- Глава вторая: ещё одна эп
- Глава первая: проверка эп
- Глава третья: немного про корневые и промежуточные сертификаты
- Запрос на сертификат континент ап | суфд
- Инструкция при возникновении проблем подключения к аис — региональный информационно-аналитический центр
- Как установить
- Набор ключей не существует (0x80090016)
- Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800b010a)
- Ошибка несоответствия версии плагина
- Ошибки 0x8007064a и 0x8007065b
- Появляется сообщение «плагин недоступен»
- Причины ошибки в цепочке сертификатов
- Проверка корневого сертификата уц в браузере
- Список доступных доверенных корневых сертификатов в ос watchos 4
- Установка криптопро
- Устранение ошибки при создании создания цепочки сертификатов для доверенного корневого центра
- Эцп создаётся с ошибкой при проверке цепочки сертификатов
Глава вторая: ещё одна эп
Порывшись в почте, я нашел еще один электронный договор. По счастливой случайности, им тоже оказался страховой полис, но на этот раз еОСАГО от АО “Тинькофф Страхование”. Открываем сертификат, смотрим выпустившую сертификат организацию. Ей оказывается АО “Тинькофф банк”.
По отработанному алгоритму идём в поисковую систему с запросом “тинькофф сертификат”, находим официальный сайт УЦ АО Тинькофф Банк. Тут нас встречает изобилие ссылок на корневые сертификаты, списки отозванных сертификатов и даже видеоинструкция по их установке.
Скачиваем “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2021”, на этот раз ссылка ведёт не на сторонний сервис, а на сайт банка. Формат файла P7B не очень известный, но открывается Windows без установки стороннего софта и показывает находящиеся в нём сертификаты.
Ставим оба, проверяем сертификат в полисе. Но нет, сертификат не является доверенным, т.к. система не может подтвердить поставщика сертификата. На сайте УЦ было 2 ссылки на 2 цепочки сертификатов, один для ГОСТ Р 34.10.2001, другой для ГОСТ Р 34.10.2021.
В новом файле формата P7B оказывается уже 3 файла сертификатов. Можно поставить все 3, однако стоит заметить, что сертификат “Головного удостоверяющего центра” мы поставили в первой главе из RAR архива ООО “ИТК”, они идентичны. А сертификат с не очень говорящим названием “УЦ 1 ИС ГУЦ” поставил КриптоПро CSP, т.к. галочка об установке корневых сертификатов была установлена по-умолчанию в его инсталляторе. Единственным новым является сертификат АО “Тинькофф Банк”, который мы и ставим.
После установки сертификатов из “Цепочка корневых сертификатов УЦ АО Тинькофф Банк ГОСТ Р 34.10.2001” путь в сертификате прорисовался и система радостно сообщила, что он является доверенным. Adobe Acrobat Reader DC также подтвердил, что подпись действительна.
На этом приключения с проверкой ЭП на полисе еОСАГО завершаются. Заметно, что после того, как в системе уже установлен необходимый софт, а пользователь понимает принципы работы и поиска промежуточных сертификатов, то проверка подписи занимает уже меньше времени.
Но проблемные места по-прежнему видны: необходимо искать в интернете официальные сайты удостоверяющих центров, разбираться в инструкциях по установке сертификатов. Даже при установленных корневых сертификатах необходимо искать промежуточный, иначе цепочка доверия будет не полной и система не сможет подтвердить достоверность подписи.
Глава первая: проверка эп
Все манипуляции с PDF документом приведены в чистой версии ОС Windows 10, русская домашняя редакция, как наиболее вероятной среде работы простого пользователя. Набор софта, используемый в статье, также является непрофессиональным и доступным для всех.
Для начала я открыл документ в просмотрщике Foxit Reader, который использую как основной:
Это выглядит очень и очень подозрительно — документ модифицирован непонятно кем, сертификат также не является доверенным. Система не может проверить цепочку доверия для данного сертификата и помечает его недействительным.
Кроме имени организации, которой выдан сертификат, видно наименование выдавшей его организации, ООО “ИТК”. Поиск по запросу “ООО ИТК сертификат” вывел меня на страницу Установка корневого сертификата Удостоверяющего центра ООО «ИТК». Это официальный сайт ООО «Интернет Технологии и Коммуникации», который является одним из удостоверяющих центров, выдающих сертификаты ЭП.
Глава третья: немного про корневые и промежуточные сертификаты
Проделав всю эту работу, меня не покидало чувство, что вся система построена не очень безопасно, требует от пользователя кучу дополнительных операций и доверия многим факторам: от поисковой системы, которая может не выдать первой строкой официальный сайт УЦ, до работы самого персонала УЦ, который выкладывает сертификаты без контрольных сумм на сторонние веб сервисы в проприетарных форматах контейнеров.
