Ошибка 25257 MacOS

Обновлено: 21.11.2024

Мне не удается успешно отправить упакованные идентификаторы сертификатов .p12 на устройства, управляемые диспетчером профилей OS X Server 10.9. Проблема в том, что пока файл передается на устройство, он не распаковывается и, следовательно, не может быть использован.

Я обнаружил, что проблема заключается в том, что Диспетчер профилей неправильно установил в профиле тип полезной нагрузки "com.apple.security.pkcs1", а не "com.apple.security.pkcs12". Если я удалю данные подписи профиля и отредактирую их, профиль будет отлично работать при установке вручную.

Итак, у меня есть вопросы:

1) Как лучше всего привлечь внимание Apple к тому, чтобы кто-то исправил эту ошибку, или это, возможно, проблема JavaScript браузера, неправильно определяющая тип полезной нагрузки (хотя и с использованием последней версии Safari)?

2) Кто-нибудь знает обходной путь, позволяющий автоматически выталкивать это без необходимости вручную редактировать и устанавливать на каждое устройство?

(SCEP в настоящее время отсутствует из-за другой проблемы, связанной с расшифровкой base64 запроса SCEP от устройств Mac OS X, которую я решаю с поставщиком сервера SCEP, но iOS работает нормально)

Опубликовано 4 января 2014 г., 6:43

Все ответы

Загрузка содержимого страницы

Содержимое страницы загружено

у нас та же проблема в нашей организации: мы не можем отправить какой-либо сертификат PKCS12, так как мы обновили версию 10.7 до 10.9.

Есть ли надежды на обновленный сервер 3.0.2?

9 января 2014 г., 8:15

То же самое здесь, не удалось отправить сертификат PKCS12. Пожалуйста, исправьте или предложите обходной путь!

17 января 2014 г., 5:37

Это полная чушь! более 1500 устройств в 5 школах, которыми я должен управлять, и это почти как вернуться к версии 10.7, где у нас возникла эта проблема.

Прекратите использовать общественность в качестве полигона для тестирования и используйте правильные методы развертывания, когда мы, общественность, используем ваших тестовых крыс для увеличения вашей прибыли.

Пожалуйста, предоставьте решение этой проблемы в ближайшее время, иначе у нас не будет другого выбора, кроме как оставить ipad для решений win8 / android в будущем.

НЕ СЧАСТЛИВ! надеюсь, кто-то из Apple увидит это 😟

18 января 2014 г., 23:03

Вчера я попробовал серверную бета-версию (3.1 Preview; 13S4070 ). Кажется, проблема решена, я могу отправить сертификаты pkcs12. До сих пор проблем не было.

19 января 2014 г., 00:08

Я новичок в OS X Server и Radius, и только что потратил слишком много часов, пытаясь понять, что я делаю неправильно. Я мог прекрасно подключиться к нашему корпоративному Wi-Fi при выборе сертификата из цепочки для ключей, но я просто не смог заставить его работать, когда загрузил файл .p12 и использовал его в качестве идентификатора WiFi. Я пробовал так много комбинаций фразы-пароля, без фразы-пароля, формата pem, формата pkcs12, сброса сервера Radius, сброса всей PKI. Но я всегда видел Сертификат: ?Error_-25257? в окне настроек, когда пытался установить профиль, и не мог найти ничего полезного в журналах Radius, когда пытался подключиться. .

Но оказалось, что все, что мне нужно было сделать, это:

sed -i '' -e '1s/pkcs1/pkcs12/;t' -e '1,/pkcs1/s//pkcs12/' wifi_profile.mobileconfig

(заменяет первый экземпляр pkcs1 на pkcs12 — не меняйте оба! Мне было интересно, почему он запрашивает пароль для нашего общедоступного сертификата.)

Я создал пару самозаверяющих сертификатов S/MIME (используя OSX Keychain и OpenSSL), а затем экспортировал их в 3 файла:

  • Сертификат (.cer)
  • Закрытый ключ (.p12)
  • Открытый ключ (.pem)

При попытке импортировать их обратно на другой Mac сертификат и закрытый ключ импортировались без проблем. Но открытый ключ нельзя импортировать.

Вместо этого я получаю следующее сообщение об ошибке:

Произошла ошибка. Невозможно импортировать элемент.

Невозможно получить содержимое этого времени

Как я могу импортировать открытый ключ? Должен ли он быть преобразован в другой формат для импорта?

почему вы хотите импортировать открытый ключ? Это закрытый ключ, который вам нужно импортировать. Открытый ключ остается на сервере, закрытый ключ экспортируется клиенту, и все.

