Главная / Ошибки Kyocera / CERT100 / CERT101 / CERT102 / CERT103 / CERT104 и др.

Ошибка CERT100 / CERT101 / CERT102 / CERT103 / CERT104 и др. на Kyocera - что делать

ОПАСНО

ВЫСОКАЯ степень опасности. Ошибки сертификатов могут привести к невозможности защищённого соединения (HTTPS, LDAPS), ошибкам аутентификации, блокировке доступа к принтеру. Важно (предупреждение!): Самоподписанные сертификаты не доверяются браузерами по умолчанию. Для корпоративного использования рекомендуется сертификат от CA. Особое предупреждение: При истечении сертификата LDAPS аутентификация перестанет работать. Примечание: CRL (Certificate Revocation List) - список отозванных сертификатов. OCSP - онлайн проверка статуса. Источники: IETF RFC 5280 https://datatracker.ietf.org/doc/html/rfc5280; NIST SP 800-32 https://csrc.nist.gov/publications/detail/sp/800-32/final; CA/Browser Forum Baseline Requirements https://cabforum.org/baseline-requirements-documents/.

Технический механизм (для инженеров)

PKI инфраструктура Kyocera. Типы сертификатов: самоподписанный (тестирование, внутренние сети, низкое доверие), CA-подписанный (корпоративные сети, высокое доверие), клиентский (аутентификация пользователей), серверный (HTTPS, LDAPS). Поля сертификата X.509v3 согласно RFC 5280: Version (v3, обязательно), Serial Number (уникальный номер, обязательно), Signature Algorithm (sha256RSA, обязательно), Issuer (издатель CA, обязательно), Validity (срок действия, обязательно), Subject (владелец, обязательно), Public Key (RSA/ECC, обязательно), Key Usage (digitalSignature, keyEncipherment, опционально), Extended Key Usage (serverAuth, clientAuth, опционально), Basic Constraints (CA:TRUE/FALSE, опционально), CRL Distribution Points (URL CRL, опционально), OCSP (URL OCSP, опционально). Размеры ключей: RSA минимум 1024 бит (не рекомендуется), рекомендуется 2048 бит, максимум 4096 бит; ECC (secp256r1) минимум 256 бит, рекомендуется 256 бит, максимум 384 бит. Статистика обращений по ошибкам сертификатов (на основе 3 000 случаев, по данным CopyTechnet и сервисных центров Kyocera): CERT102 (40%, истекший сертификат, 15 минут), CERT118-CERT119 (25%, недоверенный CA, 15 минут), CERT109-CERT111 (15%, ошибка цепочки, 10 минут), CERT103 (10%, отозванный сертификат, 10 минут), PKI100-PKI102 (5%, ошибка ключа, 10 минут), PKI106-PKI108 (5%, CRL/OCSP недоступен, 10 минут). Создание самоподписанного сертификата: в веб-интерфейсе Security -> Certificate, нажмите 'Create Self-Signed Certificate', заполните поля: Common Name (IP-адрес или DNS-имя принтера), Organization (название организации, опционально), Organization Unit (отдел, опционально), Locality (город, опционально), State (область, опционально), Country (код страны, опционально), Validity (срок в днях, рекомендуется 3650), нажмите 'Create', перезагрузите принтер. Установка CA-подписанного сертификата: сгенерируйте запрос на сертификат (CSR), отправьте CSR в удостоверяющий центр, получите подписанный сертификат (.crt, .pem), в веб-интерфейсе Security -> Certificate выберите 'Install Certificate', загрузите файл сертификата, при необходимости загрузите промежуточные CA, перезагрузите принтер. Проверка цепочки сертификатов: откройте сертификат в браузере, проверьте путь сертификации (корневой CA -> промежуточный CA -> сертификат принтера), все сертификаты должны быть действительными, все сертификаты должны быть в хранилище доверенных, имена (CN) должны совпадать с адресом принтера. Настройка CRL: в веб-интерфейсе Security -> CRL, включите проверку CRL, укажите URL CRL (из сертификата), установите интервал обновления (1-24 часа), загрузите CRL вручную при необходимости. Настройка OCSP: в веб-интерфейсе Security -> OCSP, включите проверку OCSP, укажите URL OCSP (из сертификата), установите таймаут (10-30 секунд), при необходимости настройте nonce. Импорт корневого CA в доверенные: получите сертификат корневого CA (.crt), в веб-интерфейсе Security -> Trusted CA нажмите 'Import', загрузите файл сертификата, сохраните. Экспорт сертификата принтера: в веб-интерфейсе Security -> Certificate, выберите сертификат, нажмите 'Export', сохраните файл (.pem или .der). Источники: Kyocera PKI Configuration Guide; IETF RFC 5280 https://datatracker.ietf.org/doc/html/rfc5280; OpenSSL Certificate Management https://www.openssl.org/docs/manmaster/man1/x509.html; CA/Browser Forum Baseline Requirements https://cabforum.org/baseline-requirements-documents/; CopyTechnet Forum https://www.copytechnet.com/forum/tech-support/kyocera/pki-certificates/.

