Из нашей статьи вы узнаете:
Что такое корневой сертификат
Корневой сертификат — это файл, который содержит сервисную информацию об удостоверяющем центре. Криптопровайдер получает доступ к этой зашифрованной информации, тем самым подтверждая подлинность личной электронной подписи.
На основе корневого сертификата удостоверяющего центра строится цепочка доверия сертификатам. Любая электронная подпись, выпущенная удостоверяющем центром корректно работает только при наличии корневого сертификата.
Какую информацию содержит корневой сертификат
В корневом сертификате хранится информация с датами его действия. Также криптопровайдер с помощью корневого сертификата получает доступ к реестру организации.
Возможна ли установка электронной подписи без корневого сертификата
Установить электронную подпись на компьютер можно без корневого сертификата. Однако, при проверке она может оказаться недействительной. В этом случае подписать какой-либо электронный документ не получится.
Без корневого сертификата система будет выдавать ошибку: «Невозможно проверить электронную подпись». Это касается как и подписи, установленной на компьютер, так и подписи на защищённом токене.
Как установить корневой сертификат
Установка корневого сертификата универсальна для любого удостоверяющего центра:
После этих действий корневой сертификат удостоверяющего центра будет установлен.
Получить квалифицированную электронную подпись можно в удостоверяющем центре, аккредитованном Минкомсвязи. Чтобы получить ЭЦП в УЦ«Астрал-М» нужно выполнить четыре простых шага:
- Оставьте заявку, заполнив форму обратной связи на странице «Астрал-ЭТ».
- Подготовьте необходимый пакет документов и отправьте на проверку специалистам УЦ «Астрал-М».
- Оплатите выставленный счёт.
- Получите готовую электронную подпись.
Использовать корневой сертификат нужно именного того удостоверяющего центра, который выдал электронную подпись.
Новости для бухгалтера, бухучет, налогообложение, отчетность, ФСБУ, прослеживаемость и маркировка, 1С:Бухгалтерия
Удостоверяющий центр ФНС РФ выпустил новый промежуточный сертификат
Организациям и ИП, которые получат в налоговых органах квалифицированные сертификаты электронных подписей после 18 марта 2023 года, нужно будет проверить на своих рабочих местах версию установленного промежуточного сертификата УЦ ФНС РФ.
Напомним, сертификат УЦ ФНС необходим юридическим лицам, индивидуальным предпринимателям и нотариусам для корректной работы с квалифицированными сертификатами электронных подписей и электронного документооборота.
17 марта 2023 года в 23.00 мск Удостоверяющий центр ФНС РФ должен перейти на новый промежуточный сертификат от 15 ноября 2022 года. Это значит, что для корректного построения цепочки доверия к сертификатам электронных подписей, которые будут выданы после 18 марта 2023 года, на рабочих местах должны быть установлены:
Обращаем внимание, корневой сертификат Минцифры не изменился, поэтому, если на компьютере есть выход в интернет, все необходимые цепочки доверия будут выстроены автоматически. Установка сертификатов потребуется, если работа с электронными документами осуществляется на компьютере без выхода в интернет.
Следить за новостями удобно в нашем новостном Telegram-канале. Присоединяйтесь!
Поделиться с друзьями:
Отправить на почту
Каждый сертификат, используемый на компьютере, проверяется на подлинность. Для выполнения такой проверки в системе должен быть установлен корневой или кросс-сертификат того удостоверяющего центра, которым он выдан.
Сертификаты, необходимые для работы в «СБИС Электронная отчетность», ставятся на компьютер автоматически при установке программы; для работы на ЭТП — при запуске мастера настройки рабочего места.
Установите сертификат
Порядок действий зависит от версии СКЗИ:
- КриптоПро CSP 4.0
- КриптоПро CSP 5.0
Корневой или кросс-сертификат УЦ установлен, можно приступать к работе с электронной подписью.
Права и роли
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
Установка корневых сертификатов в хранилища
Для установки сертификата вам потребуется перейти по ссылке и открыть скачанный сертификат.
- Нажмите «Установить сертификат».
- В открывшемся окне мастера импорта сертификатов нажмите «Далее».
- Укажите «Доверенные корневые центры сертификации», нажмите «ОК».
