КриптоПро CSP считает недействительными сертификаты по ГОСТ 2012,
1. Если Континент-АП(с криптопровайдером Код безопасности CSP) установить раньше чем
Так например:
Корневой сертификат — Минкомсвязь России, открыть на просмотр:
Вкладка — Общие:
Целостность этого сертификата не гарантирована, возможно он повреждён или изменён
Вкладка — Состав
Алгоритм подписи: ГОСТ Р 34.11-2012/34.10-2012 256 бит
Вкладка — Путь сертификации:
Этот сертификат содержит недействительную цифровую подпись.
Причина ошибки проверки цифровой подписи и решение под спойлером:
2.1 Аналогичная ошибка, Если Сертификат пользователя выпущен после 18.02.2020
созданый с использованием нового корневого сертификата УЦ ФК(Действительного с 05.02.2020 по 05.02.2035)
При просмотре сертфиката:
Вкладка — Общие:
Целостность этого сертификата не гарантирована, возможно он повреждён или изменён
Вкладка — Путь сертификации:
Этот сертификат содержит недействительную цифровую подпись.
Причина ошибки проверки цифровой подписи:
На компьютере уже есть установленный
старый корневой сертификат УЦ ФК ГОСТ 2012 (Действительный с 19.11.2018 по 19.11.2033),
(Который может ещё требоваться для сертификатов клиентов ФК по ГОСТ 2012 выпущенных ранее и для работы на некоторых сайтах.),
но не установлен новый корневой сертификат УЦ ФК ГОСТ 2012 (Действительный с 05.02.2020 по 05.02.2035)
Установка нового корневого сертификата УЦ ФК (Действительного с 05.02.2020 по 05.02.2035)
его нужно установить вручную или с помощью инсталлятора
Для клиентов Федерального казначейства, которые получали сертификаты после 18.02.2020
созданные с использованием нового корневого сертификата УЦ ФК(Действителен с 05.02.2020 по 05.02.2035)
Можно установить вручную в «Локальный компьютер»-«Промежуточные центры сертификации» , скачав
Сертификат УЦ ФК размещенный на
официальном сайте Федерального казначейства
.
Установить с помощью автоматического инсталлятора
«root_2036 Локальный компьютер (ГОСТ 2012).exe»
ссылки для скачивания:
c ндекс Диск
«root_2036 Локальный компьютер (ГОСТ 2012).exe»
или
с сайта sedkazna.ru файл:
«root_2036 Локальный компьютер (ГОСТ 2012).zip»
Устанавливать нужно из под пользователя с правами
Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна
или по https ссылке без Континент TLS-клиента
Будет ошибка в браузере Internet Explorer:
Возникла проблема с сертификатом безопасности этого веб-сайта.
Доброго времени суток, уважаемые читатели. Сегодня речь пойдет не совсем об 1С, или вернее не только об 1С. Речь сегодня пойдет о сертификатах «Крипто-ПРО». На днях несколько клиентов обратились ко мне с проблемой — заключалась она в том, что пользователи не могли установить новый личный сертификат в Крипто-ПРО. Конечно, они обратились с проблемой, не связанной напрямую с 1С — сертификат был для сервиса СУФД-онлайн. Однако, проанализировав ситуацию я пришел к выводу что во-первых такая-же проблема может возникнуть у любого пользователя при обновлении личного сертификата при использовании сервиса «1С:Отчетность» (а это уже проблема напрямую связанная с программами 1С). А во-вторых думаю что даже если вы и не используете «1С:Отчетность», то наверняка пользуетесь другими сервисами, использующими сертификаты Крипто-ПРО — это могут быть прогараммы для отправки отчетности — «СБИС-документооборот» или «Контур-Экстерн», например, либо же сервисы для отправки платежей — например тот-же СУФД-Онлайн.
Изначально проблема заключалась в том, что при установке личного сертификата через интерфейс «Крипто-ПРО» (Закладка «Сервис» — Установить личный сертификат) выходила ошибка — «Не найден контейнер соответствующий открытому ключу сертификата».
Хотя, попробовав проделать эти же операции на другом компьютере я убедился что сертификат успешно устанавливается в контейнер.
Поискав информацию по данной ошибке были предприняты тестирование системных файлов на наличие ошибок, полная проверка компьютера при помощи антивируса и еще куча оказавшихся бесполезными в данном случае операций. Примечательно, что открыв личный сертификат мы видим следующую запись — «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен».
Подумал, что возможно не установлены корневые центры сертификации для этого сертификата. Установил — тоже не помогло. Итак, возник вопрос — как победить ошибку «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен»?
Выяснилось, что проблема оказалась в реестре операционной системы «Windows». Конкретная версия роли не играет — ошибка проявлялась как на Windows 7, так и Windows 10.
Для устранения ошибки «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен» нам необходимо использовать специальную программу — редактор реестра Windows — «REGEDIT». Для ее открытия нам нужно вызвать окно запуска служебных программ (Пуск — «Выполнить», или же нажав комбинацию клавиш на клавиатуре «Win+R»). В поле «Открыть» вводим команду «regedit» и нажимаем ОК.
Должно открыться окно «Редактор реестра». Это служебная программа для редактирования некоторых параметров операционной системы Windows.
И удалить их, кликнув правой кнопкой мыши на конечной папке (в нашем случае это папка «») и выбрав «Удалить». Возможно, второго пути вы не найдете (если у вас 32-разрядная система Windows), в таком случае удаляем только первый.
После удаления ветки реестра необходимо перезагрузить компьютер.
Думаю что после проделанных вышеуказанных манипуляций вы сможете установить личный сертификат в контейнер и ошибка «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен» больше не будет вас беспокоить.
P.S.: Надеюсь, что вы не устали читать эту статью, как всегда хотел написать кратко, но получилось не очень.
Ошибка установщика Windows — Невозможно завершить установку т. не найдена необходима библиотека DLL
Причина: Не установлен набор системных библиотек windows visual С++ redistributable, необходимый для завершения установки. В большинстве случаев причина кроется в установке заглушек вместо полноценных компонентов, их полным отсутствием или повреждением.
При подписании в Электронном Бюджете в окне Jinn client не видит сертификаты сформированные по гост 2012.
Причина №1: Наименование организации превышает 127 символов. см. решение №1 Причина №2: Ручная установка расширения eXtendedContainer по инструкции с сайта . К сожалению, в руководстве указан только xc.exe который идет в составе дистрибутива , установка которого нужна только на 32-битных системах. Для установки на 64-битные системы необходимо использовать xc64.exe. см. решение №2 Причина №3: Если eXtendedContainer не был установлен вручную, он будет автоматически установлен при установке Континент ТЛС клиент. Его использование нерекоммендуется, т.к. он вызывает проблемы с отображением сертификатов. см. решение №2
Решение №1: Необходимо с помощью специального инструмента размещенного на сайте конвертировать текущие подписи в формат, понятный Решение №2: Воспользоваться подготовленным нами архивом для удаления старого и установки корректного eXtendedContainer
При попытке подключения к адресам электронного бюджета в нижнем правом углу появляется бесконечное кол-во сообщений от Континента, подключение сразу прерывается
Причина: В 9 случаях из 10 это Dr.Web и его програмные продукты. Межсетевой экран антивирусов этого вендора требует тщательной настройки для беспроблемной работы электронного бюджета.
Решение №1: Отказ от а, с его полным удалением и перезагрузкой. Решение №2: Настройка Континент ТЛС клиента через Непрозрачное проксирование.
Первый вариант простой, но оставляет ваш компьютер незащищенным если у Вас нет альтернатив под рукой. Второй вариант требует дополнительной настройки АРМ, выделение свободного сокета под прокси-сервер континент тлс клиента
«Целостность этого сертификата не гарантирована. Возможно он поврежден или изменен»
Причина: Известная несовместимость при установке на компьютере и криптопровайдера от Кода Безопасности. Решение: Удаление корневого сертификата из всех хранилищ (пользователя, локального компьютера, реестра), удаление проблемных веток реестра:
и последующая переустановка корневых сертификатов.
Доступ к конфигурационному файлу запрещен — классическая и самая распространенная ошибка после установки Континент ТЛС клиента
Решение: Предоставить текущему пользователю права на чтение и изменение данных каталогов и веток реестра. В некоторых случаях, придется стать их владельцем, чтобы выставить права и увидеть скрытые ветки реестра которые так же желает использовать Континент ТЛС клиент. Список исчерпывающий, поэтому если Вы предоставили все права на все ветки, но проблема не решилась, значит что-то упущено (некоторые ветки реестра не видны, пока не выдать права текущему пользователю). Если ничего не получается, то Вы всегда можете обратиться к нашим специалистам за помощью.
Ошибка при подписании — «Ошибка целостности файла масок контейнера криптопро»
Причина: Вероятнее всего вы пытаетесь подписывать, выбирая сертификат не с флешки, а из хранилища сертификатов Windows. Это неправильно. Подписывать в Электронном Бюджете следует только с физического носителя: флешки или рутокен.
Решение: При подписании выбирать сертификат с флешки, или, если в окне выбора сертификатов не отображается нужного, ознакомиться с
При входе в Электронный Бюджет идет постоянно запрос сертификата снова и снова, или выдает ошибку «Internet Explorer не может отобразить эту страницу»
Причина: Самый вероятный и самый печальный исход — сертификат пользователя сформирован некорректным образом. Настройки были изменены перед формированием запроса на текущий сертификат. Чтобы удостоверить в этом, необходимо протестировать текущий сертификат и проверить алгоритмы, используемые при его формировании.
Вывод тестирования о проблемном сертификате:
ГОСТ Р 34.10-2012 DH 256 битГОСТ Р 34.10-2012 256 бит, параметры ТК-26 АГОСТ Р 34.11-2012 256 битГОСТ 28147-89, параметры шифрования ТК26 Z
Вывод тестирования о любом другом сертификате, вход которого успешен:
ГОСТ Р 34.10-2012 DH 256 битГОСТ Р 34.10-2001, параметры обмена по умолчаниюГОСТ Р 34.11-2012 256 битГОСТ 28147-89, параметры шифрования ТК26 Z Решение: Формировать новый запрос на сертификат, предварительно вернув настройки
Типовые проблемы при установке и настройке рабочего места для Электронного Бюджета
Причина: Некорретная настройка браузера Internet Explorer.
подготовленным нами файлом для настройки браузера.
При входе в электронный бюджет недоступны формы для работы. Главное меню отображается, но при открытии любого подраздела меню — пустая страница
Причина: Проверить ссылку для входа. Скорее всего вы входите через http:// . Для корректного отображения всех таблиц и форм вход должен осуществляться через http:// без . Ремарка: Сейчас большинство таблиц отображается и при входе через https, но пользователи могут с вами не согласиться — организации открывающиие 71 счет для перечисления денег по столкнутся с трудностями при работе по этому протоколу.
Решение: Требуется корректная настройкачерез http или дополнительные тонкие настройки браузера. могут реализовать работу Chromium-подобных браузеров для работы через https.
В ASN1 встречен неожиданный конец данных
Причина: Проблема кроется в старых сертификатах. Континент ТЛС клиент не может прочитать некоторые сертификаты, с неподдерживаемыми знаками (например ; ~ «» и т.п.) и встретив их в хранилище сертификатов Windows отказывается запускаться.
Решение: Вычислить проблемные сертификаты и избавиться от них. Следует помнить, что пользователю доступны не все хранилища сертификатов, поэтому удалять нужно используя оснастку Windows и проверять хранилище локального компьютера. Или прибегнуть к помощи специалиста.