Корневой сертификат не добавлен в список доверенных на локальном пк росэлторг

Главная / Решение проблем / Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат

Всем привет на  fst-wolker.ru! Тема сегодняшнего выпуска — установка доверенных корневых сертификатов на компьютер Windows если возникает ошибка при подписи электронных документов.

Мы уже установили Крипто Про, установили из контейнера личные сертификаты на компьютер. Но этого бывает недостаточно, потому как  нужны корневые сертификаты удостоверяющих центров, подтверждающие  доверие к  выданной Вам электронно-цифровой подписи. Они тоже должны быть установлены на компьютере все.

После получения новой электронной подписи аккредитацию (регистрацию) заново проходить не нужно. Обычно новый сертификат нужно зарегистрировать на ЭТП.

Если вы прошли регистрацию в Едином реестре участников закупок (можно проверить, введя ИНН, без КПП), регистрировать сертификат на Государственных площадках не требуется — вход на каждой ЭТП осуществляется через кнопку Госуслуги/ЕСИА.

— Сбербанк-АСТ
— УТП Сбербанк-АСТ
— ЕЭТП «Росэлторг»
— Национальная электронная площадка
— РТС-Тендер
— Заказ РФ «Татарстан»
— ЭТП РАД
— ТЭК-Торг
— ЭТП Газпромбанк

Подробную информацию по регистрации сертификата на ЭТП, а также информацию о других секциях и площадках, не представленных в инструкции, вы можете узнать у специалистов поддержки конкретной ЭТП.

Также мы предоставляем платные консультационные услуги по регистрации электронной подписи на площадках, настройке рабочего места, помощи в торгах и работе на государственных порталах. Подробнее можно узнать в прайс-листах УЦ АО «ПФ «СКБ Контур» и ООО «Сертум-Про».

1. Мастер импорта сертификатов

Если сертификат имеет расширение .crt, то его достаточно запустить двойным кликом:

В открывшемся окне нажмите кнопку «Установить сертификат»:

Выберите один из вариантов:

• «Текущий пользователь» — сертификат будет иметь эффект только для одного пользователя
• «Локальный компьютер» — сертификат будет иметь эффект для всех пользователей данного компьютера

Выберите «Пометить все сертификаты в следующие хранилища»:

Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:

Сообщение об успешном импорте:

Теперь сертификат будет доступен в Менеджере Сертификатов:

2. Добавление root CA сертификата в Менеджере Сертификатов

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

Укажите папку и имя файла:

Теперь действительно всё готово:

Только что импортированный сертификат в Менеджере Сертификатов:

Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.

Установка через Internet Explorer

• Запустите iexplorer. В главном меню выберите Сервис / Свойства обозревателя.
• Откройте «Свойства обозревателя» через Пуск / Панель управления.
• Переключитесь на вкладку «Содержание».
• Откроется окно «Сертификаты». Переключитесь на вкладку «Доверенные корневые центры сертификации».
• Нажмите кнопку «Импорт».
• Запустите файл сертификата как программу. Появится окно «Сертификат».
• Нажмите кнопку «Установить сертификат».

Через консоль MS Windows

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

Сертификаты уровня компьютера:

• HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificates — содержит настройки для всех пользователей компьютера
• HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

Сертификаты уровня Active Directory:

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

Компьютерные сертификаты (файлы):

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Ошибка: «Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)»  часто возникает в различных приложениях при создании/проверке подписи. Она означает, что у Вас на машине не установлены необходимые промежуточные/корневые сертификаты для проверкисоздания подписи.

