Этот сертификат не удалось проверить проследив его до доверенного центра сертификации fsrar

25 отредактировано Alexs163)

Доброго времени суток.

Купил Рутокен версии 4, сходил в налоговую, там всё сделали, выдали бумажки.

После установки крипто про CSP, панели управления получаю следующее:

При этом в личный кабинет ИП с помощью ключа я захожу (в браузере установлен плагин крипто про), а подписать запрос на справку не получается, выдаёт следующее:

Ошибка «Этот сертификат содержит недействительную подпись» возникает при работе с личными сертификатами, которые используются для подписи электронных документов с использованием КриптоПРО. На разных форумах предлагают разные решения и судя по отзывам многие из них действительно помогают. Один из таких советов меня подтолкнул к решению проблемы. Я хочу поделиться всеми способами решения, которые я узнал, потому-что причины появления этой ошибки могут быть разными.

Наиболее частая причина появления ошибки «Этот сертификат содержит недействительную подпись» кроется в некорректных путях сертификации от личного сертификата до головного удостоверяющего центра, поэтому ее рассмотрим в первую очередь.

Другие причины появления ошибки: неисправность алгоритмов шифрования КриптоПРО CSP и нарушение прав доступа к ветке реестра.

Сертификат ненадежен

Как исправить надежность? Пишется, что этот сертификат не удалось проверить, проследив его до доверенного центра сертификации.Сертификат действующий. Заранее спасибо!

Ксения Шаврова

Иван Васильевич пишет:

Иван Васильевич

Еще раз добрый день! Дважды прошелся по инструкции, ситуация не меняется.

В таком случае за разъяснениями необходимо обращаться в удостоверяющий центр, выдавший Вам сертификат ЭЦП.

Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Безопасность, Программное обеспечение

• 20.03.2019
• 76 081
• 25.01.2021

Ошибка создания подписи: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Причина возникновения ошибкиНа самом деле, вся суть проблемы более чем корректно описана в тексте ошибки — отсутствуют сертификаты доверенных корневых центров.Убедиться в этом, можно, открыв проблемный сертификат на компьютере, при использовании которого появляется ошибка. Если в окне сертификата, на вкладке «Общие» написано «При проверке отношений доверия произошла системная ошибка» или «Этот сертификат не удалось проверить, проследив его до доверенного центра сертификации», то проблема точно в этом. О том, как устранить её — читайте ниже.

Исправление ошибкиКак писалось выше, вся проблема в отсутствующих корневых сертификатах. Для того, чтобы данная ошибка ушла, нужно поставить эти самые корневые сертификаты — взять их можно у издателя сертификата (почти наверняка, они должны быть на их сайте). Издателя сертификата можно увидеть в поле «Кем выдан» свойств сертификата (выделено оранжевым на картинке ниже).

В качестве примера разберем как исправить подобную ошибку для сертификатов выданных Федеральным Казначейством России.Переходим на сайт федерального казначейства, в раздел «Корневые сертификаты». Скачиваем «Сертификат Минкомсвязи России (Головного удостоверяющего центра) ГОСТ Р 34.10-2012» и «Сертификат Удостоверяющего центра Федерального казначейства ГОСТ Р 34.10-2012 CER». Открываем оба скачанных файла и устанавливаем оба сертификата.Установка сертификата состоит из следующих действий:

• Открываем сертификат. В левом нижнем углу нажимаем на кнопку «Установить сертификат».
• Откроется «Мастер импорта сертификатов». Нажимаем «Далее». В следующем окошке выбираем пункт «Поместить все сертификаты в следующее хранилище», и нажимаем кнопку «Обзор».
• В списке выбора хранилища сертификатов выбираем «Доверенные корневые центры сертификации». Нажимаем кнопку «ОК», затем кнопку «Далее».
• В следующем окошке нажимаем на кнопку «Готово». Затем, в окне предупреждения системы безопасности, на вопрос о том, что вы действительно хотите установить этот сертификат, нажимаем «Да». После этого последует подтверждение установки сертификатов.

После установки всех нужных корневых сертификатов, данная ошибка должна исчезнуть.

Почему не получается войти в ЛК на Честном знаке?