Запрос на сертификат континент ап | суфд
Итак, нам нужно создать запрос на Континент АП.
Весь процесс будет описан на версии 3.7.7.651
Для начала вставим флешку, на которую будем все это дело «создавать». И приступим. Еще момент — для Ставропольского края нужно сопроводительное письмо, просите свое казначейство дать Вам образец — в остальном я думаю что процесс изготовления такой же. Можете просто спросить «при создании запроса какой криптопровайдер выбирать».
1. В правом нижне углу — на значке Континент АП кликаем левой кнопкой мышки, выбираем:
Сертификаты — Создать запрос на пользовательский сертификат …
2. Здесь будьте внимательнее. Заполняем как в описании на картинке.
- Имя сотрудника: наименование организации
- Описание: ИНН организации
- Организация: наименование организации
- Подразделение: (по желанию) можете так же вписать орагиназацию.
- Регион: Ваш регион
- Город: Ваш город
Не забываем сохранить запрос на флешку, указав путь для сохранения в поле «Электронная форма»
Указываем еще электронную почту, обязательно жмем кнопку «Подробно» и выбираем криптопровайдер: Код Безопасности CSP.
Жмём кнопку ОК.
3. Этот игровой процесс довольно часто может раздражать)))))) особенно если Вы делаете запрос с ноутбука и у Вас нет мышки!!! Играем … кто то успокоит нервы — кто то наоборот будет ерзать на стуле )))))
4. Обязательно запишите пароль куда нибудь!!! Дело в том, что сначала вы его помните. Вы получили сертификат, при подключении он у Вас запросил пароль (пфффф — нет ничего проще же, подумали Вы — ввели пароль и поставили галочку «запомнить пароль»).
А через месяцев 8 (точно не помню). В одно прекрасное утро он попросит Вас ввести пароль снова! Вот тут то и ждет засада ))) Лио уже человек уволился, который делал запрос, либо вообще в отпуске и не дозвониться … а платежи надо срочно отправлять.
И не надейтесь, что в казначействе Вам поменяют пароль. Это не СУФД! Пароль от закрытых ключей физически нельзя подобрать, поменять, взломать, убрать …. если вы его успешно забыли.
5. Выбираем флешку — на которую будет сохранять наш закрытый ключ. В последующем будем с нее и подключаться (работать с ней).
6. Все готово. Смотрим ниже результат.
7. На пустой флешке примерно это мы увидим, после создания запроса. Сам .req файл мы передаем в казначейство. А папочка — это наши закрытые ключи. Ни кому ни даем, не удаляем (желательно сделать копию, вдруг флешка сломается).
Инструкция при возникновении проблем подключения к аис — региональный информационно-аналитический центр
Инструкция обновлена 19.05.2020.
Общая инструкция при возникновении проблем подключения к АИС с помощью TLS-клиента и ЭП:
- Убедитесь, что к компьютеруподключен flash-носитель (флешка) с электронной подписью (подпись ГУИТа действует 1 год).
- Убедитесь, что был запущен «Континент TLS-клиент» (его значок должен находиться на панели задач справа снизу).
- Откройте «TLS-клиент», выберите вкладку «Главная». Если Вы увидите соединения с красным треугольником или не актуальным списком ресурсов (как на картинке), то удалите все соединения (кнопка «Удалить»). Список соединений должен оказаться пуст. Если соединения не удаляются, то закройте «TLS-клиент» (т.е. нажмите правой кнопкой мыши на его значок на панели задач справа снизу и выберите «Выход»), снова запустите его и повторите попытку.
- Откройте «TLS-клиент». Выберите вкладку «Главная», нажмите кнопку «Добавить» — «Ресурс». В поле «Адрес» введите адрес одной из АИС (как на картинке):
- Перезапустите «TLS-клиент» (нажмите правой кнопкой мыши на его значок на панели задач справа снизу и выберите «Выход»). Затем снова запустите «Континент TLS-клиент» (его значок должен появиться на панели задач справа снизу).
- Перезапустите браузер и откройте новую вкладку браузера.
- Проверьте доступность к АИС, пройдя по одной из следующих ссылок:
- При отсутствии доступа к АИС проверьте все настройки «TLS-клиента» с помощью видеоинструкции: http://obr55.ru/ais/ais-2/video-instruction/#settings-TLS-client.
- Временно полностью отключите антивирус (это необходимо для исключения антивируса из списка причин, по которым не удается подключиться к АИС). Также обратитесь к инструкции по настройке антивируса по ссылке: http://obr55.ru/ais/ais-2/tls-client-faq/con-tls-err//#antivirus. Затем снова перезапустите TLS-клиент, перезапустите браузер и проверьте доступность АИС.
- Убедитесь, что Вы не используете подключение через сеть ЕСПД (5 Джи ВайФай), иначе воспользуйтесь инструкцией: http://obr55.ru/tls-client-espd.
Если предыдущие шаги не помогли, то найдите описание своей ошибки:
Способы решения перечисленных ошибок:
Данная ошибка возникает по разным причинам. Решение: выполните шаги 1-9 в начале данной инструкции.
- Ошибка при проверке (загрузке) списка ресурсов с сервера
Данная ошибка возникает по разным причинам. Решение: выполните шаги 1-9 в начале данной инструкции.
- Не удалось разрешить имя хоста
Данная ошибка возникает по разным причинам. Решение: выполните шаги 1-9 в начале данной инструкции.
Решение: Проверьте, что флешка с электронной подписью подключена к компьютеру. Необходимо установить все серверные сертификаты.
- Сертификат по умолчанию не найден в хранилище
Решение: задайте Сертификат пользователя по умолчанию в «Континент TLS-клиенте» по аналогии с предыдущей ошибкой.Решение: после получения новой электронной подписи (состоит из двух частей: сертификат и контейнер) необходимо установить сертификат в контейнер с помощью программы КриптоПро CSP. Флешка с контейнером электронной подписи обязательно должна быть подключена к компьютеру. Подробности в видео:
- Срок действия сертификата истек
Решение: необходимо получить новую электронную подпись и/или удалить сертификат истекшей подписи из TLS-клиента, для этого:
- В TLS-клиенте в меню «Сертификаты» на вкладке «Пользовательские сертификаты» дважды нажмите на сертификат, если срок его действия истек, то выберите кнопку «Удалить» (возможно Вы уже получили новую электронную подпись, однако предыдущая подпись осталась в списке сертификатов, достаточно ее убрать из списка.)
- Получите новую электронную подпись (процесс получения новой подписи в УЦ ГУИТ описан в видеоинструкции: http://obr55.ru/ais/ais-2/video-instruction/#receive-ep).
- Корневой сертификат не найден или Цепочка сертификатов недействительна
Решение:необходимо установить корневые сертификаты по аналогии с ошибкой.
- CRL сертификата сервера не загружен или устарел
Решение: необходимо импортировать списки отзыва сертификатов по аналогии с ошибкой.
Решение:
- Проверьте доступность АИС. В большинстве случаев на работоспособность данное уведомление не влияет. В противном случае перейдите к следующему пункту.
- Необходимо импортировать списки отзыва сертификатов по аналогии с ошибкой.
- Регистрации завершена с ошибкой (Ошибка TLS-клиента)
Решение:
- В «Настройках» TLS-клиента выберите «Регистрация».
- Нажмите «Создать регистрационный файл», введите свои данные и отправьте файл на почту технической поддержки support@securitycode.ru. В письме укажите, что необходимо зарегистрировать TLS-клиент.
- После этого тех. поддержка отправит Вам письмо с файлом, который нужно импортировать в настройках TLS-клиента: «Настройки», далее «Регистрация».
- Если TLS-клиент не открывается или закрывается сразу после открытия (т.е. с момента установки прошло 14 дней), то удалите TLS-клиент, повторно установите его, зарегистрировав TLS-клиент сразу после установки.
Решение: нарушен порядок установки программ либо произошел сбой.
- Если в списке установленных программ отсутствует «КриптоПро CSP» и присутствует «Код Безопасности CSP», то запустите «Восстановление Код Безопасности CSP» (Пуск -> Код безопасности -> Восстановление), затем «Восстановление TLS- клиента». Перезагрузите компьютер и повторно выполните импорт Вашей конвертированной электронной подписи (файлы TE и TEcont.15).
- Во всех иных случаях удалите TLS-клиент, Код Безопасности CSP, КриптоПро CSP (при их наличии в списке установленных программ) и перезагрузите компьютер.
- Скачайте утилиту для аварийного удаления КриптоПро «cspclean.exe» по ссылке: http://cryptopro.ru/sites/default/files/public/cspclean.exe
- Запустите файл «cspclean.exe», перезагрузите компьютер.
- Скачайте архив с файлами TLS-клиента по ссылке: http://obr55.ru/wp-content/uploads/2021/10/2.0.1440.0-release20.zip.
- Распакуйте архив и установите TLS-клиент.
- Контроль целостности системных файлов не пройден! Пересчитать контрольные суммы и продолжить работу?
