Подписание и шифрование файла для Росалкогольрегулирования (КриптоАРМ)
Чтобы воспользоваться этой инструкцией, вам потребуется:
- Установленный криптопровайдер КриптоПро CSP
- Установленная программа КриптоАРМ
- Сертификат электронной подписи, полученный в УЦ
Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.
Обычно эта ошибка выглядит так:
Давайте сначала разберемся, почему эта ошибка возникает.
Сообщение об ошибке построения пути сертификации говорит нам о том, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно — и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.
Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва — то можно ничего не делать и ошибки не исправлять. Это действительно так!
Переводим КриптоАРМ в режим Эксперт
В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим
Подключаем сертификат электронной подписи
Подключаем отчуждаемый носитель
Выбираем криптопровайдер, как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой, не удивляйтесь).
Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов — выберите именно тот, который вам нужен.
Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678, для eToken — 1234567890. Если вы все еще пользуетесь стандартным пин-кодом — стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.
Все, мы объяснили программе КриптоАРМ, где находится наш сертификат, но она ему не очень доверяет.
Подключаем сертификат, если он не на съемном носителе
Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить — это очень небезопасно. Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами, при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.
Настоятельно рекомендую вам купить токен для хранения сертификата. Чем руководствоваться в выборе токена, мы описали в статье «Как выбрать токен».
Добавляем сертификат УЦ в список доверенных центров сертификации
Итак, сертификат мы добавили, но КриптоАРМ ему не доверяет, потому что сертификата Удостоверяющего Центра нет в списке доверенных. Сейчас нам будет нужно его добавить в такой список.
Для этого возвращаемся в основное окно КриптоАРМ, заходим Сертификаты — Личное хранилище сертификатов — Правой кнопкой мыши на ваш сертификат — Свойства
Переходим на вкладку «Статус Сертификата», выбираем сертификат удостоверяющего центра (из него «вытекает» ваш сертификат), и нажимаем Просмотреть, а затем нажимаем кнопку Установить сертификат.
Выбираем пункт «Поместить все сертификаты в следующее хранилище», нажимаем Обзор, а затем выбираем «Доверенные корневые центры сертификации», а затем подтверждаем установку сертификата.
Проверить сертификат по списку отзывов
Если все прошло успешно, и у вас есть подключение к Интернет, то проверить сертификат по списку отзывов очень просто. Для этого мы идем в Свойства сертификата, как это показано на Шаге 3, выбираем свой сертификат в списке, выбираем опцию меню «По CRL, полученному из УЦ»,а затем нажимаем Проверить.
Все, сертификат проверен. Чтобы убедиться, что все в порядке, зайдите в Личное Хранилище Сертификатов и обновите представление. Зеленая галочка на сертификате означает, что все в порядке
Вот и все!
КриптоАРМ можно приобрести у нас в интернет-магазине.
Если вы не хотите проводить эти процедуры самостоятельно, то у нас есть платная услуга «Удаленная установка»: вы можете приобрести ее как обычный товар.
Если инструкция показалась вам полезной — делитесь ей с другими людьми, кнопки для этого вы найдете прямо под статьей.
Обращаем Ваше внимание, техническую поддержку программных продуктов оказывает разработчик ПО в соответствии со своим внутренним регламентом.
В разделе «Поддержка» вы можете найти ответы на часто задаваемые вопросы, загрузить дистрибутивы для установки и ознакомиться с регламентом технической поддержки.
В большинстве случаев ошибка «Указан неправильный алгоритм (0x80090008)» решается переустановкой сертификата подписи. Переустановить сертификат можно в программе «КриптоАРМ»
Также это можно сделать через КриптоПро CSP. Для этого откройте программу КриптоПро CSP и перейдите во вкладку «Сервис». Затем нажмите на кнопки «Просмотреть сертификаты в контейнере. » и «Обзор» Выберите нужный контейнер и нажмите кнопку «Ok», а после «Установить».
Ошибка построения пути сертификации
Сообщение «Статус сертификата: недействителен, ошибка построения пути сертификации» говорит о том, что нужно на рабочем месте установить корневой сертификат удостоверяющего центра, чтобы цепочка доверия могла быть построена и проверена программой.
- Выбрать сертификат в личном хранилище КриптоАРМ-а и двойным кликом открыть его
- Нажать на кнопку «Просмотреть»
- Выбрать вкладку «Состав»
- Выбрать «Доступ информации о центрах сертификации»
- Скопировать ссылку для скачивания корневого сертификата
- Установить сертификат в хранилище «Доверенные корневые центры сертификации»
Видео инструкция по решению ошибки с построением цепочки сертификатов:
Предупреждение «Нет полного доверия к сертификату подписи»
- В верхнем меню выберите пункт «Настройки», затем «Управление настройками» и «Параметры прокси-сервера». Из выпадающего списка выберите вариант «Использовать системные настройки прокси». Нажмите «Применить».
- Далее в «Управление настройками» вкладка «Общие» снимите галку с опции «Отключить проверку личных сертификатов по спискам отзыва».
- Выберите в окне программы «КриптоАРМ» ветку «Личное хранилище сертификатов». Затем справа выберите нужный сертификат и нажмите правой кнопкой мыши, чтобы вызвать контекстное меню. В появившемся меню выберите «Проверить статус» «По CRL, полученному из УЦ».
- Если статус сертификата стал с зеленой галкой повторите ваше изначальное действие, вновь подпишите либо проверьте подпись.
Если статус вашего сертификата не изменился, то перейдите в папку Списки отзыва сертификатов в КриптоАРМ и посмотрите, появился ли там актуальный список отзыва от вашего удостоверяющего центра (УЦ). Если подгруженный список отзыва имеет статус ( ), то это значит, что в системе отсутствует промежуточный сертификат УЦ.
Не удается установить лицензионный ключ
Запустите программу в режиме администратора. Для этого нажмите правой кнопкой на иконку «КриптоАРМ» и выберите в открывшемся контекстном меню команду «Запуск от имени администратора». Повторите ввод лицензионного ключа в меню «Помощь» — «Установить лицензию».
Указан хеш-алгоритм, несовместимый с данным файлом подписи
Ошибка встречается при добавлении подписи, когда хеш-алгоритм сертификата подписанта отличается от хеш-алгоритма сертификата первого подписанта
Отсутствует личный сертификат для расшифрования
В первую очередь проверьте наличие лицензии на КриптоАрм. Помощь о программе — если истек срок действия лицензии, то расшифровать не получится. Далее можно проверить зашифрован ли файл в адрес Вашего сертификата — в окне с ошибкой нажать кнопку детали менеджер сообщения — там будут указаны серийные номера сертификатов получателей. Среди них надо поискать свой номер. Сам номер в сертификате увидеть так: открыть сертификат 2м нажатием в личном хранилище — в поле серийный номер будет прописан нужный номер.
Также проверьте, тот ли сертификат используется для расшифрования: профили управление профилями открыть профиль с галкой 2м нажатием общие в поле владелец сертификата проверьте, какой сертификат прописан. Если нужно, выберите.
Ошибка установки свойства в контекст сертификата 0x80092004
Ошибка 0x80092004 говорит о том, что сертификат был установлен без привязки к закрытому ключу. Попробуйте переустановить сертификат через КриптоПро CSP.
Не найден используемый криптопровайдер. Возможно он не установлен, запрещен или не поддерживается.
Это оповещение возникает в том случае, если у вас установлена устаревшая сборка ПО КриптоАРМ.
Проверьте номер сборки в главном окне КриптоАРМ нажав на кнопку Помощь, далее О программе. Устаревшими считаются сборки 4, 5.0, 5.1, 5.2, 5.3. Актуальна сборка 5.4.
Обновить КриптоАРМ можно просто скачав сборку 5.4.3.10. После загрузки запустите установку файла trusteddesktop.exe, выберите из предложенных вариантов Изменить и дождитесь окончания установки. После обновления выполните перезагрузку компьютера.
Заказ на обновление версии КриптоАРМ 4 до КриптоАРМ 5 можно оформить в интернет-магазине.
Установка «КриптоАРМ» завершается с ошибкой
В большинстве случаев устранить ошибку помогает удаление и установка его заново:
- Удалите программу «КриптоАРМ» через Панель управления;
- Проверьте, осталась ли папка Digt в каталоге Program Files (дополнительно проверьте каталог Program Files (х86) если используете 64-х разрядную систему Windows);
- Если Вы устанавливали «КриптоАРМ» версии 5, то необходимо дополнительно проверить, удалились ли папки, содержащие в названии CifrovieTehnologii.TrustedTLS из папки WinSxS.
- Установить «КриптоАРМ», согласно шагам Мастера установки.
Ошибка «Policy 2. CryptoPro. PKI. Cades. publicKeyToken»
Для того чтобы установить КриптоАРМ из msi-пакета понадобится извлечь из дистрибутива установочный пакет. Для этого создайте текстовый файл (например в Блокноте) и сохраните в него следующую строчку:
trusteddesktop.exe /x package
Где trusteddesktop.exe — имя файла дистрибутива, а package — имя папки, в которую будут сохранены файлы установки. Если папка не существует, она будет создана автоматически.
Далее сохраните этот файл с расширением bat. Переместите файл в папку с дистрибутивом и запустите его двойным щелчком. После завершения его выполнения должна будет создаться папка package.
После установки КриптоАрм Стандарт можно установить КриптоАрм Плюс. Для этого зайдите в папку TDPlus и запустите msi файл setup-win32 (для 32-х разрядной версии Windows) или setup-x64 (для 64-х разрядной версии Windows).
Не удается установить «КриптоАРМ»
После того как запустите утилиту cryptoarm.remover, перезагрузите компьютер и начните установку программы КриптоАРМ без дополнительных модулей TSP и OCSP (чтоб они были с красными крестиками в окне установки) — необходимо при установке КриптоАРМ-а выбрать не быструю установку а настраиваемую.
Для 64-разрядных Windows зайти в меню Пуск и выполнить команды:
c:windowsSysWOW64
egsvr32 c:windowsSysWOW64bscript.dll c:windowsSysWOW64
egsvr32 c:windowsSysWOW64jscript.dll
Для 32-разрядных Windows зайти в меню Пуск и выполнить команды:
c:windowsSystem32
egsvr32.exe c:windowsSystem32bscript.dll c:windowsSystem32
egsvr32.exe c:windowsSystem32jscript.dll
Для выполнения команд необходимо наличие прав администратора.
В контекстном меню нет КриптоАРМа
Нужно зарегистрировать библиотеку ShellExtention. Для этого создайте текстовый файл с расширением bat и сохраните в него следующую команду:
Так же рекомендуем внести папку установки КриптоАРМ-а в список исключений антивируса.
Проверьте также выключен ли у вас UAC. Если он выключен, компоненты могут регистрироваться неправильно. Попробуйте включить UAC и перерегистрировать библиотеку. Руководство по включению и отключению UAC с сайта Microsoft:
Ошибка «Подпись не валидна» на сайтах наш. дом. рф и rosreestr
При создании подписи убедитесь что выбран тип кодировки DER и указана опция«Сохранить подпись в отдельном файле». Т.е. нужно создать отделенную подпись, на портале помещать исходный файл и файл подписи (около 2Кб).
Ошибка исполнения функции 0x0000065b
Скорее всего отсутствует лицензионный ключ или истек срок его действия для программы «КриптоАРМ» или КриптоПро CSP. Лицензионные ключи должны быть установлены в обеих программах, они должны быть активны.
Проверить наличие и статус лицензии на «КриптоАРМ» можно в верхнем меню программы в разделе «Помощь» — «О программе». В КриптоПро CSP эта информация есть на вкладке «Общие».
При установке сертификата возникает ошибка «Ошибка при установке сертификата и далее ФИО название»
Выключите режим квалифицированной подписи в настройках: настройки / управление настройками / режимы. После этого сертификат появится в папке«личное хранилище». Если возникнет ошибка построения пути сертификации, то исправить ее можно будет по инструкции вопрос №2:http://trusted.ru/support/faq/.
Ошибка обновления TSL Актуальный список TSL КриптоАрм подгружает с сайта Минкомсвязи: http://minsvyaz.ru/ru/activity/govservices/2/ или Госуслуги:http://e-trust.gosuslugi.ru/CA. Если программе не удается обновить список, то можно загрузить его с одного из этих сайтов вручную и установить в нужную папку.
Загруженный документ XML устанавливается в папку: C:Documents and Settings Local SettingsApplication DataКриптоАРМ sl .
0x0000064a – возникает при отсутствии лицензии на модуль TSP
Проверьте пожалуйста, установлены ли лицензии в программах КриптоПро CSP и КриптоАРМ, а также установлена ли лицензия на модуль КриптоПро TSP.
Ошибка 0x00000057 говорит о том что скорее всего в установленном сертификате нет привязки к закрытому ключу.
Для сертификатов с ключевой парой на КриптоПро CSP установить привязку можно следующим образом:
Ошибка 0x80091008 при расшифровке сообщения
Возникает в основном когда в КриптоАРМ или в КриптоПро CSP не установлена лицензия. В КриптоАрм проверить наличие лицензии можно через пункт меню помощь / о программе. В КриптоПро на вкладке «общие».
Если лицензии установлены, попробуйте переустановить КриптоПро CSP.
Как подписать отчеты для ГОЗ (Минобороны)
Запустите мастер подписи. Если запускался не через контекстное меню, то на второй странице нужно выбрать подписываемый файл.
На странице «Выходной формат» выбрать вариант Base64 (выбран по умолчанию) и в поле справа заменить расширение sig на sign. На этой же странице установить галочку «Отключить служебные заголовки».
На следующей странице «Параметры подписи» убрать галочку «Поместить имя исходного файла в поле Идентификатор ресурса». На этой же странице установить галочку «Сохранить подпись в отдельном файле».
На этой странице не нужно убирать галочку «Включить время создания подписи». При работе Ccptest время добавляется в подпись.
На странице «Выбор сертификата подписи» выбрать нужный сертификат.
При завершении мастера можно сохранить настройки в профиль, чтобы не вводить их заново в следующий раз.
По завершению мастера нужно вручную убрать из имени файла расширение xml. КриптоАРМ всегда добавляет в имя исходное расширение, а поскольку по требованиям его там быть не должно, то переименовывать файл придется вручную.
Не устанавливается криптоарм на windows 10
Время работы
- Запустите пограмму КриптоАРМ
- Нажмите Вид и выберите Эксперт
- Затем нажмите правой кнопкой мыши на Список отзыва сертификатов и нажмите Импорт
- Откроется Мастер установки сертификатов, нажмите Далее
- В открывшемся окне нажмите Выбрать
- Выберите список отозванных сертификатов с расширением crl. Затем нажмите Открыть
- Нажмите Далее
- Выберите хранилище Промежуточные центры сертификации, нажмите Далее
- Нажмите Готово
- Повторите все вышеперечисленные действия со вторым списком отозванных сертификатов
Сертификаты были успешно установлены.
Ошибка. Нет полного доверия к сертификату подписи
Данная ошибка возникает в случае, если необходимо установить списки отозванных сертификатов.
Для установки отозванных сертификатов Удостоверяющего Центра выполните следующие действия:
Сохранение списков отозванных сертификатов
- Загрузите список отозванных сертификатов Головного Удостоверяющего Центра с данного сайта
- Загрузите список отозванных сертификатов Подчиненного Удостоверяющего Центра, для этого:
- Откройте Ваш сертификат
- Списки отзыва сертификатов успешно сохранены
Все сообщения пользователя
Добрый день.Так и не получается расшифровать входящие сообщения с внешнего портала. Использую КриптоАРМ. В личных сертификатах — ″БАНК РОССИИ″ и ″ФЦИ при ЦИК России″. Делаю следующее: правой кнопкой по файлу — КриптоАРМ — Расшифровать — Далее — Далее — Готово. Ошибка звучит так: ″У Вас отсутствует личный сертификат, необходимые для расшифрования указанного файла″.Подскажите, пожалуйста, что делаю не так?
Script Execution time: 0,203
6 queries used