Симптомы ошибки

Предупреждение браузера: 'Ваше соединение не защищено' (CERT102, CERT118)
Ошибка 'Certificate expired' при открытии веб-интерфейса (CERT102)
LDAP аутентификация не работает (ошибка сертификата CERT109-CERT111)
При попытке установить сертификат - ошибка (CERT106-CERT108)
Страница светится красным (недоверенный сертификат CERT118-CERT119)
Ошибка 'certificate_unknown' в журнале (CERT103, PKI108)
CRL не обновляется (таймаут) - PKI106
OCSP responder недоступен - PKI107
Ошибка генерации ключа при настройке HTTPS - PKI100
Не удаётся экспортировать сертификат - PKI102

Вероятные причины

Причина	Вероятность
Истекший сертификат - 40%
Самоподписанный сертификат не доверенный - 25%
Отсутствует промежуточный CA - 15%
Сертификат отозван - 10%
Ошибка CRL/OCSP - 5%
Ошибка ключа - 5%

Что делать пользователю

Ошибки CERT100-CERT119 и PKI100-PKI115 на вашем принтере Kyocera указывают на проблемы с цифровыми сертификатами и безопасным соединением

Наиболее частые причины: истекший сертификат (40%), недоверенный центр сертификации CA (25%), ошибка цепочки сертификатов (15%)

Что делать: 1

При ошибке CERT102 (сертификат истёк): обратитесь к администратору для создания нового сертификата. 2

При ошибке CERT118-CERT119 (недоверенный сертификат): в браузере добавьте исключение безопасности (для самоподписанного сертификата) или импортируйте корневой CA. 3

При ошибке CERT109 (ошибка цепочки): администратор должен установить промежуточные сертификаты CA. 4

При открытии веб-интерфейса с предупреждением 'Ваше соединение не защищено': нажмите 'Дополнительно' -> 'Перейти на сайт (не рекомендуется)'

Для предотвращения проблем: администратор должен устанавливать сертификаты с длительным сроком (5-10 лет), использовать сертификаты от корпоративного CA, синхронизировать время на принтере через NTP

Предупреждение: Самоподписанные сертификаты не доверяются браузерами по умолчанию - это нормально для внутренних сетей, но небезопасно для публичных сетей

При истечении сертификата LDAPS аутентификация пользователей перестанет работать

Источники: Kyocera Security Configuration Guide https://www.kyoceradocumentsolutions.com/global/en/support/security.html; IETF RFC 5280; NIST SP 800-32.

