- Что это значит?
- Что делать, если при использовании кэп возникает ошибка, связанная с сертификатом подписи? — тинькофф помощь
- Устаревшая версия протокола безопасности
- Устаревший алгоритм шифрования
- Windows vista
- Антивирусные продукты
- Загрузка файла сертификата в ie
- Игнорирование ошибки сертификата
- Исправляем ошибку «сервер не представил корневой сертификат» в the bat! настройка приема почты thebat в ssl-соединении
- Как установить сертификат с токена на компьютер при помощи программы “криптоарм” версии 4
- Где можно увидеть установленный с токена цифровой сертификат?
- Какие статусы цифрового сертификата возможны?
- Как обновить статус цифрового сертификата?
- Как настроить автоматическую проверку статуса сертификата?
- Отключение информирования об ошибке
- Причины предупреждения
- Проверка сертификатов и служб криптопро
- Другие способы устранить ошибку
- Создание и поверка собственных сертификатов
- Способ 2: включение «microsoft cryptoapi»
- Устраняем ошибку с цифровой подписью криптопро
- Шаг 2: подключаем сертификат электронной подписи
Что это значит?
Для начала: зачем используется данное обозначение? Что это значит, когда компьютер сообщает, что представленный сервером сертификат недействителен? Таким образом, компьютер говорит, что электронные документы сайта, которые он предоставил, имеют какую-то неточность, благодаря чему у машины есть основание для сомнений относительно его подлинности или полноценности функционирования.
- Неполадка с сайтом центра сертификации. Все эти подтверждения выдают специальные организации. И как любой другой, они не застрахованы от возможных проблем вроде террористов, землетрясения, оползней, повреждения линий передач и многих других проблем. Но это случается крайне редко, и уповать на данный пункт особо не приходится.
- Проблемы с сайтом вследствие технических неполадок или умышленного вреда. Здесь тоже может пойти что-то не так. Системный администратор что-то не то нажал или злоумышленники ведут атаку сервера, результат один – сертификат сервера недействителен. Но это тоже редко случается.
Основные проблемы данного типа происходят в основном на клиентских компьютерах пользователей. Здесь уже может быть ассортимент причин намного шире, поэтому будут названы основные:
- Неправильно установленное время.
- Проблема с программным обеспечением, предназначенным для просмотра Всемирной сети.
И как же устранить данные проблемы? Вот этому вопросу сейчас и будет уделено внимание.
Что делать, если при использовании кэп возникает ошибка, связанная с сертификатом подписи? — тинькофф помощь
Иногда при использовании КЭП на порталах или в сервисах появляется ошибка, связанная с сертификатом подписи. Формулировка может быть разной: «Подпись не является квалифицированной», «Нет доверия корневому сертификату», «Сертификат недоступен».
Чтобы подпись считалась квалифицированной, сертификат подписи подтверждают сертификатом удостоверяющего центра (УЦ) и Минкомсвязи.
Ошибка может возникать в следующих случаях:
- Не установлен один из сертификатов. Грубо говоря, компьютер не видит сертификат нашего УЦ или Минкомсвязи, поэтому нет доверия к сертификату подписи.
- Сертификат Минкомсвязи установлен в неправильную директорию. Он должен быть установлен в папку «Доверенные корневые центры сертификации».
Чтобы разобраться с проблемой, проверьте путь сертификации в «КриптоПро CSP».
- Зайдите в «КриптоПро CSP» и нажмите «Просмотреть сертификаты в контейнере» во вкладке «Сервис»:
- Чтобы выбрать подпись, нажмите «Обзор»:
- Выберите нужный ключевой контейнер и нажмите «ОК»:
- Нажмите «Далее»:
- Откроется окно с данными о сертификате. Нажмите «Свойства»:
Если во вкладках «Общие» и «Путь сертификации» вы увидите, что для проверки сертификата недостаточно информации или невозможно обнаружить поставщика, значит, сертификаты установлены неправильно:
Чтобы установить сертификаты, следуйте нашей видеоинструкции по установке.
