Post Views:
19 765
сертификат сервера tls понадобится нам для работы с Электронным Бюджетом при использовании ПО Континент TLS-клиент.
Для установки нам понадобится:сертификат сервера tls — действителен с 30.06.2021 по 30.09.2022 (серийный номер: 46 74 2b 38 6d ef bf 98 bd 5d a3 5d e1 60 45 c8 9f f8 d6 ad) — скачиваем на рабочий стол или в отдельную папку. Он нам понадобится. После этого запускаем сам Континент TLS-клиент — в разделе «СЕРВЕРНЫЕ СЕРТИФИКАТЫ» — удаляем старые строки (если они есть) и нажимаем кнопку «Импортировать» — ищем только что скачеченный сертификат. Нажимаем открыть обязательно выбираем пункт — «Все файлы» — иначе сертификат не будет виден.
Очередные танцы с бубном, продолжение предыдущего поста. В этот раз нам надо обновить сертификат сервера в Континент TLS 2.0. Снова все необходимые файлы выложил в Облако.
Делаем всё по инструкции… и ничего не работает. TLS считает новый сертификат недействительным. Рекомендуют снести всё нахрен и поставить с нуля. Удалось обойтись малой кровью.
Нормальные сертификаты выложены на сайте Свердловского УФК, качаем. Меняем сертификат по инструкции «Обновление сертификата сервера TLS».
Далее желательно удалить всю «просрочку» из Континента, убрать старый сервер ГОСТ-2001 из подключений.
Затем не помешает навести порядок в сертификатах на компьютере: удалить «просрочку»; грохнуть промежуточные сертификаты из папки Доверенных корневых центров сертификации и наоборот; установить Свердловский комплект.
Проверяем реестр на наличие веток и удаляем, если есть (оставляем резервные копии на всякий случай):
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx2\1.2.643.7.1.1.1.1
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
- HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx2\1.2.643.7.1.1.1.1
Меняем ярлык Электронного бюджета, теперь соединение происходит по протоколу HTPPS, меняем строку на:
- «C:\Program Files\Internet Explorer\iexplore.exe» https://lk2012.budget.gov.ru/udu-webcenter
У нас заработало!
Немного теории о цепочке сертификатов
Чтобы сертификат пользователя имел юридическую значимость он удостоверяется сертификатом удостоверяющего центра, а тот в свою очередь заверяется сертификатом Минкомсвязи России, который является корневым сертификатом. Это называется цепочкой сертификатов.
Чтобы программы «понимали» что сертификату пользователя можно доверять необходимо чтобы корневой сертификат был установлен в хранилище «Доверенные корневые центры сертификации».
Если всё установлено правильно, то вкладка «Путь сертификации» сертификата пользователя выглядит так:
Ошибка проверки цепочки сертификатов
Если в цепочке не хватает корневых сертификатов для проверки доверия к пользовательскому сертификату, то тестовая страница выдаёт ошибку:
Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат
Решение проблемы проверки цепочки сертификатов
Самый простой способ решения проблемы — запустить установщик корневых сертификатов. Он установит сертификаты в соответствующие хранилища в автоматическом режиме.
Этот установщик подходит для всех аккредитованных удостоверяющих центров (АУЦ), так как содержит главный сертификат Минкомсвязи России, которым в свою очередь заверяются сертификаты АУЦ.
А опытные пользователи, которые хотят установить сертификаты вручную, смогут без труда найти инструкции по установке корневых сертификатов.
Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат обновлено: 11 июля, 2022 автором: ЭЦП SHOP
5 ответов
Значит нужно копать глубже!
Обратитесь в техническую поддержку УЦ, выдавшего сертификат
Добрый день!
Нету у меня ЦЗИ«КРИПТОБИТ»
Что Вы имеете в виду?
Я долго думал и понял! Вы про скриншот «Путь сертификации»!
ООО ЦЗИ«КРИПТОБИТ» — это наша организация. На этом месте будет наименование вашей организации или ФИО физлица. А выше наименование вашего УЦ!
Главное чтобы в состоянии сертификата было указано, что он действителен!