- Сертификат содержит недействительную цифровую подпись : что делать , если сбой связан с браузером
- Что может послужить причиной такой ошибки
- Что может пойти не так?
- * как работает автообнаружение (для внутренних клиентов, подключенных к домену)?
- Вход под ролью администратора
- Истечение срока
- Как решить проблему
- Как строится путь доверия
- Настройка даты и времени
- Неисправные сертификаты ssl
- Некорректная работа криптопро
- Особенности версий криптопро
- Отключение антивирусной программы
- Права доступа к реестру
- Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
- Службы инициализации
- Часто задаваемые вопросы
- Этот сертификат содержит недействительную цифровую подпись : на примере « тензор»
- Этот сертификат содержит недействительную цифровую подпись : устранение ошибки на примере казначейства
- Этот сертификат содержит недействительную цифровую подпись : цепочка доверия от минкомсвязи до пользователя
- Этот сертификат содержит недействительную цифровую подпись: изменение, повреждение файла уфк
- Этот сертификат содержит недействительную цифровую подпись: проблема с отображением в криптопро
Сертификат содержит недействительную цифровую подпись : что делать , если сбой связан с браузером
Если пользователь настроил путь доверия и устранил неполадки криптопровайдера, но проблема не решилась, есть вероятность, что она кроется в браузере. В первую очередь это касается подписания документов непосредственно на сайтах государственных систем и контролирующих органов (ЕГАИС, ПФР, ФНС и др.).
Разработчик CryptoPro рекомендует использовать для работы с КЭП только Internet Explorer, так как он встроен в Windows. Но и с этим веб-обозревателем случаются сбои.
Что может послужить причиной такой ошибки
Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:
В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.
Что может пойти не так?
В этом процессе может возникнуть одна из нескольких проблем:
* как работает автообнаружение (для внутренних клиентов, подключенных к домену)?
Я добавляю это просто для полноты, так как это еще одна распространенная причина появления этих сертификатов.
На клиенте, присоединенном к домену, когда он локальный для среды Exchange (т. Е. Во внутренней локальной сети), описанные выше методы не используются. Вместо этого Outlook напрямую связывается с точкой подключения службы в Active Directory (указанной в настройках клиентского доступа Exchange), в которой указан URL-адрес, по которому Outlook может найти службу автообнаружения.
При таких обстоятельствах обычно встречаются предупреждения сертификатов, потому что:
В этом случае проблема решается путем исправления записанного URL-адреса для обращения к правильному внешнему адресу (указанному в сертификате) путем запуска Set-ClientAccessServerкомандлета с -AutodiscoverServiceInternalUriпереключателем.
Стороны, делающие это, обычно также настраивают DNS с разделением горизонта , потому что они обязаны делать это из-за конфигурации своей сети и / или для обеспечения непрерывности разрешения в случае сбоя преобразователя / соединения в восходящем направлении.
Вход под ролью администратора
Обычно после входа под правами администратора все становится на свои места, и ключи работают в привычном режиме. Что предпринять:
- Кликнуть ПКМ по иконке браузера.
- Выбрать пункт «Запуск от имени администратора».
Если ошибка устранена, рекомендуется:
- Снова выбрать ярлык браузера.
- Нажать кнопку «Дополнительно».
- Выбрать «Запуск от имени администратора».
Теперь при каждом запуске права администратора будут автоматически вступать в силу, и пользователю не придется каждый раз менять настройки.
Если используется старая версия веб-обозревателя, рекомендуется обновить ее до последнего релиза.
Истечение срока
При наступлении нового календарного года пользователь должен установить обновленный промежуточный ключ УЦ на каждый компьютер, где используется КЭП. Операционная система выдаст соответствующее упоминание при запуске. Если не выполнить обновление вовремя, при заверке документов тоже будет возникать уведомление о недействительности ключа.
Для импорта обновленных ключей действующий интернет не нужен, файл автоматически проверяется при первом подключении к сети. Такая проверка производится всего один раз за все время действия ключа.
Как решить проблему
В первую очередь стоит удостовериться, что КС корректно установлен и действителен. Для этого используется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В открывшемся списке должен быть документ от ПАК «Минкомсвязь России». Если сертификат отсутствует или он недействителен, его нужно установить, следуя алгоритму:
- Открыть загруженный файл на ПК.