При правильной установке путь сертификации выглядит так:
Устаревшая версия протокола безопасности
Технологии шифрования совершенствуются, но и хакерские атаки становятся все изощреннее. Постоянно растущие риски — одна из причин сокращения срока действия SSL-/TLS-сертификатов и обновления протокола.
Протокол TLS был представлен как апгрейд SSL (версии 3.0 на тот момент), поэтому любая версия TLS более безопасна чем SSL. Самый актуальный протокол — TLS 1.3, выпущенный в 2021 году, — имеет усовершенствованный криптографический алгоритм и позволяет браузеру быстрее подсоединиться к серверу сайта.
Важно использовать актуальную версию протокола безопасности и отключать все предыдущие версии. Существует несколько способов проверить, какой протокол у сайта:
- Во вкладке Security в Chrome DevTools:
- В онлайн-инструментах, проверяющих, какие версии TLS и SSL включены на сайте. Например:
Чтобы включить последнюю версию TLS, прежде всего убедитесь, что ваш сайт поддерживает ее. Запустите серверную проверку — например, в SSL Labs — и просмотрите результаты конфигурации:
После этого свяжитесь со своим хостинг-провайдером, чтоб узнать, как именно подключить актуальную версию протокола. Вам нужно будет указать правильную версию в файле конфигураций сервера.
Скажем, ваш сайт размещен на сервере Nginx. Вам нужно отредактировать файл nginx.conf, указав в нем установленную версию TLS. Также удалите из файла все ранее используемые версии, которые признаны устаревшими. Строка конфигурации будет выглядеть так:
ssl_protocols TLSv1.2 TLSv1.3;
Если же окажется, что ваш сайт не поддерживает TLS 1.2 или 1.3, стоит обратиться к провайдеру и по возможности сменить тариф (или провайдера).
Устаревший алгоритм шифрования
Когда пользователь заходит на сайт, происходит процесс «рукопожатия»: клиент (браузер) и сервер идентифицируют друг друга, браузер при этом проверяет подлинность SSL-/TLS-сертификата. Набор алгоритмов шифрования очень важен для этого процесса: браузер сообщает, какие комбинации шифров он поддерживает, и сервер выбирает лучшую из подходящих.
Набор алгоритмов шифрования состоит из нескольких шифров, отвечающих за разные функции. Перед разработкой TLS 1.3 самой надежной была такая комбинация:
- Алгоритм для обмена ключами между сервером и браузером (ECDHE)
- Цифровая подпись, удостоверяющая сертификат (ECDSA)
- Шифр для обмена данными (AES-256-GCM)
- Алгоритм для аутентификации сообщений (SHA384)
Комбинация в TLS 1.3 содержит только два последних шифра и по умолчанию не поддерживает устаревшие алгоритмы для обмена ключами и аутентификации сертификата.
Версия TLS 1.2 до сих пор считается достаточно надежной, но у нее есть уязвимости из-за большей вариативности алгоритмов шифрования и их качества. С TLS 1.3 выбор шифров ограничен самыми безопасными и весь процесс «рукопожатия» происходит проще и быстрее.
Если вы не знаете, какие шифры поддерживаются вашим сертификатом, стоит проверить их актуальность. Можно запустить онлайн-тест:
Если вы обнаружите устаревшие алгоритмы, нужно отключить их в настройках сервера. Кроме того, можно проанализировать рейтинг шифров и указать приоритетный порядок, чтобы браузеры выбирали самый надежный из поддерживаемых в вашем сертификате.
Windows vista
Как убрать ошибку сертификата безопасности веб-узла для Windows VISTA:
1. Внеситесертификатвдоверенные (нерекомендуется). Затемследуетподтвердитьдальнейшееоткрытиеокна, ивпоявившемся «Ошибкасертификата…» вызватьокнонедостоверногосертификата, обозначенное «щитом».
