Ошибка проверки сертификата Федерального казначейства и настройка рабочего места для доступа к SUFD в 2022 г. (обновлено 05.03.2022)

Внимание! О новых правилах получения ЭЦП, действующих с 2022 года, мы рассказали в этой статье.

Ошибки документов подписанных электронной подписью и методы их исправления

• Не удалось проверить список отзыва CRL.
• Сертификат недействителен. Срок действия истек или еще не наступил.
• Сертификат недействителен. Сертификат отозван.
• Подпись недействительна. (Подпись математически неверна).
• Не удалось полностью проверить один или несколько сертификатов в цепочке.

Корневые сертификаты Федерального казначейства.

Устанавливаются в хранилище «Промежуточные центры сертификации»

Сертификат Федерального казначейства 2001 (ГОСТ Р 34.11/34.10-2001) — действителен с 04.07.2017 по 04.07.2027 (серийный номер: 36 ac d4 55 00 00 00 00 01 2f)Сертификат Федерального казначейства 2012 (ГОСТ Р 34.11-2012 256 бит) — действителен с 19.11.2018 по 19.11.2033 (серийный номер: 00 b5 f1 32 d3 00 00 00 00 01 5a)Сертификат Федерального казначейства 2020(ГОСТ Р 34.11-2012 256 бит) — действителен с 05.02.2020 по 05.02.2035 (серийный номер: 62 ab 79 95 00 00 00 00 03 b6)Сертификат Федерального казначейства 2021(ГОСТ Р 34.11-2012 256 бит) — действителен с 13.04.2021 по 13.04.2036(серийный номер:00 cb c6 98 33 00 00 00 00 05 6e)Сертификат Федерального казначейства 2022(ГОСТ Р 34.11-2012 256 бит) -действителен с 10.01.2022 по 10.01.2037 (серийный номер: ‎00 cf e8 ff 61 00 00 00 00 05 f6)

Для тех кто не знает как ставить:

Скачиваем сертификат, двойным нажатием левой кнопки мыши открываем его (или правой кнопкой мышки как на картинке).Выбираем «Установить сертификат» — Далее — выбираем пункт «Поместить все сертификаты в следующее хранилище» — жмем Обзор и выбираем нужное нам хранилище (Промежуточные центры сертификации)Жмем Далее и Готово.

Внимательно читаем, в какое хранилище устанавливать корневые сертификаты казначейства ГУЦ и УЦ ФК

Устанавливаем корневые сертификаты ГУЦ и Минкомсвязь:Cертификат головного удостоверяющего центра (ГУЦ ГОСТ 2001) — действителен с 20.07.2012 по 17.07.2027 (серийный номер: 34 68 1e 40 cb 41 ef 33 a9 a0 b7 c8 76 92 9a 29)Сертификат Минкомсвязи России (ГУЦ ГОСТ 2012) — действителен с 06.07.2018 по 01.07.2036 (серийный номер: 4e 6d 47 8b 26 f2 7d 65 7f 76 8e 02 5c e3 d3 93)Сертификат Минцифры (ГУЦ ГОСТ 2012) — действителен с 08.01.2022 по 08.01.2040 (серийный номер: 00 95 1f a3 47 7c 61 04 3a ad fa 85 86 27 82 34 42)

Портал для специалистов по информационной безопасности. Новости, нормативная правовая и справочная документация. Шаблоны документов.

Корневой сертификат Минцифры России (Головного удостоверяющего центра)

Корневой сертификат Минцифры России (Головного удостоверяющего центра)

Как экспортировать сертификат открытого ключа из Internet Explorer

Как установить корневой сертификат?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены

Сохранить моё имя, email и адрес сайта в этом браузере для последующих моих комментариев.

Затем дважды кликните левой кнопкой мыши по нему (Рис. 1).

Рис. 1. Скачанный корневой сертификат

Во всплывающем предупреждающем окне нажмите «Открыть» (Рис. 2).

Рис. 2. Предупреждающее окно

Откроется сертификат. Во вкладке «Общие» нажмите кнопку «Установить сертификат» (Рис. 3).

Рис. 3. Корневой сертификат

Откроется окно «Мастер импорта сертификатов». Нажмите кнопку «Далее» (Рис. 4).

Рис. 4. Окно «Мастер импорта сертификатов»

Далее отметьте строку «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» (Рис. 5).

Рис. 5. Хранилище сертификатов

В открывшемся окне выберите «Доверенные корневые центры сертификации», затем нажмите кнопку «Ок» (Рис. 6).

Рис. 6. Выбор хранилища сертификатов

В окне «Мастер импорта сертификатов» нажмите кнопку «Далее» (Рис. 7).

Рис. 7. Окно «Мастер импорта сертификатов»

Далее нажмите кнопку «Готово» (Рис. 8).

