При работе с электронной подписью появилось сообщение «Не удалось отправить запрос на штамп времени».

Причина №1. На компьютере установлено неправильное время
Проверьте, верно ли указано время и часовой пояс на ПК. Если нет, исправьте.
Причина №2. Не настроено рабочее место
На любой странице online.sbis.ru нажмите
и выберите «Диагностика меcта». Следуйте рекомендациям мастера.

Причина №3. Установлены два криптопровайдера
На одном компьютере нельзя работать с несколькими СКЗИ. Удалите оба и заново установите основной криптопровайдер.
Причина №4. Для доступа в интернет используется прокси или vpn-сервис
Попросите вашего системного администратора открыть доступ к ресурсам, указанным в технических требованиях. Настройте подключение в СБИС Плагине.
Причина №5. Доступ к ресурсу заблокирован антивирусом
Попросите вашего системного администратора проверить настройки антивируса. Он не должен блокировать доступ к ресурсам, указанным в технических требованиях.
Причина №6. Работа https запрещена политиками безопасности
- В Internet Explorer откройте любую https-страницу в интернете, например https://google.com.
Если она не открылась, в браузере нажмите
, выберите «Свойства браузера» и на вкладке «Дополнительно» кликните «Восстановить дополнительные параметры».

- Перейдите на вкладку «Содержание» нажмите «Очистить SSL».