2. Выбрать «Просмотрсертификата», затем «Общие», гдевозможноотследитьвремядействиясертификатавэб-узла.
3. Вмастереустановкивыберите «Установитьсертификат» и»Вперёд».
4. Отметьтегалочкой «Автоматически выбранное хранилище сертификата…», подтверждаянажатием»Вперёд».
5. Выполнитеподтверждениеоперации, нажав «ДА»и»Финиш»вокнезапроса. Избранныйсертификатустановлен.
6. Произведенныеизмененияподтвердитенажатием «ОК».
7. Выберитестроку «Поместитьвсесертификатывследующеехранилище», выполнитеподтверждениенажатием «Обзор».
8. Вокнеподназванием «Выборхранилищасертификатов», отметьте «Доверенныекорневыецентрысертификации», подтверждаянажатием «ОК».
9. Завершитепроцедуру: «Далее», «Готово», подтвердитеустановку, нажимая «ОК», ипрезапуститебраузер.
Антивирусные продукты
Как исправить ошибку сертификата безопасности веб-узла посредствомнастроекантивирусногообеспечения?
Вантивирусеприсутствуетопциясканированияшифрованныхсоединений, испереустановкойантивирусасертификатывхранилищедоверенныхбраузерабудутустановленыповторно.
ВнастройкахпрограммыАваст:
Как убрать ошибку сертификата безопасности веб-узла посредством прграммы «Касперский»:
- щёлкнитевнастройкахпрограммы: «Настройки» — «Дополнительные» — «Сеть«;
- в «сканированиизащищённыхсоединений» выберите: «Несканироватьзашифрованныесоединения«;
- вкачествеальтернативногодействияможноотметить «Дополнительныенастройки» ивыбрать «Установитьсертификат«;
- затемподтвердитеизменения и перезапуститекомпьютер.
Еслиповторяется «ошибкасертификата», вероятно, онскомпрометирован, инестоитдобавлятьвисключениясертификатпопулярноговеб-сайта.
Загрузка файла сертификата в ie
В Internet Explorer специалистами Майкрософт была предусмотрена возможность добавления сертификатов вручную. Речь идёт, разумеется, о вполне безопасных ресурсах, возникновение ошибки на которых не связано с угрозами безопасности.
Для добавления ключа такого сертификата в браузер нужно, проигнорировав ошибку безопасности, перейти на соответствующий сайт и отыскать при наличии ссылку на загрузку ключа. (файлы типа *.cer, *pkcs, *.crt и др.). Загрузив сертификат, можно добавить его в браузер. Для этого требуется:
- В правом верхнем углу окна Internet Explorer нужно нажать на значок шестерёнки, вызывая таким способом основное меню обозревателя.
- Перейти в пункт «Свойства обозревателя».
- Во вкладке «» выбрать «Сертификаты», затем «Импорт».
- Откроется «Мастер импорта сертификатов», где нужно нажать «Далее».
- Кликнуть «Обзор», после чего перейти в папку, куда файлы сертификатов были загружены, и выбрать нужный.
- Определить место хранения ключей: автоматически (по выбору системы) или вручную, выбрав место хранения и название хранилища, после чего нажать кнопку «Далее».
- Когда процесс создания хранилища будет завершён, «Мастер импорта сертификатов»” отобразит финальное диалоговое окно, в котором будут отображены заданные пользователем параметры.
- После нажатия кнопки «Готово» сертификаты будут загружены в браузер, а также проверена их актуальность. Если не возникло никаких проблем, интеграция и настройка сертификатов будет завершена, что Мастер подтвердит сообщением «Импорт успешно выполнен».
Игнорирование ошибки сертификата
Допустимо использовать этот способ, если открывается веб-ресурс общеизвестен и является при этом доверенным (к примеру, , Google и т.д.). Последовательность действий довольно проста:
- во всплывающим уведомлении под адресной строкой нажать «Продолжить открытие этого веб-узла (не рекомендуется)»;
- обозреватель перейдёт на запрашиваемый сайт, но уведомление о сертификате безопасности в верхней части окна никуда не денется;
- проверка установленной системной даты.