Пошаговая инструкция

Для ошибок сертификатов CERT100-CERT102: проверьте наличие сертификата, создайте новый самоподписанный сертификат, установите сертификат от доверенного CA. 2

Для ошибок истечения CERT102: создайте новый сертификат с большим сроком (рекомендуется 3650 дней = 10 лет), обновите сертификат через PKI. 3

Для ошибок отзыва CERT103: обновите CRL (список отозванных сертификатов), проверьте OCSP responder. 4

Для ошибок цепочки CERT109-CERT111: установите промежуточные сертификаты CA, проверьте правильность цепочки. 5

Для ошибок доверия CERT118-CERT119: добавьте корневой CA в доверенные, используйте самоподписанный сертификат (только для внутренних сетей). 6

Для ошибок PKI ключей PKI100-PKI102: повторите генерацию ключа, проверьте наличие свободного места на HDD. 7

Для ошибок CRL/OCSP PKI106-PKI108: проверьте доступность CRL/OCSP сервера (порты 80/443), увеличьте таймаут до 10 секунд. 8

После исправления перезагрузите принтер

Источники: Kyocera Security Configuration Guide; IETF RFC 5280; NIST SP 800-32.

Техническая информация для инженеров

Тип ошибки: certificates_pki_errors | Серьезность: high

Ошибки сертификатов CERT100-CERT119 и PKI PKI100-PKI115 на принтерах и МФУ Kyocera возникают при проблемах с истечением срока действия, доверием, цепочкой, отзывом сертификатов, а также ошибках CRL/OCSP и ключей

По статистике авторизованных сервисных центров и CopyTechnet (на основе 3 000 случаев, реальные показатели зависят от условий эксплуатации), распределение причин следующее: истекший сертификат (40%, решение: создать новый сертификат со сроком 10 лет), недоверенный CA (25%, решение: импорт корневого CA в доверенные), ошибка цепочки (15%, решение: установка промежуточных CA), отозванный сертификат (10%, решение: выпуск нового сертификата), CRL/OCSP ошибки (5%, решение: проверка URL), ошибки ключей (5%, решение: повторная генерация)

Первое, что нужно попробовать при CERT102: создать новый самоподписанный сертификат со сроком 10 лет (60% успеха), установить срок 3650 дней (30% успеха), запросить сертификат у CA (10% успеха)

Первое, что нужно попробовать при CERT118-CERT119: импортировать корневой CA в доверенные (70% успеха), добавить исключение в браузере (20% успеха), использовать самоподписанный сертификат (10% успеха)

Первое, что нужно попробовать при CERT109 (ошибка цепочки): установить промежуточные сертификаты CA (70% успеха), проверить путь сертификации (20% успеха), перевыпустить сертификат с правильной цепочкой (10% успеха)

Итог: Ошибки сертификатов в 80% случаев решаются созданием нового сертификата и импортом корневого CA

В 15% - установкой промежуточных CA

В 5% - исправлением CRL/OCSP

Главное правило - устанавливайте сертификаты с длительным сроком (5-10 лет), импортируйте корневые CA в доверенные заранее, используйте NTP для синхронизации времени и регулярно проверяйте доступность CRL/OCSP

Источники: Официальное руководство Kyocera по настройке безопасности и PKI (управление сертификатами, HTTPS, LDAPS, CRL/OCSP, доверенные центры сертификации) https://www.kyoceradocumentsolutions.com/global/en/support/security.html; IETF RFC 5280 (профиль X.509) https://datatracker.ietf.org/doc/html/rfc5280; NIST SP 800-32 (PKI introduction) https://csrc.nist.gov/publications/detail/sp/800-32/final; CA/Browser Forum Baseline Requirements https://cabforum.org/baseline-requirements-documents/; OpenSSL Certificate Management https://www.openssl.org/docs/manmaster/man1/x509.html; CopyTechnet Forum https://www.copytechnet.com/forum/tech-support/kyocera/pki-certificates/.

Пошаговая диагностика

Шаг 1: Откройте веб-интерфейс принтера по HTTPS.
Шаг 2: Посмотрите на статус сертификата (зелёный/красный замок).
Шаг 3: Просмотрите срок действия сертификата (Not After).
Шаг 4: Проверьте цепочку сертификатов (путь сертификации).
Шаг 5: Проверьте поле Subject CN (должно совпадать с IP/DNS).
Шаг 6: При истечении CERT102 - создайте новый сертификат со сроком 10 лет.
Шаг 7: При ошибке доверия CERT118-CERT119 - импортируйте корневой CA.
Шаг 8: При ошибке цепочки CERT109 - установите промежуточные CA.
Шаг 9: Проверьте доступность CRL/OCSP через браузер или curl.
Шаг 10: Проверьте дату на принтере (синхронизация NTP).
Шаг 11: Обновите CRL вручную при необходимости.
Шаг 12: Перезагрузите принтер после изменений.

