it колдунство: Проблемы с сертификатами ГОСТ 2012

Содержание

1с-эдо
Другие способы устранить ошибку
Как устранить
Когда появляется ошибка подписи сертификата
Недействительный сертификат минкомсвязи
Ошибка при работе в криптоарм
Ошибка при работе в суфд
Ошибка сертификата при работе в егаис
Причина: не запущена служба инициализации
Причина: переустановка os windows
Проблемы с сертификатами гост 2021
Проверка сертификатов и служб криптопро
Другие способы устранить ошибку
Решение
Устраняем ошибку с цифровой подписью криптопро

1с-эдо

Аккредитованные удостоверяющие центры (УЦ) для подписания от своего имени квалифицированных сертификатов обязаны использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным УЦ, функции которого осуществляет Минкомсвязи. Этот механизм призван упростить процедуру проверки квалифицированной электронной подписи, т.к. она будет обеспечиваться единой точкой доверия – головным удостоверяющим центром (ГУЦ) Минкомсвязи России. Правила аккредитации УЦ изменены поправками в 63-ФЗ “Об электронной подписи”.

Переход операторов ЭДО на новую процедуру аккредитации, замена сертификатов УЦ в некоторых случаях может вызывать проблемы при проверке электронной подписи оператора ЭДО под такими служебными документами ЭДО как подтверждение даты получения (ПДП), подтверждение даты отправки (ПДО), а также при проверке квалифицированной электронной подписи под документами от Ваших контрагентов.

Для корректной работы механизма автоматической проверки электронной подписи необходимо установить на вашем компьютере корневой сертификат ГУЦ Минкомсвязи.

Для этого нужно:

Скачать (получить) корневой сертификат ГУЦ Минкомсвязи на портале уполномоченного федерального органа в области использования электронной подписи https://e-trust.gosuslugi.ru/#/portal/mainca:

по ГОСТ Р 34.10-2001 – в разделе “ПАК Головной удостоверяющий центр”, Идентификатор ключа: 8B983B891851E8EF9C0278B8EAC8D420B255C95D
по ГОСТ Р 34.10-2021 – в разделе “ПАК Минкомсвязь России”, Идентификатор ключа: C254F1B46BD44CB7E06D36B42390F1FEC33C9B06

it колдунство: Проблемы с сертификатами ГОСТ 2012

Другие способы устранить ошибку

Если описанные выше способы не помогли исправить ошибку «Этот сертификат содержит недействительную цифровую подпись», тогда попробуйте сменить браузер. Если вы использовали браузер Opera, попробуйте работать с Mozilla Firefox или IE. Если предстоит работать с современными веб-сервисами, стоит использовать Firefox. Это обуславливается тем, что эти веб-службы отказываются работать с IE, особенно со старыми его версиями.

Стоит также проверить правильность даты на компьютере. Выберите ПКМ часы внизу экрана и нажмите «Настройка даты и времени». Установите правильное значение, выберите нужный часовой пояс и сохраните изменения. Затем откройте КриптоПро и снова попробуйте проверить, появляется ли ошибка, когда сертификат содержит недействительную цифровую подпись.

Как устранить

Чтобы устранить ошибку, нужно проверить адрес OCSP службы в сертификате. В поле «Доступ к информации о центрах сертификации» обычно не ставится пункт «Метод доступа». Сделать это можно так:

«Пуск»/«Все программы»/«Сертификаты»/«Пользователь»/«Личное»/«Сертификаты».
В правой части рабочего окна открыть нужный сертификат.
Открыть вкладку «Состав»/«Доступ к информации…».

Если данное условие нарушено, то необходимо обратиться в удостоверяющий центр, выдавший электронную подпись, и попросить изготовить новую ЭЦП в формате CAdeS XLONG.

Про сертификаты: Сертификация выпечки и домашних мучных изделий

Если создание ЭЦП требует использования штампа времени, то построение цепочки без подписи данного формата невозможно. Для устранения ошибки понадобится установка сертификата тестовой службы штампа времени с официальной страницы удостоверяющего центра, изготовившего ЭЦП в хранилище доверенных центров сертификации.

Если не удается построить цепочку сертификатов, то нужно убедиться в отсутствии проблем с интернетом. Ошибка может возникать при нестабильном сигнале сети. Затем нужно проверить наличие КС удостоверяющего центра. Сделать это просто:

Открыть КриптоПро и вкладку «Сертификаты».

Когда появляется ошибка подписи сертификата

Проблемы с сертификатом в программе КриптоПро появляются при использовании некоторых браузеров. При этом в одном приложение может стабильно работать, но стоит использовать другой, как ошибка тут же появляется. Системное сообщение о сбое появляется еще в том случае, если какие-либо параметры компьютера неправильно настроены. Не точное время, неверная дата и прочее.

Также это случается, если внутренние файлы КриптоПро были нарушены. В этом случае программа не будет работать ни с одним браузером. Остается только заново переустановить утилиту. В некоторых случаях проблема решается установкой обновлений операционной системы.

Недействительный сертификат минкомсвязи

Удалить четыре ветки реестра, перезагрузить, сертификат стал действителен.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx21.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftCryptographyOIDEncodingType 1CryptDllImportPublicKeyInfoEx21.2.643.7.1.1.1.1

Ошибка при работе в криптоарм

Проблема с недействительной подписью при работе в КриптоАрм может быть вызвана и истекшим сроком сертификата, и тем, что ключ ЭЦП попал в список отозванных сертификатов, и в невозможности построить цепочку сертификатов.

Ошибка при работе в суфд

Иногда при работе системы удаленного финансового документооборота также выходит ошибка о недействительности электронной подписи. Причин может быть несколько — это и отсутствие личных сертификатов, и устаревшая версия Java и даже неправильно выбранный пользователь.

Ошибка сертификата при работе в егаис

Во время работы в Единой Государственной Автоматизированной Информационной Системе (ЕГАИС) проблема с недействительной подписью возникает реже и обычно из-за отсутствия личного сертификата или повреждения ключевого носителя.

Причина: не запущена служба инициализации

Иногда ошибка недействительности подписи связана со сбоем в службе инициализации. Обнаружить это можно, если попробовать посмотреть любой из закрытых ключей электронной подписи в хранилище.

Причина: переустановка os windows

После переустановки Windows или установки обновлений сертификаты, имеющие ключи менее 1024 битов, становятся недействительными и блокируются. Для снижения риска компрометации ключей электронной подписи было выпущено специальное обновление, блокирующее ненадежные ключи RSA (криптографический алгоритм, сокращение от Rivest, Shamir и Adleman).

Проблемы с сертификатами гост 2021

Заметил такую проблему с сертификатами выпущенными по новому госту, что корневые сертификаты, например минкомсвязи, у них в упор не встают нормально в хранилище пользователя. Т.е. ставим сертификат минкомсвязи из под пользователя в доверенные корневые, а он всё равно говорит нет доверия к этому сертификату. Хотя если открыть консоль, оснастку сертификаты, открыть хранилище доверенных корневых, то вот он, лежит, прям рядом с Головным удостоверяющим центром госта 2001, но только тому он доверяет, а этому нет. Не знаю почему так, но помогает ставить в хранилище локального компьютера. Но в связи с этим возникают неудобства, нужны права администратора, а у меня все компы в домене, да ещё и не всегда знаешь пароли пользователей, чтоб отлогиниться, зайти под админом и потом вернуться всё доделать под пользователем. Я пользуюсь двумя разными способами в данной ситуации, либо ярлык mmc на рабочем столе, либо тотал командер и shift ПКМ, запуск от имени другого пользователя. Логин пароль/админа и уже ставлю сертификат, не забывая при этом поставить галочку и установить серт в хранилище компа.

Про сертификаты: Оформление сертификатов соответствия и деклараций ТР ТС

Проверка сертификатов и служб криптопро

Если предыдущие инструкции не помогли вам устранить неполадку в программе, просмотрите статусы сертификатов в разделе «Доверенные корневые сертификаты». Для этого откройте строку ввода и напишите команду certmgr.msc. Далее откройте службы Windows. Это можно сделать при помощи команды в той же строке (WIN R) «services.msc».

Просмотрите список служб и найдите «Службы инициализации»;
Нажмите по ней ПКМ и выберите «Свойства»;
Убедитесь, что служба работает стабильно. Если по каким-то причинам она отключена — включите её и сохраните изменения.

Снова попробуйте подписать документ, чтобы проверить, появляется ли ошибка с недействительной цифровой подписью.

Некоторые антивирусные системы (например, Symantec, AVG) распознают драйвер программного обеспечения КриптоПро, как вирусную угрозу. При их работе в системе некоторые процессы утилиты будут заблокированы. В результате этого вы можете видеть различные ошибки. Поэтому попробуйте деактивировать на время свой антивирус и запустить программу снова.

Антивирусы разных производителей часто можно отключить на время. Это делается через трэй.

Во всех ОС Windows есть небольшая стрелка, она открывает небольшое окошко с программами, которые работают в фоновом режиме;
Выберите стрелку, затем нажмите на иконку антивируса ПКМ;
Нажмите «Сетевые экраны» или «Управление экранами» — в зависимости от ПО пункты могут быть разными;
Выберите время, на которое вы желаете отключить ПО.

Другие способы устранить ошибку

Про сертификаты: Как ужесточились требования к работе с персональными данными в 2021 году — СКБ Контур

Решение

Для проверки наличия личных сертификатов нужно перейти: «Панель управления»/«Свойства обозревателя»/«Содержание»/папка «Сертификаты». Если они личные, то необходима установка КриптоПро.

Для корректной работы подписи необходима версия Java 6 update 17 и выше. Также важно проверить, включены ли в используемом браузере плагины Java. Сделать это можно так:

для IE: «Сервис»/«Надстройки»/«Панель инструментов». В открывшемся меню все пункты, относящиеся к Java, должны быть активны.
для Firefox: «Инструменты»/«Дополнение»/«Расширения»/«Плагины». Также в новом окне должны быть активны все пункты, связанные с Java.

Также нужно проверить «Документарный контроль» и очередность подписей, используемый ключевой носитель и соответствие учетной записи.

Устраняем ошибку с цифровой подписью криптопро

Разработчик КриптоПро рекомендует использовать для работы только встроенный браузер в Windows — Microsoft Internet Explorer (Microsoft Edge). Это поможет не встречать на пути множество ошибок, которые непросто решить. Но даже используя этот браузер, пользователи сталкиваются с ошибками.

При этом если запустить его от имени администратора, то все становится на свои места. КриптоПро работает, сертификаты подписываются. Поэтому, если вы еще не испробовали этот способ, выберите иконку браузера и нажмите по нему правую кнопку мыши (ПКМ).

Если вам помог этот способ избавиться от сообщения «Этот сертификат содержит недействительную цифровую подпись», и программа начала работать:

Выберите снова ярлык браузера ПКМ и нажмите пункт контекстного меню «Свойства»;
Затем выберите внизу окна кнопку «Дополнительно»;
Нажмите на «Дополнительно»
В небольшом окошке выберите пункт «Запуск от имени администратора» и подтвердите свой выбор нажатием «Ок».

Теперь при каждом запуске вам не нужно будет выбирать иконку ПКМ. По умолчанию КриптоПро будет запущен от имени администратора. Также необходимо проверить права на некоторые файлы в реестре Windows.

Откройте строку ввода (WIN R) и введите такую команду «regedit» и ENTER;
Перейдите по пути, который видите на скриншоте;
У вас должны быть права на конечные папки этих веток;
Чтобы это проверить, выберите папку ПКМ и сделайте клик по пункту «Разрешения»;
Выберите из существующих пунктов «Администраторы»;
Нажмите пункт «Дополнительно» и откройте «Владелец»;
Необходимо здесь указать значение «Полный доступ».

Затем снова попробуйте использовать КриптоПро. Проверьте также, чтобы программа видела ключи из контейнера.