Если ошибка возникает из-за некорректно настроенной системной даты, устранить её просто, выставив точную дату и время. Для этого нужно:
- В правом нижнем углу экрана кликнуть правой кнопкой мыши по часам (либо в Панели управления выбрать раздел «Дата и время»).
- В открывшемся окне перейти по ссылке «Изменение настроек даты и времени», затем при наличии несоответствий установить верные значения вручную.
Следует иметь в виду, что несоответствие даты и времени может быть вызвано и весьма банальной причиной: разряженной батарейкой системной платы. В этом случае батарейку необходимо заменить, однако у многих пользователей эта процедура по тем или иным причинам может вызвать затруднения, и в качестве решения можно воспользоваться автоматической синхронизацией.
Однако не стоит исключать и тот факт, что установка времени по серверам Windows не всегда срабатывает корректно, что связано с отменённым в России переходом на летнее время, поэтому более целесообразным способом решения проблемы будет именно замена элементы питания микросхемы BIOS.
Исправляем ошибку «сервер не представил корневой сертификат» в the bat! настройка приема почты thebat в ssl-соединении
Стабильность и надежность работы — одни из основных причин для использования почтового клиента на своем компьютере. Более того — ни один из ныне существующих аналогов этой программы не может похвастаться подобным функционалом для управления большим количеством имейл-ящиков.
Как любой сложный программный продукт продукт, The Bat! отнюдь не застрахован от редких сбоев в работе. Одной из таких неисправностей является ошибка «Неизвестный сертификат CA», способы устранения которой мы и рассмотрим в данной статье.
Наиболее часто с ошибкой «Неизвестный сертификат CA» пользователи сталкиваются после переустановки операционной системы Windows при попытке получить почту по безопасному протоколу SSL.
Полное описание неполадки гласит о том, что корневой SSL-сертификат не был представлен почтовым сервером в текущей сессии, а также об отсутствии такового в адресной книге программы.
В целом привязать ошибку к конкретной ситуации нельзя, однако ее значение абсолютно понятно: The Bat! не имеет необходимого SSL-сертификата на момент получения почты с защищенного сервера.
Основной причиной неполадки является то, что мейлер от Ritlabs использует собственное хранилище сертификатов, в то время как подавляющее большинство других программ довольствуется расширяемой базой данных Windows.
Таким образом, если по каким-либо причинам сертификат, используемый в дальнейшем The Bat!, был добавлен в Windows-хранилище, почтовый клиент никоим образом об этом не узнает и тут же «плюнет» в вас ошибкой.
Как установить сертификат с токена на компьютер при помощи программы “криптоарм” версии 4
Чтобы подписывать документы квалифицированной электронной подписью, вам необходим сертификат ключа проверки электронной подписи. Его вы покупаете в любомаккредитованном удостоверяющем центре (УЦ). Для безопасности ключи и сертификат записывают на специальный токен или смарт-карту. Теперь вы должны установить полученный цифровой сертификат с токена на свой компьютер. Как раз об этом наша сегодняшняя статья.
С помощью программы “КриптоАРМ” вы можете не только подписывать и шифровать файлы и документы, но и, прежде всего, удобно работать с вашими цифровыми сертификатами. Устанавливать сертификаты на компьютер, проверять разными способами статус сертификатов, просматривать и печатать подробную информацию о нем и многое другое.
Например, именно с помощью “КриптоАРМ” достаточно просто установить с токена сертификат в личное хранилище сертификатов на своём компьютере. Давайте разберёмся, как это сделать.
1. Установите программу “КриптоАРМ”, если вы этого еще не сделали.
2. Откройте программу “КриптоАРМ” и запустите специальный мастер подключения отчуждаемых носителей. Для этого в главном окне выберите пункт “Сертификаты и запросы на сертификаты” -> “Подключить отчуждаемый носитель”.