Достаточно справедливо — значит, нет возможности импортировать открытый ключ вручную через Связку ключей (например, если кто-то предоставил вам свой открытый ключ в виде файла, а не отправил вам электронное письмо)?

Вы можете использовать scp для копирования всех файлов из одного в другой в течение периода, в течение которого разрешено соединение с паролем. Затем, когда у вас есть все ключи, вы можете отключить вход с паролем.

3 ответа 3

Это ошибка в OSX. Вы можете импортировать из командной строки в соответствии с этим ответом:

Затем вам нужно будет переименовать ключ в keychain.app

@huggie Он загружает его с действительно общим именем в связке ключей, возможно, что-то вроде «открытого ключа», поищите там что-то новое.

Только то, что вы не можете переименовать, по крайней мере, не в последних версиях (я пробовал на Каталине). И, само собой разумеется, этот баг все еще там. Примерно через шесть лет.

Сертификат фактически содержит копию открытого ключа (вместе с именем и подписью центра сертификации, говорящей, что имя и этот открытый ключ неразрывно связаны). Обычно вам не нужно иметь дело с открытым ключом как с отдельным элементом, если вы используете систему на основе сертификатов, такую ​​как SMIME. При желании вы можете извлечь копию открытого ключа из сертификата с помощью команды openssl x509.

(Интересно, не отказывается ли Keychain импортировать открытый ключ, потому что считает, что у него уже есть копия в сертификате? Сообщения об ошибках Keychain обычно довольно расплывчаты.)

Ваша пара ключей может храниться в файле .p12. Вам будет предложено ввести пароль, если он содержит ваш закрытый ключ. Связка ключей покажет закрытый ключ во вложенном виде. При правильном импорте он должен отображаться в разделе «Мои сертификаты».

Вы смогли решить свою проблему? У меня точно такая же проблема с Mailmate.
Я убедился, что проблема не в моих сертификатах, так как я могу отправлять зашифрованные письма с помощью почтового приложения.

Бенни, 17 марта 2014 г., 13:59

@jachin: Извините за поздний ответ. (Я немного запаздываю с ответами на электронные письма, и некоторые из них остаются без ответа.)

Не используйте LoggingEnabled:

Чтобы ответить на ваш другой вопрос, не имеет значения, где вы находитесь, когда вы используете команды по умолчанию. В любом случае он записывает значения в ~/Library/Preferences/com.freron.MailMate.plist.

Затем запустите MailMate из Терминала:

Вы пометили этот элемент как спам.

Маттиас Хофхерр, 17 марта 2014 г., 14:56

поскольку у меня точно такая же проблема, вот мой отладочный вывод от mailmate, следуя шагам из вашего сообщения выше:

Вы пометили этот элемент как спам.

jachin 26 марта 2014 г., 01:29

Круто, да, я получаю то же сообщение об ошибке, что и Матиас.

Бенни, 26 марта 2014 г., 15:19

Я еще не смог вникнуть в детали этой проблемы. Есть ли шанс, что MailMate подберет неправильный сертификат S/MIME? То есть, есть ли у кого-нибудь из вас более 1 сертификата для любого из заданных адресов электронной почты (как отправителя, так и получателя). Я полагаю, что это не удастся, как вы описали, если MailMate сможет получить доступ к открытому ключу, но затем не сможет найти закрытый ключ сертификата.

Вы пометили этот элемент как спам.

jachin 26 марта 2014 г., 16:33

Я не думаю, что у меня есть более одного ключа ни для получателя, ни для отправителя. Я только что заглянул в приложение "Связка ключей" и поискал адреса электронной почты.

Сомневаюсь, что это будет актуально, но у меня есть (другие) ключи GPG как для получателя, так и для отправителя (моя компания недавно перешла с GPG на S/MIME).

Вы пометили этот элемент как спам.

Матиас Хофхерр, 1 апреля 2014 г., 16:59

Нет, у меня также нет нескольких сертификатов/ключей S/MIME.
Я пытался использовать стандартное почтовое приложение MAC OS X, которое использует те же сертификаты, что и mailmate. Работает без проблем.

Вы пометили этот элемент как спам.

Николай Р. 4 июня 2014 г., 21:10

Я получаю это для двух разных сертификатов S/MIME (от других), которые находятся в моей связке ключей с параметром "Всегда одобрять":

Я также получаю это, когда пытаюсь подписать электронное письмо:

Наконец я получил это, пытаясь зашифровать электронное письмо:

Должен отметить, что в почтовом приложении это тоже не работает. Мой собственный сертификат — NemID :)

С уважением,
Николай

Вы пометили этот элемент как спам.