- Проверьте дату и время на компьютере. Настройте для них автоматическую синхронизацию (доступно для всех ОС, кроме Windows 7).
Причина №7. Повреждено СКЗИ
Удалите СКЗИ и установите заново. Это крайняя мера — используйте данное решение, только если не помогло ни одно из предыдущих.
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
|
HappyDragone |
|
|
Статус: Новичок Группы: Участники
|
1. Настраиваю получение метки времени в службе штампов времени АУЦ Банка России. Win 10 домашняя. На Win 10 Stunnel устанавливается как служба. Создан конф файл. Подписываю в КриптоАРМ 5, где указан адрес службы TSP. Не подписывает, вылетает ошибка Описание ошибки в КриптоАРМ: Ошибка сохранения сообщения (0x80004005) Произошла ошибка при создании подписи Невозможно получить штамп времени. Ошибка отправки запроса на штамп времени. При попытке отправки запроса возникла ошибка HTTP (0xc2100100) (0x80004005) Рекомендации УЦ после моего обращения по ошибке таковы: Для того чтобы исправить данную ошибку, необходимо установить личный сертификат с привязкой к контейнеру, промежуточный сертификат Банка России и головной корневой сертификат Минком связи в хранилище «Сертификаты (локальный компьютер)» согласно инструкции по доступу к сервисам службы меток доверенного времени размещенной по ссылке http://cbr.ru/certificat…toveryayuschego_centra/. Вероятнее всего у Вас сейчас сертификаты установлены в хранилище – «сертификаты – текущий пользователь». Корневые-промежуточные установил в Локальный компьютер, а вот личный сертификат туда никак не ставится. И ошибка не уходит. Использую Крипто Про CSP 4.0.9944 Пожалуйста, подскажите, как настроить это? Может быть, кто-то сталкивался с настройкой получения метки времени на подпись через stunnel для взаимодействия со службой меток времени на подпись АУЦ Банка России. 2. Решил попробовать настроить на другом ПК с Win7 домашняя базовая. При попытке выполнить команду stunnel.exe — install в командной строке от имени Администратора вываливается: Startservicectrldispatcher being called. this may take several seconds. please wait. Как служба stunnel не появляется в оснастке «Службы». Т.е. и здесь не судьба. А настраивать придется все-таки в Win7, в офисе везде лицензионные Win7 установлены. Пожалуйста, помогите. Что я делаю не так ?! Вдруг кто-то уже сталкивался с настройкой и удачным результатом получения метки времени на подпись в АУЦ Банка России. Если уж на Win 7 не получится, то хоть на Win 10, ибо есть одна машинка в офисе на Win 10 (не домашняя) |
![]() |
|
|
Санчир Момолдаев |
|
|
Статус: Сотрудник Группы: Модератор, Участники Сказал(а) «Спасибо»: 83 раз |
Добрый день! согласно документации: какой адрес тсп указываете? есть ли прокси? |
|
Техническую поддержку оказываем тут |
|
![]() |
|
|
two_oceans |
|
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 110 раз |
Цитата: 4.0.9944 Вообще, если работаете на Win10, желательно бы обновиться хотя бы на последнюю сертифицированную 4.0.9963 (если лицензии на 5.0 нет), либо на 5.0 R2 или новее. Суть в тои, что Десятка постоянно меняется и если у Вас не замороженная версия Десятки давности несколько лет, то не все будет гладко работать с 9944. Цитата: Корневые-промежуточные установил в Локальный компьютер, а вот личный сертификат туда никак не ставится. Для этого нужно панель управления КриптоПро запустить с правами администратора (в 4 версии на первой вкладке общие соответствующая ссылка). Сработает если у пользователя есть права администратора (ну если с корневыми вышло, то полагаю есть). Как обычно на вкладке «Сервис» нажимаете одну из кнопок «Просмотреть сертификаты в контейнере» либо «Установить личный сертификат». Далее в мастере находите переключатель «введенное имя задает ключевой контейнер» выбираете «компьютера». Если был просмотр сертификатов, то нажимаете «Установить» на последнем шаге. Это должно установить сертификат в «Личные» локального компьютера. Тонкий момент разве что в том, что если хотите использовать реестр, то контейнер в реестре пользователя не видно в режиме компьютера, поэтому возможно потребуется сначала скопировать на флэшку (она видна в обоих режимах), потом обратно в реестр уже компьютера. Цитата: 2. Решил попробовать настроить на другом ПК с Win7 домашняя базовая. При попытке выполнить команду stunnel.exe — install в командной строке от имени Администратора вываливается: Пробел там не лишний между — и install? Это конечно самый простой способ создать службу, но не единственный. Также можно использовать другие способы: программку instserv (идет в комплекте у многих драйверов и программ), системную команду sc create (навскидку, у меня на Семерке создается практически одинаковый куст реестра с тем что создает сам stunnel) Код:
либо добавление файла реестра экспортированного с одного компьютера импортом на другой. В случае файла реестра потребуется перезагрузка. Ах да, не забывайте про разрядность системы. Отредактировано пользователем 28 января 2022 г. 11:15:24(UTC) |
![]() |
|
|
TYMRFIK |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Добрый день. Конфиг содержит: Цитата: verify = 0 ОС — Windows 10 разрядность 64. Служба stuunel запускается без проблем. КриптоПро версии 5. Установлены все компоненты КриптоПро TLS и OCSP Цитата: 2022.11.02 09:47:49 LOG5[9020:7704]: stunnel 4.18 on x86-pc-unknown Имеется прокси-сервер: но доступ ко всем адресам cbr.ru открыт! |
![]() |
|
|
TYMRFIK |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 2 раз |
Решили свою проблему согласно: — Единственно нужно набираться терпения: потому что ответ поступает долго от серверов штампа времени БР. |
![]() |
|
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Коды ошибок
Коды ошибок библиотеки tspcli
| Код ошибки | Описаниие |
|---|---|
| 0xC2100100 | При попытке отправки запроса возникла ошибка HTTP |
| 0xC2100101 | Указанный тип аутентификации запрещен групповой политикой |
| 0xC2100102 | Указанный тип аутентификации прокси-сервера запрещен групповой политикой |
| 0xC2100103 | Указанная служба штампов запрещена групповой политикой |
| 0xC2100104 | Использование поля Nonce запрещено групповой политикой |
| 0xC2100110 | Указанный алгоритм хэширования запрещен групповой политикой |
| 0xC2100111 | Указанный «PolicyID» запрещен групповой политикой |
| 0xC2100120 | Значение полей «Nonce» запроса и штампа не совпадают |
| 0xC2100121 | Не задан адрес службы штампов времени |
| 0xC2100122 | Штамп времени просрочен (выдан слишком давно) |
| 0xC2100123 | В запросе отсутствует хэш-значение |
| 0xC2100124 | Получен ответ службы штампов времени с ошибкой |
| 0xC2100140 | Лицензия на КриптоПро TSP Client истекла или не была введена |
Коды ошибок библиотеки ocspcli
| Код ошибки | Описаниие |
|---|---|
| 0xC2110100 | При попытке отправки запроса возникла ошибка HTTP |
| 0xC2110101 | Указанный тип аутентификации запрещен групповой политикой |
| 0xC2110102 | Указанный тип аутентификации прокси-сервера запрещен групповой политикой |
| 0xC2110103 | Указанная служба OCSP запрещена групповой политикой |
| 0xC2110104 | Встречено расширение (AcceptableTypes или Nonce), запрещенное групповой политикой |
| 0xC2110110 | Подписанные OCSP-запросы запрещены политикой |
| 0xC2110111 | Неподписанные OCSP-запросы запрещены политикой |
| 0xC2110120 | Поля «Nonce» OCSP-запроса и ответа не совпадают |
| 0xC2110121 | Не задан адрес службы OCSP |
| 0xC2110122 | OCSP-ответ просрочен по значению поля «ProducedAt» или «NextUpdate» |
| 0xC2110123 | Значение поля «ThisUpdate» OCSP-ответа просрочено |
| 0xC2110124 | Значение поля «NextUpdate» OCSP-ответа меньше значения «ThisUpdate» |
| 0xC2110125 | В OCSP-ответе не найден запрашиваемый статус сертификата |
| 0xC2110126 | Сертификат отозван |
| 0xC2110127 | Статус сертификата не известен |
| 0xC2110128 | Получен OCSP-ответ с ошибкой |
| 0xC2110129 | Полученный OCSP-ответ содержит неизвестное критическое расширение |
| 0xC2110130 | Время Службы OCSP рассинхронизировано со Службой штампов времени |
| 0xC2110140 | Лицензия на КриптоПро OCSP Client (Revocation Provider) истекла или не была введена |
Коды ошибок
Коды ошибок библиотеки tspcli
| Код ошибки | Описаниие |
|---|---|
| 0xC2100100 | При попытке отправки запроса возникла ошибка HTTP |
| 0xC2100101 | Указанный тип аутентификации запрещен групповой политикой |
| 0xC2100102 | Указанный тип аутентификации прокси-сервера запрещен групповой политикой |
| 0xC2100103 | Указанная служба штампов запрещена групповой политикой |
| 0xC2100104 | Использование поля Nonce запрещено групповой политикой |
| 0xC2100110 | Указанный алгоритм хэширования запрещен групповой политикой |
| 0xC2100111 | Указанный «PolicyID» запрещен групповой политикой |
| 0xC2100120 | Значение полей «Nonce» запроса и штампа не совпадают |
| 0xC2100121 | Не задан адрес службы штампов времени |
| 0xC2100122 | Штамп времени просрочен (выдан слишком давно) |
| 0xC2100123 | В запросе отсутствует хэш-значение |
| 0xC2100124 | Получен ответ службы штампов времени с ошибкой |
| 0xC2100140 | Лицензия на КриптоПро TSP Client истекла или не была введена |
Коды ошибок библиотеки ocspcli
| Код ошибки | Описаниие |
|---|---|
| 0xC2110100 | При попытке отправки запроса возникла ошибка HTTP |
| 0xC2110101 | Указанный тип аутентификации запрещен групповой политикой |
| 0xC2110102 | Указанный тип аутентификации прокси-сервера запрещен групповой политикой |
| 0xC2110103 | Указанная служба OCSP запрещена групповой политикой |
| 0xC2110104 | Встречено расширение (AcceptableTypes или Nonce), запрещенное групповой политикой |
| 0xC2110110 | Подписанные OCSP-запросы запрещены политикой |
| 0xC2110111 | Неподписанные OCSP-запросы запрещены политикой |
| 0xC2110120 | Поля «Nonce» OCSP-запроса и ответа не совпадают |
| 0xC2110121 | Не задан адрес службы OCSP |
| 0xC2110122 | OCSP-ответ просрочен по значению поля «ProducedAt» или «NextUpdate» |
| 0xC2110123 | Значение поля «ThisUpdate» OCSP-ответа просрочено |
| 0xC2110124 | Значение поля «NextUpdate» OCSP-ответа меньше значения «ThisUpdate» |
| 0xC2110125 | В OCSP-ответе не найден запрашиваемый статус сертификата |
| 0xC2110126 | Сертификат отозван |
| 0xC2110127 | Статус сертификата не известен |
| 0xC2110128 | Получен OCSP-ответ с ошибкой |
| 0xC2110129 | Полученный OCSP-ответ содержит неизвестное критическое расширение |
| 0xC2110130 | Время Службы OCSP рассинхронизировано со Службой штампов времени |
| 0xC2110140 | Лицензия на КриптоПро OCSP Client (Revocation Provider) истекла или не была введена |
Содержание
- Com timestamp ошибка работы со штампом времени
- Причина №1. Работу блокирует антивирусная программа
- Причина №2. Не настроено (или настроено некорректно) подключение к прокси-серверу
- Причина №3. Работа https запрещена политиками безопасности
- Причина №4. Не установлены обновления для ОС
- Причина №5. Установлены два криптопровайдера
- Решение №6. Повреждена СКЗИ
- Com timestamp ошибка работы со штампом времени
- Для чего нужны штампы времени
- Краткое описание протокола TSP
- Запрос на штамп времени
- Ответ сервера штампов времени
- Как хранить штампы времени совместно с документами
- Минакова Юлия
- бухгалтер
- Метка времени не прошла проверку
- Результат проверки ЭП: Метка времени не прошла проверку? Что это означает? Спасибо.
- Усовершенствованная электронная подпись
- Для чего применяют усовершенствованную цифровую подпись?
- Где применяют усовершенствованную электронную подпись?
- Сервер доверенного времени (TSA, timestamp)
- Что такое доверенное время?
- Насколько точно идут наши часы?
- Получение метки времени
- Проверка подлинности метки времени
- Появилась ошибка «Не удалось отправить запрос на штамп времени»
- Причина №1. Работу блокирует антивирусная программа
- Причина №2. Не настроено (или настроено некорректно) подключение к прокси-серверу
- Причина №3. Работа https запрещена политиками безопасности
- Причина №4. Не установлены обновления для ОС
- Причина №5. Установлены два криптопровайдера
- Решение №6. Повреждена СКЗИ
- Для чего нужны штампы времени
- Краткое описание протокола TSP
- Запрос на штамп времени
- Ответ сервера штампов времени
- Как хранить штампы времени совместно с документами
- Time Stamp Protocol
Использование штампов времени обеспечивает доказательство существования данных на определенный момент времени. В системах электронного документооборота штамп времени является аналогом даты на бумажном документе, а служба штампов времени выступает в роли нотариуса/доверенной стороны, подтверждающей факт существования документа на определенный момент времени.
Сервер функционирует по протоколу TSP поверх HTTP. Штамп времени связывает произвольные данные с меткой времени и заверяется электронной подписью (ЭП) сервера Службы штампов времени. Тестовый TSP-сервер развернут по следующему адресу:
http://soft.lissi.ru:8888/tsa
Тестовый сервер службы штампов времени предназначен только для ознакомительных целей. Сертификат подписи штампов времени выдан Тестовым удостоверяющим центром «ЛИССИ-Софт».
Для обращения к тестовому серверу штампов времени можно воспользоваться утилитой TSP-клиент. Скачать её можно на нашем сайте.
TSP-клиент является утилитой командной строки и имеет следующий синтаксис:
При работе с электронной подписью появилось сообщение «Не удалось отправить запрос на штамп времени».

Причина №1. Работу блокирует антивирусная программа
Причина №2. Не настроено (или настроено некорректно) подключение к прокси-серверу
Настройте прокси-сервер для работы со СБИС3 Плагином.
Причина №3. Работа https запрещена политиками безопасности
- В Internet Explorer откройте любую https-страницу в интернете, например, https://google.com.
- Если она не открылась, в браузере нажмите , выберите «Свойства браузера» и на вкладке «Дополнительно» кликните «Восстановить дополнительные параметры».


Причина №4. Не установлены обновления для ОС
Перейдите в «Панель управления/Система и безопасность/Центр обновления Windows» и установите все доступные обновления.