Рис. 8. Завершение «Мастера импорта сертификатов»

Дождитесь завершения установки корневого сертификата. По окончанию нажмите кнопку «Ок» (Рис. 9).

Рис. 9. Предупреждение о безопасности

Сертификат сервера «Континент TLS VPN»

Вас может заинтересовать

КриптоПро CSP 4.0 R3 для Windows

Замена сертификата сервера TLS в ПО «Континент TLS Клиент»

О формировании заявлений и запросов на сертификат через портал ФЗС

• С 01.02.2019 Удостоверяющий центр Федерального казначейства осуществляет выдачу сертификатов только с использованием схемы электронной подписи по ГОСТ Р34.10-2012.
• Для сайта закупок достаточно роли “Аутентификация клиента”. Появившиеся в секции “Резерв ФК” роли Заказчика клиентов не касаются.
• Многие УФК требуют прикладывать согласие на обработку ПД по форме со страницы УФК, а не шаблон из ФЗС
• Место рождения получателя сертификата в карточке запроса указывается точно как в паспорте.
• Если при плановой смене сертификата вас просят переформировать запрос как при первичном обращении это связано с тем, что в ВРС прикреплена старая форма согласия, либо копия паспорта была заверено неверно. При входе по сертификату старые документы изменить нельзя.  Просьба отнестись с пониманием.

С августа 2018 года казначейство просит вас формировать заявления и запросы на сертификат с помощью портала ФЗС (https://fzs.roskazna.ru)

Инструкции по формированию запроса и заявления:

Портал заявителя с функционалом формирования запросов на квалифицированные сертификаты ключей проверки электронных подписей (ФЗС), позволяет получателю сертификата (уполномоченному лицу)  формировать комплект документов и сведений для создания/смены сертификата и направлять его в электронном виде в территориальный орган Федерального казначейства (ТОФК). В некоторых случаях без посещения ТОФК.

Требования к автоматизированному рабочему месту, порядок получения доступа к функционалу ФЗС и его описание представлено в документе «Информационная система «Удостоверяющий центр Федерального казначейства». Руководство пользователя».

Извините, но у вас недостаточно прав для комментирования

Установка корневых сертификатов Федерального казначейства

Для того, чтобы установить сертификат, Вам необходимо:

• Открыть скаченные сертификаты.
• Нажать на «Установить сертификат»
• В расположении хранилища, выбрать Локальный компьютер;
• Выбрать «Поместить все сертификаты в следующее хранилище», нажать на «Обзор»
• Выбрать «Доверенные корневые центры сертификации» и нажать «Ок».
• Нажать «Далее», «готово», «ок»
• Готово.

Внимание:
Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.

Для замены сертификата сервера TLS в ПО «Континент TLS Клиент» на АРМ пользователя необходимо:

• Выполнить запуск диалога «Континент TLS Клиент: настройка сервиса». Для этого в меню «Пуск» ввести «Континент TLS клиент» и щелкнуть по найденному элементу.
• Выбрав сертификат в локальной директории, нажать кнопку «ОК».
  Сохранение изменений в диалоге «Континент TLS Клиент: настройка сервиса».
• Если в рамках текущей сессии ОС осуществлялся вход в личный кабинет системы «Электронный бюджет», необходимо выполнить блокировку текущей сессии пользователя ОС с повторным входом.

Сегодня особенный привет работникам бюджетной сферы. Поговорим о наболевшем. О работе в системе ГИС «Электронный бюджет». Который просто кишит ошибками.

Вот эта ошибка: «crl сертификата сервера не загружен или устарел» , по запросу на которую вы сюда и пришли, она тянется с августа 2020г. Тогда в электронном бюджете произошли большие изменения, и вместе с ними, например, «приклеились» и всякие ошибки, которые до сих пор не могут быть устранены в автоматическом режиме в «полюбившемся» вам континент tls 2.0. Уж извините за сарказм.

ЭБ: crl сертификата сервера не загружен или устарел

Если вы видите такую ошибку в своём TLS — клиенте, значит нужно установить «список отзыва» вручную

Проблема в том, что ещё 2 года назад программисты УФК говорили, что обычные пользователи не должны выискивать вручную в интернете «рецепты», и всё должно делаться автоматически в Континент TLS 2.0 «по кнопке»:

. Континент TLS 2.0

Теперь переходим к процедуре установки «списка отзыва»

По ней надо пройти, и вы увидите заголовок:

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства

Сертификаты и Списки аннулированных сертификатов Удостоверяющего центра Федерального казначейства

Список этот будет меняться с течением времени. Но ссылка работает пока. Это файлы с расширением .CRL на текущий момент их 6. Но не суть важно. Главное понять как их устанавливать. Итак, скачиваем все .CRL — файлы с этой страницы в какую-либо папку:

Установка списка отзыва вручную

И правой мышкой, по очереди на каждом файле, нажимаем и выбираем в меню «Установить список отзыва CRL». Следуйте несложным инструкциям после этого (грубо говоря жмём на все вопросы «ОК», «далее» и т.п.)