Мы проанализировали наиболее частые обращения к нам  и пострались собрать сертификаты самых популярных издателей в один файл, на примере которого ниже показано, как решать ошибку из данной статьи:

Если у Вас на компьютере установлен КриптоПро CSP 5.0

Для ОС Windows: Зайдите Пуск-Все программы-КРИПТО-ПРО- Инструменты КриптоПро

Для MAC OS: Зайдите Finder-Программы-Инструменты

Перейдите на вкладку Сертификаты и выберите вверху раздел «Доверенные корневые центры сертификации»

Выберите кнопку «Установить сертификаты», выберите скачанный ранее файл и нажмите «Открыть»

Если у Вас на компьютере установлен КриптоПро CSP версии ниже 5.0 или Вы не используете графический интерфейс:

Для Windows: выполните в командной строке:

Для Linux/macOS: выполните в командной строке:

В редких случаях для построения цепочки данных сертфикатов будет недостаточно, тогда рекомендуем установить промежуточные сертификаты.

Если Вы используете CSP 5.0 с графическим интерфейсом, то выполните Шаг 2, выбрав хранилище «Промежуточные центры сертификации», используя файл CA.p7s

Если Вы используете КриптоПро CSP версии ниже 5.0 или Вы не используете графический интерфейс, то используйте данные команды:

Для Linux выполните в командной строке:

Для MACOS выполните в командной строке:

Списки сертфикатов, содержащихся в файлах root.p7b, ca.p7b:

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Удостоверяющий центр использует корневой сертификат, чтобы:

• выдавать  сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
• отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.

Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».

2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».

Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Программа установки всех сертификатов импортирует корневой сертификат Минцифры и промежуточные сертификаты УЦ. Подключение к интернету на момент установки не требуется.

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке  подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

• при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
• если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Корневой сертификат представляет собой файл, который содержит свойства и данные:

• серийный номер,
• сведения об УЦ,
• сведения о владельце сертификата,
• сроки его действия,
• используемые алгоритмы
• открытый ключ электронной подписи,
• используемые средства УЦ и средства электронной подписи,
• класс средств ЭП,
• ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
• ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
• электронную подпись УЦ, выдавшего сертификат.

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.

УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

• Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
• Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
• Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.

• Перейдите в раздел «Корневые сертификаты». Дальше возможны два варианта.
• Выберите год, когда был выдан промежуточный сертификат УЦ Контура. Чтобы найти дату, откройте личный сертификат пользователя, выберите вкладку «Путь сертификации» и откройте промежуточный сертификат.

Если возникли ошибки — при установке корневого сертификата или при работе с электронной подписью — обратитесь в нашу техподдержку. Специалисты помогут разобраться в проблеме. Звоните на или пишите по контактам Центра поддержки, указанным в правом нижнем углу страницы.

Национальная электронная площадка

После выполнения указанных в способах действий можно будет сразу входить на ЭТП по новому сертификату.
По вопросам, связанным с работой на площадке, заполнением форм и документам необходимо обращаться в техническую поддержку ЭТП.

ТЭК-Торг

• Выбрать раздел «Пользователи» и из выпадающего списка кнопку «Реестр пользователей».
• Напротив ФИО пользователя нажать на ссылку «Изменить данные».
• Выбрать кнопку «Загрузить новую ЭП».
• В списке сертификатов выбрать новый и нажать кнопку «ОК».

Секция Роснефть

После выполнения указанных действий можно будет сразу входить по новому сертификату.
По вопросам, связанным с работой на площадке, заполнением форм и документам необходимо обращаться в техническую поддержку ЭТП.

Как установить личный сертификат госуслуги в хранилище?

Предположим, что мы будем использовать выданную нам электронную цифровую подпись для входа на госуслуги. Можно установить личный сертификат через крипто про и там же просмотреть.

Но я открою свой сертификат прямо в хранилище личные (у меня он уже был установлен через крипто про):

Если цепочка доверия нарушена наш личный сертификат выглядит так:

Указываем, что сертификат будет доступен только текущему пользователю компьютера:

Указываем автоматическую установку, на основе типа сертификата.

Но, можно выбрать вручную хранилище «Личные» поместив «все сертификаты в следующее хранилище» если есть сомнения в том, что система все сделала правильно. Установленный сертификат в оснастке появится в хранилище «Личные».

УТП Сбербанк-АСТ (utp. sberbank-ast. ru)

• Выберите раздел «Личный кабинет» и в выпадающем списке кнопку «Реестр представителей».
• Нажмите кнопку «Изменение данных сертификата пользователя» у нужного пользователя.
• В нужное поле загрузите файл открытого ключа нового сертификата и нажмите кнопку «Подписать и сохранить».

Немного теории о цепочке сертификатов

Чтобы сертификат пользователя имел юридическую значимость он удостоверяется сертификатом удостоверяющего центра, а тот в свою очередь заверяется сертификатом Минкомсвязи России, который является корневым сертификатом. Это называется цепочкой сертификатов.

Чтобы программы «понимали» что сертификату пользователя можно доверять необходимо чтобы корневой сертификат был установлен в хранилище «Доверенные корневые центры сертификации».

Если всё установлено правильно, то вкладка «Путь сертификации» сертификата пользователя выглядит так:

ЕЭТП «Росэлторг»

Актуальные инструкции по добавлению сертификата на секциях Росэлторга находятся по ссылке https://www.roseltorg.ru/faq/personal. Выберите нужную секцию и ознакомьтесь со инструкцией «Как загрузить электронную подпись (ЭП)».

Адрес портала: http://www.roseltorg.ru/
Номер телефона: +7 (495) 276-16-26
Центр поддержки пользователей: https://cpp.roseltorg.ru

Заказ РФ «Татарстан»

• На главной странице ЭТП, не заходя в Личный кабинет, нажать на раздел «Регистрация».
• Выбрать кнопку «Добавить новую ЭЦП».
• Нажать на кнопку «Пользователь организации», выбрать новый сертификат и из списка организацию.

Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат

• 7 февраля 2022
• Обновлено 12 сентября 2022

Opera

Firefox

Как проверить установленные личные сертификаты в Windows?

На компьютере так же есть хранилища для установки сертификатов:

• Доверенные корневые центры сертификации;
• Промежуточные центры сертификации;
• Личные;

Просмотреть хранилища (и  находящиеся сертификаты в них) мы можем вызвав сочетанием клавиш Win+R меню «Выполнить» и введя туда команду:

Зайдя в папку «Сертификаты» нужного хранилища (слева) мы увидим установленные сертификаты (справа) кто их выдал, их сроки действия. Но как определить сертификат какого УЦ нам нужен конкретно для нашей подписи?  Для этого нужно открыть личный сертификат и посмотреть там всю цепочку доверия.

ЭТП Газпромбанк

• В верхней части страницы нажмите «Ещё» и из выпадающего списка кнопку «Настройки», далее «Загрузить ЭП».
• В окне «Смена электронной подписи» выберите новый сертификат и нажмите кнопку «Изменить».

Секция для 223-ФЗ и т.

• Перейдите в раздел «Настройки»,
• Выберите «Личные сведения» и нажмите на кнопку «Обновить сведения об ЭП».
• Выберите новый сертификат и нажмите кнопку «Сохранить».

Адрес портала: https://gos.etpgpb.ru
Номер телефона:

РТС-Тендер

Порядок действий Участников при работе с пользователями организации зависит от того, зарегистрирована ли организация Участника в Единой информационной системе.

— Участник зарегистрирован в ЕИС

После прохождения регистрации Участника в ЕИС действия по добавлению пользователей организации выполняются Участником в Личном кабинете ЕИС.

— Участник аккредитован на площадке, но не зарегистрирован в ЕИС

Действия по добавлению пользователя осуществляются на Электронной площадке. Для добавления электронной подписи Участнику, незарегистрированному в ЕИС:

• Откройте главную страницу РТС-тендер и выберите раздел «44-ФЗ», далее раздел  «Участникам»;
• Нажмите на раздел «Добавить пользователя» или перейдите в раздел «Аккредитация» и нажмите на ссылку «Подать запрос на добавление нового пользователя организации», которая находится под кнопкой «Продолжить регистрацию»;
• Откроется форма «Заявка на добавление пользователя». В поле «Сертификаты» нажмите кнопку «Выбрать из списка». Выберите Ваш сертификат и нажмите «Ок». Заданные в сертификате данные автоматически заполнят ряд полей формы «Заявка на добавление пользователя»;
• Заполните обязательные поля, отмеченные «*»;

Ошибка проверки установленного сертификата

При попытке подписать документ система сначала проверяет — можно ли установленному сертификату доверять? Электронную подпись изготавливают различные уполномоченные организации. Каждая из них использует свой корневой сертификат который выдан вышестоящим удостоверяющим центром.

Которому в свою очередь сертификаты выдает головной удостоверяющий центр РФ.

Таким образом, при создании электронно — цифровой подписи создается так называемая цепочка доверия. В этой цепочке (в порядке подчинения) сначала идут доверенные корневые сертификаты УЦ, промежуточные сертификаты,  затем личные сертификаты. Если у вас не установлен хотя бы один сертификат из цепочки -возникаеют ошибки  проверки:

У всех сертификатов имеется срок действия. Возможно, доверенный корневой сертификат УЦ просрочен и необходимо установить свежий.

Перехожу к исправлению ситуации.

Как установить корневой сертификат Минцифры?

Личный сертификат установлен. Но, мы должны еще установить какой-то корневой сертификат(ы). Как определить какому корневому сертификату подчинена наша подпись? Для этого переходим во вкладку «Путь сертификации»:

Видим, что наша подпись выдана Калуга — Астрал, это промежуточный сертификат.  Если прямо здесь  его открыть (кликнув по нему)  мы увидим, что  у него та же проблема потому что не установлен  корневой сертификат Минцифры (на его значке мы видим крест). Кликаем по значку сертификата Минцифры:

Промежуточные сертификаты обычно ставить руками не надо, они устанавливаются автоматически в нужное хранилище

При нажатии на файл доверенного корневого сертификата УЦ  появится запрос на его установку. Все делаем так же как и при установке личного сертификата. Только  корневые сертификаты устанавливаются в хранилище «Доверенные корневые центры сертификации».

Ошибка проверки цепочки сертификатов

Если в цепочке не хватает корневых сертификатов для проверки доверия к пользовательскому сертификату, то тестовая страница выдаёт ошибку:

Google Chrome

Использует общесистемные доверенные корневые центры сертификации.

Как добавить корневой сертификат в доверенные в Windows в веб браузеры

Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.

Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:

Нажмите кнопку «Импортировать»:

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

ЭТП РАД

• На главной странице ЭТП, не заходя в Личный кабинет, выбрать раздел «Участникам» и в выпадающем списке кнопку «Регистрация доверенности».
• Если появится сообщение «Пользователь с таким сертификатом уже зарегистрирован», то нажать на кнопку «Продолжить»

Участникам закупок, зарегистрированным в ЕРУЗ (Eдиный реестр участников закупок ЕИС), необходимо воспользоваться входом через ЕСИА и авторизоваться через учетную запись на Госуслугах. В этом случае будет использоваться информация с портала закупок и привязка сертификата не потребуется. Если регистрации в ЕРУЗ нет — нужно её пройти. Подробную информацию по данной ЭТП можно получить по контактам, указанным ниже.

Решение проблемы проверки цепочки сертификатов

Самый простой способ решения проблемы — запустить установщик корневых сертификатов. Он установит сертификаты в соответствующие хранилища в автоматическом режиме.

Этот установщик подходит для всех аккредитованных удостоверяющих центров (АУЦ), так как содержит главный сертификат Минкомсвязи России, которым в свою очередь заверяются сертификаты АУЦ.

А опытные пользователи, которые хотят установить сертификаты вручную, смогут без труда найти инструкции по установке корневых сертификатов.