Причина №5. Установлены два криптопровайдера
На одном компьютере нельзя работать с несколькими СКЗИ. Удалите оба и заново установите основной криптопровайдер.
Решение №6. Повреждена СКЗИ
Переустановите СКЗИ, например, КриптоПро. При этом все поврежденные библиотеки, используемые для безопасности ОС, будут заменены. Прибегать к переустановке СКЗИ следует только в «крайнем» случае, когда вы испробовали все описанные способы ее устранения.

Рис.1.
Настройка ПО “КриптоАРМ 5″ для работы со службой штампов времени.

Рис.2.
Настройка личного кабинета участника информационного обмена с ЦБ РФ для работы со службой штампов времени.
* В настоящее время служба TSP ООО “НТСсофт” предоставляется на безвозмездной основе и работает с сертификатами электронной подписи, выданными любым аккредитованным удостоверяющим центром. Однако в дальнейшем, для её работы может потребоваться предварительная авторизация с сертификатом, выданным УЦ ООО “НТСсофт”. По всем возникающим вопросам обращайтесь на ca@ntssoft.ru
Аккредитованный удостоверяющий центр «НТСсофт».
Большой выбор электронных подписей и сопутствующих услуг.
Источник
Использование ПАК «КриптоПро TSP» позволяет участникам информационных систем получать штампы времени, связанные с электронными документами. Штамп времени представляет из себя электронный документ, подписанный электронной цифровой подписью (электронной подписью), где подписанными данными являются значение хэш-функции электронного документа и время предоставления штампа времени. Таким образом, штамп времени однозначно связан с электронным документом, на который он выдается и обеспечивает его целостность.
Для реализации сервиса TSP необходимо на базе «КриптоПро TSP Server» организовать Сервер службы TSP и встроить «КриптоПро TSP Client» в программное обеспечение клиентских рабочих мест. Встраивание «КриптоПро TSP Client» осуществляется с использованием инструментария разработчика – «КриптоПро PKI SDK».
Для чего нужны штампы времени
- Фиксация времени создания электронного документа. Применение штампа времени позволяет зафиксировать время создания электронного документа. Для этого после создания документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство факта существования электронного документа на момент времени, указанный в штампе.
- Фиксация времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Штамп времени может использоваться в качестве доказательства, определяющего момент подписания электронного документа (1-ФЗ «Об ЭЦП», Статья 4; 63-ФЗ «Об ЭП», Статья 11). Для этого после создания электронной цифровой подписи (электронной подписи) документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство, определяющее момент времени подписания электронного документа.
- Фиксация времени выполнения какой-либо операции, связанной с обработкой электронного документа. Штамп времени на электронный документ может быть получен при выполнении какой-либо операции, связанной с его обработкой, при необходимости зафиксировать время выполнения этой операции. Например, штамп времени может быть получен при поступлении от пользователя электронного документа на сервер электронного документооборота, либо при предоставлении документа какому-либо пользователю.
- Долговременное хранение электронных документов, в том числе и после истечения срока действия сертификатов проверки подписи пользователя. Использование штампов времени позволяет обеспечить доказательство времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Если дополнительно на момент времени формирования ЭЦП (ЭП) рядом со значением ЭЦП (ЭП) и штампом времени сохранить и доказательство действительности сертификата (например, получить и сохранить OCSP-ответ), то проверку указанной ЭЦП (ЭП) можно обеспечить на момент времени её формирования (полная аналогия с бумажным документооборотом). И такую подпись можно будет успешно проверять в течение срока действия ключа проверки подписи Службы штампов времени. А что делать, когда сертификат Службы штампов времени истечет? Ответ прост: до истечения этого сертификата получить ещё один штамп времени на указанный документ (уже с использованием нового закрытого ключа и сертификата Службы штампов времени): этот новый штамп зафиксирует время, на которое старый сертификат службы штампов времени был действителен, и обеспечит целостность этого электронного документа при дальнейшем хранении в течение срока действия сертификата нового штампа времени.
Краткое описание протокола TSP
Протокол TSP (Time-Stamp Protocol) является протоколом типа «запрос-ответ». Весь обмен заключается в двух сообщениях. Клиент инициирует взаимодействие, посылая серверу запрос на штамп времени, на что сервер возвращает ответ, содержащий выпущенный штамп или не содержащий его в случае ошибки.
Запрос на штамп времени
Запрос на штамп времени включает следующие поля:
- Значение хэш-функции от документа, на который запрашивается штамп (обязательно указывается, какой именно алгоритм хэширования используется);
- Объектный идентификатор (OID) политики запрашиваемого штампа (необязательно);
- Nonce — случайное число, идентифицирующее данную транзакцию протокола TSP (необязательно);
- Дополнения (Extensions) (необязательно).
Идентификатор политики определяет, по какой политике должен быть выдан штамп времени. Политики штампов времени задаются сервером штампов времени и устанавливают набор правил, по которым выдаются штампы времени, а также области их применения.
Например, в системе может быть определено несколько политик с разными идентификаторами и следующим описанием:
- Политика для тестовых штампов. Штампы по этой политике выдаются всем пользователям, но могут использоваться только для тестовых целей, а система документооборота не будет принимать такие штампы.
- Основная политика штампов. Штампы по этой политике выдаются всем зарегистрированным пользователям системы, стоимость одного штампа составляет 5 копеек, точность времени в штампе составляет 10 секунд, а система документооборота будет принимать такие штампы для документов, не являющихся важными.
- Точная политика штампов. Штампы по этой политике выдаются пользователям, допущенным к работе с важными документами, стоимость одного штампа составляет 25 копеек, точность времени в штампе составляет 1 секунду, а система документооборота будет принимать такие штампы для любых документов.
Поле Nonce позволяет клиенту проверить своевременность полученного ответа, в котором сервер штампов времени должен разместить то же самое значение nonce, которое было в запросе.
Ответ сервера штампов времени
Ответ сервера штампов времени содержит следующие поля:
- Статус операции и информация об ошибке;
- Штамп времени (если статус успешный).
Штамп времени представляет собой CMS-сообщение (PKCS#7) типа SignedData (см. RFC 3369 «Cryptographic Message Syntax (CMS)»). Содержимым этого сообщения является структура со следующими полями:
- Значение хэш-функции от документа, на который выдан штамп (обязательно указывается, какой именно алгоритм хэширования используется);
- Объектный идентификатор (OID) политики штампа;
- Время выдачи штампа;
- Точность времени;
- Признак строгой упорядоченности штампов (Ordering);
- Nonce — случайное число, идентифицирующее данную транзакцию протокола TSP (совпадает с соответствующим полем запроса);
- Дополнения (Extensions) (необязательно).
Сервер штампов указывает признак ordering, если он работает в режиме строгой упорядоченности штампов. Т.е. сравнение времён двух выданных этим серверов штампов даже без учёта точности времени определяет порядок их выдачи.
Как хранить штампы времени совместно с документами
В RFC 3161 «Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)» описан вариант хранения штампа времени на документ с ЭЦП (ЭП) формата CMS SignedData в неподписанном атрибуте этого CMS-сообщения.
Для организации долговременного архивного хранения документов с ЭЦП (ЭП) могут использоваться штампы времени, а также дополнительные данные, необходимые для подтверждения подлинности ЭЦП (ЭП) – так называемые доказательства подлинности ЭЦП (ЭП). К таковым относятся:
- Штампы времени;
- Сертификат ключа подписи, использованного для создания оригинальной ЭЦП (ЭП);
- Сертификат УЦ, издавшего сертификат ключа подписи (если цепочка сертификатов содержит другие УЦ, то их сертификаты также необходимо проверить);
- Сертификат Службы штампов времени;
- Цепочка сертификатов для проверки сертификата Службы штампов времени;
- Информацию о статусе сертификатов (Списки отозванных сертификатов или OCSP-ответы).
Для обеспечения актуальности ЭЦП (ЭП) при долговременном хранении необходимо периодически получать новые штампы времени.
Возможный вариант форматов данных и идентификаторы атрибутов для долговременного хранения документов с ЭЦП (ЭП) на основе CMS-сообщений описаны в европейском стандарте CAdES (ETSI TS 101 733). Версия этого стандарта опубликована в виде RFC 5126 «CMS Advanced Electronic Signatures (CAdES)»>RFC 5126 «CMS Advanced Electronic Signatures (CAdES)».