Николай Р. 5 июня 2014 г., 12:47

Могу ли я что-нибудь сделать, возможно, с помощью команды безопасности, чтобы исключить Mailmate из числа источников ошибок?

Вы пометили этот элемент как спам.

Кит Ройстер, 9 июня 2014 г., 13:20

Просто хотел бросить шляпу, так как у меня такая же проблема. Я могу подписать, но не могу зашифровать. Я получаю тот же «Неизвестный формат при импорте. Код ошибки: -25257». Как ни странно, я думаю, когда я впервые настроил MailMail, он работал правильно, но через пару дней после начала бесплатной пробной версии у меня начались сбои. Кажется, я припоминаю, что отправил пару успешно зашифрованных тестовых сообщений, но не уверен.

Являются ли PGP или GPG общим фактором, который может вызвать конфликт? У меня установлен GPGTools для утилит командной строки, но он не отмечен в настройках MailMate. Когда-то давно у меня также был установлен почтовый помощник для Mail.app, но с тех пор я его отключил. Может ли быть какой-то остаток, вызывающий конфликт с S/MIME? (И почему MailMail жалуется на чью-то несоответствующую подпись PGP, если PGP отключен в префах? Это еще одна подсказка или нормальное поведение для проверки подписей независимо от этой настройки?)

Бенни 9 июня 2014 г., 13:56

Нет, я определенно не думаю, что GPGTools играет в этом какую-либо роль.Я использую два совершенно разных «API», и GPGTools не хранит свои ключи в цепочке ключей OS X.

Я предлагаю вам загрузить последнюю тестовую версию (удерживая нажатой клавишу ⌥, нажмите «Проверить сейчас» на панели настроек «Обновление программного обеспечения»). Единственное изменение состоит в том, что теперь я вывожу серийный номер найденных сертификатов. Это дает дополнительный способ проверить, используется ли правильный сертификат.

Кроме того, проблема может быть связана с определенными сертификатами. Я был бы признателен, если бы один из вас мог прислать мне открытый ключ, для которого шифрование не работает. Просто чтобы я мог проверить, могу ли я воспроизвести проблему. Для этого используйте «Справка ▸ Отправить отзыв».

Вы пометили этот элемент как спам.

Кит Ройстер, 9 июня 2014 г., 17:00

Обновление до сборки 4307 не помогло. Я использую S/MIME почти исключительно для внутренней электронной почты, и мы используем сертификаты от Comodo. Я помню, что мне пришлось установить доверенный сертификат CA на моем iphone, чтобы использовать его, но это было только на моем iphone - сертификаты CA по умолчанию в OS X отлично работали для сертификатов Comodo.

Отправлено тестовое письмо.

Вы пометили этот элемент как спам.

Николай Р. 27 июня 2014 г., 13:38

Я обновился до версии 1.8 (4214), но проблема осталась. Далее я проверю серийные номера.

Вы пометили этот элемент как спам.

jachin 21 июля 2014 г., 23:12

Просто добавить ко всему этому еще одну морщинку.

Недавно у меня возникли проблемы с получением нового сертификата S/MIME. В итоге я попробовал много разных вещей. Когда я закончил, шифрование помогло мне.

Боюсь, я точно не знаю, что именно я сделал, чтобы исправить это, но я подозреваю, что это была одна из двух вещей.

  1. Я обновился до последней бета-версии. Версия 1.8 (4387)
  2. Я получил новый сертификат S/MIME.

Вы пометили этот элемент как спам.

MikeC, 8 марта 2015 г., 12:14

Я также получаю сообщение об ошибке:

Кроме того, попытка включить отладку не удалась. Я пробовал такие комбинации, как:

150 08.03.2015 04:58 по умолчанию запись com.freron.MailMate LoggingEnabled -bool НЕТ 151 08.03.2015 04:58 по умолчанию запись com.freron.MailMate MmDebugSecurity -bool ДА :05 по умолчанию запись com.freron.MailMate LoggingEnabled -bool YES 167 08.03.2015 05:05 по умолчанию запись com.freron.MailMate MmDebugScripts -bool YES 168 08.03.2015 05:05 по умолчанию запись com.freron.MailMate MmDebugSecurity -bool ДА

И все же я вижу только /tmp/mailmate_logs/mailmate_parser_problems.log (я не вижу других файлов в /tmp), который не отражает фактические ошибки S/MIME, которые я получил. Перед настройкой MailMate у меня был личный сертификат S/MIME с истекшим сроком действия, а также текущий, при этом Identity Preference указывал на активный, так что Mail.app работает нормально. Первоначально MailMate выбирал более старый. Поэтому я удалил старые личные сертификаты из своей цепочки для ключей и перезапустил. Теперь я получаю ошибку выше. Я считаю, что предпочтение идентификации — это способ указать активный предполагаемый сертификат, относящийся к адресу электронной почты. Я также не вижу никаких журналов MailMate в стандартном месте, таком как ~/Library/Logs, поэтому я не уверен, какую еще информацию я могу отправить.