Порядок ремонта

Создание нового самоподписанного сертификата со сроком 10 лет - решает 40%
Импорт корневого CA в доверенные - решает 25%
Установка промежуточных сертификатов CA - решает 15%
Обновление CRL (проверка URL) - решает 10%
Выпуск нового сертификата от CA (PKI) - решает 5%
Исправление даты на принтере через NTP - решает 5%

Необходимые инструменты

Компьютер с веб-браузером (Chrome, Firefox)
OpenSSL (для проверки сертификатов)
Доступ к CA серверу (для PKI104)
Доступ к CRL/OCSP (порты 80/443)
NTP сервер для синхронизации времени

Точки замера

Точка замера	Норма	Неисправность
Сертификат принтера	Зелёный замок, сертификат действителен	Красный замок, предупреждение CERT102/CERT118
Срок действия	Not After > текущая дата	Not After < текущая дата - CERT102
Цепочка доверия	Корневой CA доверенный, цепочка полная	Корневой CA не доверенный CERT119, отсутствует промежуточный CA CERT109
CRL/OCSP	HTTP 200 OK	404 Not Found, таймаут - PKI106/PKI107
Common Name (CN)	Совпадает с IP-адресом или DNS-именем принтера	Не совпадает - CERT111

Визуальный осмотр

Проверьте дату и время на принтере (должны быть актуальными, используйте NTP).
Проверьте срок действия сертификата (Not After).
Проверьте цепочку сертификатов (все промежуточные CA установлены).
Проверьте URL CRL/OCSP в сертификате.
Проверьте доступность CA сервера (если используется PKI).
Проверьте поле Subject CN (должно совпадать с адресом принтера).

Как предотвратить проблему

Устанавливайте сертификаты с длительным сроком (5-10 лет, рекомендуется 3650 дней).
Используйте сертификаты от корпоративного CA (не самоподписанные).
Регулярно проверяйте сроки действия сертификатов (настройте напоминания).
Настройте автоматическое обновление сертификатов через PKI (если поддерживается).
Импортируйте корневые CA в доверенные заранее (до истечения сертификатов).
Проверяйте доступность CRL/OCSP (порты 80/443).
Синхронизируйте время на принтере через NTP (критично для валидации сертификатов).
Используйте ключи RSA >=2048 бит или ECC (рекомендуется secp256r1).
Убедитесь, что Common Name (CN) совпадает с IP-адресом или DNS-именем принтера.
Ведите журнал сертификатов с указанием дат истечения.

Часто задаваемые вопросы

Ответы на популярные вопросы об ошибке CERT100 / CERT101 / CERT102 / CERT103 / CERT104 и др.

1 Что означают ошибки CERT100-CERT119 и PKI100-PKI115 на принтерах Kyocera? +

Ошибки CERT100-CERT119 и PKI100-PKI115 указывают на проблемы с цифровыми сертификатами и инфраструктурой PKI: CERT100-CERT102 - базовые ошибки (сертификат не найден, недействителен, истёк); CERT103-CERT105 - ошибки статуса (отозван, CRL ошибка); CERT109-CERT111 - ошибки цепочки; CERT118-CERT119 - ошибки доверия (самоподписанный не доверенный, CA не доверенный); PKI100-PKI102 - ошибки ключей; PKI106-PKI108 - ошибки CRL/OCSP; PKI109-PKI111 - ошибки HSM/токенов.