Источник
Минакова Юлия
бухгалтер
Метка времени не прошла проверку
Результат проверки ЭП: Метка времени не прошла проверку? Что это означает? Спасибо.
Добрый вечер, Наталья!
Это значит, что ЭП уже не действительна.
Кроме заверения документов электронной подписью, вы можете удостоверять точное время их создания.
Использование меток времени в электронном документообороте позволит вам создавать официальное доказательство факта существования документа на определённый момент времени.
Что такое метка времени
Метка времени — это подписанный ЭЦП документ, которым Служба метки времени удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от документа. Само значение хэш-функции также указывается в метке.
С помощью метки времени можно проверять:
Достоверность времени создания документа
Метка времени на документе удостоверяет точное время создания этого документа для того, чтобы в последующем разрешать конфликты, связанные с его использованием. Таким образом, с помощью метки времени вы обеспечиваете неотрекаемость автора документа от своей подписи.
Сохранность актуальности электронной подписи
Наличие метки времени в подписанном документе позволяет продлевать срок действия электронной подписи. Такой штамп удостоверяет, например, что подпись была создана до того, как сертификат ключа подписи был аннулирован (отозван). Таким образом, для проверки подписи, созданной до момента отзыва сертификата, вы можете использовать уже отозванный сертификат. Цепочка меток времени позволяет создавать системы архивного хранения электронных документов, сохраняющие актуальность ЭЦП в документах. В ином случае, актуальность подписанного документа ограничена сроком действия сертификата ключа подписи.
Усовершенствованная электронная подпись
Электронная подпись необходима для визирования различного рода документации. Усовершенствованная ЭП содержит данные о времени создания визирования (TSP) и статусе сертификата (OCSP) в момент его изменения (отозван он или находится в действующем состоянии).
Время подписи синхронизируется с сервером точного времени, который расположен в УЦ. Для того, чтобы это было возможно, в момент подписания документа посылается сигнал на сервер и формируется метка точного времени, которая фиксируется в подписи.
Усовершенствованная электронная подпись имеет правовую подоплеку, благодаря цифровой квитанции, которую выдает удостоверяющий центр. Данная квитанция формируется в момент подписи благодаря OCSP. В документе фиксируется статус и ставится отметка времени, которая подтверждает целостность файла на этапе проверки. Статус хранится в ЭП.
Для чего применяют усовершенствованную цифровую подпись?
Благодаря ЭП можно подтвердить юридический статус документа при возникновении различных споров. Такие ситуации чаще всего возникают, к примеру, для доказательства авторства или целостности файла. В таких случаях очень важно знать точное время подписания.
Подлинность усовершенствованной ЭП можно проверить даже спустя долгий период времени, кроме того, она действительна и по истечению срока действия сертификата.
В современном цифровом документообороте применение подписи с меткой времени считается необходимым условием для государственных служб, к примеру, для таможенного контроля Федерального значения.
Где применяют усовершенствованную электронную подпись?
Усовершенствованная ЭП используется в специально разработанных системах цифрового документооборота, где есть физическая возможность просмотра отметки времени.
Использование усовершенствованной электронной подписи сможет надежно защитить документы и разрешить любые спорные вопросы.
Сервер доверенного времени (TSA, timestamp)
Для получения доступа к серверу доверенного времени необходимо скачать TSA-клиент, заполнив форму ниже.
Доступ к сервису привязывается к Вашему внешнему IP-адресу.
При попытке подключиться с другого адреса доступ будет запрещён. В этом случае скачайте TSA-клиент заново из того места, откуда пытаетесь подключиться.
Для Вашего удобства Ваш текущий внешний IP-адрес показан на странице.
В настоящий момент доступ к серверу доверенного времени осуществляется бесплатно. Это продлится до окончания промо-периода, о завершении которого будет сообщено дополнительно. В этой связи убедительно просим указывать актуальный e-mail.
Ваш IP был определён автоматически: . Использовать его
Что такое доверенное время?
Предположим, у Вас есть некоторые данные или файл. С помощью доверенного времени (TSA, timestamp) Вы можете получить свидетельство того, что именно эти данные в этот момент есть у Вас. В будущем наличие такого свидетельства поможет доказать, например, Ваше авторство этого файла. Поскольку Вы-автор, у Вас данный файл окажется раньше всех, и это будет подтверждено подписанной электронной подписью меткой времени, которая была получена от сервера доверенного времени. Если позже кто-то скопировал этот файл и также получил доверенный timestamp, в его метке будет указано более позднее время. Соответственно, при сравнении этих меток будет очевидно, что Ваш файл был создан раньше.
Другой пример использования — электронные аукционы. Нередко возникает ситуация, когда важно точно определить последовательность поданных заявок. От этого может решиться судьба лота или контракта. В этом случае метка доверенного времени позволит определить точную последовательность поданных заявок, своего рода фотофиниш.
Кроме того, метка доверенного времени (timestamp) стала неотъемлемой составляющей каждого запроса в систему Государственной информационной системы о государственных и муниципальных платежах (ГИС ГМП) Федерального казначейства России. Соответственно, Вы можете использовать нашу службу для выставления меток TSA. Однако следует учесть тот факт, что от нас Вы получаете только метку времени, составление же полноценного XAdES вверяется полностью Вам в руки.
Работает все это следующим образом. Сначала, с помощью специальных криптографических средств, вычисляется хэш от файла. Затем на основании этого хэша формируется запрос на получение метки времени. Запрос отправляется на сервер, который извлекает из него хэш, добавляет к нему точное время и подписывает всё это своим закрытым ключом. Полученный таким образом ответ возвращается пользователю.
Каким образом наличие метки доверенного времени доказывает наличие у Вас именно этого файла строго в определённый момент в прошлом? Дело в том, что внутри метки имеется уникальный хэш Вашего файла и точное время, которое указал сервер. «Неподдельность», фактически отсутствие изменений в метке после того, как она была сформирована сервером, доказывается его электронной подписью (ЭП) в метке — если метка будет изменена после подписания, подпись ей соответствовать не будет и факт подлога станет очевиден.
Насколько точно идут наши часы?
RFC 3161 требует наличия у сервера TSA источника точного времени. Поэтому наш сервер оборудован высокоточными часами, которые постоянно синхронизируются с сигналами точного времени, получаемыми от спутников навигационных систем ГЛОНАСС и GPS.
Получение метки времени
Метку доверенного времени можно получить от нашего сервера с помощью TSA-клиента, форма для скачивания которого находится в начале страницы. После скачивания Вам потребуется лишь запустить скрипт TSAreq.bat из командной строки Windows, указав ему в качестве параметра файл для подписи. Например, так: TSAreq.bat test.txt
Дальше TSA-клиент сделает всё сам. Метка времени будет записана в отдельный файл — tsreply.
Проверка подлинности метки времени
Для того, чтобы проверить, что метка времени не поддельная, а действительно была выдана сервером, Вам понадобится сертификат Удостоверяющего Центра, который выдал серверу сертификат его ключа (tsaca.crt, находится в подкаталоге crypto архива).
Для проверки подлинности метки нужно выполнить скрипт TSAverify.bat из командной строки Windows:
Появилась ошибка «Не удалось отправить запрос на штамп времени»
При работе с электронной подписью появилось сообщение «Не удалось отправить запрос на штамп времени».
Причина №1. Работу блокирует антивирусная программа
Настройте антивирусы и программы-блокировщики на работу со СБИС3 Плагином.
Причина №2. Не настроено (или настроено некорректно) подключение к прокси-серверу
Настройте прокси-сервер для работы со СБИС3 Плагином.
Причина №3. Работа https запрещена политиками безопасности
- В Internet Explorer откройте любую https-страницу в интернете, например, https://google.com.
- Если она не открылась, в браузере нажмите , выберите «Свойства браузера» и на вкладке «Дополнительно» кликните «Восстановить дополнительные параметры».
- Перейдите на вкладку «Содержание» нажмите «Очистить SSL».