Теперь просто следуйте инструкциям программы. На первом шаге перечислен порядок и требования к подключению отчуждаемого носителя. Ознакомьтесь с ними. Вставьте в USB-порт токен и нажмите “Далее”.
3. Укажите из списка криптопровайдер, который вы планируете использовать для электронной подписи:
Работа с отчуждаемыми носителями через «КриптоАРМ» реализована только для криптопровайдеров «КриптоПро CSP» и «КриптоПро УЭК CSP». Вы можете работать с отчуждаемыми носителями, используя и другие криптопровайдеры, но только через средства самого криптопровайдера.
В качестве ключевого носителя укажите «Смарт-карта/USB-токен».
4. В списке контейнеров выберите сертификат, который необходимо установить.
Кстати на этом шаге вы можете просмотреть информацию о сертификате. Для этого выберите контейнер и нажмите на кнопку “Просмотреть сертификат в контейнере”.
Для завершения операции нажмите на кнопку “Готово”. При запросе программы введите пин-код.
5. Операция по установке сертификата завершена.
В окне с результатами выполнения операции вы можете просмотреть дополнительную информацию о статусе импорта сертификатов с отчуждаемого носителя в личное хранилище сертификатов (кнопка “Детали”).
Если в ходе операции возникли какие-либо замечания, вы можете исправить их прямо в этом окне, выбрав в журнале и нажав на кнопку “Исправить”.
Вот, в принципе, и всё. Вы установили цифровой сертификат с токена на компьютер. Теперь вы можете увидеть свой сертификат в личном хранилище сертификатов.
Где можно увидеть установленный с токена цифровой сертификат?
Чтобы увидеть установленный сертификат, в программе “КриптоАРМ” откройте режим “Эксперт”:
В разделе “Сертификаты” выберите “Личное хранилище сертификатов”. Именно здесь хранятся личные сертификаты, используемые вами и связанные с вашими закрытыми ключами.
Какие статусы цифрового сертификата возможны?
Возможны 3 статуса действительности сертификатов, выданных удостоверяющим центром: «действителен», «неизвестен», «недействителен». В программе «КриптоАРМ» они отображаются специальными значками:
- «зелёная галочка» — выполняются все условия действительности сертификата,
- «знак вопроса» — нет полного доверия к сертификату (отсутствует или просрочен список отозванных сертификатов (СОС). В этом случае рекомендуется обновить статус сертификата. Об этом мы опишем ниже.
Список отзыва сертификатов (СОС/CRL) – документ с электронной подписью уполномоченного лица удостоверяющего центра, включающий в себя список серийных номеров сертификатов, которые на определенный момент времени были отозваны или действие которых было временно приостановлено.
- «красный крестик» — сертификат недействителен.
Причины могут быть самые разные: срок действия сертификата истёк; в актуальном списке отозванных сертификатов (СОС) находится указанный сертификат; не строится цепочка сертификации; сертификат имеет некорректную электронную подпись; не удалось получить СОС из удостоверяющего центра (если выполняется обязательная проверка по СОС, полученному из УЦ)
Как обновить статус цифрового сертификата?
Чтобы обновить статус сертификата, в контекстном меню объекта или на панели инструментов, выберите пункт «Проверить статус»:
- по локальному списку отзыва сертификатов (списку, установленному в хранилище «Списки отзыва сертификатов»);
- по списку отзыва из Удостоверяющего центра (в онлайн-режиме);
- с использованием Revocation Provider;
- проверить в OCSP службе.
Если нет особых указаний по обновлению статуса сертификата, рекомендуем проверять по списку отзыва, полученному из УЦ (в программе значится, как «По CRL, полученному из УЦ»)
Статус сертификата будет обновлен:
Как настроить автоматическую проверку статуса сертификата?