P.S. Данный рецепт  получил от тех.поддержки УФК.

Ошибка обновления crl что это

Нет полного доверия к сертификату подписи.

Как выглядит ошибка:

1. Если в вашей организации используется прокси-сервер, то запишите настройки прокси в соответствующем меню КриптоАРМа. Если прокси не используется, то в меню Настройки — Управление настройками — Параметры прокси-сервера отключите использование прокси.

2. В верхнем меню КриптоАРМ выберите пункт Настройки , затем Управление настройками , далее вкладка Общие — снимите чекбокс с опции Отключить проверку личных сертификатов по спискам отзыва .

3. Зайдите в меню Профили — Управление профилями, откройте профиль, который используется по умолчанию (он отмечен галочкой в списке профилей). Достаточно нажать по нему 2 раза левой клавишей мышки. Далее в разделе Верификация сертификатов в таблице нажмите кнопку Добавить все УЦ и установите чекбокс в ячейке рядом с появившимися звездочками в таблице, нажмите Применить и ОК. Выполните подписание, если предупреждение еще возникает, то переходите к следующему пункту.

4. Выберите в окне программы КриптоАРМ ветку Личное хранилище сертификатов . Затем справа выберите нужный сертификат и нажмите правой кнопкой мыши, чтобы вызвать контекстное меню. В появившемся меню выберите Проверить статус — По CRL, полученному из УЦ .

5. Если статус сертификата стал с зеленой галочкой, повторите ваше изначальное действие, подпишите файл.

6. Если к промежуточному сертификату удостоверяющего центра тоже нет полного доверия, то выполните эти же действия по загрузке списка отозванных сертификатов.

• Alex_04
• Не в сети
• ТОФК

finsem пишет: lk.budget.gov.ru — статус сертфиката — сертификат просрочен.

lk2012.budget.gov.ru — статус сертификата — требуется обновить CRL. CRL- требуется обновление.

• finsem
• Не в сети

finsem пишет: Возьму совет на заметку для следующего раза.

• Gvinpin
• Не в сети

finsem пишет: В настройках континента полазили (но ничего не меняя), заработало.

finsem пишет: Ведь через неделю опять это все будет. Опять скачивать и вручную?

finsem пишет: Файл ucfk_gost12.crl скачала и установила в хранилище «Доверенные корневые. » Что еще поделать?

Он устанавливается в Промежуточные центры сертификации — Локальный компьютер. И guc_gost12.crl тоже.

Недавно поставил на проблемном АРМе оба этих САС в «Локальный компьютер» и в «Доверенные корневые» и в «Промежуточные» — помогло (просроченные удалял при этом).

Не знаю прав или нет, но на всякий случай туда же установил и ucfk_2020.crl — не будет лишним для сертов после 17.02.2020 года выпуска.

Gvinpin пишет: Просроченных crl нет в хранилище?

• Mischanja
• Не в сети

finsem пишет: У сертификата ucfk_gost12 окончание 3 марта, у guc_gost12 12 марта. После этих дат опять надо будет скачивать их и устанавливать? Опять ведь будет статус Требует обновления. Как автоматом сделать, чтобы обновлялось?

• Rubick777
• Не в сети

Наконец то мы дождались изменений в настройке доступа к СУФД. С мая 2021 года УФК планомерно переводит ведомства на новый тип авторизации на портале. Что изменилось?

Уходят в небытие забытые пароли, учётные записи и, самое главное, казначейство наконец избавляется от Континент АП 3.7. К сожалению, сама контора, разрабатывающая континент – никуда не делась, вместо неё теперь используется Континент TLS VPN клиент. Зато теперь больше не нужно перевыпускать транспортные сертификаты =).

Что нам понадобится для настройки

После установки всего и перезагрузки АРМ, запускаем наш TLS клиент. Его ярлык будет лежать на рабочем столе.

Новый адрес выглядит по принципу: ufkXX.sufd.budget.gov.ru, где XX – номер вашего ТОФК. Если не знаете номер – посмотрите на прошлую ссылку, по которой ранее ходили в СУФД. В моём случае старый адрес выглядел так: s2000w03.ufk20.roskazna.local. Делаем вывод, в моём случае, для моего региона, новый адрес доступа к СУФД будет выглядеть так – ufk20.sufd.budget.gov.ru.

Если на АРМ ранее не пользовались электронными подписями – будет ошибка типа “Не найден корневой сертификат, невозможно проверить цепочку сертификатов”. Скорее всего не установлены сертификаты минкомсвязи и удостоверяющего центра ФК.