- Проверьте дату и время на компьютере. Настройте для них автоматическую синхронизацию (доступно для всех ОС, кроме Windows 7).
Причина №4. Не установлены обновления для ОС
Перейдите в «Панель управления/Система и безопасность/Центр обновления Windows» и установите все доступные обновления.
Причина №5. Установлены два криптопровайдера
На одном компьютере нельзя работать с несколькими СКЗИ. Удалите оба и заново установите основной криптопровайдер.
Решение №6. Повреждена СКЗИ
Переустановите СКЗИ, например, КриптоПро. При этом все поврежденные библиотеки, используемые для безопасности ОС, будут заменены. Прибегать к переустановке СКЗИ следует только в «крайнем» случае, когда вы испробовали все описанные способы ее устранения.
Использование ПАК «КриптоПро TSP» позволяет участникам информационных систем получать штампы времени, связанные с электронными документами. Штамп времени представляет из себя электронный документ, подписанный электронной цифровой подписью (электронной подписью), где подписанными данными являются значение хэш-функции электронного документа и время предоставления штампа времени. Таким образом, штамп времени однозначно связан с электронным документом, на который он выдается и обеспечивает его целостность.
Для реализации сервиса TSP необходимо на базе «КриптоПро TSP Server» организовать Сервер службы TSP и встроить «КриптоПро TSP Client» в программное обеспечение клиентских рабочих мест. Встраивание «КриптоПро TSP Client» осуществляется с использованием инструментария разработчика – «КриптоПро PKI SDK».
Для чего нужны штампы времени
- Фиксация времени создания электронного документа. Применение штампа времени позволяет зафиксировать время создания электронного документа. Для этого после создания документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство факта существования электронного документа на момент времени, указанный в штампе.
- Фиксация времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Штамп времени может использоваться в качестве доказательства, определяющего момент подписания электронного документа (1-ФЗ «Об ЭЦП», Статья 4; 63-ФЗ «Об ЭП», Статья 11). Для этого после создания электронной цифровой подписи (электронной подписи) документа необходимо сформировать запрос на получение штампа времени. Полученный штамп времени обеспечит доказательство, определяющее момент времени подписания электронного документа.
- Фиксация времени выполнения какой-либо операции, связанной с обработкой электронного документа. Штамп времени на электронный документ может быть получен при выполнении какой-либо операции, связанной с его обработкой, при необходимости зафиксировать время выполнения этой операции. Например, штамп времени может быть получен при поступлении от пользователя электронного документа на сервер электронного документооборота, либо при предоставлении документа какому-либо пользователю.
- Долговременное хранение электронных документов, в том числе и после истечения срока действия сертификатов проверки подписи пользователя. Использование штампов времени позволяет обеспечить доказательство времени формирования электронной цифровой подписи (электронной подписи) электронного документа. Если дополнительно на момент времени формирования ЭЦП (ЭП) рядом со значением ЭЦП (ЭП) и штампом времени сохранить и доказательство действительности сертификата (например, получить и сохранить OCSP-ответ), то проверку указанной ЭЦП (ЭП) можно обеспечить на момент времени её формирования (полная аналогия с бумажным документооборотом). И такую подпись можно будет успешно проверять в течение срока действия ключа проверки подписи Службы штампов времени. А что делать, когда сертификат Службы штампов времени истечет? Ответ прост: до истечения этого сертификата получить ещё один штамп времени на указанный документ (уже с использованием нового закрытого ключа и сертификата Службы штампов времени): этот новый штамп зафиксирует время, на которое старый сертификат службы штампов времени был действителен, и обеспечит целостность этого электронного документа при дальнейшем хранении в течение срока действия сертификата нового штампа времени.
Краткое описание протокола TSP
Протокол TSP (Time-Stamp Protocol) является протоколом типа «запрос-ответ». Весь обмен заключается в двух сообщениях. Клиент инициирует взаимодействие, посылая серверу запрос на штамп времени, на что сервер возвращает ответ, содержащий выпущенный штамп или не содержащий его в случае ошибки.
Запрос на штамп времени
Запрос на штамп времени включает следующие поля:
- Значение хэш-функции от документа, на который запрашивается штамп (обязательно указывается, какой именно алгоритм хэширования используется);
- Объектный идентификатор (OID) политики запрашиваемого штампа (необязательно);
- Nonce — случайное число, идентифицирующее данную транзакцию протокола TSP (необязательно);
- Дополнения (Extensions) (необязательно).
Идентификатор политики определяет, по какой политике должен быть выдан штамп времени. Политики штампов времени задаются сервером штампов времени и устанавливают набор правил, по которым выдаются штампы времени, а также области их применения.
Например, в системе может быть определено несколько политик с разными идентификаторами и следующим описанием:
- Политика для тестовых штампов. Штампы по этой политике выдаются всем пользователям, но могут использоваться только для тестовых целей, а система документооборота не будет принимать такие штампы.
- Основная политика штампов. Штампы по этой политике выдаются всем зарегистрированным пользователям системы, стоимость одного штампа составляет 5 копеек, точность времени в штампе составляет 10 секунд, а система документооборота будет принимать такие штампы для документов, не являющихся важными.
- Точная политика штампов. Штампы по этой политике выдаются пользователям, допущенным к работе с важными документами, стоимость одного штампа составляет 25 копеек, точность времени в штампе составляет 1 секунду, а система документооборота будет принимать такие штампы для любых документов.
Поле Nonce позволяет клиенту проверить своевременность полученного ответа, в котором сервер штампов времени должен разместить то же самое значение nonce, которое было в запросе.
Ответ сервера штампов времени
Ответ сервера штампов времени содержит следующие поля:
- Статус операции и информация об ошибке;
- Штамп времени (если статус успешный).
Штамп времени представляет собой CMS-сообщение (PKCS#7) типа SignedData (см. RFC 3369 «Cryptographic Message Syntax (CMS)»). Содержимым этого сообщения является структура со следующими полями:
- Значение хэш-функции от документа, на который выдан штамп (обязательно указывается, какой именно алгоритм хэширования используется);
- Объектный идентификатор (OID) политики штампа;
- Время выдачи штампа;
- Точность времени;
- Признак строгой упорядоченности штампов (Ordering);
- Nonce — случайное число, идентифицирующее данную транзакцию протокола TSP (совпадает с соответствующим полем запроса);
- Дополнения (Extensions) (необязательно).
Сервер штампов указывает признак ordering, если он работает в режиме строгой упорядоченности штампов. Т.е. сравнение времён двух выданных этим серверов штампов даже без учёта точности времени определяет порядок их выдачи.
Как хранить штампы времени совместно с документами
В RFC 3161 «Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)» описан вариант хранения штампа времени на документ с ЭЦП (ЭП) формата CMS SignedData в неподписанном атрибуте этого CMS-сообщения.
Для организации долговременного архивного хранения документов с ЭЦП (ЭП) могут использоваться штампы времени, а также дополнительные данные, необходимые для подтверждения подлинности ЭЦП (ЭП) – так называемые доказательства подлинности ЭЦП (ЭП). К таковым относятся:
- Штампы времени;
- Сертификат ключа подписи, использованного для создания оригинальной ЭЦП (ЭП);
- Сертификат УЦ, издавшего сертификат ключа подписи (если цепочка сертификатов содержит другие УЦ, то их сертификаты также необходимо проверить);
- Сертификат Службы штампов времени;
- Цепочка сертификатов для проверки сертификата Службы штампов времени;
- Информацию о статусе сертификатов (Списки отозванных сертификатов или OCSP-ответы).
Для обеспечения актуальности ЭЦП (ЭП) при долговременном хранении необходимо периодически получать новые штампы времени.
Возможный вариант форматов данных и идентификаторы атрибутов для долговременного хранения документов с ЭЦП (ЭП) на основе CMS-сообщений описаны в европейском стандарте CAdES (ETSI TS 101 733). Версия этого стандарта опубликована в виде RFC 5126 «CMS Advanced Electronic Signatures (CAdES)».
Time Stamp Protocol
Time stamp protocol (протокол штампа времени) или TSP — это криптографический протокол, позволяющий создавать доказательство факта существования электронного документа на определённый момент времени.
«Штамп времени» (англ. time-stamp) — это документ, подписанный электронной подписью (ЭП). Этим документом «центр штампов времени» удостоверяет, что в определённый момент времени ему был предоставлен результат вычисления хеш-функции от содержимого документа, факт существования которого необходимо подтвердить. Результат вычисления хеш-функции и момент времени указываются в «штампе».
«Центр штампов времени» (англ. time stamping authority, TSA) — доверенный субъект PKI, обладающий точным и надёжным источником времени и оказывающий услуги по созданию «штампов времени».
Результат вычисления хеш-функции от содержимого документа, на который получен «штамп времени», служит для связывания «штампа» с документом. «Центр штампов времени» не узнает содержимое документа, так как в «штамп времени» включается только результат вычисления хеш-функции от содержимого документа (сохраняется конфиденциальность документа).
Источник
Обновлено: 28.01.2023
Всем привет.
Вторые сутки ломаю мозг по использованию библиотеки CAPICOM.
Необходимо реализовать выбор сертификата из списка , и возможность подписать ЭЦП этого сертификата.
Пытаюсь сделать следующее:
OSertificats = СоздатьОбъект(«CAPICOM.Certificates»);
OSertificats.Select(,,1); //true
bMultiSelect [in, optional]
Boolean value that indicates whether the user can select more than one certificate. True indicates multiple certificates can be selected by using the CTRL or SHIFT key. The default value is false.
При true выпадает пустой список.
При false — выдает : Сертификаты недоступны, сертификаты не отвечают критериям.
CURRENT_USER_STORE = 2;
MY_STORE = «My»;
STORE_OPEN_READ_ONLY = 0;
Store = СоздатьОбъект(«CAPICOM.Store»);
Store.Open(CURRENT_USER_STORE, MY_STORE, STORE_OPEN_READ_ONLY);
Вообще ничего не происходит.
Подскажите у кого есть опыт по реализации таких задач.
Спасибо
(0)Ну, все правильно. А дальше:
Далее используйте: ТекСерт.Свойство,КотороеВамНужно.
Вот уже IE (замена на Edge) с Microsoft Edge (на движок Chromium переходит где COM нету) того и дальше будет только хуже.
Так что забывайте уже о COM/OLE/ActiveX и используете другие методы, да старый древний запуск консольной утилиты/проги с параметрами по прежнему в строю.
И будущее за веб-сервисами.
Ну, консольное приложение из (1), платное. Лецензируется отдельно от КриптоПро, и работает с ним в паре. Интересно, сколько стоит?
(5) бесплатно, там устаревшая инфа в новых криптопро оно из коробки
(6)+ Точнее не бесплатно а в комплекте с платным КриптоПро оно.
Никакой лицензии отдельной не запрашивает, может конечно я и ошибаюсь но фактически так.
(0) советую сразу перейти на CADESCOM из комплекта КриптоПро. Разницы по вызовам с CAPICOM практически нет, соместимость процентов 95. Но при этом CADESCOM поддерживается, в том числе и для новых виндов, а CAPICOM давно с поддержки снят и не понятно, с какого очередного релиза Win10 он крякнет. Может с любого свежего.
(9) CADESCOM отдельно покупать надо или в коробке со штатным крипто про идет?
Где то видел CADESCOM — 90 дней триал, а дальше лицензию надо.
CADESCOM идет в составе браузерного плагина для CryptoPro. Скачивается все это дело с сайта CryptoPro бесплатно, само подцепляется к уже установленному CryptoPro автоматически и живет.
эта функа ищет сертификат по его SHA1-хэшу и возвращает. Функа на VBS. Другого нет — скрипт писал именно на нем
для капиком, собственно, все то же самое и тоже работает — изначально было на нем. Но я в конце концов с него ушел.
Кстати прикол хотите?
(10) нет такого. Если у вас крипто-про куплен, то браузер плагин ставится без каких-либо дополнительных вопросов и в нем этот кадеском есть и работает. Уже он у меня работает не один год так, а не 90 дней. Там единственное что — для некоторых более сложных подписей чем CADES_BES, нужна служба штампов времени. Вот она да, приобретается отдельно. Но это еще вопрос, нужна она вам или нет.
(16) Вообще вся эта тема для работы с системой маркировки. Там вроде служба времени не нужна
(4) браузеры браузерами, а на десктопе ком никуда не денется, пока жив сам по себе десктоп. Его и в х64 MS притащили, а значит, пока девать никуда не собираются.
Это все хорошо. Вариантов несколько, кто как хочет, тот так и заморочится. Но, вот как-бы из v7 научиться с аппаратными криптопровайдерами работать. Типа, ЕГАИСовского Рутокен-ЭЦП 2.0. Пока, не нашел способов 🙁
(20) читаю и не могу понять. А чем он принципиально отличается от любой другой смарт-карты, етокена того же?
Принципиально — тем, что с ним не работает тот-же КриптоПро. У него на борту свой, встроенный криптопровайдер. Все операции по подписанию и шифрованию происходят «внутри», с неизвлекаемыми ключами.
У обычных токенов, контейнер с ключами и сертификатами доступен «извне», их видит КриптоПро или VipNet, и с ними работает программно. Здесь свой «типаКриптоПро», внутри.
Кроме того, сертификат вместе с ключами с обычного токена, можно скопировать например на другой токен, в папку на диске, в реестр наконец. С Рутокен ЭЦП 2.0 или устаревшей JaCarta, такой фокус не проходит, сертификат вытащить можно, но без закрытых ключей.
(24) При перегенерации все прекрасно вытаскивается наружу ))
CAPICOM снята с поддержки лет уже как 10. Зачем Вам то, что так сильно устарело?
полно опен проектов, тот-же гнус например очень даже хорошо работает с сертификатами (как эцп так и шифрование).
Хм. Интересно. Просто заменой объекта:
Дальше, пока не пробовал, надо будет на досуге заняться.
К рутокену идет свой доайвер,который прекрасно с ним работает.
плюс в том,что криптопро покупать не надо.
(32) у человека вопрос, через какое апи можно дергать механизм подписи этим ключом, например, из 1с 7.7. Желательно понятно и с примерами. Криптопро в данном случае хорош тем, что там есть сеть разработчиков, примеры и как работать с cadescom/capicom, многие худо-бедно знают.
+(33)Да, именно так. Там, где он должен работать через свой драйвер — он работает, вообще без проблем, есть необходимый софт, плагины.
А вот как к нему из 7.7 достучаться, для меня пока загадка. Готовых примеров не нашел, а самому с предоставленным на сайте SDK разбираться — сложно, долго, и и самое главное, опыта не хватает. Да,
и по большому счету — и если только ради интереса, экономически не выгодно, кому надо — могут себе позволить плюсом к ЕГАИСовской ЭЦП еще и КриптоПрошную, вместе с самим КриптоПро, не космических денег они стоят.
Просто, было-бы удобно, один токен-одна ЭЦП на все, что связано с торговыми «извратами».
(34) Если я правильно понял, то с КриптоПро идет бесплатная консольная утилита для подписи — csptest.exe и ею вполне таки можно пользоваться. Сам правда ещё не пробовал, просто читал мануал.
Или использование консольных утилит не подходит?
(34) -> (30), криптопро уже умеет через свое апи работать с такими подписями. Правда, нужна версия 5, которая пока еще не у всех куплена, чаще всего у людей четверка.
Всем привет. До сих пор воюю с этими подписями .
. a. a?. x
Пробовал юзать CadesCOM — выдает что не введена лицензия.
Что еще можно сделать?
(6) на сайте пишут что 5 версия требует лицензию.
(37) + при подписании не открепленной подписью, подписывает корректно
и вот это имхо тоже зря, потому что опять же непонятно что с этим из-под 7.7 делать. Ну не умеет она юникоду ни в каком виде.
Поставьте US-ASCII.
(41)ну,если двоичный поток,то 7.7 прекрасно умеет utf-8,так как строки однобайтовые
а вот для Com-сервера строку можно передать только как bstr,а это unicode строка.
лицензию требует не com-сервер,а само CryptoPro.
(42) > лицензию требует не com-сервер,а само CryptoPro.
(42) Описание ошибки: CAdESCOM.CadesSignedData.1: Лицензия на КриптоПро TSP Client истекла или не была введена
(44) У тебя ситуация (43) ты при подписи выбрал такие параметры что она пытается службу штампов времени заюзать
И там обрати внимание:
«с усиленной квалифицированной электронной подписью <> усовершенствованная ЭЦП
(45) (43) Спасибо. Открепленная подпись заработала с CAPICOM ом.
Данные подписываются запрос отправляется, но с сигнатурой по прежнему что то не то.
Документ на сайте ЧЗ не создается, хотя id документа возвращается.
Что не так не понятно. Файл после подписания точно имеет открепленную подпись и не содержит данных,
я проверил декодировав base64 полученный после подписания. С не открепленной — содержатся данные в моем случае xml,
без открепленной данных нет. Далее это открепленную подпись преобразую в base64 и что то не так.
Документ точно заполняется как надо.
Если строкой передаю сигнатуру руками скопированную из запроса браузера, документы создаются.
Что еще можно проверить.
(47) Не нужна открепленная )) Обычная подпись там. Точнее в МДЛП была обычная а не «открепленная» а какая у тебя маркировка хз.
(48) судя по тому что через браузер длинее — похоже на то что должна быть не открепленная.
ТС, а неоткрепленную не пробовал? Метод тыка — дело иногда полезное.

Я построю свой собственный сервис для подписания документов — FOX ©
Важное вступление
В гайде описывается формирование отсоединенной подписи в формате PKCS7 (рядом с файлом появится файл в формате .sig). Такую подпись может запросить нотариус, ЦБ и любой кому нужно долгосрочное хранения подписанного документа. Удобство такой подписи в том, что при улучшении ее до УКЭП CAdES-X Long Type 1 (CMS Advanced Electronic Signatures [1]) в нее добавляется штамп времени, который генерирует TSA (Time-Stamp Protocol [2]) и статус сертификата на момент подписания (OCSP [3]) — подлинность такой подписи можно подтвердить по прошествии длительного периода (Усовершенствованная квалифицированная подпись [4]).
Что имеем на входе?
КриптоПро CSP версии 5.0 — для поддержки Российских криптографических алгоритмов (подписи, которые выпустили в аккредитованном УЦ в РФ)
КриптоПро TSP Client 2.0 — нужен для штампа времени
КриптоПро OCSP Client 2.0 — проверит не отозван ли сертификат на момент подписания
Любой сервис по проверке ЭП — я использовал Контур.Крипто как основной сервис для проверки ЭП и КриптоАРМ как локальный. А еще можно проверить ЭП на сайте Госуслуг
КЭП по ГОСТ Р 34.11-2012/34.10-2012 256 bit, которую выпустил любой удостоверяющий центр
КриптоПро CSP версии 5.0 — у меня установлена версия 5.0.11944 КС1, лицензия встроена в ЭП.
КриптоПро TSP Client 2.0 и КриптоПро OCSP Client 2.0 — лицензии покупается отдельно, а для гайда мне хватило демонстрационного срока.
Контур.Крипто бесплатен, но требует регистрации. В нем также можно подписать документы КЭП, УКЭП и проверить созданную подпись загрузив ее файлы.
Так, а что надо на выходе?
А на выходе надо получить готовое решение, которое сделает отсоединенную ЭП в формате .sig со штампом времени на подпись и доказательством подлинности. Для этого зададим следующие критерии:
КриптоАРМ после проверки подписи
Заполнит поле «Время создания ЭП» — в конце проверки появится окно, где можно выбрать ЭП и кратко посмотреть ее свойства
В информации о подписи и сертификате (двойной клик по записе в таблице) на вкладке «Штампы времени» в выпадающем списке есть оба значения и по ним заполнена информация:
В протоколе проверки подписи есть блоки «Доказательства подлинности», «Штамп времени на подпись» и «Время подписания». Для сравнения: если документ подписан просто КЭП, то отчет по проверке будет достаточно коротким в сравнении с УКЭП.
Соберем проект с поддержкой ГОСТ Р 34.11-2012 256 bit
Гайд разделен на несколько этапов. Основная инструкция по сборке опубликована вместе с репозиторием DotnetCoreSampleProject — периодически я буду на нее ссылаться.
Первым делом создадим новую папку
. и положим туда все необходимое.
Инструкция делится на 2 этапа — мне пришлось выполнить оба, чтобы решение заработало. В папку добавьте подпапки .runtime и .packages
I — Сборка проекта без сборки corefx для Windows
Установите КриптоПро 5.0 и убедитесь, что у вас есть действующая лицензия. — для меня подошла втроенная в ЭП;
Установите core 3.1 sdk и runtime и распространяемый пакет Visual C++ для Visual Studio 2015 обычно ставится вместе со студией; прим.: на II этапе мне пришлось через установщик студии поставить дополнительное ПО для разработки на C++ — сборщик требует предустановленный DIA SDK.
Задайте переменной среды DOTNET_MULTILEVEL_LOOKUP значение 0 — не могу сказать для чего это нужно, но в оригинальной инструкции это есть;
Скачайте 2 файла из релиза corefx (package_windows_debug.zip и runtime-debug-windows.zip) — они нужны для корректной сборки проекта. В гайде рассматривается версия v3.1.1-cprocsp-preview4.325 от 04.02.2021:
package_windows_debug.zip распакуйте в .packages
runtime-debug-windows.zip распакуйте в .runtime
Добавьте источник пакетов NuGet в файле %appdata%NuGetNuGet.Config — источник должен ссылаться на путь .packages в созданной вами папке. Пример по добавлению источника есть в основной инструкеии. Для меня это не сработало, поэтому я добавил источник через VS Community;
Склонируйте NetStandard.Library в . и выполните PowerShell скрипт (взят из основной инструкции), чтобы заменить пакеты в $env:userprofile.nugetpackages
Измените файл .DotnetSampleProjectDotnetSampleProject.csproj — для сборок System.Security.Cryptography.Pkcs.dll и System.Security.Cryptography.Xml.dll укажите полные пути к .runtime;
Перейдите в папку проекта и попробуйте собрать решение. Я собирал через Visual Studio после открытия проекта.
II — Сборка проекта со сборкой corefx для Windows
Выполните 1-3 и 6-й шаги из I этапа;
Склонируйте репозиторий corefx в .
Выполните сборку запустив .corefxbuild.cmd — на этом этапе потребуется предустановленный DIA SDK
Выполните шаги 5, 7-9 из I этапа. Вместо условного пути .packages укажите .corefxartifactspackagesDebugNonShipping, а вместо .runtime укажите .corefxartifactsbinruntimenetcoreapp-Windows_NT-Debug-x64
На этом месте у вас должно получиться решение, которое поддерживает ГОСТ Р 34.11-2012 256 bit.
Немного покодим
Потребуется 2 COM библиотеки: «CAPICOM v2.1 Type Library» и «Crypto-Pro CAdES 1.0 Type Library». Они содержат необходимые объекты для создания УКЭП.
В этом примере будет подписываться BASE64 строка, содержащая в себе PDF-файл. Немного доработав код можно будет подписать hash-значение этого фала.
Условно процесс можно поделить на 4 этапа:
Поиск сертификата в хранилище — я использовал поиск по отпечатку в хранилище пользователя;
Чтение байтов подписанного файла;
Сохранение файла подписи рядом с файлом.
Пробный запуск
Для подписания возьмем PDF-документ, который содержит надпись «Тестовое заявление.»:
Больше для теста нам ничего не надо
Далее запустим программу и дождемся подписания файла:

