновлено: 21.11.2024
Это продолжение моего предыдущего блога о цифровой подписи SAP SRM для RFx и ответе RFx. Я подумал о написании некоторых часто встречающихся проблем с цифровой подписью SRM и исправлении каждой проблемы.
1. «Нет доступных пользовательских сертификатов» во время цифровой подписи
Исправлено: эта проблема возникнет, если вы не используете браузер IE от имени администратора. Вы всегда можете установить это в IE (щелчок правой кнопкой мыши->свойства->дополнительно->Запуск от имени администратора
(Примечание: элемент управления SAP DSC Active X (sapsign.cab) разработан на VC++ (платформа Microsoft), он будет работать только в браузере IE — читайте мой предыдущий блог о DSC)
2. «Ошибка подписи»
Исправлено: эта проблема возникает, когда вы запускаете элемент управления Active X (sapsign) в первый раз или ваш компонент Active X не может получить доступ к закрытому ключу из токена. Это обычно происходит в ОС Windows 7+ вместе с некоторыми драйверами токенов. В таком случае смените машину или обратитесь к поставщику токенов за подходящим драйвером.
3. «Не удалось проверить цифровую подпись»
Исправлено: если вы получаете эту ошибку, вы не загрузили корневой сертификат, используемый для цифровой подписи в транзакции STRUST. Если вы экспортируете открытый ключ сертификата, а затем загружаете его в STRUST, процесс проверки завершится успешно, но это не рекомендуется, поскольку вам нужно поддерживать большое количество сертификатов в STRUST, а это усечение не предназначено для поддержки большого количества сертификатов.< /p>
4. Объект не найден», или «Выполнено с ошибками», или «Отсутствует всплывающее окно Active X для установки при первой попытке установить ActiveX (sapsign.cab)»
Исправлено: это означает, что на вашем компьютере не установлена библиотека Microsoft Runtime Redistribution Library. Перейдите по ссылке и установите ее на основе 32- или 64-разрядной ОС
5. Ошибка дампа во время подписания, если процесс подписания превышает 1 минуту
Исправлено: к сожалению, цифровая подпись SAP SRM должна быть завершена в течение 1 минуты. Это жестко закодировано в программе (sapsign) как 60 секунд. Поэтому, если это большие документы, это может привести к ошибке дампа несколько раз. Таким образом, ваш токен-пароль будет готов, прежде чем вы начнете прикреплять документы (не запускайте пароль или не используйте параметр печати в управлении DSC во время подписания). Если это приведет к дампу, блокировка появится в SM12, и вы придется удалить это вручную. или вы должны предоставить программу webdynpro, чтобы разблокировать пользователей портала.
В операционных системах Windows 8 (и 8.1), 7 и Vista нельзя загрузить драйвер или запустить программу, не имеющую подписи драйвера. Подписание драйверов — это метод проверки личности издателя программного обеспечения или поставщика оборудования (драйверов), чтобы защитить вашу систему от заражения вредоносными руткитами, которые могут работать на самом низком уровне операционной системы. Это означает, что все драйверы и программы должны иметь цифровую подпись (проверено), чтобы их можно было установить и запустить в последних версиях операционных систем Windows.
Цифровые подписи гарантируют, что Microsoft доверяет издателю программного обеспечения или поставщику оборудования и проверяет их. Но в реальной жизни издатели и поставщики не всегда могут платить Microsoft за проверку всех своих продуктов, или Microsoft не может проверять все драйверы или программы, которые публикуются каждый день. Но это становится проблемой, если у вас есть старое неподписанное законное программное обеспечение или драйвер, и вы хотите установить или загрузить его на свой компьютер, потому что ОС не позволяет ему работать или загружаться.
Проблемы-симптомы, которые решаются с помощью этого руководства:
– Windows не может проверить цифровую подпись для этого файла. (0xc0000428)
– для Windows требуется драйвер с цифровой подписью ИЛИ требуется драйвер с цифровой подписью.
– Цифровая подпись не найдена.
