При работе с программными продуктами 1С пользователи и администраторы часто сталкиваются с ситуацией, когда монитор портала ИТС становится недоступен, а автоматическое обновление конфигурации или классификаторов прерывается ошибкой: «Удаленный узел не прошел проверку». Эта проблема особенно актуальна для клиент-серверных баз, где соединение инициируется на стороне сервера. В данной статье мы подробно разберем, почему возникает эта ошибка, проанализируем технические логи и рассмотрим пошаговые алгоритмы решения проблемы.
Для начала проанализируем ситуацию, которая отражается в журнале регистрации. Типичный текст ошибки указывает на сбой в работе общего модуля ИнтернетПоддержкаПользователей. Основная причина кроется в том, что платформа 1С при попытке установить защищенное соединение (HTTPS) с серверами update-api.1c.ru или portal.1c.ru не может подтвердить подлинность SSL-сертификата удаленного узла.
Рассмотрим основные факторы, которые приводят к такому состоянию:
Как показывает практика, иногда проблема решается максимально банально. Прежде чем переходить к сложным настройкам системы, выполним следующие действия. Выясним, не зависла ли логика проверки классификаторов, которая может блокировать другие запросы интернет-поддержки.
Перейдем в раздел Обслуживание — Регламентные операции — Регламентные и фоновые задания. Найдем в списке задание Обновление классификаторов и запустим его вручную (для управления заданиями и сеансами также удобно использовать кроссплатформенную консоль администрирования кластера 1С). В некоторых случаях это принудительно инициализирует цепочку проверок, после чего монитор ИТС снова становится доступен.
Наиболее частой причиной ошибки «Удаленный узел не прошел проверку» является отсутствие доверия к цепочке сертификатов. На текущий момент ресурсы 1С используют сертификаты от удостоверяющего центра GlobalSign. Если сервер обновлений Windows отключен или сервер находится в закрытом контуре, корневые сертификаты не обновляются автоматически.
Разберем, какие именно сертификаты нам необходимы. Вам потребуется раздобыть и установить в хранилище «Доверенные корневые центры сертификации» (для учетной записи компьютера/сервера) следующие компоненты:
Для установки выполните следующие шаги:
.cer с официального сайта GlobalSign или экспортируйте их с рабочего компьютера, где монитор ИТС открывается без ошибок.mmc, добавьте компонент «Сертификаты» для локального компьютера.Иногда системные администраторы или вредоносное ПО вносят правки в файл hosts, которые блокируют обращения к серверам 1С. Проанализируем содержимое файла по пути C:\Windows\System32\drivers\etc\hosts. Убедимся, что там отсутствуют или закомментированы символом # следующие строки:
# 127.0.0.1 pult.1c.ru
# 127.0.0.1 update-api.1c.ru
# 127.0.0.1 portal-support.1c.ru
# 127.0.0.1 1cv8update.com
Если эти строки активны, платформа не сможет достучаться до реальных серверов, так как будет пытаться найти их на локальном адресе 127.0.0.1.
Платформа 1С:Предприятие имеет собственный механизм проверки сертификатов, который может отличаться от общесистемного. Рассмотрим подробнее файл cacert.pem, который находится в папке установленной платформы (например, bin/cacert.pem).
Если системные сертификаты Windows обновлены, но ошибка сохраняется, нам необходимо добавить данные новых сертификатов в этот файл вручную. Откройте cacert.pem обычным текстовым редактором (от имени администратора) и добавьте в конец файла текстовое содержимое ваших сертификатов в кодировке Base64 (текст, начинающийся с -----BEGIN CERTIFICATE-----). Это гарантирует, что встроенный в 1С механизм проверки SSL «увидит» доверенные центры.
Проанализируем программную часть проблемы. В современных конфигурациях 1С часто используется объект ЗащищенноеСоединениеOpenSSL. Ошибка может возникать из-за специфического способа инициализации этого объекта. Рассмотрим пример кода, который может вызывать проблему:
// Этот вариант часто выдает ошибку, если в ОС есть проблемы с цепочкой доверия
Соединение = Новый ЗащищенноеСоединениеOpenSSL(Неопределено, Новый СертификатыУдостоверяющихЦентровОС);
Если у вас есть возможность вносить изменения в расширение или конфигурацию, попробуйте изменить инициализацию на более простую форму, которая заставляет платформу использовать стандартные механизмы проверки:
// Использование параметров по умолчанию часто решает проблему
Соединение = Новый ЗащищенноеСоединениеOpenSSL();
Выясним причину, связанную с сетевыми протоколами. Современные веб-сервисы 1С требуют использования протокола TLS 1.2. Если ваша операционная система (например, Windows Server 2012) не настроена на использование TLS 1.2 по умолчанию, соединение будет обрываться.
Проверьте ветку реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client. Значение параметра Enabled должно быть 1.
Также важным моментом является проверка списков отзыва сертификатов (CRL). Если у сервера нет доступа к сайту crl.globalsign.com, проверка сертификата может завершиться неудачей. Попробуйте временно отключить проверку отзывов в настройках Internet Explorer (свойства браузера — дополнительно — снять флажок «Проверять отзыв сертификатов серверов»), чтобы подтвердить, что проблема именно в этом.
Применяя эти шаги последовательно — от простых регламентных заданий до глубокой настройки сертификатов и реестра — вы сможете восстановить работу монитора портала ИТС и обеспечить стабильное обновление вашей системы 1С.