- Для завершения работы мастера импорта сертификатов нажмите «Готово».
- Если вы переходите с тестового сертификата на рабочий или обратно, появится следующее предупреждение, где необходимо подтвердить установку сертификата, нажав кнопку «Да».
Корневой сертификат Минкомсвязи России
Произведите установку корневого сертификата Минкомсвязи России аналогично установки корневого сертификата Головного Удостоверяющего Центра. Для установки сертификата вам потребуется перейти по ссылке и открыть скачанный сертификат.
Корневой сертификат Удостоверяющего Центра
Произведите установку корневого сертификата Удостоверяющего Центра, выдавшего вашу электронную подпись, аналогично установки корневого сертификата Головного Удостоверяющего Центра. За сертификатом следует обратиться на сайт УЦ.
В данном разделе описан процесс установки в ПО NGate Корневых сертификатов УЦ и Промежуточных сертификатов УЦ, а также их CRL, которые в ПО NGate используются
для проверки подлинности Сертификатов внешних пользователей при аутентификации на
шлюзе.
В дальнейшем установленные сертификаты УЦ привязываются к веб-ресурсам,
gRPC-ресурсам и порталам в
процессе настройки данных элементов.
Схема взаимодействия Сертификата УЦ и пользователя
Сертификат УЦ, Промежуточный сертификат УЦ и CRL необходимо получить в Удостоверяющем
центре. Выбор стороннего УЦ или создание и аккредитация собственного осуществляется
администратором в соответствии с требованиями безопасности организации. При
необходимости возможно использование аккредитованного УЦ КриптоПро.
Для тестирования системы можно использовать тестовые
УЦ ООО «КРИПТО-ПРО».
Не используйте тестовые УЦ для работы в реальных условиях.
Тестовый удостоверяющий центр не проверяет информацию, указанную в запросах на
сертификат. Не следует доверять сертификатам, выданным тестовым УЦ!
Переход операторов ЭДО на новую процедуру аккредитации и замена сертификатов УЦ в некоторых случаях может вызывать проблемы при проверке электронной подписи оператора ЭДО под такими служебными документами ЭДО, как подтверждение даты получения (ПДП), подтверждение даты отправки (ПДО), а также при проверке квалифицированной электронной подписи под документами от контрагентов.
Для корректной работы механизма автоматической проверки электронной подписи установите на компьютер корневой сертификат ГУЦ Минкомсвязи.
- по ГОСТ Р 34.10-2001 — в разделе «ПАК Головной удостоверяющий центр», Идентификатор ключа: 8B983B891851E8EF9C0278B8EAC8D420B255C95D
- по ГОСТ Р 34.10-2012 — в разделе «ПАК Минкомсвязь России», Идентификатор ключа:
Откройте скачанный файл и нажмите Установить сертификат:
Откроется мастер импорта сертификатов. Нажмите Далее:
У сертификата отображается статус «Последний сертификат цепи не является доверенным корневым сертификатом».
Причина
На компьютере не установлен корневой сертификат удостоверяющего центра. Он подтверждает подлинность вашей электронной подписи. Если корневой сертификат УЦ не установлен или истек срок его действия, все сертификаты от этого УЦ отображаются как недействительные.
Решение
Запустите мастер настройки рабочего места. Он сам установит все действующие корневые сертификаты УЦ Тензор. Сделать это можно и вручную:
- Кликните файл правой кнопкой мыши и выберите «Запуск от имени администратора».
- Установите корневые сертификаты, следуя подсказкам мастера установки.
Чтобы установить сертификаты других УЦ, сначала узнайте, какого именно корневого не хватает:
- Сохраните сертификат в файл. Укажите любое имя, система присвоит ему расширение *.cer.
- Запустите файл как программу.
- В открывшемся окне перейдите на вкладку «Путь сертификации».
- Найдите сертификат, у которого отображается ошибка, и дважды кликните его левой кнопкой мыши.
- Установите сертификат в хранилище «Доверенные корневые центры сертификации».
Что такое корневые сертификаты, списки отозванных и зачем они нужны?