Вы пометили этот элемент как спам.

fnurl 1 июня 2015 г., 12:19

Привет, у меня возникла та же проблема, что и у @MikeC. Некоторое время я не мог подписывать свои сообщения, но теперь я еще раз взглянул на проблему. Проблема заключалась в том, что мой закрытый ключ по какой-то причине отсутствовал в моей связке ключей. Я предполагаю, что он исчез во время моего обновления Yosemite — мигрировал с Time Machine или во время какого-либо другого процесса синхронизации iCloud.

Я уже пытался снова загрузить свой сертификат, но это не сработало. Мне пришлось использовать защищенный паролем файл .p12, который был у меня в защищенной резервной копии (который, как я нашел в Google, содержит как сертификат, так и закрытый ключ).

Теперь подпись и шифрование в MailMate снова работают!

Вы пометили этот элемент как спам.

Филип Кизер 4 сентября 2015 г., 22:48

Хотя раньше у меня работал X509/SMIME, теперь у меня тоже возникла эта проблема. Однако проблема существует только для одной из моих пар ключ+сертификат.

Выпущено: Версия 1.9.2 (5107)

Чтобы исключить ситуацию, я дошел до удаления любых/всех ключей и сертификатов для моего основного адреса электронной почты из цепочки для ключей (поиск адреса в цепочке для ключей изначально возвращал сертификат, а после удаления теперь только возвращает несвязанные пароли приложений jabber, без оставшихся сертификатов).

Чтобы убедиться, что MailMate ничего не кэширует, я закрыл его и перезапустил (через командную строку с включенным MmDebugSecurity, как указано выше).

Даже если Keychain возвращает нулевые записи сертификата для этого адреса электронной почты, я получаю следующий вывод отладки:

Если у связки ключей нет сертификатов для моего адреса, где она находит этих двух кандидатов с совпадающими адресами (или она может рассматривать два элемента пароля приложения jabber как возможные варианты)?

Затем я пошел немного дальше и сделал следующее:

1: Удалены все пары "Ключ+Сертификат" для этого адреса,
2: Вы вошли в систему с помощью Mail.app и попытались составить письмо для шифрования/подписания,
3: Проверенный Mail.app не подумал был какой-либо соответствующий ключ/сертификат для этого адреса,
4: закрыть Mail.app и восстановить ключ+сертификат,
5: перезапустить Mail.app и увидеть, что он увидел ключ+сертификат и отправил себе сообщение, подписанное и зашифрованное с помощью моих собственных данных x509,
6: подключено к MailMate.app и смогло расшифровать сообщение и проверить подпись,
7: попыталось ответить на сообщение, сохранив знак+шифрование включенным и снова возникла проблема "Код ошибки: -25257".

Из Связки ключей и просмотра сертификата вручную с помощью «openssl x509 -noout -serial» правильный серийный номер должен быть:

После возврата правильного Key+Cert в связку ключей вывод немного отличается:

Сравнение: [другой-адрес-1]
Сравнение: [другой-адрес-2]
Сравнение: [другой-адрес-3]/expired
Сравнение: [другой-адрес -3]
Сравнение: [мой-адрес]
Поиск сертификата для [мой-адрес]
Найдено 7 кандидатов Сертификат имеет 1 адрес(а) электронной почты Сравнение '[мой- адрес]' с '[мой-адрес]' Найдено совпадение (серийный номер: 0x3A225944D7E8103125A1A3F2441E0208) Поиск сертификата для [мой-адрес]
Найдено 7 кандидатов/кандидатов Сертификат имеет 1 адрес(а) электронной почты Сравнение '[мой- адрес]» с «[мой-адрес]» Найдено совпадение (серийный номер: 0x3A225944D7E8103125A1A3F2441E0208) Найденные адреса: 0x7fe8a2946400, 0x7fe8a1e6e890 CMSEncode S/MIME Verify/decrypt
Verify for address: [my-address] Data (2905) CMS Detailate : Неизвестный формат при импорте. Код ошибки: -25257

И я подтвердил, что могу отправлять подписанные и зашифрованные сообщения как с моего другого адреса-1, так и с другого адреса-3.