Решение: нажмите «Да».
Решение:
- Запустите КриптоПро CSP.
- Если в поле «Срок действия» указано «Постоянная», то удалите Континент TLS-клиент и Код безопасности CSP и настройте подключение к АИС по инструкции: http://obr55.ru/ais/ais-2/ispdn-tls-connect/
- Если у вас нет лицензии КриптоПро CSP, то удалите Континент TLS-клиент и Код Безопасности CSP (при их наличии в списке установленных программ) и перезагрузите компьютер.
- Установите и настройте Континент TLS-клиент по инструкции: http://obr55.ru/ais/ais-2/tls-client-convert-ep/.
- Подключение не защищено, Ваше соединение не защищено или Возникла проблема с сертификатом безопасности этого веб-сайта
Решение:
- Убедитесь, что подключаетесь по одной из следующих ссылок:
- Нажмите «Продолжить открытие этого веб-сайта» или «Дополнительно» и выберите «Перейти на сайт …» или «Добавить исключение».
- Убедитесь, что подключаетесь по одной из следующих ссылок:
Решение:
- Проверьте доступность АИС.
- В TLS-клиенте выберите: «Настройки» -> «Настройки проксирования» и поставьте (либо наоборот уберите) галочку с пункта «Самотестирование драйвера прозрачного проксирования»
- Проверьте доступность АИС
- Если предыдущие шаги не помогли, то перейдите к инструкции: Работе АИС препятствует антивирусная программа.
- Сервер разорвал соединение на этапе аутентификации
Решение: выполните действия по аналогии с предыдущей ошибкой.
- Не удалось запустить драйвер прозрачного проксирования. Отключите мониторинг портов 80 или 443 в антивирусе или переключитесь в непрозрачный режим работы в TLS-клиенте
Решение: в настройках TLS-Клиента уберите галочку «Самотестирование драйвера прозрачного проксирования»:
- Не удалось установить TCP-соединение
Решение: выполните действия по аналогии с предыдущей ошибкой.
- Не совпадает версия протоколов TLS/SSL
Решение: выполните действия по аналогии с предыдущей ошибкой.
- Для работы туннеля необходимо задать локальный порт
Решение: выполните действия по аналогии с предыдущей ошибкой.
- Работе АИС препятствует антивирусная программа
Решение: попробуйте выполнить один из следующих шагов:
- Отключите в настройках антивируса веб-фильтр (веб-защиту), фаервол и другие подобные модули.
- Отключите в настройках антивируса фильтрацию 80 и 443 порта.
- Добавьте в список доверенных программ (исключения) файлы из следующей директории: C:Program FilesSecurity CodeContinent TLS Client.
Решение: прописать адреса DNS (8.8.8.8 и 8.8.4.4). Подробности в видео:
- Утилита конвертирования электронной подписи не запускается (выдает одну из ошибок)
Решение:
- Скачайте и установите дополнительную библиотеку Microsoft Visual C 2021 по ссылке: https://www.microsoft.com/ru-ru/download/details.aspx?id=52685.
- В окне для скачивания выберите 2 файла:
. - Поочередно установите каждую библиотеку. В окне «Программа установки Microsoft Visual C 2021…» установите галочку «Я принимаю условия лицензии» и нажмите «Установить».
- После завершения установки повторно запустите файл «Converter.exe».
Как установить
Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища – Пользователь или Локальный компьютер.
Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:
Набор ключей не существует (0x80090016)
Возникает из-за того, что у браузера нет прав для выполнения операции. Для решения проблемы в настройках плагина добавьте сайт в Список доверенных узлов.
Отказано в доступе (0x80090010)
Возникает в связи с истечением срока действия закрытого ключа. Чтобы проверить срок действия, запустите Крипто-Про CSP, затем откройте вкладку Сервис. Далее необходимо выбрать пункт Протестировать и указать контейнер с закрытым ключом. Если в результатах тестирования вы увидите, что срок действия закрытого ключа истёк, необходимо получить новый ключ.
Ошибка: Invalid algorithm specified. (0x80090008)
Появление такой ошибки означает, что криптопровайдер не поддерживает алгоритм используемого сертификата. Рекомендуется проверить актуальность версии КриптоПро CSP.
Если предлагаемые выше способы устранения ошибок не помогут, рекомендуем обратиться в службу поддержки КриптоПро.
У вас ещё нет электронной подписи? Её можно заказать у нас на сайте. Выберите подходящий вариант ЭЦП: для участия в электронных торгах, работы с порталами или отчётности. Процедура оформления не займёт больше одного дня.
Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800b010a)
При этой ошибке плагин не может сформировать запрос на создание ЭЦП. Она возникает, если по каким-то причинам нет возможности проверить статус сертификата. Например, если нет привязки к ключу или доступа к спискам отзыва. Также проблема может воспроизводиться, если не установлены корневые сертификаты.
Для устранения этой ошибки нужно привязать сертификат к закрытому ключу.
Сначала проверьте, строится ли цепочка доверия. Для этого нужно открыть файл сертификата, а затем вкладку Путь сертификации.
Ошибка несоответствия версии плагина
При проверке возникает сообщение «Установлен и настроен плагин для браузера КриптоПро ЭЦП Browser plug-in версии 2.0.12438 и выше. – undefined». В этом случае необходимо установить плагин версии 2.0.12438 и выше.
Ошибки 0x8007064a и 0x8007065b
Ошибка возникает в связи с окончанием срока действия лицензий на КриптоПро CSP (КриптоПро TSP Client 2.0, Криптопро OCSP Client 2.0).
Чтобы создать электронную подпись с форматом CAdES-BES, необходима действующая лицензия на КриптоПро CSP. Создание ЭЦП с форматом CAdES-X Long Type 1 потребует наличия действующих лицензий:
После приобретения лицензии потребуется её активация.
Появляется сообщение «плагин недоступен»
Данная проблема может возникнуть, если ваш браузер не поддерживает установленную версию плагина. Попробуйте воспользоваться другим обозревателем.
Причины ошибки в цепочке сертификатов
Ошибки могут возникать по разным причинам — проблемы с Интернетом на стороне клиента, блокировка программного обеспечения Защитником Windows или другими антивирусами. Далее, отсутствие корневого сертификата Удостоверяющего Центра, проблемы в процессе криптографической подписи и другие.
Проверка корневого сертификата уц в браузере
Проверку можно выполнить в браузере.
- Выберите в меню пункт «Сервис».
- Далее нажмите строку «Свойства обозревателя».
- Нажмите на вкладку «Содержание».
- Здесь нужно выбрать «Сертификаты».
- Следующую вкладка «Доверенные центры сертификации». Здесь должен быть корневой сертификат УЦ, обычно он находится на дне списке.
Теперь попробуйте снова выполнить те действия, в процессе которых возникла ошибка. Чтобы получить корневой сертификат, необходимо обратиться в соответствующий центр, где вы получили СКП ЭП.
Список доступных доверенных корневых сертификатов в ос watchos 4
Хранилище доверия ОС watchOS содержит доверенные корневые сертификаты, предварительно установленные с операционной системой watchOS.
Установка криптопро
Когда установочный файл скачен, его нужно запустить для установки на ваш компьютер. Система отобразит предупреждение, что программа запрашивает права на изменение файлов на ПК, разрешите ей это сделать.
Перед установкой программы на свой компьютер, все ваши токены должны быть извлечены. Браузер должен быть настроен на работу, исключением является браузер Opera, в нем уже произведены все настройки по умолчанию. Единственное, что остается пользователю — это активировать специальный плагин для работы. В процессе вы увидите соответствующее окно, где Opera предлагает активировать этот плагин.
После запуска программы, нужно будет ввести ключ в окне.
Найти программу для запуска можно будет по следующему пути: «Пуск», «Все программы», «КриптоПро», «КриптоПро CSP». В открывшемся окне нажмите кнопку «Ввод лицензии» и в последней графе введите ключ. Готово. Теперь программу необходимо настроить соответствующим образом под ваши задачи.
В некоторых случаях для электронной подписи используют дополнительные утилиты — КриптоПро Office Signature и КриптоАКМ. Можно устранить ошибку — нет возможности построить цепочку сертификатов для доверенного корневого центра — простой переустановкой КриптоПро. Попытайтесь это сделать, если другие советы не помогли.
Ошибка «Не удается построить цепочку сертификатов» все еще появляется? Отправьте запрос в службу поддержки, в котором нужно разместить скриншоты ваших последовательных действий и объяснить подробно свою ситуацию.
Устранение ошибки при создании создания цепочки сертификатов для доверенного корневого центра
В первую очередь убедитесь, что у вас нет проблем с интернет-подключением. Ошибка может появляться при отсутствии доступа. Сетевой кабель должен быть подключен к компьютеру или роутеру.
Эцп создаётся с ошибкой при проверке цепочки сертификатов
Данная проблема возникает из-за отсутствия доступа к спискам отозванных сертификатов. Списки должны быть доступны для загрузки на сайте удостоверяющего центра, который выпустил сертификат ЭЦП. Установка списков выполняется по той же схеме, что и установка промежуточного сертификата.