Для удобства – вот ссылка на сертификат минкомсвязи (Обновлено 05.03.2022, теперь этот сертификат выдаётся минцифрой). Его устанавливаете в Доверенные корневые центры сертификации. А вот ссылка на актуальные корневые сертификаты УФК, их устанавливаете в Промежуточные центры сертификации.

В настройках Континента можно включить автоматический старт программы при запуске компьютера – это удобно.

Вход в СУФД по новому адресу после настройки

Открываете свой любимый браузер. Удостоверьтесь в том, что Крипто Про ЭЦП Browser plugin включён и работает. Новый адрес доступа к СУФД будет выглядеть как в процессе настройки TLS клиента – то есть в моём случае это ufk20.sufd.budget.gov.ru.

Если всё настроено верно, то попытка зайти на портал попросит вас сразу же выбрать сертификат, под которым будет осуществлён вход.

Из неудобного – для подписания документов другим человеком теперь недостаточно перезайти в СУФД, так как сайт будет помнить, под каким сертификатом прошла авторизация. Чтобы зайти под другим человеком, нужно предварительно сбросить TLS соединение. Для этого в правом нижнем углу нажмите правой кнопкой на значок Континент TLS и нажмите “Сброс соединений”

В данной статье описывается настройка рабочего места для доступа к Электронному бюджету от федерального казначейства. Прежде чем приступать непосредственно к настройке компьютера, потребуется наличие программного обеспечения и пара телодвижений в плане заполнения документов. Список ниже.

Подготовка к настройке АРМ для электронного бюджета

1. Сначала устанавливаем Крипто Про CSP 4, желательно версии R5;2. Затем устанавливаем Континент TLS VPN клиент, перезагружаем компьютер;3. После установки Континент нужно зарегистрировать – это бесплатно. Достаточно просто вбить ФИО, организацию и электронную почту; 4. Устанавливаем личный сертификат, полученный в казначействе. Если не умеете – см. статью Установка сертификатов Крипто Про в реестр;5. Устанавливаем CADES, он же Крипто Про ЭЦП Browser Plugin.

Настройка TLS VPN для Электронного бюджета

Далее нам потребуется установить серверный сертификат. Это тот самый сертификат lk.budget.gov.ru, который мы скачивали с этой страницы. Идём в раздел “Управление сертификатами” в континент TLS, выбираем пункт “Серверные сертификаты” и импортируем скачанный файлик.

Для удобства – вот ссылка на сертификат минкомсвязи. Его устанавливаете в Доверенные корневые центры сертификации. А вот ссылка на актуальные корневые сертификаты УФК, их устанавливаете в Промежуточные центры сертификации.

Проверка входа в личный кабинет Электронного бюджета

Для работы в Электронном бюджете УФК придётся использовать браузер Internet Explorer. Находим его в пуске, вбиваем в адресную строку адрес личного кабинета ЭБ – Lk.budget.gov.ru. Если всё настроено верно – появится окно с выбором сертификата на вход.

В Windows 10 по умолчанию отображается не полный список сертификатов, а просто первый в списке. Для отображения полного списка установленных сертификат прожмите кнопку “Больше вариантов”. Выбирать нужно именно тот сертификат, серийный номер которого указывали при направлении заявки на подключение к Электронному бюджету.

Если после выбора сертификата получаем страницу входа в лк – значит компьютер настроен верно.

Если при попытке продвинуться дальше ЭБ выдаёт ошибку с текстом “Ошибка аутентификации: Учётная запись пользователя не найдена в системе. Обратитесь к Регистратору органа Федерального казначейства”, значит запрос, который вы вместе с согласием передавали в казначейство ещё не обработали, либо в запросе нашли ошибки. Звоните в территориальное казначейство и уточняйте, там же можно проконсультироваться по поводу заполнения самих запросов на доступ к Электронному бюджету. На следующую попытку ваш компьютер уже готов к работе 😀

ОБНОВЛЕНО 20.11.2021г. (fzs обновился, пришлось пилить новый мануал)

2. Выбираем теперь свой Субьект РФ (край, регион и т.д.) а ниже уже код ТОФК через значок лупы — это код Вашего казначейства, с которым Вы работаете и в котором Вы обслуживаетесь. Вашу заявку на ЭЦП будут отрабатывать именно там. Огрн проставился автоматически. Жмем ДАЛЕЕ

3. Теперь отмечаем пункт: Сертификат физического лица, а чуть ниже выбираем ВНЕСТИ СВЕДЕНИЯ

4. Тут проверяем паспортные данные, серию, номер и т.д. Нажимаем СОХРАНИТЬ

5. Переходим к следующему этапу — ВНЕСТИ СВЕДЕНИЯ

6. Это важный этап, здесь мы отмечаем полномочия — проще говоря площадки, где будет работать наше ЭЦП. При плановой смене тут уже все проставлено за нас. Но я все же озвучу некоторые нюансы.