Чтобы каждый раз не проверять вручную статус сертификата, вы можете настроить в программе “КриптоАРМ” автоматическую загрузку списка отозванных сертификатов. Чтобы это сделать:
1) Откройте “КриптоАРМ” -> Вид “Эксперт” -> раздел “Настройки”. В правом окне создайте новую настройку или измените уже имеющуюся.
В окне “Параметры настройки” выберите закладку “Верификация сертификатов”. Добавьте нужный УЦ выбором из имеющихся или все УЦ.
2) В настройках браузера Internet Explorer НЕ должна быть включена автоматическая настройка прокси-сервера. Проверьте настройки вашего браузера. Для этого запустите “Internet Explorer” -> меню “Сервис” -> пункт “Свойства обозревателя” -> закладка “Подключения” -> кнопка “Настройка сети” -> должны быть сброшены флажки “Автоматическое определение параметров” и “Использовать скрипт автоматической настройки”.
Отключение информирования об ошибке
Способ, предполагающий полное доверие со стороны пользователя к посещаемым ресурсам. При наличии уверенности, что на веб-страницах отсутствует всё то, чем любят пользоваться интернет-злоумышленники (фиктивные страницы, редиректы, вирусы, спам-баннеры и т.д.), можно изменить настройки браузерных уведомлений.
Делается это так:
- В правой верхней части окна Internet Explorer нажмите на пиктограмму в виде шестерни, вызвав основное меню обозревателя.
- Перейдите в пункт «Свойства обозревателя».
- В разделе «Дополнительно» отыщите подраздел «Параметры», где надо активировать отметку напротив пункта «Предупреждать о несоответствии адреса сертификата».
- Сохраните внесённые изменения нажатием кнопки «Применить», а следом «ОК».
Если речь идёт об организациях, в которых интернет-соединение управляется и контролируется серверными решениями Майкрософт, то процедура несколько сложнее.
- В «Панели управления» нужно открыть ссылку «Администрирование», а следом выбрать «Средство управления групповой политикой».
- Отметить имеющуюся или создать новую политику.
- В «Редакторе управления групповыми политиками» нужно отыскать раздел «Конфигурация пользователя», затем «Настройка» – «Параметры панели управления» – «Параметры обозревателя». Вызвав ПКМ контекстное меню, выбрать пункт «Создать», а следом браузер нужной версии.
- С правой стороны выбрать свойства элемента, а во вкладке «Дополнительные параметры связи» снять отметку со строки «Предупреждать о несоответствии адреса сертификата».
- Сохранить сделанные изменения и закрыть окно настроек.
- Далее следует воспользоваться консолью (команда «cmd»), чтобы сервер принял внесённые ранее поправки и обновил новые правила политики: в консоли набрать «gpupdate /force».
- Проделать операцию из предыдущего пункта на каждой из требуемых рабочих станций, после чего проверить работоспособность.
Причины предупреждения
1. Сертификатвеб-узланеявляетсядоверенным, еслипредоставленанеполнаяцепочкапромежуточныхсертификатов, можетвозникатьданноеуведомлениеобошибке.
2. Сертификатбезопасностибылпроизведендлявеб-узласдругимадресом.
3НеточноевремянакомпьютереклиентаболеепозднеечемпредусмотреносрокомдействиясертификатаССЛ»сервераСтандартнаярекомендацияпрекратитьработусвебузломзакрывстраницуИлижекаквариантвозможнообнулениетаймеравручнуюилипереустановкойбатарейкиплаты
4. Еслиошибкаповторяетсяприсоединениисомногимисайтами, возможноналичиесистемныхилисетевыхнеполадок.
Виновникомвнедрениянедостоверныхсертификатовможетоказатьсяантивирус, илижевредоносноеПО, подменяющеенастоящиесертификаты.
5. Ресурсдействительнонебезопасен. Есливыжелаетепроигнорировать «тревогу», нужновнестисайтвисключения.
Нодотого, как убрать ошибку сертификата безопасности веб-узла такимспособом, немешаетдополнительнопроверитьпричинувозникновенияпроблемы.