– Не удается загрузить или установить неподписанный драйвер.
– Невозможно запустить (выполнить) неподписанное программное обеспечение (программу).
– Windows не нашла подпись Microsoft, связанную с программным пакетом, который вы хотите установить.
Чтобы устранить ошибки установки драйвера с цифровой подписью, выполните следующие действия:
Как отключить обязательное использование подписи драйверов в Windows 8.1, Windows 8, Windows 7, Windows Server 2008 или Windows Vista.
Внимание: имейте в виду, что отключение проверки подписи драйверов представляет собой угрозу безопасности, и вы должны отключать его только в том случае, если вы уверены, что драйвер или программа, которую вы хотите установить и запустить, являются надежными и законными.
Решение 1. Один раз отключите подпись драйвера*.
*Примечание. Используйте это решение, чтобы отключить обязательное использование подписи драйвера только один раз, чтобы установить неподписанный драйвер (например, старый драйвер принтера).
Шаг 1.Войдите в меню дополнительных параметров.
Windows 7 и Vista
Для входа в меню дополнительных параметров в ОС Windows 7 и Vista:
- Закройте все программы и перезагрузите компьютер.
- Нажимайте клавишу "F8" во время загрузки компьютера до появления логотипа Windows.
- Когда на экране появится «Меню дополнительных параметров Windows», с помощью клавиш со стрелками на клавиатуре выделите параметр «Отключить обязательную проверку подписи драйверов», а затем нажмите «ВВОД».
Windows 10, 8 и 8.1
Для входа в меню дополнительных параметров в ОС Windows 10, 8.1 и 8:
<р>1. Щелкните правой кнопкой мыши кнопку "Пуск" в Windows и выберите Завершение работы или выход из системы. <р>2. Нажмите и УДЕРЖИВАЙТЕ клавишу SHIFT, а затем нажмите «Перезагрузить».<р>3. Когда Windows перезагрузится, нажмите «Устранение неполадок».
<р>4. На экране "Параметры устранения неполадок" выберите "Дополнительные параметры".
<р>5. В окне «Дополнительные параметры» выберите «Параметры запуска».
<р>6. На экране «Параметры запуска» нажмите «Перезагрузить».
<р>7. После перезагрузки выберите опцию «Отключить обязательное использование подписи драйверов» и нажмите Enter. *
* Примечание. Если вы видите показанный ниже экран (Параметры запуска), нажмите клавишу «F7» (или «7») на клавиатуре, чтобы выбрать параметр «Отключить обязательное использование подписи драйверов».
<р>8. Затем перейдите к установке неподписанного драйвера. Во время процедуры установки Windows сообщит вам, что не может проверить издателя этого программного обеспечения драйвера. На этом этапе проигнорируйте предупреждающее сообщение и выберите «Все равно установить этот драйвер», чтобы завершить установку.
В обычном режиме установка теперь должна выполняться без ошибок. Имейте в виду, что после перезагрузки обязательное использование подписи драйверов снова будет включено, чтобы избежать угроз безопасности. Если вы хотите, чтобы проверка подписи драйверов всегда была отключена, необходимо применить решение 2.
Решение 2. Полностью отключите подпись драйвера*.
*Примечание. Используйте это решение, только если вы хотите, чтобы проверка подписи драйверов всегда была отключена. (например, если вы всегда хотите запускать старое законное программное обеспечение).
В этом решении мы собираемся изменить параметры загрузчика Windows с помощью инструмента BCDEDIT.
Шаг 1. Отключите безопасную загрузку в BIOS.
<р>1. Включите компьютер и запустите настройки BIOS SETUP. <р>2. В BIOS отключите опцию Secure Boot. (настройка обычно находится в разделе «Безопасность» или в разделе «Параметры загрузки»)Шаг 2. Измените загрузчик Windows.