Аутентификация клиента — оно стоит по умолчанию, это полномочие дает нашему сертификату возможность работать в СУФД, ЕИС, электронном бюджете. Но для начала нам надо получить сертификат, а потом уведомить казначейство — что бы они подвязали новый сертификат в ЭБ и СУФД. Автоматически они там не обновляются!!!

Работа с ГМУ. Базовый OID. Тут раскрываем этот пункт и отмечаем два полномочия. Эти галки дают нам возможность работать на сайте bus.gov.ru. Но нам понадобится для этого заполнить обязательное поле «Ученый номер организации ГМУ»

Остальные полномочия не ставим, Вам они не понадобятся (исключение полномочие Россреестра, но она для отдельных категорий клиентов, которым это полномочие разрешено и необходимо). Во всех остальных случаях вам придет отказ.

Больше ни чего не трогаем, оставляем все как есть по умолчанию. Это касается полей Класс средств ЭП, Криптопровайдер (CSP), Экспортируемый закрытый ключ.

Жмем СОХРАНИТЬ И СФОРМИРОВАТЬ ЗАПРОС НА СЕРТИФИКАТ.

7. Жмем Да

8. Тут будьте внимательны. В этот момент формируются закрытые ключи от вашей ЭЦП. И если вы их сохраните и не запомните куда, ЭЦП ваша работать не будет!!! Закрытые ключи рекомендую формировать на флешку. Кто по опытней в реестр формирует, на токен и т.д. Главное их не потерять!!!! Потом уже на любой носитель можно перенести. Выбираем носитель и жмем ОК

9. Ну в принципе ))) небольшая пауза. Двигайте мышкой, тыкайте по клавиатуре — Ваша цель, зеленная полоска — которая должна полностью заполнить строку.

10. Еще один важный момент. Некоторые клиенты, или «горе программисты» — которые им помогают или обслуживают, ставят здесь пароль, ну и конечно его забывают! Собственно если с Вами так и произошло ПОЗДРАВЛЯЮ!!! Вам придется делать новую эцп! Оставляйте поле пустым, либо записывайте обязательно пароль!!! ОК

11. Переходим к пункту СФОРМИРОВАТЬ ЗАЯВЛЕНИЕ

12. Мы не будем рассматривать здесь случаи, когда ЭЦП делается на бухгалтера или иное лицо, на которое требуется выписка из приказа на должность или доверенность на владение ЭЦП. Укажите должность, проверьте дату. И жмите СОХРАНИТЬ.

13. Можете проверить актуальность электронного почтового адреса и нажать ПОДПИСАТЬ СВЕДЕНИЯ ЭП И ПОДАТЬ ЗАПРОС

14. Нажимаем ДА

15. Тут нам выдает как бы электронную форму запроса на получение сертификата, с реквизитами владельца и прочим. Нажимаем ПОДПИСАТЬ ЭП

16. Окошко, нужно нажать Да

17. Тут выбираем сертификат и нажимаем ПОДПИСАТЬ ЭП

18. Финиш ))) уведомление о том что запрос сформирован, подписан и подан в обработку. ОК

19. Можно отслеживать статус запроса. Вкладка Мои запросы

20. Вот и наступил долгожданный момент — ИЗГОТОВЛЕН СЕРТИФИКАТ

21. ПОДТВЕРДИТЬ И ПОДПИСАТЬ ЭП

22. Совсем чуть чуть )) потерпите. Я вообще эту статью 2 дня писал!!! Сначала подал запрос потом ждал когда сертификат будет готов, что бы уже всю процедуру описать от начала подачи до конца. Жмем Да

23. Снова выбираем сертификат как в пункте 17, ПОДПИСАТЬ ЭП

24. УРА! Внизу экрана в браузере видим всплывающее окошко. Жмем сохранить как, и сохраняем сертификат. На флешку — которую мы выбирали в пункте 8

Регламент уполномоченного удостоверяющего центра Казначейства, действующий в 2021 году

Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики, а также исполнители и другие участники тендеров должны заверять отправляемые файлы электронно-цифровой подписью (ЭЦП), полученной в Федеральном казначействе (ФК). Такую же ЭЦП используют и бюджетные организации для осуществления электронного документооборота с Федеральным казначейством.

ЭЦП — аналог собственноручной подписи уполномоченного лица, который получается путем криптографического преобразования информации.

ВНИМАНИЕ! Бюджетные учреждения могут получить сертификат проверки ключа ЭЦП в уполномоченном удостоверяющем центре Федерального казначейства (УЦ) абсолютно бесплатно.

Алгоритм получения ЭЦП зафиксирован в Регламенте удостоверяющего центра Федерального казначейства, который утвержден приказом ФК от 14.09.2018 № 261.

ВНИМАНИЕ! С 01.01.2022 ФНС будет бесплатно оформлять ЭЦП для юрлиц и ИП. Налоговики планируют начать оказывать услугу уже с 01.07.2021. Подробнее об этом мы рассказали здесь.

Документы для получения ЭЦП в Казначействе

Необходимо предоставить в Казначейство документы для ЭЦП:

• заявление на сертификат, подписанное руководителем и заверенное печатью организации;
• копию паспорта заявителя и оригинал для сличения информации;
• согласие заявителя на обработку персональных данных;
• СНИЛС владельца подписи;
• документ, подтверждающий право владения сертификатом (приказ о назначении руководителя или доверенность на уполномоченного представителя компании);
• ОГРН/ИНН заявителя;
• доверенность на получение ЭЦП.

Документы для получения ЭЦП в Казначействе заверяются подписью руководителя и печатью организации-заявителя.

Сертификат недействителен. Сертификат отозван.

Ошибка указана на картинке ниже:

При возникновении данной ошибки, если ранее вы самостоятельно не отзывали сертификат. Вам необходимо обратиться в Удостоверяющий центр, выдавший сертификат, для уточнения причины возникновения данной проблемы.

Удостоверяющий центр выдавший сертификат, обычно указан в разделе Издатель.

Программа генерации ключей

Программное обеспечение «АРМ генерации ключей» для подготовки файла с запросом на сертификат также доступно для скачивания на официальном сайте Казначейства roskazna.ru в разделе «Документы».

СОВЕТ! Чтобы быстрее найти дистрибутив софта в документах на сайте Казначейства, воспользуйтесь поисковой строкой, введя в нее запрос «Дистрибутив АРМ генерации ключей».

После скачивания программы запускаем файл setap.exe и следуем инструкциям по установке:

• Соглашаемся с условиями соглашения — нажимаем кнопку «Согласен».
• Выбираем каталог для установки софта.
• Нажимаем «Установить».

После успешной установки запускаем программу, после чего:

• Выбираем клавишу «Создать запрос на сертификат».
• В открывшемся окне заполняем все сведения об абоненте и кликаем кнопки «Далее» и в следующем окне «Выполнить».
• В новом диалоговом окне выбираем съемный носитель и нажимаем «ОК».
• В открывшемся окне программа предложит установить пароль для доступа к ключу. Выбранный пароль необходимо будет вводить каждый раз при использовании подписи. Данный шаг можно пропустить, оставив поля для ввода пароля пустыми.
• Выбираем место для сохранения файла на запрос сертификата и кликаем «ОК».
• В следующем окне программа выводит форму запроса на экран для печати.
• Заявление на сертификат успешно сформировано, нажимаем «Готово».

CRL сертификата сервера не загружен или устарел

рис. 2 . Континент TLS 2.0

Корневые сертификаты казначейства

Для работы с сертификатами выпущенными начиная с 17.07.2017 необходимо использовать новый корневой сертификат  Удостоверяющего центра Федерального казначейства.Для этого на рабочие станции на которых предполагается изготовление или использование сертификатов ключей проверки необходимо установить сертификаты Головного удостоверяющего центра (далее –  ГУЦ) Министерства связи и массовых коммуникаций Российской Федерации (далее – Минкомсвязь России).

Для установки сертификата ГУЦ необходимо выбрать сертификат:

Cертификат головного удостоверяющего центра (ГУЦ ГОСТ 2001) – действителен с 20.07.2012 по 17.07.2027

Сертификат Минкомсвязи России (ГУЦ ГОСТ 2012) – действителен с 06.07.2018 по 01.07.2036

и вызвать контекстное меню нажатием правой кнопкой мыши, затем выбрать команду «Установить сертификат». Откроется окно мастера импорта сертификатов, нажать кнопку «Далее», откроется окно выбора хранилища сертификатов, выбрать опцию «Поместить все сертификаты в следующее хранилище» и нажать кнопку «Обзор», откроется окно  списка доступных хранилищ сертификатов. Выбрать хранилище «Доверенные  корневые центры сертификации», нажать кнопку «Далее», откроется окно завершения работы мастера импорта сертификатов, нажать кнопку «Готово», появится сообщение, что импорт успешно выполнен, нажать кнопку «ОК».

Для  установки  сертификата УЦ Федерального  казначейства   необходимо выбрать сертификат:

Сертификат Удостоверяющего центра Федерального казначейства 2001 (ФК ГОСТ 2001) – действителен с 04.07.2017 по 04.07.2027

Сертификат Удостоверяющего центра Федерального казначейства 2012 (ФК ГОСТ 2012) – действителен с 19.11.2018 по 19.11.2033

Сертификат Удостоверяющего центра Федерального казначейства 2020 (ФК ГОСТ 2020) – действителен с 05.02.2020 по 05.02.2035

и вызвать контекстное  меню  нажатием  правой кнопкой мыши, затем выбрать команду «Установить сертификат». Откроется окно мастера импорта сертификатов, нажать кнопку «Далее», откроется окно выбора хранилища сертификатов, выбрать опцию «Поместить все сертификаты в следующее хранилище» и нажать кнопку «Обзор».  Откроется окно списка доступных хранилищ сертификатов, выбрать хранилище «Промежуточные  центры  сертификации»,  нажать кнопку «Далее», откроется окно завершения работы мастера импорта сертификатов, нажать кнопку «Готово», появится сообщение, что импорт успешно выполнен.

https://youtube.com/watch?v=-_a5MOnAWZo%3Frel%3D0%26wmode%3Dtransparent

Корневой сертификат УЦ Росказна 2021 года

После получения сертификата в Казначействе на рабочее место исполнителя следует установить софт «КриптоПро», скачав дистрибутив с официального сайта.

Инсталляция средства ЭЦП оформляется актом установки (приложение № 2 к Регламенту Казначейства), 1 экземпляр которого передается в УЦ в течение 10 рабочих дней с даты установки средства электронной подписи.

Для скачивания корневого сертификата следует зайти на официальный сайт Казначейства — вкладка «Удостоверяющий центр» — и выбрать раздел «Корневые сертификаты».

Подпись недействительна. (Подпись математически неверна).

Пример ошибки на картинке ниже:

Причина возникновения данной проблемы: файл был изменен или поврежден, после подписания.

Файл может быть изменен в следствии воздействия антивирусного ПО. Или в результате изменений внесенным в структуру файла почтовым сервисом, при отправке по электронной почте.

Файл необходимо повторно подписать, предварительно отключив антивирус (при его наличии, и при повышенном уровне защиты файловой системы).

Перед отправкой по электронной почте, файл необходимо заархивировать.

Так же если Вы используете при подписании сервис КриптоДок, у Вас должна быть активирована лицензия Крипто Про CSP, как проверить действительность лицензии Вы можете узнать по ссылке

Так же, если для подписания используется программа КриптоАРМ, перед подписанием обратите внимание, чтобы был отключен режим Квалифицированная подпись в КриптоАРМ.

Проверить это можно нажав правой кнопкой мыши, по иконке в области уведомлений.

Официальный сайт для осуществления госзакупок по 44-ФЗ

Согласно письму Минэкономразвития РФ от 26.10.2016 № Д28и-2792 для участия в госторгах следует получать ЭЦП по 44-ФЗ в Казначействе.

Инструкция по установке корневых сертификатов

https://youtube.com/watch?v=-_a5MOnAWZo%3Ffeature%3Doembed

Доверенность на получение ЭЦП

Доверенность на получение ЭЦП в Казначейство оформляется в законодательно установленном порядке. Документ должен отображать сведения об организации-заявителе, паспортные данные лица, уполномоченного получить сертификат, с предоставлением ему права подписи сопутствующих документов.

Сертификат недействителен. Срок действия истек или еще не наступил.

Визуально ошибка отображена на картинке ниже:

Как устранить данную проблему:

Не удалось полностью проверить один или несколько сертификатов в цепочке.

Не установлен корневой сертификат удостоверяющего центра, выдавшего сертификат.

Не установлен корневой сертификат Минкомсвязь России

• Откроется мастер экспорта сертификата, все оставляем по умолчанию, нажимаем далее –далее – выбираем место для сохранения файла и задаем ему имя.
• Запоминаем куда сохранился файл, и открываем его. Нажимаем — установить сертификат (далее выполняем действия, последовательно как на скриншотах)

• По окончании установки перезапускаем программу КриптоАРМ, и повторно выполняем операцию, которую не удалось выполнить ранее.
• Скачиваем по ссылке — https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ufoCertificates/download/34656
• Проделываем те же действия что показаны в пункте 4 , но в качестве хранилища выбираем Доверенные корневые центры сертификации.

Как получить ЭЦП в Казначействе для госзакупок по 44-ФЗ

Для получения ЭЦП в ФК необходимо выполнить следующее:

• Заключить соглашение (договор присоединения к Регламенту) с Казначейством (приложение № 1 к Регламенту).
• Получить в УЦ USB-носитель информации с установочным дистрибутивом средства ключа электронной подписи (КЭП) и программным обеспечением для создания запроса на сертификат.
• Сформировать запрос на сертификат в автоматизированном режиме с использованием программного обеспечения «АРМ генерации ключей», используя дистрибутив с выданного УЦ съемного носителя, и записать полученный файл на съемный носитель, не содержащий КЭП. При этом создание запроса на сертификат и КЭП может осуществляться:

• на рабочем месте в учреждении-заявителе уполномоченным от учреждения лицом самостоятельно;
• представителем заявителя в отделении Федерального казначейства в присутствии оператора УЦ.

• Распечатать сформированный программой запрос на сертификат, заверить его подписью руководителя и печатью организации.
• Собрать пакет документов, необходимый для получения ЭЦП.
• Предоставить все вышеуказанные файлы, бумаги и их копии в УЦ.

Представленные документы проверяются УЦ, и в случае положительного решения в течение 5 рабочих дней уполномоченный удостоверяющий центр Федерального казначейства выдает сертификат заявителю на съемном носителе и 2 экземпляра сертификата на бумаге. Бумажный вариант сертификата подписывается владельцем, 1 экземпляр возвращается оператору УЦ.

Сведения о сертификате и его владельце направляются оператором УЦ в Единую систему идентификации и аутентификации (ЕСИА) участников государственных аукционов.

Ошибка OpenVPN CRL has expired (просрочен список CRL)

Сегодня речь пойдет об одном нюансе, связанном со списком отозванных сертификатов (Сertificate Revocation List, CRL) в OpenVPN. Данный механизм применяется, когда требуется блокировать доступ отдельных узлов к сети (в случае увольнения сотрудника или подозрения что выданный сертификат скомпрометирован).

В какой-то момент времени, может возникнуть ошибка OpenVPN CRL has expired (просрочен список CRL) и клиенты перестают подключаться. Убедиться, что проблема именно в этом довольно просто, достаточно закомментировать в конфиге сервера строку проверки отозванных сертификатов и перезапустить сервер.

После чего клиенты спокойно начнут подключаться.

Обновление списка отозванных сертификатов OpenVPN

Почему возникла данная проблема? Дело в том, что периодичность обновление списка отозванных сертификатов задаётся в переменной default_crl_days в конфиге /usr/local/openvpn/easy-rsa/openssl-1.0.cnf:

Сами значения переменных задаются в файле /usr/local/openvpn/easy-rsa/vars. По умолчанию обновление списка CRL происходит каждые 180 дней (можно задать своё значение, например 365 дней) :

Если считаете статью полезной,не ленитесь ставить лайки и делиться с друзьями.

Комментариев

Ой спасибо добрый человек. Два дня искал в чем проблема.

очень помогло. сегодня по той же причине openVPN сервер перестал принимать соединения и отрубил все которые были

Сегодня такая же проблема была. Всё заработало!

Порядок подачи заявления на отзыв сертификата ЭЦП

За 20 дней до даты окончания периода действия сертификата следует подать заявление о получении нового файла. Старый сертификат и средство ЭП удаляются с рабочего места, а съемные носители ликвидируются комиссией организации  владельца ЭЦП. При этом оформляется акт об уничтожении средства ЭП (приложение № 6 к Регламенту Казначейства). 1 экземпляр документа в течение 10 дней следует направить в территориальный отдел УЦ.

Уполномоченный удостоверяющий центр Федерального казначейства в течение 12 часов обязан внести сведения о недействительном сертификате в список аннулированных сертификатов.

Заявление об изменении статуса сертификата оформляется в соответствии с приложением № 4 к Регламенту ФК в случаях:

• изменения данных, зафиксированных в сертификате;
• утери носителя ключа проверки ЭЦП;
• нарушения правил хранения и (или) утилизации ЭЦП;
• реорганизации (ликвидации) организации — владельца сертификата;
• поломки ключевого носителя сертификата;
• увольнения владельца сертификата ЭЦП;
• иных ситуациях по решению владельца сертификата.

Заявление заверяется подписью и печатью организации — владельца сертификата и предоставляется в УЦ на бумажном носителе или по электронным каналам связи.

Что изменится в процедуре получения усиленной квалифицированной электронной подписи с 01.01.2022, узнайте в Готовом решении КонсультантПлюс, получив бесплатный пробный доступ.

Как установить CRL список отзыва ВРУЧНУЮ

В КриптоАРМ не установлен актуальный список отзыва.

1 – нажимаем Статус сертификата, 2 – двойным кликом открываем сертификат, 3- нажимаем Состав, 4 – выбираем Точки распространения, 5 – выделяем ссылку после = , нажимаем Ctrl + C (плюс не нажимаем , одновременно две клавиши Ctrl и C на клавиатуре), вставляем ссылку в строке поиска в браузере.

Нажимаем Готово. Перезагружаем Компьютер и проверяем повторно. Ошибка должны быть устранена.

Итоги

Федеральное казначейство получение ЭЦП для 44-ФЗ обязывает проводить согласно Регламенту на оформление сертификата ключа проверки. Процедура получения сертификата имеет особенности и подробно рассмотрена в данной статье.

С видами ЭЦП и порядком их получения ознакомьтесь в статьях:

• «Как сделать простую электронную подпись?»;
• «Чем отличаются два основных типа электронных подписей?».