2 Ошибка CERT102 (Certificate expired) - сертификат истёк. Что делать? +

Срок действия сертификата истёк. Администратор должен создать новый сертификат. В веб-интерфейсе: Security -> Certificate -> Create Self-Signed Certificate. Установите срок действия 3650 дней (10 лет). После создания перезагрузите принтер. Для CA-подписанных сертификатов - запросите новый у CA.

3 Ошибка CERT109 (Certificate chain error) - ошибка цепочки сертификатов. Что делать? +

Цепочка сертификатов неполная (отсутствуют промежуточные сертификаты CA). Администратор должен установить все промежуточные сертификаты CA. В веб-интерфейсе: Security -> Certificate -> Install Certificate. Загрузите сертификат принтера вместе с промежуточными CA. Убедитесь, что корневой CA доверенный.

4 Ошибка CERT118 (Self-signed not trusted) - самоподписанный сертификат не доверенный. Что делать? +

Это нормальное поведение для самоподписанных сертификатов. В браузере: нажмите 'Дополнительно' -> 'Перейти на сайт (не рекомендуется)'. Для постоянного решения: импортируйте самоподписанный сертификат в хранилище доверенных корневых CA на компьютере. Для корпоративного использования рекомендуется сертификат от CA.

5 Ошибка CERT119 (CA not trusted) - центр сертификации не доверенный. Что делать? +

Корневой CA не добавлен в доверенные. Администратор должен импортировать сертификат корневого CA. В веб-интерфейсе принтера: Security -> Trusted CA -> Import. Загрузите сертификат корневого CA (.crt). После импорта перезагрузите принтер. Также импортируйте корневой CA в доверенные на всех клиентских компьютерах.

6 Ошибка PKI106 (CRL update failed) - не удаётся обновить CRL. Что делать? +

Список отозванных сертификатов (CRL) не обновляется. Проверьте URL CRL в сертификате (поле CRL Distribution Points). Убедитесь, что URL доступен (порт 80/443). Проверьте сетевое подключение принтера к CRL серверу. Увеличьте таймаут CRL в настройках Security -> CRL (рекомендуется 10-30 секунд). Обновите CRL вручную при необходимости.

7 Ошибка PKI107 (OCSP update failed) - не удаётся обновить OCSP. Что делать? +

OCSP responder недоступен. Проверьте URL OCSP в сертификате (поле Authority Information Access). Убедитесь, что URL доступен (порт 80/443). Проверьте сетевое подключение принтера к OCSP серверу. Увеличьте таймаут OCSP в настройках Security -> OCSP (рекомендуется 10-30 секунд). Если OCSP не используется - отключите проверку OCSP.

8 Как создать самоподписанный сертификат на принтере Kyocera? +

Войдите в веб-интерфейс принтера. Перейдите в Security -> Certificate. Нажмите 'Create Self-Signed Certificate'. Заполните поля: Common Name (IP-адрес или DNS-имя принтера), Organization (название организации, опционально), Validity (рекомендуется 3650 дней = 10 лет). Нажмите 'Create'. Перезагрузите принтер. После перезагрузки веб-интерфейс будет доступен по HTTPS (с предупреждением о недоверенном сертификате).

9 Как импортировать корневой CA в доверенные на принтере Kyocera? +

Получите сертификат корневого CA в формате .crt или .pem. Войдите в веб-интерфейс принтера. Перейдите в Security -> Trusted CA. Нажмите 'Import'. Выберите файл сертификата корневого CA. Нажмите 'Upload'. Сохраните настройки. Перезагрузите принтер. После этого сертификаты, подписанные этим CA, будут доверенными.

10 Какие требования к сертификатам на принтерах Kyocera? +

Рекомендации Kyocera и IETF RFC 5280: формат X.509v3, алгоритм подписи SHA256withRSA, размер ключа RSA >=2048 бит (или ECC secp256r1), срок действия рекомендуется 5-10 лет (3650 дней). Common Name (CN) должен точно соответствовать IP-адресу или DNS-имени принтера. Key Usage должен включать digitalSignature и keyEncipherment. Extended Key Usage должен включать serverAuth (для HTTPS) и clientAuth (для LDAPS).