Предполагается, что у вас имеется УКЭП, необходимая для работы в системе «Честный Знак», об этом уже было сказано достаточно. Однако что делать, если «Честный Знак» не видит электронную подпись?

Причины, по которым система маркировки не видит УКЭП

Если вы видите окно с сообщением: «Внимание! Усиленная квалифицированная подпись (УКЭП) не найдена или не настроено программное обеспечение для работы в системе», то следует проверить и, при наличии, устранить возможные причины неполадок. Возможно, просто не вставлена флешка с УКЭП, подобное подозрение можно проверить, вытащив и обратно вставив токен в USB-порт. Возможно, разболтался сам порт – тут остается или выбирать другой, или обращаться в ремонтную мастерскую. Вот еще несколько причин для возникновения ошибки:

• отсутствие СКЗИ – что это такое и как инсталлируется, см. выше;
• отсутствие драйвером носителя (см. выше);
• отсутствие плагина для браузера – об этом тоже разговор уже был.

Если не установлен личный сертификат

Еще раз проверьте, правильно ли установлен личный сертификат. Покажем, как это делается на примере наиболее распространенного ПО криптопровайдера «КриптоПро CSP». Открываем программу, идем на вкладку «Сервис» — «Установить личный сертификат» — «Обзор». Запустится мастер, который запросит данные о расположении файла на вашем ПК, и увяжет его с контейнером закрытого ключа. Выбрав нужный файл сертификата, укажите на него системе, нажав «ОК». Отметив пункт «Найти контейнер автоматически», мы тем самым «поручаем» системе сопоставление сертификата и нужного контейнера. Удостоверившись, что все в порядке, нажимаем «Готово».

Если не установлен корневой сертификат

Корневой сертификат- файл формата .cer, — можно получить в техподдержке вашего УЦ, или на его официальной веб-странице. Открыв файл, нажимаем «Установить сертификат», запуская мастер установки, и следует его указаниям. Главное – это задать в качестве области хранилище «Промежуточные центры сертификации», тогда цепочка доверия (см. выше) будет выстроена как следует.

Если не подтверждена подлинность сертификата

В системе «Честный Знак» ошибка снабжена особым номером и кодом, так что без проблем можно понять, что стало ее причиной. Ниже приведена таблица наиболее распространенных ошибок.

Существует проблема с сертификатом безопасности этого веб-сайта.

Сертификат безопасности, представленный на этом веб-сайте, не был выдан доверенным органом сертификата.

После того как пользователь нажмет кнопку Продолжить работу на этом веб-сайте (не рекомендуется), пользователь может получить доступ к защищенного веб-сайта.ПричинаЭта проблема возникает из-за того, что сертификат веб-сайта имеет несколько надежных путей сертификации на веб-сервере.Например, предположим, что клиентский компьютер, на который вы используете сертификат root certification authority (CA) (2). А веб-сервер доверяет сертификату Root CA (1) и root CA (2). Кроме того, сертификат имеет следующие два пути сертификации к доверенным корневым ЦС на веб-сервере:

• Путь сертификации 1. Сертификат веб-сайта — промежуточный сертификат CA — сертификат Root CA (1)
• Путь сертификации 2. Сертификат веб-сайта — промежуточный сертификат CA — сертификат Cross root CA — сертификат Root CA (2)

Когда компьютер находит несколько надежных путей сертификации во время процесса проверки сертификатов, Microsoft CryptoAPI выбирает оптимальный путь сертификации, вычисляя оценку каждой цепочки. Оценка рассчитывается на основе качества и количества сведений, которые может предоставить путь сертификата. Если оценки для нескольких путей сертификации одинаковы, выбирается самая короткая цепочка.Когда путь сертификации 1 и путь сертификации 2 имеют одинаковые оценки качества, CryptoAPI выбирает более короткий путь (путь сертификации 1) и отправляет путь клиенту. Однако клиентский компьютер может проверить сертификат только с помощью более длительного пути сертификации, ссылаясь на сертификат Root CA (2). Таким образом, проверка сертификата не удается.Обходной путьЧтобы решить эту проблему, удалите или отключите сертификат из пути сертификации, который вы не хотите использовать, следуя следующим шагам:Войдите на веб-сервер в качестве системного администратора.Добавьте оснастку сертификата в консоль управления Майкрософт, следуя следующим шагам:

• В меню File нажмите кнопку Добавить или Удалить привязку.
• Выберите сертификаты,нажмите кнопку Добавить, выберите учетную запись Компьютера, а затем нажмите кнопку Далее.
• Выберите локальный компьютер (на этом компьютере запущена консоль) и нажмите кнопку Готово.
• Нажмите кнопку ОК.

Расширйте сертификаты (локальный компьютер) в консоли управления, а затем найдите сертификат на пути сертификата, который вы не хотите использовать.Если сертификат является корневым сертификатом ЦС, он содержится в доверенных корневых органах сертификации. Если сертификат является промежуточным сертификатом ЦС, он содержится в промежуточных органах сертификации.Удаление или отключение сертификата с помощью одного из следующих методов:

• Чтобы удалить сертификат, щелкните правой кнопкой мыши сертификат и нажмите кнопку Удалить.
• Чтобы отключить сертификат, щелкните сертификат правой кнопкой мыши, щелкните Свойства, выберите Отключение всех целей для этого сертификата, а затем нажмите кнопку ОК.

• данные о владельце и УЦ, который оформил сертификат;
• срок действия;
• наименование ЭЦП;
• ключ для проверки;
• сведения об ограничениях в использовании.

Где на жестком диске находится сертификатНеобходимые для копирования файлы могут находиться в следующих местах:

Еще одна копия файлов сертификата находится непосредственно в папке Windows в зашифрованном виде, поэтому получить к ней доступ или скопировать невозможно из-за отсутствия прав.Непосредственно файл сертификата имеет в зависимости от вида кодировки расширение .csr либо .cer, а по объему занимает всего несколько килобайт. На жестком диске вашего компьютера хранится только открытый сертификат. Закрытый же находится на защищенном токене, и доступ к нему возможен только после ввода пользовательского пароля, выданного в удостоверяющем центре.Как посмотреть сертификатПросмотреть перечень сертификатов, скопировать их, удалить можно с использованием следующих инструментов;

• панель управления операционной системы;
• браузер Internet Explorer;
• специальные утилиты типа «КриптоПро»;
• менеджер Certmgr.

При использовании браузера Internet Explorer выполните следующие действия:

• запустите браузер;
• выберите в настройках пункт «Свойства браузера»;
• перейдите в раздел «Содержание» в открывшемся окне;
• кликните по графе «Сертификаты».

После этого появится окошко, где будет перечислен весь перечень установленных на компьютере открытых сертификатов. Дополнительно будет указан список сторонних поставщиков ПО.Преимущество использования браузера Internet Explorer — в возможности просмотра списка ключей, даже если нет прав администратора. Недостатком же будет невозможность удаления устаревших или ненужных уже сертификатов с жесткого диска компьютера.При использовании панели управления OS Windows для просмотра открытых сертификатов, установленных на компьютере, выполните следующие действия с правами администратора:

• открываем командную строку с помощью Win + R;
• введите команду cmd и нажмите «enter»;
• перейдите по команде mmc в терминал
• откройте в окне вкладку «Файл» и выберите пункт «Добавить изолированную оснастку»;
• кликните по разделу «Сертификат».

Для просмотра перечня установленных ранее сертификатов на ПК с помощью приложения «КриптоПРО» достаточно выбрать раздел «Сертификаты». Использование данного ПО позволит при наличии прав администратора не только просматривать, но и копировать открытые сертификаты, удалять их.

В OS Windows есть стандартный менеджер Certmgr для работы с установленными ранее сертификатами. С его помощью можно увидеть информацию об открытых ключах, данные об УЦ. Для использования менеджера выполните следующие действия:

• откройте меню «Пуск»;
• введите в командной строке certmgr.msc;
• выберите в меню вкладки «Личное», «Корневые сертификаты УЦ».