– Чтобы изменить загрузчик, откройте «Командную строку» в административном режиме:
<р>1. Щелкните правой кнопкой мыши кнопку «Пуск» Windows и выберите «Командная строка (администратор)». <р>2. Выберите «Да» в предупреждающем сообщении «Контроль учетных записей пользователей»:<р>3. В окне командной строки введите следующую команду и нажмите «Ввод»:
Вы должны получить сообщение "Операция успешно завершена".
<р>4. Закройте окно командной строки и перезагрузите компьютер.
Теперь вы сможете без проблем устанавливать или запускать любой неподписанный драйвер или программу.
Как включить проверку подписи драйверов.
<р>1. Если вы хотите включить обязательное использование подписи драйверов в будущем и избежать угроз безопасности, снова откройте «Командную строку» с повышенными правами. <р>2. Введите следующую команду и нажмите «Enter»
Вы должны получить сообщение "Операция успешно завершена".
<р>3. Закройте окно командной строки и перезагрузите компьютер.
<р>4. Установите неподписанный драйвер. ** Примечание. Если вы по-прежнему не можете установить неподписанные драйверы, выполните следующие действия:
- bcdedit /set nointegritychecks ON
Чтобы снова включить подписывание драйверов устройств, снова введите: bcdedit /set nointegritychecks OFF
Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .
Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.
Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .
Новейшее аппаратное обеспечение Cisco и привязка Intersight к общедоступному облаку Kubernetes расширяют возможности гибридных облачных продуктов для клиентов. Но .
Чтобы преодолеть разрыв между командами NetOps и SecOps, сетевые специалисты должны знать основы безопасности, включая различные типы .
Какова реальность новых сетевых технологий? Здесь эксперты определяют риски — реальные или предполагаемые — и преимущества, которые они несут .
Подробнее об основных функциях, отличительных чертах, сильных и слабых сторонах платформ блокчейна, которые получают максимальную отдачу .
Эксперты высоко оценивают недавно предложенное Комиссией по ценным бумагам и биржам США правило раскрытия информации о климатических рисках, которое требует от компаний выявлять климатические риски .
Недавнее мероприятие Accenture Technology Vision подчеркнуло трансформационные возможности виртуальных миров, а также указало на .
ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .
Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .
Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.
Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .
Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.
Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.
ЕС и США согласовали структуру конфиденциальности данных, разрешающую трансатлантическую передачу данных после того, как США предлагают уступки в отношении слежки и новых данных.
Европейская комиссия предложила новые правила кибербезопасности и информационной безопасности для создания минимального набора стандартов.
Семь человек арестованы лондонской полицией в связи с кибератаками, совершенными группой Lapsus$, которая несет ответственность за ряд .
Эта статья не относится к настройкам системы единого входа с использованием федерации Google или Microsoft Azure Sync.
Ознакомьтесь со следующими статьями, если ваша организация настроила систему единого входа через любого из этих поставщиков удостоверений:
После успешной настройки системы единого входа в Adobe Admin Console убедитесь, что вы нажали Загрузить файл метаданных Adobe и сохранили файл метаданных SAML XML на свой компьютер. Вашему поставщику удостоверений требуется этот файл для включения единого входа. Правильно импортируйте данные конфигурации XML в поставщика удостоверений (IdP). Это необходимо для интеграции SAML с вашим поставщиком удостоверений и обеспечит правильную настройку данных.
Если у вас есть вопросы о том, как использовать XML-файл метаданных SAML для настройки вашего поставщика удостоверений, обратитесь к своему поставщику удостоверений за инструкциями, которые различаются в зависимости от поставщика удостоверений.
Проблемы с единым входом часто возникают из-за основных ошибок, которые легко не заметить. В частности, проверьте следующее:
Эта ошибка обычно возникает после того, как аутентификация пользователя прошла успешно, и Okta успешно переслала ответ аутентификации в Adobe.
В Adobe Admin Console проверьте следующее:
На вкладке "Идентификация":
- Убедитесь, что связанный домен активирован.
На вкладке "Товары":
- Убедитесь, что пользователь связан с правильным псевдонимом продукта и находится в домене, который, как вы утверждали, настроен как Federated ID.