Готово. Теперь можно приступать к проверкам.
Проверка в КриптоАРМ
Время создания ЭП заполнено:

Штамп времени на подпись есть:

Доказательства подлинности также заполнены:

В протоколе проверки есть блоки «Доказательства подлинности», «Штамп времени на подпись» и «Время подписания»:



Проверка на Госуслугах

Проверка в Контур.Крипто

Безусловно это решение не стоит брать в работу «как есть» и нужны некоторые доработки, но в целом оно работает и подписывает документы подписью УКЭП.
Это вообще законно?
С удовольствием узнаю ваше мнение в комментариях.
Ссылки на публичные источники
UPD1: Поменял в коде переменную, куда записываются байты файла подписи.
Также я забыл написать немного про подпись штампа времени — он подписывается сертификатом владельца TSP-сервиса. По гайду это ООО «КРИПТО-ПРО»:

UPD2: Про библиотеки CAdESCOM и CAPICOM
Но при использовании пропатченных библиотек это исключение не выпадает и с приватным ключем можно взаимодействовать:
Да, ключ ЦБ для портал4 обновили.
Как и ожидалось, он такой же, как (новый) ключ ЦБ для ЦИК.
Комментарий
Да, ключ ЦБ для портал4 обновили.
Как и ожидалось, он такой же, как (новый) ключ ЦБ для ЦИК.
это один ключ БАНКА РОССИИ
для ЦИК есть свой отдельный ключ на который происходит шифрование при отправке данных)
Комментарий
Привет народ, может кто сталкивался с проблемой, не можем ответить на запрос предписание, постоянно выскакивает одна и та же ошибка что сертификат не найден. Есть у кого ни буть идеи по этому поводу?
Комментарий
Привет народ, может кто сталкивался с проблемой, не можем ответить на запрос предписание, постоянно выскакивает одна и та же ошибка что сертификат не найден. Есть у кого ни буть идеи по этому поводу?
В настройках профиля на портале, во вкладке безопасность вы добавляете свой сертификат.
По тексту ошибки получается, что направляете данные, подписанны сертификатом, отличающимся от того что указан в настройках вашего профиля.
Сверьте отпечатки сертификата
Комментарий
Техподдержка ЦБ, конечно же, несколько дней подряд молчит.
Бодрого всем дня!
Коллеги, ну хоть у кого-нибудь была ошибка 0x8007064A на этапе подписания/шифрования? Очень сильно хочется её побороть, а то больно повальная ошибка.
Комментарий
МихаилС
Добрый день! Удалось устранить ошибку с установкой штампа времени? Уже вторую неделю мучаюсь, никак не получается настроить.
Комментарий
Бодрого всем дня!
Коллеги, ну хоть у кого-нибудь была ошибка 0x8007064A на этапе подписания/шифрования? Очень сильно хочется её побороть, а то больно повальная ошибка.
Комментарий
Комментарий
Комментарий
Спасибо Вам за идею, добрый человек! На одной из машин эта идея подтвердилась — лицензия OSCP там истекшая.
Но вот теперь возникает другой вопрос. ЦБ совершенно официально заявлял о том, что для работы со штампом времени потребуется приобретение лицензий TSP. Об OSCP ведь ни слова не было.
Есть у кого-нибудь информация о необходимости использования OSCP-лицензий?
Комментарий
Просто в ЦБ об этом не подумали.
Они же и про необходимость лицензии на КриптоАРМ тоже в руководстве не написали, там всё просто «скачайте с сайта. «.
Комментарий
+1
ФинЦЕРТ свои письма им же подписывает. (Кстати, надо обновить.)
Комментарий
df1 меня отправил в нужном направлении. В нашем случае проблема оказалась в истекших лицензиях OSCP (что логично, ибо об этом никто не предупреждал).
Вот с такой конфигурацией у вас с вероятностью 90% не будет проблем с подписанием/шифрованием с использованием штампа времени и Вы избежите большинства ошибок:
- Личный (привязанный к кабинету) — в личных
- Корневые сертификаты для построения цепочки сертификации личного сертифика — в корневых сертификатах (желательно до самого верхнего уровня — до головного удостоверяющего центра)
- Сертификат шифрования ЦБ — в других пользователях
- Корневые сертификаты для построения цепочки сертификации сертификата шифрования — в корневых сертификатах (желательно до самого верхнего уровня — до головного удостоверяющего центра)
* Если у кого-то параллельно с версиями 2.0 TSP Client-а и OCSP Client-а присутствуют версии 1.0, то сносите установленные модули в Крипто АРМ. Заметил что при наличии версий 1.0 и 2.0 иногда возникают проблемы.
* Настройки Крипто АРМ не пишу — их можно глянуть в руководстве пользователя.

Средство криптографической защиты КриптоПро представляет собой целый комплекс приложений модулей, призванных обеспечивать надежную защиту информации, обеспечивать верификацию электронного документооборота, защищенное соединение по протоколу TLS. КриптоПро CSP — криптопровайдер, который нужно устанавливать на ПК, имея права администратора.
Чтобы установить ПО на компьютер, нужно купить КриптоПро ключ лицензии в SoftMagazin. Для того, чтобы программа работала корректно стоит заранее позаботиться о своевременном продлении лицензии.

Как продлить лицензию КриптоПро CSP
Для того чтобы продлить лицензию, следует связаться с менеджерами магазина в котором приобреталась лицензия либо выбрать компанию, где вы хотите приобрести обновление. После покупки лицензии (продления) понадобится зайти в пункт «Управление лицензиями КриптоПро PKI».
Как обновить КриптоПро до версии 4.0
Для обновления СКЗИ до последней версии переустановить КриптоПро CSP через «Установка и удаление программ». Затем нужно удалить предыдущую версию программы и перезагрузить компьютер. При возникновении вопроса, как обновить КриптоПро 3.6 лицензию, ознакомьтесь с руководством по установке данной версии, размещенным на официальном сайте компании.
После удаления и перезагрузки можно устанавливать следующую версию программу, опираясь на рекомендации по установке, данные в обзоре «Установка КриптоПро». Если возникает вопрос, КриптоПро, какая версия нужна в зависимости от ОС, необходимо ознакомиться с совместимостью версий при установке на различные ОС.
Как обновить КриптоПро CSP
В официальном руководстве по эксплуатации СКЗИ написано, как обновить лицензию КриптоПро самостоятельно. Для того, чтобы далее пользоваться программным обеспечением, необходимо приобрести лицензию (продление) и ввести при запуске программы серийный номер.
Через панель «Пуск» необходимо зайти в программы и выбрать КриптоПро. Откроется список из модулей ПО в том числе и пункт «Управление лицензиями КриптоПро PKI». Выбрав его, в появившемся окне нужно выбрать продукт, для которого требуется обновление. Вводя ключ лицензии, нужно в меню нажать на кнопку «Все задачи — Ввести серийный номер». Необходимо будет добавить сведения о пользователе и непосредственно серийный номер. После того, как вы нажали ОК, лицензии будут обновлены.

Срок действия КриптоПро CSP истек что делать
У программы есть ознакомительная демо-версия, которая предоставляется на короткий срок. После чего пользователю необходимо приобрести лицензию для использования программного обеспечения в полном объеме.

Как узнать версию КриптоПро на компьютере
Чтобы узнать версию ПО на компьютере необходимо зайти в Панель Управления СКЗИ на компьютере. Для этого потребуется зайти через меню «Пуск» в пункт «Программы». Здесь нужно выбрать пункт «КриптоПро CSP». В открывшемся окне будет показано несколько вкладок. Необходимо выбрать вкладку «Общие». Именно здесь предоставлена информации о лицензии, о версии используемой программы.
Как получить КриптоПро
Чтобы получить программу КриптоПро необходимо приобрести лицензию и установить ее на компьютер либо сервер. Для установки понадобятся права администратора. В зависимости от бизнес-задач может потребоваться приобрести дополнительные модули, например, для работы с электронной цифровой подписью в браузере либо с архитектурой JAVA.

Как перенести лицензию КриптоПро на другой компьютер
Лицензию КриптоПро нет возможности перенести на другой компьютер, так как одна лицензия распространяется на одно рабочее место. Если вам необходимо приобрести программное обеспечение на несколько компьютеров, потребуется приобрести определенное количество лицензий.
Как узнать серийный номер КриптоПро
Чтобы узнать серийный номер КриптоПро необходимо зайти через меню «Пуск» в «Программы» и выбрать «КриптоПро CSP». Откроется окно, в котором нужно будет выбрать вкладку «Общие». Среди информации о типе лицензии, сроке ее действия и дате первой установки находится также серийный номер ПО.

Как посмотреть лицензию КриптоПро
Как восстановить КриптоПро
Для восстановления программы возможно понадобится ее переустановка от имени администратора. Желательно, чтобы сертификаты находились на отдельном носителе, чтобы иметь возможность загрузить их в реестр, если до этого их там не было.
Как обновить ЭЦП КриптоПро
Чтобы обновить сертификаты для электронной цифровой подписи необходимо для начала удалить старые, чтобы избежать ошибок в работе новых документов. Потребуется запуск консоли сертификатов. Выбрав сертификаты с истекшим сроком действия нажмите «Удалить».
Новый сертификат вставьте с ключом в компьютер в USB-вход. Запустив через «Программы» панель управления КриптоПро CSP, нужно выбрать вкладку «Сервис», выбрать новый сертификат и установить его.
Читайте также:
- 256 или 512 гб ноутбук что выбрать
- Замена матрицы ноутбука в барнауле
- Как считать числа из файла c
- Как сделать видеозвонок с компьютера на телефон
- Яндекс музыка как создать плейлист со своими файлами