- Во вкладке «Общие» кликнуть «Установить».
- Поставить флажок напротив строчки «Поместить в следующее хранилище».
- Выбрать хранилище «Доверенные корневые центры сертификации».
- Продолжить установку кнопкой «ОК» и подтвердить согласие в окне «Предупреждение о безопасности».
После установки появится сообщение, что импорт успешно завершен. Далее рекомендуется перезагрузить компьютер.
Файл выдается удостоверяющим центром вместе с другими средствами для формирования ЭЦП. Если он утерян или удален, следует обратиться в УЦ, в котором был получен СКПЭП.
Если КС Минкомсвязи на месте, но в статусе по-прежнему сказано, что он недействителен, удалите его (выбрать файл и нажать «Удалить») и установите заново.
На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:
Не все ветки могут быть в наличии. Удалите те, что есть, предварительно сохранив их резервные копии в отдельный файл. Перезагрузите ПК и проверьте статус СКЭП — он должен стать действительным.
Важно! Удаление и редактирование ключей реестра может нарушить работоспособность системы, поэтому процедуру лучше доверить техническому специалисту.
Как строится путь доверия
Первое звено в иерархической цепочке — корневой сертификат ключа проверки ЭЦП ПАК «Минкомсвязь России». Именно этот госорган, согласно ст. 16 ФЗ № 63 «Об электронной подписи», осуществляет аккредитацию удостоверяющих центров, то есть дает им официальное право заниматься выпуском ЭЦП. Полный перечень таких организаций можно уточнить на официальном портале Минкомсвязи .
Настройка даты и времени
Также следует проверить актуальность даты ПК. Для этого необходимо:
- Навести мышкой на часы внизу экрана.
- Выбрать «Настройка даты и времени».
- Указать свой часовой пояс, выставить правильные значения и сохранить обновление.
После всех действий рекомендуется перезагрузить компьютер.
Неисправные сертификаты ssl
Вполне возможно, что URL-адрес, который Outlook использует для попытки связаться с сервером Exchange, разрешается на хост, который может быть или не быть сервером клиентского доступа. Если Outlook может обмениваться данными с этим сервером через порт 443, сертификаты, конечно, будут обмениваться для настройки безопасного канала между Outlook и удаленным сервером.
Если URL-адрес, по которому Outlook считает, что он говорит, не указан в этом сертификате – будь то общее имя или альтернативное имя субъекта (SAN) – это приведет к тому, что Outlook представит диалоговое окно, которое вы описали в своем первоначальном сообщении.
Это может произойти по нескольким причинам, все зависит от того, как настроен DNS и как URL, которые я описал выше, проверяются Outlook:
Некорректная работа криптопро
Для проверки необходимо открыть КриптоПро CSP и перейти во вкладку «Алгоритмы». Если параметры алгоритмов пустые, значит софт функционирует некорректно, и его требуется переустановить:
Особенности версий криптопро
С января 2021 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2021, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2021 работают только с версии 4.0 и выше.
Отключение антивирусной программы
Некоторые «антивирусники», например, Symantec или AVG, воспринимают КриптоПро как вирусную угрозу, поэтому отдельные процессы криптопровайдера могут быть заблокированы. В результате этого всплывают различные ошибки с СКПЭП. Если нужно срочно заверить электронный документ, рекомендуется на время деактивировать антивирус:
- Кликнуть ПКМ на иконку «антивирусника».
- Нажать «Сетевые экраны» или «Управление экранами».
- Выбрать время, на которое планируется отключить утилиту.
После заверки документов снова запустите программу.
Права доступа к реестру
Сбой возможен при отсутствии прав на некоторые файлы в реестре Windows. Для проверки необходимо открыть строку ввода комбинацией Win R, ввести команду regedit, нажать Enter и перейти по пути для настройки прав в реестре Windows:
У пользователя должны быть права на конечные папки этих веток. Проверить это можно следующим образом:
- Выбрать папку правой кнопкой мыши и нажать на пункт «Разрешения».
- Кликнуть по кнопке «Администраторы» → «Дополнительно».
- Открыть страницу «Владелец».
- Указать значение «Полный доступ».
Эта же проблема решается переустановкой криптопровайдера с помощью описанной выше утилиты для очистки следов.
