Меню

Во время проверки сертификата на отозванность произошла ошибка


Offline

bazooka

 


#1
Оставлено
:

15 февраля 2016 г. 8:48:38(UTC)

bazooka

Статус: Активный участник

Группы: Участники

Зарегистрирован: 17.09.2014(UTC)
Сообщений: 123
Мужчина

Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах

Добрый день!

Подскажите, в последнее время, при проверке загружаемых на сервер подписанных файлов, через Крипто SDK стала случайным образом падать эта ошибка

(0x800B010E): Процесс отмены не может быть продолжен — проверка сертификатов недоступна.

Поймать ее для исследования не получается, она происходит совсем случайно и часто ночью.
Подскажите, в каком направлении копать, я грешу, что какие-то сетевые запросы на OCSP проверку не проходят или что-то подобное,
но точно не знаю…

Помогите, что с этим делать. Ранее тот же код и сервер (ничего значимое не менялось) работало отлично.


Вверх


Offline

Павел Смирнов

 


#2
Оставлено
:

15 февраля 2016 г. 8:51:37(UTC)

Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы

Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах

Скорее всего, беда именно с сетью. Надо копать именно в эту сторону.

Техническую поддержку оказываем тут.
Наша база знаний.


Вверх

WWW


Offline

bazooka

 


#3
Оставлено
:

15 февраля 2016 г. 9:47:08(UTC)

bazooka

Статус: Активный участник

Группы: Участники

Зарегистрирован: 17.09.2014(UTC)
Сообщений: 123
Мужчина

Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах

Но не совсем понятно, что именно проверять с сетью — на другом компьютере, с «другим» интернетом, все работает.
Вот получилось найти файл, с которым воспроизводится постоянно.
Собрал кусок лога, где падает несколько таких ошибок подряд.
Плюс приложу еще сертификат, на который грешу, что подпись им по какой-то причине там не проверяется.
С ним неувязка, что у него указаны два адреса ocsp, первый из которых находится во внутренней сети РЖД, естественно недоступен из вне.
Но по второму все ок.

Может еще что подскажете… CertAndLog.zip (8kb) загружен 5 раз(а).


Вверх


Offline

Павел Смирнов

 


#4
Оставлено
:

15 февраля 2016 г. 10:10:15(UTC)

Павел Смирнов

Статус: Вам и не снилось

Группы: Администраторы

Зарегистрирован: 24.12.2007(UTC)
Сообщений: 831
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 48 раз в 44 постах

Такой трассы для анализа недостаточно. Надо ещё собрать сообщения от winhttp.

Техническую поддержку оказываем тут.
Наша база знаний.


Вверх

WWW


Offline

bazooka

 


#5
Оставлено
:

24 февраля 2016 г. 16:27:56(UTC)

bazooka

Статус: Активный участник

Группы: Участники

Зарегистрирован: 17.09.2014(UTC)
Сообщений: 123
Мужчина

Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах

Разобрались сами. Проблема была в том, что почему-то подписи сделанные определенными ключами ломились в сеть РЖД для проверки, к которой в этом месте доступа нет. Мы решили, что некоторые ключи АУЦ РЖД могут работать только с проверкой через их лок. сеть (хотя оба адреса через лок. сеть и через интернет в сертификате указаны и запросы идут на оба адреса).
Благодарю за направление «копания».

Но возникли 2 других случая.
1)Так же самая ошибка
Процесс отмены не может быть продолжен — проверка сертификатов недоступна.

Возникает при проверке отделенной подписи через крипто-SDK, сертификат которой отозван УЦ (выяснилось при проверке через крипто арм)
а)Подскажите, как можно получить понятный текст ошибки, который говорит не о «недоступности проверки», а том что проверка прошла, но серт. невалидный?
б)Также, скажите, является ли подпись верной, если сертификат отозван, но подпись, допустим сделана до его отзыва. И если да, то как отследить этот случай?

2) получаем ошибку «Не удается построить цепочку сертификатов для доверенного корневого центра.» в случае, если у сертификата закончился срок действия на текущий момент, но подпись сделана до его окончания. Разве в этом случае подпись считается невалидной?


Вверх


Offline

cross

 


#6
Оставлено
:

1 марта 2016 г. 12:47:43(UTC)

Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 173 раз в 152 постах

1)Можно ли получить немного больше деталей о том когда появляется такая ошибка? В сертификате подписанта есть ссылка на OCSP, если есть то доступен ли адрес в момент проверки и кем выдан сертификат службы OCSP. Какая версия SDK и платформа.

2) Если речь идет о подписи формата CADES_X_LONG_TYPE_1 то подпись будет считаться валидной если сертификат был отозван уже после момента создания подписи. Если про CADES_BES то нет, т.к. подпись не содержит «доверенного времени создания подписи» и сохраненных доказательств что сертификат в этот момент был действителен.

Отредактировано пользователем 1 марта 2016 г. 12:48:15(UTC)
 | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.


Вверх


Offline

bazooka

 


#7
Оставлено
:

1 марта 2016 г. 19:04:09(UTC)

bazooka

Статус: Активный участник

Группы: Участники

Зарегистрирован: 17.09.2014(UTC)
Сообщений: 123
Мужчина

Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах

1)
В сертификате есть адреса OCSP

[1]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://ca.rzd/ocsp/ocsp.srf
[2]Доступ к сведениям центра сертификации
Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1)
Дополнительное имя:
URL=http://ca.rzd.ru/ocsp/ocsp.srf
[3]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://ca.rzd/aca/root.p7b
[4]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://ca.rzd.ru/aca/root.p7b

Причем адреса ca.rzd — недоступны с машины, где идет проверка. А ca.rzd.ru — доступны.
А каком сертификате службы OCSP идет речь?
SDK 1.5, вызывается через .net-assembly на сайте, хост в IIS, win 2008.

2) Да, ясно, спасибо! И, как я понимаю, в случае окончания срока сертификата, проверка через SDK в случае BES должна падать с ошибкой, а CADES_X_LONG_TYPE_1 — нет, верно?


Вверх


Offline

cross

 


#8
Оставлено
:

2 марта 2016 г. 9:40:20(UTC)

Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 173 раз в 152 постах

1) Да, очень похожую ошибку мы правили в версии 2.0. При наличии нескольких OCSP адресов, мы опрашиваем о статусе все. И результирующей ошибкой становилась ошибка от поcледнего OCSP. Т.к. один из адресов не доступен => ошибка «проверка сертификатов недоступна»

2) Да. вы правы. Подпись CADES_BES, по сути, проверяется на текущий момент. Если с сертификатом сейчас что то не так (отозван. просрочен ….) то подпись считается плохой. Для X_LONG_TYPE_1 такой проблемы нет.

Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.


Вверх


Offline

bazooka

 


#9
Оставлено
:

2 марта 2016 г. 9:46:36(UTC)

bazooka

Статус: Активный участник

Группы: Участники

Зарегистрирован: 17.09.2014(UTC)
Сообщений: 123
Мужчина

Сказал «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах

Т.е. это ошибка 1.5 версии?
Что бы я получил во 2й версии при вашем исправлении? стоит на нее попробовать перейти на сервере?


Вверх


Offline

cross

 


#10
Оставлено
:

2 марта 2016 г. 12:39:19(UTC)

Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 173 раз в 152 постах

Просто так на нее не перейти — нужно будет лицензии новые.
В следующей версии 1.5 исправим.

Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.


Вверх

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

При работе с online сервисами 1С и других разработчиков, где необходимо обращение к электронной подписи, пользователи часто сталкиваются с ошибками ее проверки. Что делать, если не удалось выполнить проверку отзыва сертификата 1С и какие еще возникают ошибки работы с ЭДО, разбираем подробно с вариантами решений.

Компании, у кого жестко настроена политика безопасности, чаще всего наблюдают сбои в работе с ЭП. Это из-за того, что постоянно очищается список имеющихся CRL на ПК или, наоборот, к ним не может достучаться криптография для проверки

Что вообще такое списки отзывов сертификатов

Certificate Revocation List или список отозванных сертификатов – это информация, предоставляемая удостоверяющими центрами о недействительных сертификатах, о тех, чей срок действия уже либо закончился, либо был прерван по различным обстоятельствам.

Ключи могут отзываться по различным причинам. Самые распространенные:

  • компрометация ключа или истечение срока годности ЭП;
  • неверно заполненные реквизиты в составе ключа;
  • поменялся владелец компании или ресурса;
  • если речь идет про ключи сайтов, сайт более недоступен, перестал работать.

Список отозванных сертификатов ключей электронных подписей имеет расширение CRL. Сокращенное наименование СОС. В некоторых кругах можно услышать также понятие — Список аннулированных сертификатов (САС).

В настоящий момент (процесс был запущен еще в далеком 2017 г.) все чаще прибегают к отказу от СОС в сторону Online Certificate Status Protocol (OCSP, Онлайн Протокол Состояния Сертификата).

Принципы работы списков отозванных сертификатов

Актуализирует и публикует списки отозванных сертификатов САС Certificate Authority (CA — центр сертификации), который данный сертификат и выпустил.

Предпосылки для отзыва сертификата

Причины, по которым требуется аннулировать сертификат:

Рис.1 Почему аннулирован сертификат ключа проверки ЭП
Рис.1 Почему аннулирован сертификат ключа проверки ЭП

Отправляет запрос на аннулирование/отзыв сертификат:

  1. Владелец.
  2. Директор компании.
  3. ФНС может послать запрос, если обнаружит компрометацию ключа.

Ошибка работы с ЭДО в 1С. Сертификат не прошел проверку или отозван

Пользователи онлайн-сервисов 1С нередко спрашивают: почему только недавно все работало, а теперь программа пишет, что сертификат недействительный или не удалось проверить сертификат в списке отозванных. Почему же этот сертификат не удалось проверить? Ответ прост: потому что на ПК нет установленных актуальных СRL-сертификатов от удостоверяющих центров, которые бы «сказали», что сертификат все еще действителен.

Для того, чтобы установить списки отозванных необходимо выполнить следующие шаги:

  1. Из своей 1С выгрузить открытую часть ключа сертификата. Для этого необходимо идти по цепочке таких действий:
    Администрирование → Обмен электронными документами → Настройка электронной подписи и шифрования → Найти необходимый сертификат и двойным щелчком его открыть → Сохранить в файл → Выбрать удобную папку и нажать ОК.
    Если сертификатов и организаций много, можно открыть Учетную запись ЭДО и выгрузить сертификат оттуда.

    Рис.2 Выгрузка открытой части ключа из программы 1С
    Рис.2 Выгрузка открытой части ключа из программы 1С

    Рис.3 Выгрузка открытой части ключа из программы 1С
    Рис.3 Выгрузка открытой части ключа из программы 1С

    Рис.4 Выгрузка открытой части ключа из программы 1С
    Рис.4 Выгрузка открытой части ключа из программы 1С
  2. Перейдите в папку, куда скопировали открытую часть ключа из ПО 1С и откройте файл (он должен быть с расширением .cer).
  3. После того, как файл откроется, на вкладке Состав необходимо найти пункт Точки распространения списков отзывов (раздел Показать → Только расширения).
    Рис.5 Как найти Точки распространения списков отозванных в открытой части ключа электронной подписи в 1С
    Рис.5 Как найти Точки распространения списков отозванных в открытой части ключа электронной подписи в 1С
  4. После того, как нашли строку со списками, необходимо скопировать самую крайнюю ссылку, на конце которой стоит расширение .сrl.
    Будьте внимательны, ссылки могут быть на конце с разными расширениями.
    Копировать необходимо при помощи комбинации клавиш клавиатуры сtrl+с.

    Подключение 1С-ЭДО от официального партнера 1С. Комплект документов от 250 руб./мес.

    • Если по крайней не скачивается, проверьте весь ли путь скопировали.
    • Если после установки сертификата ничего не изменилось, попробуйте следующую ссылку (снизу вверх).
    • Ошибка воспроизвелась опять? Установите СОС по всей цепочке сертификации.
    • Если и после этих действий ошибка остается, скачайте списки отозванных сертификатов с официального сайта вашего удостоверяющего центра (там данные публикуются и обновляются ориентировочно раз в сутки).
    • Все еще сертификат недействителен? Проверьте валидность ключа на сайте госуслуг или иным способом. Обратитесь в УЦ за проверкой ключа.
    Рис.6 Как выглядит ссылка на списки отозванных (аннулированных) в открытой части электронной подписи
    Рис.6 Как выглядит ссылка на списки отозванных (аннулированных) в открытой части электронной подписи
  5. Вставляем скопированную ссылку в браузер, скачиваем СОС и нажимаем Ввод (Enter).
    Рис.7 Скачиваем списки отозванных по ссылке через браузер
    Рис.7 Скачиваем списки отозванных по ссылке через браузер

    При прохождении по ссылке может выйти ошибка:

    Рис.8 Ошибка перехода по ссылке из сертификата для скачивания СОС
    Рис.8 Ошибка перехода по ссылке из сертификата для скачивания СОС

    В таком случае, как было указано ранее, можно попробовать скачать сертификат по другой ссылке из открытой части ключа ЭП.

    Рис.9 Как выглядят скачанные списки отозванных сертификатов
    Рис.9 Как выглядят скачанные списки отозванных сертификатов

    Рис.10 Как выглядят скачанные списки отозванных сертификатов
    Рис.10 Как выглядят скачанные списки отозванных сертификатов

    На сайте ФНС находятся также различные сертификаты, которые можно скачать и установить (от доверенных корневых до отозванных списков).

    Рис.11 Сертификаты, которые можно скачать с сайта ФНС России
    Рис.11 Сертификаты, которые можно скачать с сайта ФНС России

    Рис.12 Сертификаты, которые можно скачать с сайта ФНС России
    Рис.12 Сертификаты, которые можно скачать с сайта ФНС России

    Рис.13 Сертификаты, которые можно скачать с сайта ФНС России
    Рис.13 Сертификаты, которые можно скачать с сайта ФНС России

    Гарантия 6 мес. на услуги подключения и настройки ЭДО в 1С. Решаем любые задачи!

  6. Находим наш скачанный файл и правой кнопкой мыши выбираем команду Установить списки отозванных.

    Рис.14 Устанавливаем СОС
    Рис.14 Устанавливаем СОС

    Откроется мастер импорта сертификатов, так называемый, помощник в установке сертификатов на компьютер.

    Нажимаем Далее → Автоматически выбирать хранилище на основе типа сертификата → Готово.

    Рис.15 Автоматическая установка списков отозванных сертификатов на персональный компьютер
    Рис.15 Автоматическая установка списков отозванных сертификатов на персональный компьютер

    Рис.16 Автоматическая установка списков отозванных сертификатов на персональный компьютер
    Рис.16 Автоматическая установка списков отозванных сертификатов на персональный компьютер

    Рис.17 Автоматическая установка списков отозванных сертификатов на персональный компьютер
    Рис.17 Автоматическая установка списков отозванных сертификатов на персональный компьютер

    Если выбирать пункт Поместить все сертификаты в следующие хранилища важно выбрать правильное хранилище, а именно: Промежуточные центры сертификации. И если активирована функция Показать физические хранилища указать Реестр (в зависимости от политики безопасности компании).

    Рис.18 Установка отозванных списков в Промежуточные центры сертификации
    Рис.18 Установка отозванных списков в Промежуточные центры сертификации

    Рис.19 Установка отозванных списков в Промежуточные центры сертификации
    Рис.19 Установка отозванных списков в Промежуточные центры сертификации

Если установка списков отозванных для личного сертификата не помогла, установите списки отзывов от других сертификатов из цепочки сертификации.

Рис.20 Цепочка сертификатов в открытой части электронной подписи
Рис.20 Цепочка сертификатов в открытой части электронной подписи

Удаленный узел не прошел проверку

Сообщение, которое также связано с корректной проверкой сертификатов.

Рис.21 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
Рис.21 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
Рис.22 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
Рис.22 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии

С помощью операционной системы Windows платформа 1С:Предприятие проводит проверку сертификата средствами защищенного соединения TLS/SSL.

SSL (Secure Sockets Layer) — это протокол безопасности в Интернете, основанный на шифровании. Впервые он был разработан компанией Netscape в 1995 году с целью обеспечения конфиденциальности, аутентификации и целостности данных при общении через Интернет. SSL является предшественником современного шифрования TLS, используемого сегодня.

Веб-сайт, реализующий SSL/TLS, имеет в своем URL-адресе «HTTPS» вместо «HTTP». Протокол TLS (Transport Layer Security) основан на протоколе SSL. Безопасность транспортного уровня, или TLS, — это широко распространенный протокол безопасности, предназначенный для обеспечения конфиденциальности и безопасности данных при обмене данными через Интернет.

1С-ЭДО - встроенный сервис в 1С

Поддержка работы ЭДО в 1С

Поддержка работы ЭДО в 1С

Консультации и поддержка работы ЭДО в любых программах 1С. Приступим к вашему вопросу в течение 15 минут

Основным вариантом использования TLS является шифрование связи между веб-приложениями и серверами. Например, когда веб-браузеры загружают сайт. TLS также можно использовать для шифрования других сообщений, таких как электронная почта, обмен сообщениями и передача голоса по IP (VoIP). В этой статье мы сосредоточимся на роли TLS в безопасности веб-приложений.

TLS был предложен IETF, международной организацией по стандартизации. Первая версия протокола была опубликована в 1999 году. Самая последняя версия TLS 1.3 — в 2018.

Итак, проблема, связанная с сообщением в конфигурации о том, что удаленный узел не прошел проверку связано с тем, что доступ в Интернет ограничен в общем или в частности только у пользователя, под которым запускается конфигурация и работает служба агент сервера 1С.

Наиболее распространенные причины:

Рис.23 Причины возникновения ошибки
Рис.23 Причины возникновения ошибки

Пути решения

Для начала необходимо разобраться с работой антивирусной программы и брандмауэром Windows. Далее перейти к настройкам прокси и хостов.

Прокси-сервер

Откройте панель управления от имени пользователя, под которым запущен и работает rphost → Свойства обозревателя (Свойства браузера) → Подключения → Настройка сети → снимите активированную галочку использования прокси-сервера, если оно не предусмотрено политикой безопасности. Если использование все-таки предусмотрено, укажите ресурс в качестве исключения.

Рис.24 Настройки прокси
Рис.24 Настройки прокси

Хост файл (host)

Расположен обычно по такому пути:

Рис.25 Путь расположения файла host
Рис.25 Путь расположения файла host

Доступ к сайтам может также быть ограничен параметрами, прописанными в данном файле. Пример блокировки выглядит так:

Рис.26 Пример заблокированного сайта в файле host
Рис.26 Пример заблокированного сайта в файле host

Постарались максимально доступно рассказать о наиболее частых ошибках, с которыми пользователи 1С могут столкнуться при работе в ЭДО, в т.ч. с применением сертификатов ключа проверки электронной подписи.

Skip to end of metadata

  • Created by , last modified on Jul 28, 2022

Go to start of metadata

ПРОБЛЕМА

Статус ЭЦП при подписании документов становится «Не верна». При проверке сертификата в 1С ЭЦП не проходит проверку на «Корректность данных в сертификате».

РЕШЕНИЕ

Для решения проблемы необходимо в «Сертификатах пользователя» открыть нужный сертификат и перейти на вкладку «Состав».  Далее найти поле «Точки распределения списка отзыва». В нижней части отобразятся 2 точки распределения. Необходимо пройти по ссылкам тем самым скачать списки отозванных.

Для того чтобы их установить нужно нажать правой кнопкой мыши и выбрать значение «Установить список отозванных» (устанавливаем в промежуточные центры).

После этого в «Сертификатах пользователя» — «Доверенные корневые сертификаты» появится папка «Список отзыва сертификата».

Аналогичным способом необходимо установить список отозванных у промежуточного сертификата, то есть: открыть нужный сертификат пользователя — перейти на вкладку «Путь сертификации»- далее двойным кликом открыть промежуточный сертификат и способом описанным выше скачать список отозванных сертификатов.

После чего необходимо повторить проверку сертификата в 1С

  • No labels

Ошибка. Нет полного доверия к сертификату подписи

Данная ошибка возникает в случае, если необходимо установить списки отозванных сертификатов.

Для установки отозванных сертификатов Удостоверяющего Центра выполните следующие действия:

Сохранение списков отозванных сертификатов

  1. Загрузите список отозванных сертификатов Головного Удостоверяющего Центра с данного сайта
  2. Загрузите список отозванных сертификатов Подчиненного Удостоверяющего Центра, для этого:
  3. Откройте Ваш сертификат
    • Нажмите на вкладку Состав, Выберите Точки распространения списков отзыва.
      В окне появится ссылка на список отозванных сертификатов. Необходимо скопировать эту ссылку полностью. Если в сертификате указаны две ссылки, необходимо перейти по каждой
    • После того, как вы скопировали ссылку, вставьте ее в браузер и перейдите по данной ссылке.
      Откроется файл отзыва сертификатов, нажмите Сохранить
  4. Списки отзыва сертификатов успешно сохранены

Установка списков отозванных сертификатов

  1. Запустите пограмму КриптоАРМ
  2. Нажмите Вид и выберите Эксперт
  3. Затем нажмите правой кнопкой мыши на Список отзыва сертификатов и нажмите Импорт
  4. Откроется Мастер установки сертификатов, нажмите Далее
  5. В открывшемся окне нажмите Выбрать
  6. Выберите список отозванных сертификатов с расширением crl. Затем нажмите Открыть
  7. Нажмите Далее
  8. Выберите хранилище Промежуточные центры сертификации, нажмите Далее
  9. Нажмите Готово
  10. Повторите все вышеперечисленные действия со вторым списком отозванных сертификатов

Сертификаты были успешно установлены.

Вы определились с выбором?

Перейти к оформлению заказа

Для возможности использования квалифицированной электронно-цифровой подписи (далее — КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:

  • Сертификат ключа проверки ЭП (далее — СКПЭП).

  • Промежуточный сертификат (далее — ПС).

  • Корневой сертификат (далее — KC).

Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.

Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы  ее исправить.

В сертификате содержится недействительная цифровая подпись разбор ситуации, на примере Тензор.jpg

В сертификате содержится недействительная цифровая подпись: разбор ситуации, на примере «Тензор»

О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.

Для того, чтобы узнать о состоянии ключа, следует:

  1. Войти в меню «Пуск».

  2. Открыть раздел «Все программы» и перейти в «КриптоПро».

  3. После этого нужно нажать л.к.м. на «Сертификаты».

  4. В строке хранилище, отметить нужное.

  5. Кликнуть на выбранный сертификат.

  6. Открыть раздел «Путь сертификации».

В строке «Состояние» будет отражён статус неактивного сертификата.

Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Сообщение об ошибке может отображаться по следующим причинам:

  • Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать). 

  • Некорректно инсталлирован криптопровайдер КриптоПро.

  • Алгоритмы шифрования СКЗИ не работают, или работают некорректно.

  • Нет доступа к реестровым документам.

  • Версия браузера устарела.

  • На компьютере выставлены неправильные хронометрические данные. 

Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.

Цепочка доверия, от министерства цифрового развития и связи до пользователя.jpg

Цепочка доверия, от министерства цифрового развития и связи до пользователя

До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, — ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.

Принцип построения ЦДС

Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.

КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.

Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:

  • Данные об УЦ и срок действия ключа. 

  • Электронный адрес для связи с реестром организации. 

Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП. 

В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами. 

СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП. 

СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу. 

КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.  

Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.  

Пути решения ошибки

Для начала необходимо убедиться в том, что КС активен и верно инсталлирован. Для этого применяется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В появившемся перечне должен находиться файл от ПАК «Минкомсвязь России». Если сертификата нет, или он не активен, требуется его инсталлировать:

  • Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».

  • Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».

  • Укажите хранилище «Доверенные корневые центры сертификации».

  • Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.

После инсталляции сертификата, перезагрузите ПК.

Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.

Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно). 

Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

C:UsersВитяDesktopScreenshot_1.png

Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным. 

Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам. 

Исправление ошибки, на примере казначейства.jpg

Исправление ошибки, на примере казначейства

Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП. 

Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).

Изменение или повреждение файла УФК

Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК. 

В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:

  • Зайти в раздел «Личное».

  • Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.  

  • Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.

  • Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.

  • После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до …». 

  • На сайте УФК войти во вкладку «Корневые сертификаты».

  • Загрузить «Сертификат УЦ Федерального казначейства».

  • Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать  «Промежуточные центры сертификации».

  • Выключите и включите ПК. 

На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации. 

Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.  

Истечение срока

Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.   

Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть. 

Ошибка с отображением в КриптоПро

Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная. 

В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера. 

Неправильная работа КриптоПро

Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:

Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки. 

Сервисы инициализации

СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP. 

Для того, чтобы проверить активность службы:

  • Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.

  • После чего вбейте в командной строке services.msc.

  • В перечне служб, укажите «Службы инициализации».

  • Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.

Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.  

Что делать, если ошибка вызвана сбоем браузера

Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.

Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.

Вход под администраторскими правами

Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.

Что нужно сделать:

  • Правой кнопкой мыши нажмите на значок браузера.

  • Выберите строку «Запуск от имени администратора».

После того, как ошибка исчезнет:

  • Правой кнопкой мыши нажмите на значок браузера.

  • Кликните на «Дополнительно» 

  • И выберите «Запуск от имени администратора».

Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.  

Выключение антивирусника

Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого: 

  • Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».

  • После чего, отметьте временной отрезок, на который предусмотрено отключение ПО. 

Когда электронный документ будет подписан, активируйте антивирусную программу обратно.

Настройка хронометрических данных

Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:

  • Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.

  • Выберите «Настройка даты и времени».

  • Выставьте нужный часовой пояс и правильные значения.

  • Сохраните изменения.

По окончанию настроек выключите, а потом включите ваш ПК.

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования

Ошибка №1. «Не удается построить цепочку сертификатов», «Произошла внутренняя ошибка в
цепочке сертификатов» или «Ошибка при проверке сертификата, возможно один из цепочки сертификатов
недействителен»

Возможная причина:
Не установлен корневой сертификат вашего Удостоверяющего Центра (УЦ).

Ваши действия:
Установить корневой сертификат Удостоверяющего центра.
Подробную инструкцию можете скачать
здесь

Ошибка №2. Failed to create CPSigner

Возможные причины:
1) Не установлено дополнительное ПО с сайта Фабрикант;
2) Некорректно работает библиотека КриптоПРО Cadescom.

Ваши действия:
1) Установить Специализированное ПО с Портала Фабрикант;
2) Переустановить КриптоПРО Cadescom.
Подробную инструкцию можете скачать
здесь

Ошибка №3. Ошибка при открытии хранилища. Объект не поддерживает средство или метод
«Open»

Возможные причины:
1) Не установлено дополнительное ПО;
2) Не запущены дополнительные надстройки в браузере.

Ваши действия:
1) Установить Специализированное ПО с Портала Фабрикант;
2) Запустить всплывающие надстройки браузера.
Подробную инструкцию можете скачать
здесь

Ошибка №4. «Не удалось проверить статус сертификата.» или «Не валиден. Состояние
отозванности сертификата или одного из сертификатов в цепочке сертификатов неизвестно»

Возможная причина:
Не установлены или не обновляются автоматически списки отозванных сертификатов УЦ.

Ваши действия:
Обратитесь в УЦ или самостоятельно установите на своём ПК списки отозванных сертификатов.
Подробную инструкцию можете скачать
здесь

Ошибка №5. Ваш сертификат прошёл проверку и может использоваться в любой секции на
Торговом портале «Фабрикант», кроме секции Росатом

Возможные причины:
1) Рассинхронизация OCSP-сервер вашего УЦ;
2) Отсутствует ссылка на OCSP-сервер УЦ в сертификате.

Ваши действия:
Обратитесь в Удостоверяющий центр для проверки сертификата или проверьте самостоятельно.
Подробную инструкцию можете скачать
здесь

Ошибка №6. «Вставьте ключевой носитель (несоответствие ключевого носителя и выбранного
сертификата)».

Возможные причины:
1) Вставлен ключевой носитель, не соответствующий выбранному сертификату;
2) Выбран сертификат, не соответствующий вставленному ключевому носителю.

Ваши действия:
1) Проверить, какой ключевой носитель вставлен;
2) Проверить выбранный сертификат.
Подробную инструкцию можете скачать
здесь

Ошибка №7. Ошибка исполнения функции.

Возможная причина:
Истек срок действия лицензии на КриптоПРО CSP.

Ваши действия:
1) Обратитесь в Удостоверяющий центр для получения лицензии на КриптоПРО CSP;
2) Введите лицензию на КриптоПРО CSP.
Подробную инструкцию можете скачать
здесь

Ошибка №8. Надпись «undefined»

Возможная причина:
Некорректно отрабатывают настройки браузера Internet Explorer.

Ваши действия:
1) В браузере зайдите в меню «Сервис» и выберите пункт «Свойства
обозревателя»
;
2) В открывшемся окне перейдите на вкладку «Дополнительно» и нажмите кнопку
«Сброс»;
3) Перезапустите браузер Internet Explorer.
Подробную инструкцию можете скачать
здесь

Ошибка №9. Ошибка алгоритма.

Возможная причина:
Не соответствуют версии криптопровайдера и Операционной системы.

Ваши действия:
1) Если у вас криптопровайдер VipNet CSP, то необходимо проверить версии на
соответствие на
сайте
;
2) Если у вас криптопровайдер КриптоПРО CSP, то необходимо проверить версии на
соответствие на
сайте
;
3) Если версии не соответствуют, то необходимо обратиться в свой Удостоверяющий центр для
обновления.

Ошибка №10. Не удается найти указанный файл.

Возможная причина:
После установки дополнительного программного обеспечения с Портала не перезагрузили ПК.

Ваше действие:
Перезагрузите ПК.

С дополнительной информацией можно ознакомиться в инструкции «Установка ПО для ЭП».
Также можно обратиться в отдел технической поддержки по тел. +7 (495) 514-02-04.

Ошибка №11. Объект не поддерживает свойство или метод «SetHashValue».

Возможная причина:
1) Не установлено дополнительное ПО;
2) Не запущены дополнительные надстройки в браузере.

Ваше действие:
1) Установить Специализированное ПО с Портала Фабрикант;
2) Запустить всплывающие надстройки браузера.

Подробную инструкцию можете скачать
здесь

.

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

А вот еще интересные материалы:

  • Яшка сломя голову остановился исправьте ошибки
  • Ясность цели позволяет целеустремленно добиваться намеченного исправьте ошибки
  • Ясность цели позволяет целеустремленно добиваться намеченного где ошибка
  • Во время проверки данных произошла ошибка
  • Внутренняя программная ошибка src beprocessesholder cpp 132