В итоге откроется окно со списком проверочных ключей. Специфика менеджера — в необходимости запуска с правами администратора. Важный минус сервиса — в некорректности отображения ЭЦП, что важно учитывать при просмотре.Где оформить сертификат и ЭЦПЕсли для ведения электронного документооборота, работы на государственных порталах, сдачи отчетности или раскрытия информации вам необходима электронная цифровая подпись, то оформите ее в УЦ «Астрал-М». Наш удостоверяющий центр имеет аккредитацию Минкомсвязи на оформление ЭЦП и предлагает каждому клиенту:

• возможность оформления цифровых подписей любого типа;
• широкий выбор тарифных планов под конкретные задачи;
• расширение возможности ЭЦП с помощью дополнительных опций для учета специфики работы компании;
• доступную цену на оформление цифровых подписей;
• любую форму оплаты.

Для приобретения электронной цифровой подписи оставьте заявку на сайте или свяжитесь с сотрудниками по телефону. После согласования тарифного плана вам будет направлен перечень необходимых документов и счет на оплату оформления ЭЦП. На выполнение всех действий уйдет 1—2 рабочих дня, но при желании возможно открытие подписи в ускоренном формате.Где в Windows хранятся корневые сертификаты Центров Сертификации (CA)Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.Просмотр сертификатов в PowerShellЧтобы просмотреть список сертификатов с помощью PowerShell:

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:Сертификаты уровня пользователей:

Сертификаты уровня компьютера:

• HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificates — содержит настройки для всех пользователей компьютера
• HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

Сертификаты уровня Active Directory:

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.Пользовательские сертификаты (файлы):

Компьютерные сертификаты (файлы):

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.Google Chrome Использует общесистемные доверенные корневые центры сертификации.

Использован не доверенный сертификат. Не удалось подписать: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Невозможно обнаружить поставщика этого сертификата

Недостаточно информации для проверки этого сертификата

При этом сертификат УЦ 1 ИС ГУЦ был на компьютере в списке доверенных корневых центров сертификации. Проверить это можно через ту же оснастку CryptoPro в соседней ветке: Доверенные корневые центры сертификации — Реестр — Сертификаты. Я был уверен, что УЦ 1 ИС ГУЦ это корневой центр сертификации самого первого уровня и не мог понять, кто еще должен подтверждать его доверие. При этом в прошлом сертификате корневым стоял вообще АО «ЕЭТП», и больше никого. И все нормально работало.И вот так выглядеть полный путь сертификации для пользовательского сертификата.У меня изначально самого первого Головной удостоверяющий центр не было, и я не знал, что он должен быть. Когда его установил, все стало нормально. Возможно люди что-то с установочного диска не так установили, или по ходу дела напортачили. Я разбирался удаленно и не видел, какой софт шел в комплекте с ключом. По факту проблема популярная, в интернете много отзывов и советов. Надеюсь, кому-то эта информация поможет сэкономить время.Помогла статья? Подписывайся на telegram канал автораАнонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.Привет, и спасибо! (за наводку) Но в моем случае цепочка не выстроилась из-за того, что промеж. центр сертификации Тензор имел несколько выпусков от Минкомзвязи с разной датой срока действия.. (по ней и сориентировался). т.е на ПК установлен был сертификат Тензора полученный им от Минкомсвязи сроком до 20.07.2033 — цепочки нет. Сравнил с рабочим ПК с этой же подписью, Тензор — Минкомсвязь срок 04.09.2034 !! — установил — цепочка есть.

Как установить СКЗИ?

При использовании в системе «Честного Знака» УКЭП на внешнем устройстве, необходимо для входа в систему указать тип сертификата на носителе (см. табл.).

Поскольку работа в ЛК в «Честном Знаке» осуществляется через браузер, при этом требуется инсталляция соответствующего плагина, которые помогает авторизовываться, шифровать информацию при передаче по цепочке «браузер» — «Честный Знак» и наоборот, а также лимитирует доступ к ЛК. Плагин нужен и для того, чтобы создать и проверить УКЭП. Принимая во внимание тип сертификата и товарную группу, в системе «Честный Знак» легко определить плагин, подлежащий инсталляции.

После загрузки для инсталляции файла достаточно открыть его, и дать разрешение на внесение изменений (кнопка «Да»), а после установки – перезагрузить ПК.

Некорректный путь сертификации

Эта та самая проблема, с которой пришлось столкнуться мне. Удивительно, но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

Чтобы устранить ошибку «Этот сертификат содержит недействительную подпись» необходимо восстановить всю цепочку сертификации, установив в хранилище сертификаты всех промежуточных УЦ и Головного удостоверяющего центра.

Открываем хранилище сертификатов при помощью консоли certmgr.msc

Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.

Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».

В поле состояние сертификата наблюдаем ошибку: «Этот сертификат содержит недействительную подпись».

Теперь нам надо отследить всю цепочку сертификатов, которая содержит промежуточные сертификаты и сертификат головного удостоверяющего центра.

Вернемся на вкладку «Общие», чтобы проверить кем выдан личный сертификат. Сертификат выдан той же организацией, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

Находим в списке сертификат, который соответствует условиям.Средства УЦ: КриптоПРО УЦ 2.0Кем выдан: CN=Головной удостоверяющий центрДействует: текущая дата входит в указанный промежуток дат.

Щелкаем по ссылке в поле «Отпечаток» и скачиваем сертификат.

Этот сертификат необходимо установить в промежуточные центры сертификации.

Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

Как настроить цепочку доверия?

Скачав и установив сертификаты ключей, следует выбрать системные области, в которых они будут храниться. Так, сертификат Минкомсвязи — в хранилище «Доверенные корневые центры сертификации» УЦ, выдавшего УКЭП, — «Промежуточные центры сертификации», ваш сертификат — «Личные», т.е., как видим, выстраивается иерархия хранилищ.

Так, пройдя по маршруту «Пуск» — «Панель управления» — «Свойства браузера» — «Содержание» — «Сертификаты» — «Личные», можно увидеть всю цепочку. Если настройка произведена как следует, на закладке «Путь сертификации» появится запись «Этот сертификат действителен». Установленная цепочка отображается в той же вкладке в верхнем поле «Путь сертификации». Если во вкладке «Общие» отображается сообщение о том, что «Этот сертификат не удалось проверить, проследив его до доверенного центра сертификации», то требуется установить корневой сертификат Минкомсвязи и УЦ, в котором вы получали УКЭП.

Построение цепочки доверия КСКПЭП

Для того чтобы выстроить цепочку доверия КСКПЭП, необходимо:

• Если в данном окне не отображаются сертификаты, это значит, что ранее не был произведен импорт сертификатов на пользователя.

  Чтобы сертификаты отображались во вкладке «Личные», необходимо после их установки прописать их и на локальный компьютер, и на текущего пользователя.

• Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Путь сертификации»:
• У демонстрационного и рабочего сертификата разные цепочки сертификации, поэтому если будет установлены данные частично от одного и от другого сертификата, ничего работать не будет.

Сертификат Головного Удостоверяющего Центра и удостоверяющего центра, выдавшего КСКПЭП юридическому лицу, будут размещаться в хранилище сертификатов «Доверенные корневые центры сертификации».

Остальные сертификаты цепочки будут размещаться в хранилище сертификатов «Промежуточные центры сертификации». Как их туда добавить самостоятельно с помощью мастера импорта сертификатов, описано в пункте 3, с отличием в том, что при выборе хранилища сертификатов указываются «Промежуточные центры сертификации».

Этот сертификат не удалось проследить до доверенного корневого центра сертификации.

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.

Установите корневые сертификаты. Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Не работают алгоритмы шифрования КриптоПРО CSP

Открываем КриптоПРО CSP и переходим на вкладку «Алгоритмы».Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.

Нарушение прав доступа к ветке реестра.

Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.

Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.

Что означает ГИС МТ, ЦРПТ, СКЗИ, КЭП и проч

Наконец, и к ПК, предназначенного для использования «Честного Знака», также предъявляются определенные требования, которые надо проверять до начала работы. В противном случае никакой работы не будет. Вот эти требования:

• ОС не ниже Windows 7, Mac OS X Mountain Lion – не ниже 10.8;
• «свежий» браузер (Mozilla Firefox 60, Google Chrome 70, Safari 12, Explorer 11).
• установленная СКЗИ. Установка не требуется, если используется внешний носитель УКЭП и криптопровайдер в него встроен.

При криптопровайдере, встроенном в носитель (токен, внешне схожий с привычной флешкой), обеспечивается двухфакторная идентификация и СКЗИ на ПК ставить не надо. В противном случае требуется установка специализированного ПО. Рассмотрим этот вопрос подробнее.