- Убедитесь, что для псевдонима продукта назначены правильные права.
На вкладке "Пользователи":
- Убедитесь, что имя пользователя имеет форму полного адреса электронной почты.
Возможные причины этой ошибки:
- Имя пользователя или адрес электронной почты, отправляемые в утверждении SAML, не соответствуют информации, введенной в консоли администратора.
- Пользователь не связан с правильным продуктом или продукт не связан с правильным правом.
- Имя пользователя SAML выглядит не как адрес электронной почты. Все пользователи должны находиться в домене, который вы указали в процессе настройки.
- Ваш клиент системы единого входа использует JavaScript как часть процесса входа, и вы пытаетесь войти в клиент, который не поддерживает JavaScript (например, Creative Cloud Packager).
- Проверьте конфигурацию панели управления для пользователя: информацию о пользователе и профиль продукта.
- Запустите трассировку SAML и убедитесь, что отправляемая информация соответствует сводной панели, а затем исправьте все несоответствия.
Ошибка "другой пользователь в настоящее время вошел в систему" возникает, когда атрибуты, отправленные в утверждении SAML, не соответствуют адресу электронной почты, который использовался для запуска процесса входа.
Проверьте и убедитесь, что адрес электронной почты пользователя для входа соответствует следующему:
- Адрес электронной почты пользователя, указанный в консоли администратора
- Имя пользователя, возвращенное в поле NameID утверждения SAML
Если вам нужна помощь в устранении этой ошибки, предоставьте трассировку SAML и значения, которые вы ввели на панели инструментов Adobe.
Эта проблема возникает, когда срок действия сертификата вашего каталога истек. Чтобы обновить сертификат, необходимо загрузить сертификат или метаданные из поставщика удостоверений и загрузить их в Adobe Admin Console.
Например, выполните следующие действия, если вашим поставщиком удостоверений является Microsoft AD FS:
Откройте приложение управления AD FS на своем сервере и в папке AD FS > Service > Endpoints выберите метаданные федерации.
Примите любые предупреждения, если будет предложено.
Войдите в консоль Adobe Admin и выберите «Настройки» > «Идентификация» > «Каталоги». Выберите каталог для обновления и нажмите «Настроить» на карточке поставщика SAML.
Затем загрузите файл метаданных поставщика идентификационной информации и сохраните его.
Сервер IdP на базе Windows:
<р>1. Убедитесь, что системные часы синхронизированы с сервером точного времени.С помощью этой команды проверьте точность системных часов относительно вашего сервера времени; значение "Смещение фазы" должно составлять небольшую долю секунды:
w32tm /query /status /verbose
Вы можете вызвать немедленную повторную синхронизацию системных часов с сервером времени с помощью следующей команды:
w32tm/повторная синхронизация
Если системные часы установлены правильно, а указанная выше ошибка по-прежнему возникает, возможно, вам придется настроить параметр смещения времени, чтобы увеличить допустимую разницу между часами между сервером и клиентом.
<р>2. Увеличьте допустимую разницу в системных часах между серверами.В окне Powershell с правами администратора установите допустимое значение перекоса на 2 минуты. Проверьте, можете ли вы войти в систему, а затем либо увеличьте, либо уменьшите значение в зависимости от результата.
Определите текущую настройку перекоса времени для соответствующего отношения доверия с проверяющей стороной с помощью следующей команды:
Get-ADFSRelyingPartyTrust | Format-List - идентификатор свойства, имя, NotBeforeSkew
Доверие с проверяющей стороной идентифицируется по URL-адресу, указанному в поле «Идентификатор» выходных данных предыдущей команды для этой конкретной конфигурации. Этот URL-адрес также отображается в утилите управления ADFS в окне свойств соответствующего отношения доверия с проверяющей стороной на вкладке «Идентификаторы» в поле «Доверие с проверяющей стороной», как показано на снимке экрана ниже.
Установите сдвиг времени на 2 минуты с помощью следующей команды, соответствующим образом заменив адрес идентификатора:
Читайте также: