Как исправить ошибку отсутствия доверия к сертификату эцп

Содержание

Введение

Словарь терминов

  • PKI (Public Key Infrastructure) — инфраструктура открытого ключа, набор средств (технических, материальных, людских и т. д.), распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей. Поскольку аббревиатура ИОК не является распространённой, здесь и далее будет использоваться более знакомая англоязычная аббревиатура PKI.
  • X.509 — стандарт ITU-T для инфраструктуры открытого ключа и инфраструктуры управления привилегиями.
  • ЦС (Центр Сертификации) — служба выпускающая цифровые сертификаты. Сертификат — это электронный документ, подтверждающий принадлежность открытого ключа владельцу.
  • CRL (Certificate Revocation List) — список отзыва сертификатов. Подписанный электронный документ, публикуемый ЦС и содержащий список отозванных сертификатов, действие которых прекращено по внешним причинам. Для каждого отозванного сертификата указывается его серийный номер, дата и время отзыва, а также причина отзыва (необязательно). Приложения могут использовать CRL для подтверждения того, что предъявленный сертификат является действительным и не отозван издателем… Приложения могут использовать CRL для подтверждения, что предъявленный сертификат является действительным и не отозван издателем.
  • SSL (Secure Sockets Layer) или TLS (Transport Layer Security) — технология обеспечивающая безопасность передачи данных между клиентом и сервером поверх открытых сетей.
  • HTTPS (HTTP/Secure) — защищённый HTTP, является частным случаем использования SSL.
  • Internet PKI — набор стандартов, соглашений, процедур и практик, которые обеспечивают единый (унифицированный) механизм защиты передачи данных на основе стандарта X.509 по открытым каналам передачи данных.
  • CPS (Certificate Practice Statement) — документ, описывающий процедуры управления инфраструктурой открытого ключа и цифровыми сертификатами.

Некорректный путь сертификации

Эта та самая проблема, с которой пришлось столкнуться мне. Удивительно но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.


Открываем хранилище сертификатов при помощью консоли certmgr.msc

Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.

Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».

Вернемся на вкладку «Общие», чтобы проверить кем выдан личный сертификат. Сертификат выдан той же компании, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

Находим в списке сертификат, который соответствует условиям.Средства УЦ: КриптоПРО УЦ 2.0Кем выдан: CN=Головной удостоверяющий центрДействует: текущая дата входит в указанный промежуток дат.

Этот сертификат необходимо установить в промежуточные центры сертификации.

Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

Устанавливаем штамп времени для правильного создания подписи

В первую очередь для отчетности в ЦБ необходимо активировать личный кабинет на сайте банка

Важно знать, что операционная с истема Windows должна быть не ниже 7

Затем установить на компьютер необходимый софт, который понадобится для исправления ошибки.

Специализированная программа: Браузер:
КриптоПРО (TSP) Client 2.0

КриптоПРО OCSP Client 2.o

Криптопровайдер КриптоПРО CSP 4.0

КриптоАРМ 5.4

Google Chrome (v. 55, 56)

Mozilla Firefox (v. 50, 51)

IE не ниже 11 версии

Когда у вас будет установлено всё соответствующее ПО, откройте личный кабинет банка и найдите пункт «Профиль» :

  1. Выберите пункт «Безопасность» ;
  2. Если штамп не настроен должным образом, вы увидите кнопку « Настроить »;
  3. Нажмите её и введите адрес удостоверяющего центра. Если у вас нет адреса, обратитесь в УЦ или подробно изучите его регламент. Он должен быть в списке;
  4. После получения адреса введите его в соответствующее поле.

Далее внизу нажмите кнопку « Проверить ». Только в том случае, если адрес будет подтверждён появится кнопка « Сохранить ». Её нужно нажать, чтобы сохранить адрес. Даже после этого у вас будет возможность изменить его.

Общие вопросы

В: У нас подключена Сфера.Курьер. Этого достаточно для обмена с вами ЭДО?

О: Нет. Система «ЭДО с Поставщиками Сбербанка» предусматривает доставку электронных документов в закрытую сеть банка. Поэтому работа Поставщиков предусмотрена только через ЭТП, и наличие подключения к другим ЭДО не имеет значения.

В: С кем заключить договор, чтобы начать работать с ЭДО СБ.

О: Банк предлагает заключить безденежное Соглашение об ЭДО в бумажном виде. При подключении услуги на ЭТП Поставщик принимает условия договора о присоединении к Регламенту площадки путём подписания заявления с помощью ЭП.

Установка КриптоПро

Когда установочный файл скачен, его нужно запустить для установки на ваш компьютер. Система отобразит предупреждение, что программа запрашивает права на изменение файлов на ПК, разрешите ей это сделать.

Перед установкой программы на свой компьютер, все ваши токены должны быть извлечены. Браузер должен быть настроен на работу, исключением является браузер Opera, в нем уже произведены все настройки по умолчанию. Единственное, что остается пользователю — это активировать специальный плагин для работы. В процессе вы увидите соответствующее окно, где Opera предлагает активировать этот плагин.

После запуска программы, нужно будет ввести ключ в окне.

Найти программу для запуска можно будет по следующему пути: «Пуск», «Все программы», «КриптоПро», «КриптоПро CSP». В открывшемся окне нажмите кнопку «Ввод лицензии» и в последней графе введите ключ. Готово. Теперь программу необходимо настроить соответствующим образом под ваши задачи. В некоторых случаях для электронной подписи используют дополнительные утилиты — КриптоПро Office Signature и КриптоАКМ. Можно устранить ошибку — нет возможности построить цепочку сертификатов для доверенного корневого центра — простой переустановкой КриптоПро. Попытайтесь это сделать, если другие советы не помогли.

Ошибка все еще появляется? Отправьте запрос в службу поддержки, в котором нужно разместить скриншоты ваших последовательных действий и объяснить подробно свою ситуацию.

Столкнулся с небольшой проблемой в процессе рядовой и будничной процедуры регистрации на одной из торговых площадок госсзакупок. Все обычно проходит без проблем, все привыкли к ключам, регистрациям и чаще всего пользователи сами способны по инструкции сделать все необходимое. Но тут возник затык и меня попросили помочь разобраться.

Компания изменила название и понадобилось перевыпустить все сертификаты. С сертификатами работали давно, выпустили их в той же компании, где и первый раз заказывали. Работать предполагалось с теми же площадками. Все сделали как обычно, но зарегистрироваться с помощью сертификата не получалось. Появлялись разного рода ошибки. Конкретно на сайте zakupki.mos.ru ошибка была такая:

Ошибка по большому счету понятная, но не ясно, как ее исправить, с учетом того, что все необходимые сертификаты, в том числе и корневого центра сертификации, были установлены. Идем их проверять. Для этого открываем оснастку CryptoPro:

Идем в раздел: Сертификаты — текущий пользователь — Личное — Реестр — Сертификаты . Открываем наш сертификат и смотрим его свойства. Конкретно нас интересует раздел Путь сертификации . К сожалению, у меня не осталось скриншотов до решения проблемы, поэтому придется описывать словами, в чем там дело. Потом покажу, как должно все выглядеть, чтобы нормально работало.

Цепочка сертификатов выглядела следующим образом: УЦ 1 ИС ГУЦ — АО «ЕЭТП» — Сертификат пользователя. При этом в корневом сертификате УЦ 1 ИС ГУЦ была ошибка в виде сообщения:

А в его свойствах еще одна ошибка:

При этом сертификат УЦ 1 ИС ГУЦ был на компьютере в списке доверенных корневых центров сертификации. Проверить это можно через ту же оснастку CryptoPro в соседней ветке: Доверенные корневые центры сертификации — Реестр — Сертификаты . Я был уверен, что УЦ 1 ИС ГУЦ это корневой центр сертификации самого первого уровня и не мог понять, кто еще должен подтверждать его доверие. При этом в прошлом сертификате корневым стоял вообще АО «ЕЭТП», и больше никого. И все нормально работало.

Некоторое время покопался в интернете на эту тему. Информации много, но в основном это всякие ошибки установки и т.д. Предлагают переставить сертификаты, переустановить крипто про и все в этом духе. Но у меня никаких ошибок не было. В итоге попал на страницу http://pravo.gov.ru/uc/resourses_uc.html , установил оттуда Корневой сертификат ПАК «Головной удостоверяющий центр» и все встало на свои места. Оказывается, он является первым в цепочке сертификатов, которые я использовал. Чтобы все работало как надо, у вас должны быть следующие сертификаты в списке доверенных.


И вот так выглядеть полный путь сертификации для пользовательского сертификата.

У меня изначально самого первого Головной удостоверяющий центр не было, и я не знал, что он должен быть. Когда его установил, все стало нормально. Возможно люди что-то с установочного диска не так установили, или по ходу дела напортачили. Я разбирался удаленно и не видел, какой софт шел в комплекте с ключом. По факту проблема популярная, в интернете много отзывов и советов. Надеюсь, кому-то эта информация поможет сэкономить время.

Что делать при отсутствии своего сертификата в списке на странице «Ваши сертификаты»

Если подобный объект не был установлен, переходят на интернет-страницу удостоверяющего центра, скачивают и устанавливают компоненты личной электронной подписи. Если сертификат скачан ранее, проверяют правильность его загрузки. Для этого выполняют следующие действия:

  1. Переходят в пусковое меню. Выбирают раздел «Все программы». После этого нужно найти в списке «КриптоПро».
  2. В открывшемся окне выбирают вариант «Личное», переходят во вкладку «Сертификаты».
  3. Двойным нажатием открывают объект, который не отображается в списке. Переходят в раздел «Путь сертификации». Здесь находится цепочка, включающая личные файлы, корневые сертификаты удостоверяющего центра, ключи вышестоящих инстанций, выполнявших аккредитацию.
  4. Проверяют, присутствуют ли возле найденных объектов предупредительные знаки, например, крестики. При наличии таковых сертификат считается недействительным. Нажав на файл, можно посмотреть причину ошибки.
  5. Если объекты просрочены, необходимо обратиться в удостоверяющий центр для продления. Если предупредительные знаки отсутствуют, а доступные файлы не проходят проверку, переустанавливают корневой сертификат личной электронной подписи.

Установка отозванных сертификатов

В некоторых случаях необходимо установить списки отозванных сертификатов дополнительно. Для установки нужно:

  • Проделать путь «Internet Explorer»/«Сервис»/«Свойства»/«Содержание»/«Сертификаты».
  • Через вкладку «Состав» выбрать «Точки распространения списка отзыва».
  • В разделе «Имя точки» скопировать ссылку на список.

Сохранить список в любое место на ПК.

  • Нажать на сохраненном списке правой кнопкой мыши для выбора режима установки.
  • Следовать инструкции «Мастера импорта сертификатов».

Иногда в строке списка отозванных сертификатов имеется две ссылки, т.е. два списка. В этом случае действия со вторым списком отозванных сертификатов аналогичны и полностью повторяют путь установки через «Мастера импорта».

После проведенных действий для корректной работы электронной подписи лучше произвести перезагрузку ПК. При соблюдении последовательности действий проблем в установке списка отозванных ключей электронной подписи и исправлении ошибки не возникает. Единственной причиной, по которой процесс может сбиться, является нестабильное подключение к интернету.

Конфигурационный скрипт для Certification Authority

До установки роли AD CS необходимо создать конфигурационный скрипт, который выполнит послеустановочную настройку CA на основании выбранных параметров. Ниже следует пример такого скрипта:

CAScript.cmd

:: CDPcertutil -setreg CA\CRLPublicationURLs «65:C:\Windows\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://%%1/CertEnroll/%%3%%8%%9.crl\n0:file://%%1/CertEnroll/%%3%%8%%9.crl»:: AIAcertutil -setreg CA\CACertPublicationURLs «1:C:\Windows\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://%%1/CertEnroll/%%1_%%3%%4.crt\n0:file://%%1/CertEnroll/%%1_%%3%%4.crt\n32:http://%%1/ocsp»:: В случае использования роли OCSP , при обновлении сертификата CA могут быть:: проблемы с проверкой подлинности сертификатов. Чтобы устранить эту проблему:: используется:certutil –setreg CA\UseDefinedCACertInRequest 1:: Включаем наследование Issuer Statement в издаваемых сертификатахcertutil -setreg Policy\EnableRequestExtensionList +»2.5.29.32″:: Задаём срок действия издаваемых сертификатов::certutil -setreg CA\ValidityPeriodUnits 2::certutil -setreg CA\ValidityPeriod «Years»:: Задаём параметры публикации CRL ::certutil -setreg CA\CRLPeriodUnits 1::certutil -setreg CA\CRLPeriod «Weeks»::certutil -setreg CA\CRLDeltaPeriodUnits 1::certutil -setreg CA\CRLDeltaPeriod «Days»:: Меняем параметры CRL Overlapcertutil -setreg CA\CRLOverlapUnits 24certutil -setreg CA\CRLOverlapPeriod «Hours»certutil –setreg CA\CRLDeltaOverlapUnits 12certutil –setreg CA\CRLDeltaOverlapPeriod «Hours»:: включаем полный аудит для сервера CA certutil -setreg CA\AuditFilter 127:: Перезапускаем сервис CA net stop certsvc && net start certsvc:: Публикуем новый CRL в новую локацию.certutil -CRL

CRL или CAC — списки SSL-сертификатов, отозванных центром выдачи (CA). На 2017 год происходит отказ от использования CRL (САС) в пользу OCSP (Онлайн Протокол Состояния Сертификата).

SSL обеспечивает защищённое HTTPS-соединение с сайтом, но существуют угрозы безопасности даже при действующем сертификате. Самая распространённая – секретный ключ скомпрометирован. Передача данных становится небезопасна. Чтобы номера кредитных карт и пароли пользователей не попали к мошенникам, сертификат нужно отозвать.

Основные причины аннулирования SSL:

  • ключ утерян/украден или скомпрометирован
  • неверно указано название компании или другие данные
  • сайт прекратил работу
  • сменился владелец ресурса
  • выдавший сертификат Certification Authority скомпрометирован

Как работают списки CRL?

Список аннулированных сертификатов публикует Certificate Authority (CA), выдавший сертификат:

1) Владелец домена или посетитель сайта, заметивший проблему, обращается в CA и просит аннулировать действующий SSL.

2) CA заносит уникальный серийный номер сертификата в список CAC, который:

  • защищён цифровой подписью центра — нельзя изменить
  • обновляется минимум раз в сутки — всегда актуален

3) Каждый раз при соединении с ресурсом браузер посетителя проверяет, аннулирован ли SSL-сертификат. Смотрит в загруженных списках CRL или по протоколу OCSP — через запрос к CA. Если находит сертификат в списке CRL или получает от CA ответ, что сертификат отозван — показывает предупреждение об ошибке.

Не все браузеры загружают списки CAC и пользуются OCSP

Firefox проверяет статус только для сертификатов с расширенной проверкой EV. Пользователи этого браузера не узнают об отзыве SSL DV и OV. Так же как и мобильные пользователи Safari в iOS. Chrome определяет статус сертификата для Windows, но не для Linux и Android.

Internet Explorer и Opera — самые безопасные в этом отношении браузеры. Они используют OCSP и CRL в зависимости от того, что предлагает CA.

Аннулированный сертификат нельзя восстановить , только купить новый. Берегите секретный ключ — его утеря или компрометация чаще всего приводит к отзыву SSL-сертификата.

Как переустановить КриптоПРО, если не удаётся исправить ошибку

Если не помогли предыдущие советы по устранению ошибки 0x800b010a, попробуйте переустановить КриптоПРО. Программы, которые долгое время не обновлялись на ПК могут выходить из строя по разным причинам. Часто любые сбои можно решить, установив последнюю версию программы .

Для начала вам нужно удалить существующую КриптоПРО из ПК:

  1. Если вы используете Windows 8.1, 10, можно выбрать « Пуск » ПКМ и нажать на пункт « Панель управления ». В 7 версии этот пункт в меню пуск. Или нажмите вместе WIN+R , после чего введите в строке « Control » и нажмите Ввод для подтверждения;
  2. Выберите строчку « Удаление программ »;

Планирование политик выдачи сертификатов

Определение политик

  • Сертификаты для подписи электронной почты могут выдаваться автоматически с минимальной проверкой заявителя (только на основании успешной аутентификации пользователя в Active Directory). Никаких дополнительных действий для выпуска этих сертификатов не проводится.
  • Сертификаты для цифровой подписи документов могут выдаваться только после согласования с непосредственным руководителем и предоставления письменной заявки со всеми необходимыми подписями.
  • Сертификаты для смарт-карт могут выдаваться только при личном присутствии работника наряду с инструктажем по правилам использования карт, подписанием соответствующих регулирующих документов.
  • Все пользователи могут получить сертификат аутентификации для доступа к беспроводной сети с мобильных устройств, но доступ к критическим системам будет разрешён, если аутентификация была выполнена только с помощью смарт-карт.

Network Policy Server (NPS)Active Directory Dynamic Access Control

Описание политик

Certificate Practice Statementописанный в RFC 3647

  1. Описание иерархий PKI, общих для всех процедур и положений, которые будут общими для всех конкретных политик выдачи.
  2. Описание положения специфичные для конкретной политики выдачи. В зависимости от размерности PKI, её особенностей, на каждую политику может составляться отдельный CPS, но чаще всего это сводится к составлению единого документа, который будет описывать всё.

Программирование политик

Что в OID’е тебе моём?

  • 1.3.6.1.4.1.x.1.1
  • 1.3.6.1.4.1.x.1.2
  • 1.3.6.1.4.1.x.1.3
  • 1.3.6.1.4.1.x.1.4

Extended ValidationCertificate Policies extension – all you should know (part 1)Certificate Policies extension – all you should know (part 2)

Выбор сроков действия издаваемых сертификатов

Значение по-умолчанию 2 года. Шаблоны переопределяют это значение.

Со временем CRL может очень сильно вырасти в размерах. Чтобы уменьшить нагрузку по получению CRL , используется Delta CRL .

Ссылки в расширениях CDP и AIA можно изменить и добавить двумя способами. При помощи certutil.exe и при помощи оснастки certsrv.msc . Однако при помощи оснастки certsrv.msc нельзя поменять порядок следования ссылок в сертификатах. И если планируется изменить порядок по умолчанию, то certutil.exe остается единственным выбором. Единственным, потому, что через оснастку доступны не все свойства ссылок. Взгляните сами на дефолтные ссылки AIA из свежеустановленного CA . Для LDAP ссылки установлено свойство CSURL_SERVERPUBLISH, однако в оснастке просто нет возможности установить это свойство. Интересно, не правда-ли.

Планирование CDP

Код
65 C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl

65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl

1 79 ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10- Publish CRL s to this location- Include in all CRL s. Specifies where to publish in the Active Directory when publishing manually.- Publish Delta CRL s to this location

2 6 http://%1/CertEnroll/%3%8%9.crl

6:http://%1/CertEnroll/%3%8%9.crl- Include in CRL s. Clients use this to find Delta CRL locations.- Include in the CDP extension of issued certificates

3 file://%1/CertEnroll/%3%8%9.crl

0:file://%1/CertEnroll/%3%8%9.crl

certutil.exe :

certutil -setreg CA\CRLPublicationURLs «65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://%1/CertEnroll/%3%8%9.crl\n0:file://%1/CertEnroll/%3%8%9.crl»


certutil -setreg CA\CRLPublicationURLs «65:C:\Windows\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://%%1/CertEnroll/%%3%%8%%9.crl\n0:file://%%1/CertEnroll/%3%8%9.crl»

Планирование AIA

Код Ссылка и используемые параметры
1 C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt

1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt- CSURL_SERVERPUBLISH

1 3 ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11

3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11- CSURL_SERVERPUBLISH

2 2 http://%1/CertEnroll/%1_%3%4.crt

2:http://%1/CertEnroll/%1_%3%4.crt- Include in the AIA extension of issued certificates

3 file://%1/CertEnroll/%1_%3%4.crt

0:file://%1/CertEnroll/%1_%3%4.crt

4 32 http://%1/ocsp

32:http://%1/ocsp- Include in the online certificate status protocol (OCSP) extension

Примечания и отличия от конфигурации по-умолчанию:

Итоговая команда для изменений при помощи certutil.exe :

certutil -setreg CA\CACertPublicationURLs «1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://%1/CertEnroll/%1_%3%4.crt\n0:file://%1/CertEnroll/%1_%3%4.crt\n32:http://%1/ocsp»

Она же, но в случае выполнения из командного файла:

Проверяем построение цепочки сертификатов

Убедитесь, что вы используете подходящие ключи . Возможно в них истёк срок годности . Если этот так, найдите актуальный сертификат. Также убедитесь, что есть ключ «пак». Он является главным этой цепочке.

Выполните следующий порядок действий:

  1. Запустите КриптоПРО директории через кнопку « Пуск » и проследуйте в « Сертификаты »;

Выберите « Личное »; Найдите « Реестр » и снова укажите сертификаты; Определите здесь ключ , с которым возникают проблемы . Обычно такие помечены красным крестиком . Или другими выделяющимися элементами. Чтобы его проверить, выберите в свойствах пункт « Путь сертификации »; Если его нет — загрузите. Делать это нужно на официальном сайте ; Установка происходит стандартным способом — запустите распаковку пакета. Для хранилища укажите « Доверенные сертификаты »; В такой же способ нужно протестировать ключ «пак», «УЦ, ГУЦ, ИС».

Головной удостоверяющий центр

Скачивать их также нужно с доверенных сайтов. Используйте данный сайт https://e-trust.gosuslugi.ru/MainCA. В случае, если данный метод не устранил ошибку создания подписи «Не удаётся построить цепочку сертификатов для доверенного центра», попробуйте полностью переустановить КриптоПРО. Если вам необходимы старые сертификаты, можно посмотреть тут: http://moscow.roskazna.ru/gis/uc/ca/.

Если не помогли предыдущие советы по устранению ошибки 0x800b010a, попробуйте переустановить КриптоПРО. Программы, которые долгое время не обновлялись на ПК могут выходить из строя по разным причинам. Часто любые сбои можно решить, установив последнюю версию программы .

Для начала вам нужно удалить существующую КриптоПРО из ПК:

  1. Если вы используете Windows 8.1, 10, можно выбрать « Пуск » ПКМ и нажать на пункт « Панель управления ». В 7 версии этот пункт в меню пуск. Или нажмите вместе WIN+R , после чего введите в строке « Control » и нажмите Ввод для подтверждения;
  2. Выберите строчку « Удаление программ »;

Выберите «Удаление программ» Найдите КриптоПРО среди установленного ПО и выберите его;

Что делать, чтобы исправить ошибку “Недостаточно информации для проверки этого сертификата”

Сначала нужно проверить, произведена ли на компьютере установка всех без исключения сертификатов.

  1. Для этого найдите в кнопке “Пуск” программу КриптоПро.
  2. Перейдите в раздел “Сертификаты”→”Текущий пользователь”.
  3. Затем пройдите путь “Доверенные корневые центры сертификации”→”Реестр”→”Сертификаты”.

Многие юзеры сообщают, что корневым сертификатом у них ранее был документ с названием УЦ либо УЦ 1 ИС ГУЦ. При этом все работало без сбоев. Но теперь ситуация немного изменилась. Если сертификат вам выпустили до 15 апреля 2016 года, то при проведении проверки не должно возникать ошибок (при отсутствии проблем с технической стороны в КриптоПро либо на компьютере).

Если же вы получили свой сертификат после вышеуказанной даты, то могут возникать сбои. Для их устранения с официального интернет-портала правовой информации нужно скачать и инсталлировать корневые сертификаты ГУЦ (которым выступает Министерство связи и массовых коммуникаций РФ). Они и будут возглавлять цепочку ваших сертификатов.

Цепочка сертификатов

Как отмечают пользователи, столкнувшиеся с данной проблемой, описанный вариант реально помог с решением ошибки с недостатком информации для проверки сертификата. На вышеуказанном портале также размещены сведения о корневых и списки отозванных сертификатов (вместе со ссылками на скачивание). При нажатии на нужные вам данные файл сразу начнет загружаться на компьютер.

Еще одной причиной недостаточности информации для проверки этого сертификата может быть несоответствие в работе КриптоПро и операционной системы, установленной на пользовательском ПК. При обновлении либо переустановке КриптоПро применяйте только лицензионную версию. Если лицензия у вас приобретена, а сертификат все же не проходит проверку, попробуйте предпринять следующее:

  • переустановите личный сертификат;
  • удалите и произведите установку корневого сертификата;
  • заново проверьте документ.

Результат не достигнут и ошибка продолжает выскакивать? Переустановите приложение КриптоПро. Возможно, в прошлый раз инсталляция была произведена некорректно, что послужило причиной проблем при проверке сертификатов. Важную роль играет и человеческий фактор, ведь установщики КриптоПро и сертификатов могут ошибиться или проявить невнимательность, в результате чего и будут появляться различные проблемы при проверке.

Я надеюсь, что предоставленная информация оказалась полезной для вас, ведь даже тот, кто говорит “Странно, у меня все в порядке, все функционирует”, не застрахован от ошибок разного рода.

По номеру или тексту ошибки. Ошибка печатной формы договора: Не удалось создать печатную форму документа.

О: Сотруднику банка нужно сохранить договор в формате PDF и заново подписать с помощью ЭП на своей стороне.

Ошибка: Не установлен объект CAdESCOM.

О: Требуется (пере-) установка КриптоПро Browser plug-in. Инструкцию по настройке Вы можете найти на этой странице.

При попытке подписать заявление подключения услуги «ЭДО с Поставщиками Сбербанка» выдаётся

О: Вы зарегистрированы на площадке без ЭП. Воспользуйтесь формой «Личный кабинет» / «Изменение данных».

Ошибка: Invalid lenght for a base-64 care array or string

О: Ваш браузер InternetExplorerработает в режиме Edge. Запустите классическую версию или перейдите в стандартный режим.

Ошибка: 0x800b010a

«Не удается построить цепочку сертификатов для доверенного корневого центра A certificate chain could not be built to a trusted root authority» Произошла внутренняя ошибка в цепочке сертификатов

Решение (для ИТ-специалистов Поставщика)

  1. Открыть КриптоПро CSP — вкладка «Сервис» — Просмотреть сертификаты в контейнере — Обзор — выбрать нужный токен из списка — Далее.
  2. В окне с данными сертификата нажать «Свойства» и перейти на вкладку «Путь сертификации».
  3. Установить корневой сертификат в хранилище «Доверенные корневые центры сертификации», а промежуточные — в «Промежуточные центры сертификации», для этого:
    1. кликнуть на сертификат в цепочке, «Просмотр сертификата» 
    2. нажать «установить сертификат» — «далее» — «Поместить в следующее хранилище» — выбрать нужное хранилище — ОК — Готово.
    3. при установке в «Доверенные корневые центры сертификации» также нужно будет нажать «Да» в окне с предупреждением безопасности.

На вкладке сертификата «Путь сертификации» сертификаты не должны быть отмечены крестиками или воскл. знаком. Если после установки всех сертификатов цепочка выглядит так:

Значит, не установлен сертификат головного УЦ. Необходимо скачать его: http://e-trust.gosuslugi.ru/MainCA, либо во вложениях к данной странице и установить в «Доверенные корневые центры сертификации».


Если после произведения всех настроек цепочка строится, но ошибка при подписании сохраняется, ИЛИ цепочка не строится (отмечены предупреждениями уже установленные сертификаты, другие проблемы при настройке цепочки), обратиться в Службу Поддержки торговой площадки, выслав скриншоты ошибок (необрезанные, с датой и временем), скриншот цепочки сертификатов и файл личного сертификата.

Ошибка: не найден договор в папке DOCUMENT (при отправке подписанного договора).

Причина: в zip-архиве по какой-то причине отсутствует файл договора.

Решение:

Попробуйте произвести заново все операции, т.е.:

1)      Скачать архив от банка

2)      Открыть его и убедиться, что там есть файл договора в формате PDF

3)      Произвести подписание при помощи специализированного приложения —  «Утилита подписания документов»

4)      Отправить получившийся архив.

Если ошибка повторится, необходимо обратиться в Службу Поддержки и предоставить пошаговые скриншоты всех вышеописанных действий.

Причина: Поставщик не подписал договор через специализированное приложение —  «Утилита подписания документов»

Решение: перед отправкой договор необходимо подписать при помощи специализированного приложения —  «Утилита подписания документов»:

1)      Откройте архив, поступивший от банка, в приложении-  «Утилита подписания документов» (скачивать здесь — http://utp.sberbank-ast.ru/Content/CryptorUtility/app.htm) кнопкой «Открыть архив» — при этом у в колонке подписано банком должно стоять «Подписан».

2)      Подпишите – в колонке «Подписано Поставщиком» должно появиться «Подписан».

3)      Сохраните архив.

4)      Сохранённый архив с двумя подписями прикрепите на форму отправки договора в банк.

Если ошибка повторится, необходимо обратиться в Службу Поддержки и предоставить пошаговые скриншоты всех вышеописанных действий.

Документ висит в статусе «Заполнен» и не попал в журнал интеграции.

Причина: Поставщик не подписал файл обмена либо при подписании была ошибка.

Решение: повторить отправку, убедиться, что процедура пройдена до конца. При наличии ошибки предоставить скриншоты.

ошибка «Элемент удален»

При открытии ранее сохраненной формы Счета/СФ/Акта из черновика возникает ошибка «Элемент удален».

Причина: проявляется в IE в 11 версии (Edge)/Google Chrome.

Решение: Сменить вручную версию браузера (применимо только в IE):

1)      Откройте подготовленный для отправки документ из черновика.

2)      Нажмите F12.

3)      В нижнем правом углу на черном фоне будет отображена версия работы IE (11 на Win10/Edge на Win7), меняете значение на «10»

4)      Страница документа должна будет обновиться, ошибка исчезнет, после чего производится отправка документа.

Ошибка при попытке установления соединения с ЦР

Публикация: 19 Январь 2011 — 12:17, редакция: 14.02.2011 13:15

Довольно часто причиной возникновения ошибок при инициализации подключения к ЦР(при тестировании соединения между АРМ администратора и ЦР) являются ошибки соединения между указанными узлами, вызванные отсутствием физического подключения компонентов(АРМ администратора и ЦР), ошибками DNS, неверной настройкой Internet-подключений, влиянием межсетевых экранов на http и https трафик. Для определения описанных причин необходимо последовательно проделать следующие действия:

1. С АРМ администратора ЦР c использованием Internet Explorer по протоколу http откройте тестовую страницу(например, hhtp://ИмяЦР , где ИмяЦР — имя Центра Регистрации, на которое выдан сертификат серверной аутентификации Центра Регистрации, но сначала убедитесь в ее наличии(тестовой страницы) на Центре Регистрации)

Если при выполнении указанной команды страница не открывается, то на АРМ администратора проверьте настройки Internet Explorer(особое внимание уделите правильности настроек прокси-сервера, если такое используется), а также настройки межсетевых экранов, в том числе персональных, через которые проходит соединение между АРМ администратора ЦР и Центром Регистрации

2. С АРМ администратора ЦР  по протоколу https откройте страницу, указанную по адресу, содержащемуся в поле Адрес URL файла описания WSDL Центра Регистрации окна Свойств подключения к Центру Регистрации — https://ИмяЦР/ra/ra.wsdl. Открытие указанной страницы должно сопровождаться только появлением сообщения о начале просмотра страниц через безопасное соединение. При появлении иных сообщений о начале просмотра с проверкой сертификата серверной аутентификации Центра Регистрации необходимо установить их причину и устранить указанное несоответствие. Невозможность открытия страницы по протоколу https также может быть вызвана некорректной работой модуля сетевой аутентификации «КриптоПро TLS» (или его отсутствием). В связи с этим на ЦР и АРМ администратора проверьте отсутствие в журнале Приложений ошибочных сообщений, вызванных этим модулем, а также службой инициализации «КриптоПро CSP» и службой хранений ключей «КриптоПро CSP».Дополнительно удостоверьтесь, что на ЦР введен серйиный номер серверной Лицензии на «КриптоПро TLS»

3. С АРМ администратора Цр по протоколу https откройте страницу https://ИмяЦР/ra/ra.asp. Должно появиться окно выбора сертификата подключения, после чего укажите необходимый сертификат привилегированного пользователя. Ошибка при открытии указанной страницы может быть вызвана отсутствием на Центре Регистрации в хранилище Локальный компьютер/Промежуточные центры сертификации актуального списка отозванных сертификатов (CRL) либо недоступности списка отозванных сертификатов по точке распределения списков отозванных сертификатов (CDP), указанной в выбранном сертификате привилегированного пользователя. Для обеспечения автоматического и своевременного переноса списков отозванных сертификатов настройте параметры публикации CRL на Центре Сертификации и параметры задач, отвечающих за перенос CRL.


С этим читают