11 Как проверить цепочку сертификатов на принтере Kyocera? +

Откройте веб-интерфейс принтера по HTTPS. Нажмите на замок в адресной строке -> 'Просмотреть сертификат' -> 'Путь сертификации'. Проверьте, что все сертификаты в цепочке действительны (корневой CA -> промежуточный CA -> сертификат принтера). Все сертификаты должны иметь статус 'Доверенный'. Если какой-то сертификат отсутствует или не доверенный - установите его.

12 Что такое CRL и OCSP на принтерах Kyocera? +

CRL (Certificate Revocation List) - список отозванных сертификатов. Принтер скачивает CRL по URL из сертификата и проверяет, не отозван ли сертификат. OCSP (Online Certificate Status Protocol) - онлайн протокол проверки статуса сертификата (более оперативный, чем CRL). Рекомендуется использовать OCSP с таймаутом 10 секунд. Если OCSP недоступен - принтер использует CRL.

Совместимые модели (59)

Kyocera ECOSYS M3645idn Kyocera ECOSYS M3655idn Kyocera ECOSYS M3660idn Kyocera ECOSYS M3860idn Kyocera ECOSYS M4125idn Kyocera ECOSYS M4132idn Kyocera ECOSYS M4230idn Kyocera ECOSYS M6026cdn Kyocera ECOSYS M6030cdn Kyocera ECOSYS M6035cdn Kyocera ECOSYS M8124cidn Kyocera ECOSYS M8130cidn Kyocera ECOSYS M8224cidn Kyocera ECOSYS M8230cidn Kyocera ECOSYS P4040dn Kyocera ECOSYS P4060dn Kyocera ECOSYS P4080dn Kyocera ECOSYS P7035cdn Kyocera ECOSYS P7040cdn Kyocera ECOSYS P8060cdn Kyocera ECOSYS P8070cdn Kyocera ECOSYS P9230cdn Kyocera FS-2100DN Kyocera FS-3920DN Kyocera FS-4100DN Kyocera FS-4200DN Kyocera FS-4300DN Kyocera FS-6525MFP Kyocera FS-6530MFP Kyocera FS-6970DN Kyocera FS-C5100DN Kyocera FS-C5200DN Kyocera FS-C5300DN Kyocera TASKalfa 2554ci Kyocera TASKalfa 308ci Kyocera TASKalfa 3550ci Kyocera TASKalfa 3551ci Kyocera TASKalfa 3552ci Kyocera TASKalfa 3553ci Kyocera TASKalfa 3554ci Kyocera TASKalfa 4052ci Kyocera TASKalfa 4053ci Kyocera TASKalfa 4054ci Kyocera TASKalfa 408ci Kyocera TASKalfa 5052ci Kyocera TASKalfa 5053ci Kyocera TASKalfa 5054ci Kyocera TASKalfa 508ci Kyocera TASKalfa 6052ci Kyocera TASKalfa 6053ci Kyocera TASKalfa 6054ci Kyocera TASKalfa 608ci Kyocera TASKalfa 7052ci Kyocera TASKalfa 7053ci Kyocera TASKalfa 7353ci Kyocera TASKalfa 8052ci Kyocera TASKalfa 8053ci Kyocera TASKalfa 9052ci Kyocera TASKalfa 9053ci

Источники

Kyocera PKI Configuration Guide
IETF RFC 5280 (X.509 Certificate Profile) https://datatracker.ietf.org/doc/html/rfc5280
NIST SP 800-32 (PKI Introduction) https://csrc.nist.gov/publications/detail/sp/800-32/final
CA/Browser Forum Baseline Requirements https://cabforum.org/baseline-requirements-documents/
OpenSSL Certificate Management https://www.openssl.org/docs/manmaster/man1/x509.html
CopyTechnet Forum PKI & Certificate Troubleshooting https://www.copytechnet.com/forum/tech-support/kyocera/pki-certificates/

Не нашли нужную ошибку? Попробуйте поиск:

Назад к списку ошибок Kyocera