После обновления Windows до более поздней версии пользователь может видеть уведомление «При проверке отношений доверия произошла системная ошибка». Это тоже связано с недействительностью КЭЦП и нарушением внутренних файлов КриптоПро. Переустановка СКЗИ поможет решить эту проблему.
Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа
Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».
Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt
Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.
Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»
В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:
В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки
Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»
Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»
В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»
Затем появится окно с подтверждением данной операции, жмём «ДА»
В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.
Службы инициализации
СЭП может отражаться как недействительный, если не запущена служба инициализации КриптоПро CSP. Это можно проверить следующим образом:
- Запустить системное окно «Выполнить» комбинацией клавиш Win R.
- Ввести команду services.msc.
- В списке служб выбрать «Службы инициализации».
- Кликнуть правой кнопкой мыши (ПКМ) и выбрать пункт «Свойства».
- Если по каким-то причинам служба отключена, активировать ее и сохранить изменения.
Если все выполнено верно, после перезагрузки компьютера КЭЦП снова будет работать корректно.
Часто задаваемые вопросы
Типичные ошибки Континент-АП при установке связи с сервером доступа
1. Ошибка «Client cert not found»
Для решения данной проблемы необходимо:
· Проверить, запущен ли процесс eapsigner161.exe;
· Если процесс не запущен, зайти в папку с установленной программой и запустить процесс вручную.
2. Ошибка «Неизвестная ошибка импорта сертификатов»
Для решения данной проблемы необходимо:
· удалить все сертификаты с истекшим сроком действия из хранилища «Личные» локального хранилища сертификатов системы (для этого можно воспользоваться оснасткой «mmc» (выбрав в меню Файл -> Добавить или удалить оснастку -> Сертификаты -> Добавить -> Готово -> Ок) или воспользоваться функционалом браузера Internet Explorer (выбрать в меню Сервис -> Свойства браузера -> Содержание -> Сертификаты));
· удалить из хранилища «Личные» локального хранилища сертификатов системы все сертификаты, которые в своем составе, в поле «Субъект», содержат следующие символы: , ; “ ” « ».
3. Ошибка «Не совпадает подпись открытого эфемерного ключа»
Для решения данной ошибки необходимо при установке личного сертификата выбирать правильный контейнер закрытых ключей. Для этого можете воспользоваться функционалом оснастки КриптоПРО CSP, используя функцию «установить личный сертификат» во вкладке «сервис», которая в своем составе имеет возможность, путем проставления галочки, автоматического поиска соответствия между контейнером закрытых ключей (значением закрытого ключа) и значением открытого ключа, содержащегося в сертификате пользователя.
4. Ошибка «Сервер отказал в доступе пользователю не найден корневой сертификат»
Для решения данной ошибки необходимо:
· проверить издателя сертификата, который используется для установления соединения (сертификат для Континент-АП имеет в качестве издателя Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru»);
· проверить наличие в хранилище «Доверенные корневые центры сертификации» локального хранилища сертификатов системы сертификата Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru», в случае его отсутствия необходимо заново произвести установку сертификата пользователя.
5. Ошибка «Сервер доступа отказал пользователю в подключении. Причина отказа: Неизвестный клиент»
Для решения данной ошибки необходимо проверить правильность, указанных в Континент-АП, адресов серверов доступа. В УФК по Московской области используются следующие адреса серверов доступа:
4800-sd-01.roskazna.ru или 4800-sd-02.roskazna.ru.
Если в процессе подключения к одному из серверов доступа возникает подобная ошибка, необходимо произвести подключение на другой сервер доступа. В случае, если описанное выше не помогает решить проблему, необходимо позвонить в Управление Федерального казначейства по Московской области (по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
6. Если после установки Континент-АП произошла потеря интернет соединения необходимо в настройках сетевого адаптера, который используется для выхода в интернет, снять галочку в пункте «Continent 3 MSE Filter».
7. Ошибка «Сервер отказал в доступе пользователю. Причина отказа: многократный вход пользователя запрещен»
Для решения данной ошибки необходимо обратится в УФК по Московской области по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
8. Ошибка 721 либо 628
· Проверить, работает ли подключение к интернету на АРМ.
· Отключить МСЭ, брандмауэр либо другое ПО которое может блокировать служебные порты/протоколы Континент-АП.
· Исключить проблему в канале провайдера, попробовать использовать другого, к примеру, через 3-g модем. Если с другим провайдером работает – нужно обратиться к своему с запросом на открытие служебных портовпротоколов.
Этот сертификат содержит недействительную цифровую подпись : на примере « тензор»
О содержании недействительной цифровой подписи в сертификате пользователь узнает при попытке подписать документы с помощью КЭЦП. В этом случае на экране появляется сообщение: «При проверке отношений доверия произошла системная ошибка» или «Не удается построить цепочку доверия для доверенного корневого центра». Чтобы увидеть состояние ключа, необходимо:
- Открыть меню «Пуск».
- Перейти во вкладку «Все программы» → «КриптоПро».
- Кликнуть на кнопку «Сертификаты».
- Выбрать хранилище: «Личное», «Доверенные корневые центры» или «Промежуточные доверенные центры».
- Нажать на выбранный сертификат.
- Перейти во вкладку «Путь сертификации».
В поле «Состояние» отображается статус недействительного сертификата , на примере с УЦ «Тензор» это выглядит так:
При корректно настроенном пути сертификации состояние было бы таким:
В разделе «Общие» отображается причина, например, «Этот сертификат не удалось проверить, проследив его до доверенного центра».
Системное оповещение о сбое может возникать по ряду причин:
- нарушена цепочка доверия (неверный путь сертификации), поврежден один из сертификатов или все три (шифрованное соединение между браузером клиента и сервером будет недоверенным или вовсе не будет работать);
- неправильно установлен криптопровайдер КриптоПро;
- неактивны алгоритмы шифрования СКЗИ;
- заблокирован доступ к файлам из реестра;
- старые версии браузеров;
- на ПК установлены неактуальные дата и время и т. д.
Таким образом, ошибка может быть связана непосредственно с сертификатами, криптопровайдером или настройками ПК. Для каждого варианта придется пробовать разные способы решения.
Этот сертификат содержит недействительную цифровую подпись : устранение ошибки на примере казначейства
Самая распространенная причина недействительности сертификата заключается в нарушенных путях сертификации. Причем проблема может быть не только в файле Минкомсвязи, о котором было сказано ранее, но также в промежуточных и личных СКЭП. Рассмотрим эту причину на примере Управления Федерального казначейства (УФК), которое, среди прочего, тоже занимается выдачей КЭЦП.
Этот сертификат содержит недействительную цифровую подпись : цепочка доверия от минкомсвязи до пользователя
Прежде чем разбираться в причинах ошибки, следует понять алгоритм построения цепочки доверия сертификатов (ЦДС) — она обязательна для корректной работы ЭЦП на любых информационных ресурсах.
Этот сертификат содержит недействительную цифровую подпись: изменение, повреждение файла уфк
Функции УЦ выполняются в территориальных органах Росказны по всей России. Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики должны заверять отчеты ЭП, полученной в УФК.
Если не удается заверить документ ЭП казначейства , и появляется отметка « Этот сертификат содержит недействительную цифровую подпись », предлагается следующий алгоритм действий:
- Перейти в папку «Личное».
- Выбрать СКЭП, который не работает, и перейти во вкладку «Путь сертификации». В качестве головного УЦ будет указан Минкомсвязи РФ, а промежуточного (подчиненного) — Федеральное казначейство. Нижним звеном в этой цепи будет личный СКЭП держателя.
- Если в поле состояния стоит статус недействительности документа, необходимо отследить всю цепочку и выявить «слабое звено».
- Вернуться в раздел «Общие», чтобы убедиться, верно ли указаны сведения о компании, выпустившей СКЭП.
- Выйти из папки «Личное» и перейти в хранилище «Промежуточные центры сертификации».
Если причина именно в этом звене, на вкладке «Общие» отобразятся сведения: «Этот сертификат не удалось проверить, проследив его до …». Значит на этом участке обрывается путь.
Этот сертификат содержит недействительную цифровую подпись: проблема с отображением в криптопро
При такой ошибке одни ресурсы отклоняют СЭП, а другие без проблем взаимодействуют с ним. Возможно, во втором случае информационный ресурс, на котором пользователь подписывает документ, не проверяет путь до головного УЦ. Устранение проблемы в подобном случае осложняется тем, что весь путь доверия построен без нарушений, а ключ значится как действительный. Можно предположить, что сбой связан с криптопровайдером или браузером.