Проверка сертификатов и служб криптопро
Если предыдущие инструкции не помогли вам устранить неполадку в программе, просмотрите статусы сертификатов в разделе «Доверенные корневые сертификаты». Для этого откройте строку ввода и напишите команду certmgr.msc. Далее откройте службы Windows. Это можно сделать при помощи команды в той же строке (WIN R) «services.msc».
- Просмотрите список служб и найдите «Службы инициализации»;
- Нажмите по ней ПКМ и выберите «Свойства»;
- Убедитесь, что служба работает стабильно. Если по каким-то причинам она отключена — включите её и сохраните изменения.
Снова попробуйте подписать документ, чтобы проверить, появляется ли ошибка с недействительной цифровой подписью.
Некоторые антивирусные системы (например, Symantec, AVG) распознают драйвер программного обеспечения КриптоПро, как вирусную угрозу. При их работе в системе некоторые процессы утилиты будут заблокированы. В результате этого вы можете видеть различные ошибки. Поэтому попробуйте деактивировать на время свой антивирус и запустить программу снова.
Антивирусы разных производителей часто можно отключить на время. Это делается через трэй.
- Во всех ОС Windows есть небольшая стрелка, она открывает небольшое окошко с программами, которые работают в фоновом режиме;
- Выберите стрелку, затем нажмите на иконку антивируса ПКМ;
- Нажмите «Сетевые экраны» или «Управление экранами» — в зависимости от ПО пункты могут быть разными;
- Выберите время, на которое вы желаете отключить ПО.
Другие способы устранить ошибку
Если описанные выше способы не помогли исправить ошибку «Этот сертификат содержит недействительную цифровую подпись», тогда попробуйте сменить браузер. Если вы использовали браузер Opera, попробуйте работать с Mozilla Firefox или IE. Если предстоит работать с современными веб-сервисами, стоит использовать Firefox. Это обуславливается тем, что эти веб-службы отказываются работать с IE, особенно со старыми его версиями.
Стоит также проверить правильность даты на компьютере. Выберите ПКМ часы внизу экрана и нажмите «Настройка даты и времени». Установите правильное значение, выберите нужный часовой пояс и сохраните изменения. Затем откройте КриптоПро и снова попробуйте проверить, появляется ли ошибка, когда сертификат содержит недействительную цифровую подпись.
Создание и поверка собственных сертификатов
Любой может выпустить собственный сертификат без обращения к УЦ. Единственное различие будет в том, что выпущенные вами сертификаты не будут приниматься кем-либо ещё. Для локальной разработки этого достаточно.
Простейший способ сгенерировать закрытый ключ и самоподписанный сертификат для localhost — выполнить следующую команду из пакета openssl:
openssl req -x509 -out localhost.crt -keyout localhost.key
-newkey rsa:2048 -nodes -sha256
-subj '/CN=localhost' -extensions EXT -config <(
printf "[dn]nCN=localhostn[req]ndistinguished_name = dnn[EXT]nsubjectAltName=DNS:localhostnkeyUsage=digitalSignaturenextendedKeyUsage=serverAuth")
Вы можете сконфигурировать локальный web-сервер, используя файлы localhost.crt и localhost.key, добавив localhost.crt в список доверенных корневых сертификатов.
Если вам требуется чуть больше реализма в сертификатах для локальной разработки, попробуйте minica для создания собственного корневого сертификата, и выпуска конечных сертификатов, подписанных корневым. В итоге вы будете импортировать корневой сертификат вместо самоподписанных конечных сертификатов.
Также, вы можете использовать доменное имя с точками внутри (например, www.localhost), добавив в файл /etc/hosts как алиас адреса 127.0.0.1. Этот подход чуть изменит способ обработки браузерами хранилища для cookie.
Способ 2: включение «microsoft cryptoapi»
Другой вариант устранения неисправности заключается в переходе на систему шифрования от Microsoft. При смене криптопровайдера мы автоматически переводим The Bat! на использование системного хранилище сертификатов и тем самым исключаем конфликты баз данных.
Реализовать вышеуказанную задачу очень просто: идем в «Свойства» — «S/MIME И TLS» и в блоке «Реализация S/MIME и сертификаты TLS» отмечаем пункт «Microsoft CryptoAPI».
Затем жмем «ОК» и перезапускаем программу для применения новых параметров.
Все эти незамысловатые действия позволят полностью предотвратить дальнейшее возникновение ошибки «Неизвестный сертификат CA» в The Bat!
Настройка приема почты TheBat в SSL-соединении
1. Скачиваем и сохраняем локально (т.е. на своем компьютере в какой-либо папке).
2. Идем: ящик -> свойства почтового ящика ->общие сведения -> сертификаты
3. -> импортировать.
4. Выбираем сохраненный файл сертификата cacert.pem. Открыть.
5. Кликаем мышью по появившейся строке «Kinetics Certificate Authority», далее кликаем «Просмотреть».
6. Видим «Этот сертификат недействителен». Кликаем «Путь сертификации».
7. Кликаем мышью по «Kinetics Certificate Authority» и «Добавить к доверенным».
6. Да.
7. Для самопроверки: сертификат должен быть действительным. OK. OK. OK.
8. Для самопроверки: в адресной книге в папке Trusted Root CA должна появиться запись»Kinetics Certificate Authority».
9. Выбираем: ящик -> свойства почтового ящика -> транспорт -> соединение -> безопасное на спец. порт (в окне “Порт” должно появиться 995).
Теперь — все. После чего SSL — соединение будет работать.
Устраняем ошибку с цифровой подписью криптопро
Разработчик КриптоПро рекомендует использовать для работы только встроенный браузер в Windows — Microsoft Internet Explorer (Microsoft Edge). Это поможет не встречать на пути множество ошибок, которые непросто решить. Но даже используя этот браузер, пользователи сталкиваются с ошибками.
При этом если запустить его от имени администратора, то все становится на свои места. КриптоПро работает, сертификаты подписываются. Поэтому, если вы еще не испробовали этот способ, выберите иконку браузера и нажмите по нему правую кнопку мыши (ПКМ).
Если вам помог этот способ избавиться от сообщения «Этот сертификат содержит недействительную цифровую подпись», и программа начала работать:
- Выберите снова ярлык браузера ПКМ и нажмите пункт контекстного меню «Свойства»;
- Затем выберите внизу окна кнопку «Дополнительно»;
Нажмите на «Дополнительно» - В небольшом окошке выберите пункт «Запуск от имени администратора» и подтвердите свой выбор нажатием «Ок».
Теперь при каждом запуске вам не нужно будет выбирать иконку ПКМ. По умолчанию КриптоПро будет запущен от имени администратора. Также необходимо проверить права на некоторые файлы в реестре Windows.
- Откройте строку ввода (WIN R) и введите такую команду «regedit» и ENTER;
- Перейдите по пути, который видите на скриншоте;
- У вас должны быть права на конечные папки этих веток;
- Чтобы это проверить, выберите папку ПКМ и сделайте клик по пункту «Разрешения»;
- Выберите из существующих пунктов «Администраторы»;
- Нажмите пункт «Дополнительно» и откройте «Владелец»;
- Необходимо здесь указать значение «Полный доступ».
Затем снова попробуйте использовать КриптоПро. Проверьте также, чтобы программа видела ключи из контейнера.
Шаг 2: подключаем сертификат электронной подписи
Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен, и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет — смотрите шаг 2-1.
Подключаем отчуждаемый носитель
Выбираем криптопровайдер, как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой, не удивляйтесь).
Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов — выберите именно тот, который вам нужен.
Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678, для eToken — 1234567890. Если вы все еще пользуетесь стандартным пин-кодом — стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.
Все, мы объяснили программе КриптоАРМ, где находится наш сертификат, но она ему не очень доверяет.