Затем все стало еще страннее. Я обнаружил, что не могу подписать+шифровать адрес электронной почты друга, но могу отправлять подписанные и получать зашифрованные сообщения.

Затем я создал полную сетку и обнаружил, что могу подписывать+шифровать:

[другой-адрес-1] в и из [другой-адрес-1] [другой-адрес-1] в и из [другой-адрес-2] [другой-адрес-1] в и из [другой- адрес-3] [другой-адрес-2] в и из [другой-адрес-2] [другой-адрес-2] в и из [другой-адрес-3] [другой-адрес-3] в и из [другой -адрес-3] [другой-адрес-1] в и из [мой-адрес] [другой-адрес-2] в и из [мой-адрес] [другой-адрес-3] в и из [мой-адрес]

Кажется, я не могу подписать+шифровать [мой-адрес] в/от [мой-адрес] или адреса двух друзей, которые не возражают против получения таких тестовых сообщений от меня (если это сработает), и я еще не было возможности проверить многие другие направления.

Теперь вы просматриваете эту ветку и будете получать электронные письма, когда в ней будет активность. Нажмите еще раз, чтобы прекратить просмотр, или перейдите в свой профиль/домашнюю страницу, чтобы управлять просмотренными цепочками.

Вы прекратили просмотр этой ветки и больше не будете получать электронные письма, когда в ней есть активность. Нажмите еще раз, чтобы начать просмотр.

Я пытаюсь добавить сертификат подписи с сайта developer.apple.com в свою связку ключей, но получаю сообщение об ошибке "Произошла ошибка. Невозможно импортировать. Ошибка -25294". Сертификат действителен, и я ничего не могу сделать с этой ошибкой. Любая идея, что может быть причиной этой ошибки?

Ответы

Создайте новую учетную запись пользователя на своем Mac (используя Системные настройки > Пользователи и группы).

Войти в эту учетную запись.

Попробуйте импортировать сертификат туда.

Спасибо за ответ. Но я не думаю, что это сработает, потому что это рабочая учетная запись, и мне нужно загрузить сертификат именно для этого пользователя.

Но я не думаю, что это сработает, потому что это рабочая учетная запись, и мне нужно

Импорт выполнен успешно. В этом случае, скорее всего, что-то не так со связкой ключей в исходном аккаунте.

Точно так же происходит сбой импорта — это говорит о том, что что-то не так с сертификатом (что было бы странно).

Поделись и наслаждайся

Куинн «Эскимос!» @ Служба технической поддержки разработчиков @ Apple
let myEmail = "eskimo" + "1" + "@" + "apple.com"

В случае, если кто-то наткнется на эту ошибку: здесь я использую Catalina 10.15.7. Я скачал файл сертификата, следуя этим инструкциям:

При запуске установщика сертификата появляется всплывающее окно с вопросом, в какую связку ключей вы хотите его установить. Я сначала выбрал связку ключей iCloud, а потом получил эту ошибку.

Я снова запустил его и выбрал расположение связки ключей «Система», после чего все заработало. (не уверен, почему и сработает ли это для других, но сработало для меня).

Я столкнулся с этой ошибкой. Для меня проблема заключалась в том, что в диалоговом окне импорта выбрана цепочка для ключей «Локальные элементы». Выбор «логина» в раскрывающемся списке устранил ошибку.

Спасибо. Вот в чем проблема и для меня.

выбрана цепочка ключей "Локальные элементы".

А, интересно. Локальные элементы — это Keychain Access, говорящий о цепочке ключей для защиты данных [1]. Эта цепочка ключей может содержать сертификаты, но для нее потребуется совсем другой код импорта, поэтому неудивительно, что вы столкнетесь с проблемой. Тем не менее, это определенно ошибка, и я зарегистрировал ее как таковую (r. 87671054).

Поделись и наслаждайся

Куинн «Эскимос!» @ Служба технической поддержки разработчиков @ Apple
let myEmail = "eskimo" + "1" + "@" + "apple.com"

[1] Если вы не знакомы с тонкостями работы связки ключей на Mac, см. мой пост «Связки ключей на Mac».

Подсказка о целевой связке ключей действительно спасла меня. Я пытался установить корневые сертификаты для прокси-сервера Charles и получил только код ошибки -25294 при использовании опции по умолчанию «Справка -> SSL -> Установить корневой сертификат Charles». Затем я экспортировал корневой сертификат в виде файла PEM и попытался импортировать его вручную и получил ту же ошибку. Прочитав этот пост, я понял, что есть почти скрытый вариант, который я не учел:

Читайте также: