Почему компьютер не видит сертификат ЭЦП
При попытках заверения личных документов могут возникать ситуации, при которых система не видит сертификат электронной подписи. Это вызывает неудобства, т. к. для получения той или иной услуги требуется посещение учреждений. Устранить ошибку помогает правильная настройка системы, внесение некоторых изменений в реестр Windows.
Почему компьютер не видит сертификат электронной подписи – основные причины
Возникновению такой ошибки способствуют следующие факторы:
- Отсутствие специальной надстройки в браузере. Необходимо проверить наличие «КриптоПро» через меню веб-обозревателя.
- Отсутствие сертификата ЭЦП в списке. Наличие такого файла свидетельствует, что выдавшее подпись учреждение аккредитовано в Минкомсвязи и имеет право совершения указанного действия. При отсутствии корневого сертификата проверка подлинности электронной подписи и ее использование становятся невозможными.
- Ошибки при проверке ЭП в «АТИ-Доках». В таком случае на экране появляется соответствующее уведомление.
Пошаговая инструкция решения проблемы
Если флеш-накопитель с ЭЦП не работает, выполняют такие действия:
- Устанавливают программные компоненты, необходимые для корректного использования площадки. К ним относятся плагины для сайтов «Госуслуги», «Госзакупки» и т. д.
- Убеждаются в правильности установленных на компьютере даты, времени и часового пояса.
- Проверяют наличие сертификата в личном хранилище. При его отсутствии или повреждении выполняют переустановку. Убеждаются в том, что срок действия найденного сертификата не истек.
- Активируют функцию представления совместимости. Эта рекомендация относится к пользователям Internet Explorer. Чтобы найти функцию, переходят в меню, открывают раздел «Параметры просмотра», пункт «Добавить адрес портала».
- Проверяют работу системы в других браузерах. Если система по-прежнему не подписывает документ, можно попробовать использовать другое устройство.
- Проверяют операционную систему на наличие вирусов. Для этого используют специальные утилиты, например «Антивирус Касперского».
Почему «КриптоПро CSP» может не видеть ключей
В таком случае проверяют следующие параметры:
- правильность установки программы (должна быть активной служба Installer);
- наличие подключения к интернету;
- корректность указанного в сертификационном центре файла.
При установке плагина выполняют следующие действия:
- Загружают личный сертификат с учетом даваемых мастером инструкций. С помощью кнопки «Обзор» прописывают путь сохранения файла с расширением .cer.
- Используют контейнер закодированного ключа. С помощью кнопки «Обзор» нужно выбрать на флеш-накопителе требуемый сертификат.
Если ранее файлы были установлены неправильно и перенос на новый носитель не выполняется, очищают реестр операционной системы.
Для этого в меню CSP предусмотрена клавиша «Удалить пароли». Если приложения и надстройки работают без ошибок, а Event Log выдает ложную информацию, нужно сканировать файлы с помощью функции Sfc/scannow.
После этого выполняют повторную регистрацию компонентов посредством MSIExec/regserver.
Что делать при отсутствии своего сертификата в списке на странице «Ваши сертификаты»
Если подобный объект не был установлен, переходят на интернет-страницу удостоверяющего центра, скачивают и устанавливают компоненты личной электронной подписи. Если сертификат скачан ранее, проверяют правильность его загрузки. Для этого выполняют следующие действия:
- Переходят в пусковое меню. Выбирают раздел «Все программы». После этого нужно найти в списке «КриптоПро».
- В открывшемся окне выбирают вариант «Личное», переходят во вкладку «Сертификаты».
- Двойным нажатием открывают объект, который не отображается в списке. Переходят в раздел «Путь сертификации». Здесь находится цепочка, включающая личные файлы, корневые сертификаты удостоверяющего центра, ключи вышестоящих инстанций, выполнявших аккредитацию.
- Проверяют, присутствуют ли возле найденных объектов предупредительные знаки, например, крестики. При наличии таковых сертификат считается недействительным. Нажав на файл, можно посмотреть причину ошибки.
- Если объекты просрочены, необходимо обратиться в удостоверяющий центр для продления. Если предупредительные знаки отсутствуют, а доступные файлы не проходят проверку, переустанавливают корневой сертификат личной электронной подписи.
https://youtube.com/watch?v=joJiRHhFvh0%3Ffeature%3Doembed
Что делать при возникновении ошибки «Ваша электронная подпись не прошла проверку на сервере»
Необходимо получить открытый ключ цифровой подписи и направить в службу технической поддержки АТИ. Для извлечения объекта устанавливают «КриптоПро», выполняют следующие действия:
- Нажимают Win+R, указывают пароль администратора. В новом окне вводят certmgr.msc. Используют клавишу OK.
- На открывшейся странице в списке находят нужный сертификат. Нажимают на его наименование правой клавишей мыши. Во вкладке «Задачи» выбирают вариант «Экспорт».
- Если нужный объект в списке отсутствует, открывают пункт «Получение файла с помощью «КриптоПро CSP».
- В открывшемся «Мастере экспорта» используют клавишу «Продолжить». Выбирают вариант «Не выводить закрытый ключ», подтверждают действие.
- В новом окне выбирают «Файлы в DER-кодировке». Нажимают кнопку «Обзор», прописывают путь сохранения файла. Нажимают кнопки «Продолжить», «Готово».
При правильном выполнении действий появляется сообщение о завершении переноса.
КриптоПро CSP — платный продукт и требует приобретения лицензии. После получения электронной подписи Вам передается комплект документов с карточкой отзыва СКПЭП, где указан тип лицензии и серийный номер, если она была приобретена.
- встроенная (сроком действия 1 год, изготавливается и действует вместе с подписью, не требует ввода номера лицензии)
- годовая (сроком действия 1 год, требующая ввода номера лицензии)
- постоянная (бессрочная – неограниченная по сроку использования, требующая ввода номера лицензии).
Встроенная лицензия распознается версиями КриптоПро CSP 3.6 R4 и всеми версиями 3.9.
Серийный номер годовой или постоянной лицензии необходимо ввести, если этого не было сделано ранее.
Серийный номер должен соответствовать версии продукта. Версию продукта можно посмотреть в программеКриптоПроCSP на вкладке «Общие» справа вверху (3939Х- ХХХХХ- ХХХХХ- ХХХХХ- ХХХХХ для версии КриптоПро CSP 3.9 и 3636Х- ХХХХХ- ХХХХХ- ХХХХХ- ХХХХХ дляКриптоПроCSP 3.6).
Убедитесь, что подпись установлена в компьютер.
ЗапуститеКриптоПро CSP => вкладка Сервис => кнопкаПросмотреть сертификаты в контейнере => кнопка Обзор. Если список пустой,попробуйте другой USB-порт на Вашем компьютере. Если это не помогло, то необходимо установить драйверв соответствии с типом носителя и разрядностью системы Windows.На корпусе носителя написан тип носителя:eToken или ruToken, а разрядность системы можно посмотреть, кликнув на значок компьютера правой кнопкой мыши и выбрав пункт Свойства: 32 или 64 разрядная система Windows.
Запустите КриптоПро CSP => вкладка Сервис => кнопкаПросмотреть сертификаты в контейнере => кнопка Обзор.
Если подпись не определилась, то смотрите ответ на вопрос №2 выше.
Если подпись определилась, то нажимаем кнопкуДалее, затем кнопку Свойства, открываем вкладку Путь сертификации. Цепочка сертификатов должна состоять из Удостоверяющего центра и ФИО владельца ЭЦП (у сертификатов не должны быть крестики или восклицательные знаки).
При наличии у сертификата УЦ красного крестика необходимо его выделить, кликнув по нему, нажать Просмотр сертификата, затем кнопкуУстановить (в мастере импорта необходимо указать хранилище Доверенные корневые центры сертификации).
Если крестик не пропал, необходимо обновить версию КриптоПроCSP (для Windows 10 есть //специальная версия КриптоПроCSP 3.9)
Если в КриптоПроCSP цепочка сертификатов отображается корректно, значит, неполадки в настройках InternetExplorer (смотрите ответ на вопрос №4 далее)
Автоматическое обновление InternetExplorer должно быть выключено, иначе будут сбиваться настройки. Выключить его можно в меню Справка => О программе => снять галочку Устанавливать новые версии автоматически.
На Вашем компьютере должны быть включены параметры ActiveX, это можно сделать вменю Пуск=> набрать в строке поискаСвойства браузера и выбрать этот пункт =>в открывшемся окне необходимо выбрать вкладку Безопасность => нажать на зону Надежные сайты (узлы), чтобы она выделилась = > затем нажать кнопку Другой (найти перечень Элементы ActiveX и модули подключения и установить параметр для каждого Включить).
Заходим на сайт, где для работы требуется электронная подпись, и добавляем данную страницу в Надежные сайты /узлы через Свойства браузера, вкладку Безопасность, выделив зону Надежные сайты/узлы и нажав кнопку Сайты/узлы. Кнопка Добавить должна быть активна, нужно нажать на нее, на чекбоксе: Для всех сайтов этой зоны требуется проверка серверов (https:)необходимо убрать галочку. Если кнопка Добавить серая (неактивная), значит, страница уже добавлена в список веб-сайтов и повторно добавлять ее не нужно. Закрываем свойства.Обновляем страницу в браузере клавишей F5. Если внизу или вверху браузера возникают сообщения о надстройках, то необходимо разрешить их запуск.
Просмотрите вопрос №3, если проблемы не связаны с настройками, то при входе на площадку у вас будет появляться сообщение: Клиентский сертификат не сопоставлен с пользователем системы (или выбранная электронная подпись не авторизована).
Возможно, у Вас не пройдена аккредитация на площадке, если это так, то смотрите //инструкцию по аккредитации на электронной площадке. Если аккредитация все-таки пройдена, но Вы получили новую подпись, например, в связи с тем, что срок действия старой подписи истек,то ее нужно привязать к личному кабинету,для этого необходимо заполнить заявку на добавление нового пользователя на площадке и приложить к заявке следующие документы:
Для ЮЛ: либо решение о назначении руководителя, в случае если подпись на руководителя организации, либо доверенность на сотрудника организации, в случае если подпись сделана на сотрудника (в этом случаена площадку прикрепляется архив с решением о назначении руководителя и доверенностью от руководителя на сотрудника). Для коммерческих площадок дополнительно может понадобиться копия ИНН организации.
Для ИП/ФЛ: паспорт, ИНН.
Примеры страницы добавления участников на популярных площадках:
Сбербанк-АСТ(в разделе Участникам => Регистрация => Добавление нового пользователя) http://www.sberbank-ast.ru/freeregister.aspx
ММВБ (в разделе Участникам => Регистрация доверенности) https://app.rts-tender.ru/supplier/lk/Accreditation/EmployeeRequest.aspx
РТС-Тендер (кнопка Вход => Аккредитация => Подать запрос на добавление нового пользователя) https://app.rts-tender.ru/supplier/lk/Accreditation/EmployeeRequest.aspx
При первом использовании электронной подписи выскакивает окно: Введите пароль для контейнера
По умолчанию пароль 12345678.
Пароль на контейнер можно изменить. Если у вас носитель ruToken, то необходимо установить //панель управления Рутокен. Запустив программу, вводим пин-код администратора во вкладке Администрирование (по умолчанию пин-код администратора 87654321). Далее нажимаем кнопкуРазблокировать=>Изменить, выбираем пользователя и задаем пароль.
Если у вас носитель eToken, то необходимо установить //драйвер eToken в соответствии с разрядностью системы Windows (разрядность системы можно посмотреть, кликнув на значок компьютера правой кнопкой мыши и выбрав пункт Свойства: 32 или 64 разрядная система Windows). Запустить eTokenProperties, нажать на Подробный вид (значок шестеренки справа вверху). Выбрать имя eToken из списка слева (имя высветится до строчки Настройки eTokenPKIClient). В появившемся окне справа необходимо нажать на значок: Изменить пароль (в виде карандаша и клавиатуры).
Сервис ГИС ЖКХ авторизует организации через портал госуслуг. Поэтому все учетные записи необходимо создать на сайте gosuslugi.ru. Сначала необходимо зарегистрировать руководителя как физическое лицо. Созданная учетная запись активируется с помощью электронной подписи, выданной на организацию. После активации физического лица можно добавить организацию.Подтверждение осуществляется с помощью той же ЭЦП. При необходимости Вы можете добавить сотрудников организации (у них тоже должна быть учетная запись физического лица на сайте gosuslugi.ru, подтвержденная всё той же электронной подписью). После этого руководителю организации необходимо выполнить вход в личный кабинет с помощью ЭЦП и, выбрав роль организации, добавить сотрудника из кабинета юридического лица. В личном кабинете организации руководитель может назначить права администратора.
Выпуск и перевыпуск электронной подписи удалённо невозможен. Это противоречит требованиям по безопасности, установленным действующим законодательством РФ. Для получения электронной подписи необходимо обязательно удостоверить личность получателя в //любом центре выдачи ЭП.
Настройка рабочего места для работы с электронной подписью, приобретенной в удостоверяющем центре «ИжТендер», осуществляется бесплатно. Для настройки рабочего места необходимо установить программу//TeamViewer для удаленного доступа на Ваш компьютер, чтобы специалист технической поддержки мог быстро и легко подключиться к Вашему рабочему месту.
Документы Word можно подписывать электронной подписью в следующих случаях:
1. Если документ создан в MicrosoftOffice 2003/2007, то дополнительного ПО не потребуется.
2. Если документ создан в MicrosoftOffice 2010/2013, то потребуется установить дополнительно программу КриптоАРМ–это программа, соответствующая требованиям российского законодательства в части обеспечения юридически значимого статуса. После подписания документа создается файл с расширением.sig, который однозначно подтверждает факт подписания документа.
Цепочка сертификатов используется для подтверждения подлинности сертификата ЭП. В цепочку входят сертификаты головного удостоверяющего центра, промежуточных удостоверяющих центров (включая УЦ, выдавший сертификат ЭП пользователя) и сертификат пользователя. Если цепочка сертификатов выстроена неправильно (в окне свойств сертификата на вкладке «Путь сертификации» сертификаты головного и промежуточных удостоверяющих центров отсутствуют либо помечены крестиком), то сертификат конечного пользователя считается ненадежным и не может быть использован.
Для того, чтобы добавить сайт электронной площадки в надежные узлы в браузере, зайдите на сайт площадки через браузер InternetExplorer и откройте «Свойства браузера». На вкладке «Безопасность» выделите щелчком мыши зону «Надежные сайты» и нажмите кнопку «Сайты». Снимите галочку «Для всех сайтов этой зоны требуется проверка серверов (https:)». Нажмите кнопку «Добавить», после этого закройте окна «Надежные сайты» и «Свойства браузера» и обновите страницу браузера, нажав Ctrl + F5.
Зайдите на сайт площадки через браузер InternetExplorer и откройте свойства браузера. На вкладке «Безопасность» выделите щелчком мыши зону «Надежные сайты» («Надежные узлы» в InternetExplorer 8) и нажмите кнопку «Другой». В списке параметров найдите раздел «Элементы ActiveX и модули подключения». Для всех параметров в этом разделе выберите пункт «Включить». Нажмите «Ок», подтвердите запрос на сохранение параметров. Закройте окно «Свойства браузера»и обновите страницу, нажав Ctrl + F5.
Олеся Михайловна — генеральный директор
ООО «ВКС»
От имени предприятия ГУП «Севастопольское авиационное предприятие» выражаем благодарность за профессионализм и оперативность вашей компании! Желаем вашей компании дальнейшего процветания!
Гуськова Лилия Ивановна — менеджер.
ГУП «САП»
Спасибо вам, Михаил, большое за помощь в оформлении. Очень квалифицированный сотрудник +5!
Надия Шамильевна — предприниматель
ИП Аношкина
От лица компании «АКБ-Авто» и от себя лично выражаю Вам и всем сотрудникам вашей компании благодарность за продуктивную и качественную работу, чуткое отношение к требованиям клиента и оперативность в исполнении заказываемых работ.
Насибуллина Альфира — Старший менеджер
«АКБ-Авто»
Хочу поблагодарить консультанта Михаила за отличную работу, своевременные и полные консультации. Очень внимателен к проблемам клиента и вопросам, оперативное решение самых казалось бы для меня сложных ситуаций. Очень приятно работать с Михаилом!!! Теперь своим клиентам и знакомым буду рекомендовать Вашу компанию. Да и консультанты в тех.поддержке тоже очень вежливы, внимательны, помогли справится со сложной установкой ключа. Спасибо!!!
Приобретение ключа оказалось очень лёгким и, даже, приятным. Огромная благодарность за содействие менеджеру Михаилу. Объясняет сложные и массивные для понимания вещи ёмко, но очень понятно. К тому же я позвонил на горячую бесплатную линию и в режиме он-лайн, вместе с Михаилом оставил заявку. Мне изготовили ключ через 2 рабочих дня. В общем, рекомендую если экономите своё время, но в тоже время хотите иметь понимание — что покупаете и за что платите. Спасибо.
Левицкий Александр Константинович
г. Самара
Личная благодарность консультанту Михаилу Владимировичу за оперативную консультацию и работу по ускоренному получению сертификата ЭП. В ходе предварительной консультации подбирается оптимальный набор индивидуальных услуг. Конечный результат получен незамедлительно.
Стоянова Н.Л. — главный бухгалтер
ООО «СИТЕКРИМ»
Спасибо за оперативную работу и компетентную помощь! Консультацией остался очень доволен!
ООО «Эксперт Система» благодарит за оперативную работу консультанта Михаила! Желаем Вашей компании роста и процветания!
Суханова М.С. — Оценщик
ООО «Эксперт Система», г. Волгоград
Спасибо консультанту, представившемуся Михаилом, за оперативность в работе с клиентами.
Пономарев Степан Геннадьевич
Большое спасибо консультанту Михаилу, за оказанную помощь в получении ЭЦП. За оперативную работу и консультирование по вопросам возникающим в процессе оформления.
Компания в лице консультанта Михаила делает невозможное! Ускорение аккредитации менее чем за 1 час! Оплата по факту оказания услуги. Думал, такого не бывает. С полной ответственностью могу советовать связываться с Центром выдачи электронных подписей.
Для проверки подлинности пользователей, входящих в систему с клиентским сертификатом, можно сопоставить
данные, содержащиеся в сертификате, с учетной записью пользователя Windows. Есть два способа сопоставления сертификатов: и . Оба эти способа можно применить в оснастке IIS.
- Сопоставление сертификатов возможно только при наличии установленного серверного сертификата. Дополнительные сведения об установке серверного сертификата см. в разделе Получение сертификата сервера .
- Чтобы гарантировать вступление в силу изменений, внесенных в правила сопоставления сертификатов, нужно остановить и заново запустить веб-узел. Для этого: В оснастке IIS выделите веб-узел и либо выберите команду Остановить
в меню Действие
, либо нажмите кнопку Остановка объекта
на панели инструментов. Затем выберите команду Пуск
в меню Действие
или нажмите кнопку Запуск объекта
на панели инструментов.
Сопоставление «один-к-одному»
При сопоставлении «один-к-одному» учетным записям сопоставляются отдельные клиентские сертификаты. Сервер сравнивает имеющуюся у него копию клиентского сертификата с клиентским сертификатом, отправляемым обозревателем. Для успешного сопоставления эти два сертификата должны быть абсолютно идентичными. Если клиент получит другой сертификат, содержащий те же сведения о пользователе, то нужно будет заново выполнить сопоставление.
Сопоставление «многие-к-одному»
При сопоставлении «многие-к-одному» используются правила сопоставления с помощью подстановочных знаков
, которые позволяют выяснить, содержит ли клиентский сертификат определенную информацию, например имя издателя или тему. Этот способ сопоставления не сравнивает сами клиентские сертификаты, а принимает все сертификаты, удовлетворяющие определенным критериям. Если клиент получит другой сертификат, содержащий те же сведения о пользователе, то существующее сопоставление будет по-прежнему действительно.
Сопоставление службы каталогов (DS)
Сопоставление сертификатов службы каталогов (DS) использует встроенные в Windows 2000 средства активных каталогов для проверки подлинности пользователей с клиентскими сертификатами. Этот способ сопоставления имеет как преимущества, так и недостатки. Например, преимуществом является то, что сведения клиентского сертификата могут совместно использоваться большим числом серверов. Недостаток состоит в том, что проверка соответствия с использованием подстановочных знаков менее развита по сравнению с имеющейся в средстве сопоставления IIS. Дополнительные сведения о сопоставлении службы каталогов см. в документации Windows 2000.
Включить сопоставление службы каталогов можно только на уровне основных свойств и только будучи членом домена Windows 2000. Включение сопоставления службы каталогов отменяет использование сопоставления «один-к-одному» и «многие-к-одному» для всей веб-службы.
Стратегии сопоставления
Сопоставление клиентских сертификатов очень гибко: можно использовать любой из трех способов сопоставления сертификатов учетным записям пользователей. Можно сопоставить один клиентский сертификат любому числу учетных записей пользователей и любое число клиентских сертификатов одной учетной записи. Сопоставление сертификатов можно использовать в различных ситуациях, в том числе:
- Большие сети.
В сетях с большим числом клиентских сертификатов используется сопоставление «многие-к-одному» или сопоставление службы каталогов. Администратор имеет возможность задать одно или несколько правил для сопоставления сертификатов одной или нескольким учетным записям Windows. - Малые сети.
В сетях с малым количеством пользователей можно использовать сопоставление «один-к-одному» для обеспечения лучшего контроля за использованием и отзывом сертификатов, или сопоставление «многие-к-одному» для упрощения администрирования. - Дополнительная безопасность.
Для ресурсов, доступных лишь нескольким пользователям и требующих дополнительной защиты, используйте сопоставление «один-к-одному». Это позволит гарантировать допустимость лишь конкретных сертификатов. Кроме того, этот способ обеспечивает поддержку лучших политик отзыва сертификатов. - Интернет.
Узлы Интернета, проверяющие подлинность с помощью сертификатов, могут использовать сопоставление «многие-к-одному», принимая различные сертификаты и сопоставляя их все учетной записи, имеющей права, аналогичные правам учетной записи IUSR_имя_компьютера
. - По службе сертификации.
Для разрешения доступа в систему всем пользователям, входящим в систему с клиентским сертификатом, выданным определенной организацией, можно использовать сопоставление «многие-к-одному» и задать правило для автоматического сопоставления любого сертификата, выданного этой организацией, учетной записи пользователя.
Примечание.
Если требуется более гибкий механизм проверки соответствия с помощью подстановочных знаков, воспользуйтесь возможностями средства сопоставления IIS. Если сопоставление используется для интеграции веб-узлов в домен Windows, то средство Windows DS подойдет лучше. Дополнительные сведения см. в документации Windows.
Экспорт сертификата
Некоторые сертификаты необходимо экспортировать
, чтобы их можно было использовать в сопоставлении «один-к-одному». Для сопоставления «многие-к-одному» экспортировать сертификаты не требуется. Дополнительные сведения можно получить у службы сертификации.
Чтобы экспортировать сертификат с помощью обозревателя Internet Explorer версии 4.0 или новее.
Примечание.
Этой процедурой можно также воспользоваться для создания резервной копии сертификата.
- В обозревателе Internet Explorer откройте меню Сервис
и выберите команду Свойства обозревателя
. - В диалоговом окне Свойства обозревателя
откройте вкладку Содержание
. - На вкладке Содержание
нажмите кнопку Личные
(Internet Explorer версии 4.0), либо нажмите кнопку Сертификатов
и откройте вкладку Личные
(Internet Explorer версии 5). - Выберите сертификат из списка и нажмите кнопку Экспорт
. - В мастере нажмите кнопку Далее
, выберите флажок Нет, не экспортировать закрытый ключ
и нажмите кнопку Далее
. - На следующей странице выберите формат Вase-64 шифрование X.509 (.CER)
и нажмите кнопку Далее
. Завершите процедуру, следуя указаниям мастера.
Теперь сертификат готов к сопоставлению «один-к-одному». Для каждого сертификата эту процедуру нужно выполнить всего один раз.
Сопоставление сертификатов
При сопоставлении «один-к-одному» учетным записям сопоставляются отдельные клиентские сертификаты. При сопоставлении «многие-к-одному» используются правила сопоставления с помощью подстановочных знаков
, которые позволяют выяснить, содержит ли клиентский сертификат определенную информацию, например имя издателя или тему.
Чтобы сопоставить конкретный клиентский сертификат учетной записи пользователя (сопоставление «один-к-одному»)
- На вкладке Безопасность каталога
в группе Безопасные подключения
нажмите кнопку Изменить
. - В диалоговом окне Безопасные подключения
установите флажок Изменить
. - На вкладке 1-к-1
диалогового окна добавьте новый сертификат, нажав кнопку Добавить
, либо измените существующее сопоставление, выделив его и нажав кнопку Изменить
. - Для добавления сертификата, найдите его файл и откройте его.
- В диалоговом окне Сопоставление с учетной записью
введите имя сопоставления. Это имя будет выводиться в списке диалогового окна Сопоставление с учетными записями
. - Введите имя учетной записи Windows или перейдите к ней. Введите пароль учетной записи, с которой сопоставляется сертификат.
- Нажмите кнопку OK
. - Повторите эти шаги для сопоставления других сертификатов или для сопоставления этого же сертификата с другими учетными записями.
Примечание.
Если найти файл сертификата не удается, то, возможно, его нужно экспортировать.
Чтобы сопоставить клиентский сертификат с помощью правила, использующего подстановочные знаки (сопоставление «многие-к-одному»)
Примечание.
Для сопоставления «многие-к-одному» экспортировать сертификаты не нужно.
- В оснастке IIS выделите веб-узел, для которого нужно настроить проверку подлинности, и откройте окно его свойств.
- На вкладке Безопасность каталога
в группе Безопасные подключения
нажмите кнопку Изменить
. - В диалоговом окне Безопасные подключения
установите флажок Разрешить сопоставление сертификатов клиентов
, если он еще не установлен. Нажмите кнопку Изменить
. - На вкладке Многие к 1
диалогового окна Сопоставление с учетными записями
нажмите кнопку Добавить
. - В диалоговом окне Общие
введите имя правила. Это имя будет выводиться в списке диалогового окна Сопоставление с учетными записями
. Можно создавать правила на будущее или отключать правила, не удаляя их; для этого предназначен флажок Включить данное правило
. Нажмите кнопку Далее
. - В диалоговом окне Правила
нажмите кнопку Создать
. - В диалоговом окне Изменение элемента правила
выберите соответствующий критерий и нажмите кнопку OK
. - По завершении нажмите клавишу Далее
. - В диалоговом окне Сопоставление
введите имя учетной записи пользователя Windows или перейдите к ней. Введите пароль учетной записи, с которой сопоставляется данное правило. - Нажмите кнопку OK
. - Повторите эти шаги для создания других правил сопоставления.
- Порядком применения правил можно управлять с помощью кнопок Вниз
и Вверх
. Приоритет имеют правила, расположенные выше.
Примечание.
Повторите шаги 6 и 7, если нужно задать более конкретное правило.
Примечание.
Если учетная запись, с которой сопоставляется правило, расположена на компьютере, являющемся членом рабочей группы, нужно будет указать имя компьютера и имя учетной записи. Например, если сопоставление выполняется с учетной записью «RegionalSales» на компьютере с именем «Sales1», то имя будет выглядеть следующим образом: Sales1\RegionalSales.
Чтобы изменить существующее правило сопоставления с использованием подстановочных знаков (сопоставление «многие-к-одному»)
- В оснастке IIS выделите веб-узел, для которого нужно настроить проверку подлинности, и откройте окно его свойств.
- На вкладке Безопасность каталога
в группе Безопасные подключения
нажмите кнопку Изменить
. - В диалоговом окне Безопасные подключения
установите флажок Разрешить сопоставление сертификатов клиентов
, если он еще не установлен. Нажмите кнопку Изменить
. - На вкладке Многие-к-1
диалогового окна Сопоставление с учетными записями
выделите правило и нажмите кнопку Изменить
. - Внесите нужные изменения.
- По завершении нажмите кнопку OK
.
- Сопоставления конкретных клиентских сертификатов всегда имеют преимущество над сопоставлениями с помощью подстановочных знаков.
- Некоторые клиентские сертификаты могут содержать большое количество идентификационных данных и могут включать дополнительные, нестандартные поля. Сведения о форматах сертификатов можно получить у сертификационной службы.
- Используйте как можно более точно сформулированные правила. Хорошее правило, использующее подстановочные знаки, проверяет содержимое нескольких различных полей и дополнительных полей. Например, названия «Бухгалтерия», «Доставка» и «Сбыт» могут появляться в дополнительном поле нескольких клиентских сертификатов организации. Правило, задающее сопоставление сертификатов только по значению этого дополнительного поля, может привести к неверному сопоставлению.
Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.
Вы можете установить личный сертификат двумя способами:
1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
2. Через меню КриптоПро CSP «Установить личный сертификат»
Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.
Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»
Чтобы установить сертификат:
1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Просмотреть сертификаты в контейнере”.
2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.
3. В следующем окне нажмите “Далее”.
Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.
4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.
Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.
5. В окне “Сертификат” — > вкладка “Общие” нажмите на кнопку “Установить сертификат”.
6. В окне “Мастер импорта сертификатов” выберите “Далее”.
7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.
8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.
Вариант 2. Устанавливаем через меню «Установить личный сертификат»
Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.
Чтобы установить сертификат:
1. Выберите Пуск -> Панель управления -> КриптоПро CSP -> вкладка Сервис и нажмите кнопку “Установить личный сертификат”.
2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.
3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.
4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.
5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.
6. Выбрав контейнер, нажмите “Далее”.
7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.
Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.
8. Выберите хранилище “Личные” и нажмите ОК.
9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:
В этом случае нажмите “Да”.
10. Дождитесь сообщения об успешной установке личного сертификата на компьютер.
Все, можно подписывать документы, используя новый сертификат.
Владельцы электронной подписи часто не могут вспомнить пароль от нее. Ситуация грустная, но не безвыходная. Как восстановить доступ к подписи — читайте в статье.
Пароль или пин-код электронной подписи (ЭП или ЭЦП) схож с пин-кодом банковской карты. Он защищает подпись от мошенников, его нужно запомнить или записать на листочек и хранить подальше от самой подписи. Но, в отличие от пин-кода карточки, пароль ЭП редко используют и часто забывают.
Возьмем экономиста Василия. Он получил электронную подпись, установил ее на компьютер, задал пароль, поставил галочку «Запомнить» — и все, больше никогда эту комбинацию не вводил. Но через полгода Василий переехал в другой кабинет и сел за новый компьютер. Попытался установить на него свою подпись, но не получилось — он забыл пароль электронной подписи, а листочек, на который записывал символы, потерял.
В своей беде Василий не одинок — многие владельцы ЭП не могут вспомнить или не знают, где взять пароль электронной подписи. В этой статье расскажем, что делать в подобной ситуации и когда нужно получать новую ЭП.
Что такое пароль и пин-код электронной подписи
На электронную подпись устанавливают один из типов защиты: пароль или пин-код. Разберемся, чем они отличаются.
Пароль от контейнера электронной подписи
Пароль используют для подписи, сохраненной в память компьютера. Он защищает контейнер ЭП — папку с файлами подписи: сертификатом, закрытым и открытым ключами.
Впервые с паролем владелец ЭП встречается, когда выпускает сертификат ЭП и записывает его в реестр компьютера или на обычную флешку (не токен). Придумать пароль нужно самостоятельно — при записи программа КриптоПро CSP покажет окошко, в которое нужно ввести комбинацию чисел, символов и латинских и русских букв.
Далее этот пароль будет запрашиваться при установке подписи на компьютер, ее копировании и при каждом использовании — подписании документов, работе на электронной торговой площадке или входе в сервисы. Если, конечно, не установить галочку «Запомнить пароль».
Пин-код от токена электронной подписи
Пин-код используется для электронной подписи, которая записана на носитель в виде usb-флешки — на токен. Пин защищает токен, поэтому, если мошенники украдут носитель ЭП, то самой подписью они воспользоваться не смогут.
Впервые владелец ЭП должен ввести пин-код при выпуске подписи — когда ее записывают на токен. Если носитель новый, то нужно ввести «заводское» стандартное значение, например, 12345678 для Рутокена. «Заводское» значение лучше сразу изменить на собственное, чтобы его не смогли подобрать злоумышленники.
После этого пин-код понадобится вводить, чтобы установить сертификат подписи на компьютер, использовать и копировать ЭП, работать с ней за новым компьютером. Чтобы не вводить комбинацию каждый раз, можно нажать галочку «Запомнить пароль». Главное в таком случае самим не забыть последовательность символов.
Как восстановить пароль электронной подписи
Если пароль и пин-код подписи не удается вспомнить, то восстановить его не получится. В этом не поможет даже удостоверяющий центр, выпустивший сертификат, — он не хранит пароли ЭП. Поэтому нужно пытаться вспомнить заветную комбинацию или подобрать ее.
Забыл пароль подписи
Пароль от контейнера ЭП можно вводить неограниченное количество раз. Поэтому можно спокойно подбирать к подписи все знакомые комбинации: важные даты или код из смс, которую при выпуске сертификата присылал удостоверяющий центр. Возможно, именно этот код случайно установили на контейнер в качестве защиты.
Если подобрать пароль не удается, то доступ к сертификату можно вернуть в некоторых случаях. Если раньше пароль сохраняли на компьютере — нажимали галочку «Запомнить», то иногда такой контейнер можно скопировать без ввода пароля. Попытайтесь скопировать папку со всеми файлами подписи на другое устройство или токен. Если в процессе у вас не спросят пароль, то можно продолжать работать с ЭП.
Если не получается ни скопировать подпись, ни вспомнить пароль ЭЦП, то остается только одно — получить новый сертификат ЭП. Для этого нужно отозвать старый в удостоверяющем центре и подать документы и заявку на выпуск нового. На контейнер новой подписи стоит установить пароль, который легко запомнить, но который не угадают мошенники.
Забыл пин-код токена
Восстановить забытый пин-код токена тоже невозможно. Именно из-за этого токен — надежный носитель ЭП: если его украдут мошенники, то пин-код защитит подпись от них.
Однако для владельца ЭП есть два способа, которые помогут подобрать нужную комбинацию.
Решение №1. Заводской пароль.
По умолчанию на новом токене установлен стандартный пин-код от производителя. Можно ввести его, чтобы вернуть доступ к сертификату ЭП. Для разных носителей подойдут разные значения:
- «Рутокен», eSmart, JaCarta и JaCarta LT— 12345678,
- если носитель eSmart, JaCarta или JaCarta LT получен у производителя, а не в Контуре — 1234567890,
- eToken — 1234567890, eToken,
- Jacarta SE — 1111111 для PKI-части и 0987654321 для ГОСТ части.
Если «заводская» комбинация к токену не подходит, значит ее сменили при записи сертификата. Тогда вернуть доступ к ЭП можно только одним способом — подобрать правильные символы.
Решение №2. Подбор пин-кода и права администратора
На то, чтобы подобрать пин-код к токену, есть десять попыток. После десятого неверного ввода символов заблокируется.
Иногда количество попыток ввода можно увеличить. Для этого нужно зайти на токен в качестве администратора и разблокировать пин-код:
- Перейти в панель управления токеном. Например, если используется носитель «Рутокен», то нужно перейти в Пуск — Панель управления — Панель управления «Рутокен» — вкладка «Администрирование».
- Ввести пин-код администратора. Стандартное значение устанавливает производитель: для «Рутокена» — 87654321, для Jacarta SE — 00000000 для PKI-части и 1234567890 для ГОСТ части. Если стандартное значение администратора не подошло, значит его сменили, и нужно вспоминать установленную комбинацию. На это есть десять попыток, потом токен окончательно заблокируется.
- Разблокировать пин-код токена. Для этого на вкладке «Администрирование» нажать «Разблокировать».
Также, если пин-код администратора известен, то можно сбросить попытки ввода другим способом — через КриптоПро CSP:
- Открыть КриптоПро CSP, перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей».
- Выбрать свой токен. Открыть его свойства и перейти в раздел «Информация».
- Разблокировать пин-код.
После разблокировки счетчик попыток ввода сбросится. Но даже тогда, пока правильную комбинацию к токену не введут, доступ будет закрыт и использовать подпись не получится.
Если вспомнить или изменить нужную комбинацию не удалось, придется получать новый сертификат подписи в УЦ: отозвать старый сертификат и получить новый. Токен можно использовать старый — можете отформатировать носитель, тогда старый пин-код и сертификат удалятся. Отметим, что отформатировать токены марок Рутокен, eToken, JaCarta LT можно без прав администратора. Но для форматирования носителя Jacarta SE нужно знать администраторский пин.
При записи подписи на новый токен советуем поменять стандартный пин-код носителя на собственный. Это, конечно, может привести к тому, что комбинация вновь потеряется. Но лучше получить новый сертификат, чем пострадать от мошенников, которые смогли взломать «заводское» значение на токене и подписали украденной ЭП важные документы.
После установки новых сертификатов пользователей не подписывает документы
15 март 2019 04:26 #11223
от
P.S. Window 7, Крипто-ПРО 4.0.9963, Континет 3.7.5.474 (сам континет работает, по крайней мере соединяется)
До 7 марта 2019, пока работали старые сертификаты СУФД работал исправно.
15 март 2019 05:56 #11225
от
era-z пишет: P.S. Window 7, Крипто-ПРО 4.0.9963, Континет 3.7.5.474 (сам континет работает, по крайней мере соединяется)
До 7 марта 2019, пока работали старые сертификаты СУФД работал исправно.
Удалите ветки реестра (вторая — для 64-разрядной ОС):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
15 март 2019 07:33 #11228
от
Если знаете подскажите, как можно протестировать подпись в СУФД? Чтобы не приходилось заводить документы и в случае ошибок документы не зависали
15 март 2019 09:19 #11230
от
15 март 2019 09:32 #11232
от
Я неправильно выразился, под словом «подпись» я имел ввиду саму функцию подписать документ в СУФД. Но спасибо за отзывчивость!
15 март 2019 10:40 #11235
от
era-z пишет: Я неправильно выразился, под словом «подпись» я имел ввиду саму функцию подписать документ в СУФД. Но спасибо за отзывчивость!
Я так и понял, и моей совет в силе. Функция подписания в суфд отрабатывает так же, как и на тестовой странице.
15 март 2019 12:10 — 15 март 2019 12:16 #11241
от
Первое что приходит в голову — сертификаты криво установились. В хранилищах проверяли? Корневые в хранилище пользователя или локального компьютера устанавливали? Переустанавливать пробовали? (Иногда помогает )
15 март 2019 13:07 — 15 март 2019 13:07 #11242
от
Переустанавливать пробовали пользовательские, корневые нет. Судя по приборам всё с ними ок. Корневые в хранилище пользователя (кажется).
15 март 2019 15:21 #11245
от
era-z пишет: Переустанавливать пробовали пользовательские, корневые нет. Судя по приборам всё с ними ок. Корневые в хранилище пользователя (кажется).
С КриптоПро ЭЦП Browser plugin все в порядке?
15 март 2019 15:30 #11246
от
era-z пишет: Переустанавливать пробовали пользовательские, корневые нет. Судя по приборам всё с ними ок. Корневые в хранилище пользователя (кажется).
С КриптоПро ЭЦП Browser plugin все в порядке?
Не проверяли, потому что всё остальное web работает исправно (ГИС, ЕИС и т.д.), да и неделю назад пользовались СУФД со старыми сертификатами без проблем. Но в Пн проверю/обновлю.
15 март 2019 16:17 — 15 март 2019 16:19 #11247
от
era-z пишет:
Если знаете подскажите, как можно протестировать подпись в СУФД? Чтобы не приходилось заводить документы и в случае ошибок документы не зависали
25 март 2019 05:14 #11439
от
era-z пишет: Переустанавливать пробовали пользовательские, корневые нет. Судя по приборам всё с ними ок. Корневые в хранилище пользователя (кажется).
С КриптоПро ЭЦП Browser plugin все в порядке?
Не проверяли, потому что всё остальное web работает исправно (ГИС, ЕИС и т.д.), да и неделю назад пользовались СУФД со старыми сертификатами без проблем. Но в Пн проверю/обновлю.
обновите браузер плагин до последней версии. Уже проходили.
25 март 2019 09:04 — 25 март 2019 09:05 #11459
от
А при входе не выскакивает сообщение: Не найдены сертификаты пользователя?
У нас такое было, когда казначейство еще не подбросило новые сертификаты. А один раз было, что именно в казначействе удалили и установили заново новые сертификаты. Иначе была ошибка.
Решалось звонком в ОФК с просьбой подбросить новые сертификаты.
25 март 2019 16:21 — 25 март 2019 16:22 #11476
от
Nikname пишет: А при входе не выскакивает сообщение: Не найдены сертификаты пользователя?
У нас такое было, когда казначейство еще не подбросило новые сертификаты. А один раз было, что именно в казначействе удалили и установили заново новые сертификаты. Иначе была ошибка.
Решалось звонком в ОФК с просьбой подбросить новые сертификаты.
26 март 2019 06:23 #11502
от