Корневой сертификат (CA) — это файл, в котором указана информация об удостоверяющем центре. Для корректной работы личного сертификата необходимо установить корневые сертификаты (а именно «промежуточный», выданный Удостоверяющему центру, и «головной корневой» сертификаты, называемые «цепочкой доверия») Удостоверяющего центра, который выпустил данный сертификат.
Списки отозванных сертификатов (CRL)– список аннулированных сертификатов.
Корневые сертификаты и списки отозванных необходимы для проверки информации о действительности и подлинности электронной подписи пользователя.
Где скачать корневые сертификаты?
Корневые сертификаты зависят от Удостоверяющего центра, выдавшего сертификат. Посмотреть, кем выдан сертификат, можно в открытой части сертификата (файл с расширением .cer). Информация указана в поле «Кем выдан» на вкладке «Общие».
Если сертификат выдан УЦ:
- ООО «Такском» – сертификаты можно загрузить с нашего сайта: раздел «Техподдержка» — «Корневые сертификаты и списки отзыва» или с помощью «Мастера настройки».
- Федеральная налоговая служба – можно загрузить с сайта ФНС.
- Для других – необходимо обратиться в Удостоверяющий центр, выдавший сертификат.
Какие корневые сертификаты нужны для работы с сертификатами УЦ «Такском»?
Для работы с сертификатами УЦ ООО «Такском» необходимо установить следующие корневые и промежуточные сертификаты:
Для сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»
Чтобы проверить ГОСТ сертификата, необходимо:
- Открыть Internet Explorer – «Сервис» — «Свойства браузера» («Свойства обозревателя» для IE 9 и ниже);
- На вкладке «Содержание» выбрать «Сертификаты»;
- Нажать на необходимый сертификат двойным кликом и выбрать вкладку «Состав»;
- Проверить строку «Алгоритм подписи».
Как проверить, установлены ли корневые сертификаты?
Необходимо открыть сертификат (файл с расширением .cer) и перейти на вкладку «Путь сертификации».
Пример корректно установленной цепочки доверия
Если «цепочка доверия» установлена некорректно, на каком-либо сертификате или на самой цепочке могут быть красные «крестики» (пример на скриншоте ниже).
Пример некорректно установленной цепочки доверия
Как установить корневые сертификаты и списки отозванных?
Для установки списка отозванных сертификатов воспользуйтесь инструкцией: инструкция по установке списка отозванных сертификатов.
Установить корневые сертификаты можно несколькими способами:
Откройте «Мастер настройки рабочего места», нажмите «Настроить» и следуйте подсказкам системы. Инструкция по работе с «Мастером настройки».
Важно при установке сертификата обязательно выбирать только соответствующую папку:
- корневые сертификаты необходимо устанавливать в папку «Доверенные корневые центры сертификации»;
- промежуточные – в «Промежуточные центры сертификации».
При работе с ЭЦП во время подписи документов может понадобиться установка нового сертификата с использованием «КриптоПро CSP» — например, когда у ЭЦП закончился срок, произошла смена главного бухгалтера или директора предприятия, либо необходима установка нового сертификата после оформления в удостоверяющем центре.
Для корректной работы может потребоваться установка личного и корневого сертификата в КриптоПро. Чтобы это сделать придерживайтесь следующей инструкции.
Установка личного сертификата
Для того чтобы установить сертификат с помощью «КриптоПро CSP», выполните следующий алгоритм:
Обратите внимание, что при установке система запоминает последний контейнер, с которого была проведена операция. Например, если вы установили личный сертификат из реестра вашего компьютера, а потом повторили процедуру с флешки, то при отсутствии последней система не сможет найти контейнер.
Как установить корневой сертификат КриптоПро
Для корректной работы сервера надо установить предварительно корневой сертификат в ваше хранилище. Для его получения необходим тестовый центр по сертификации продукта, куда можно попасть при наличии прав администратора. Также для предотвращения проблем необходимо добавить адрес интернет-сайта в список доверенных. Запросите сертификат, загрузив его из сертификационного центра. Чтобы его установить, откройте его и выполните следующие действия:
Если процесс пройдёт корректно, то корневой сертификат появится в хранилище среди доверенных центров.
Как установить контейнер закрытого ключа в реестр
После успешного копирования контейнера личный сертификат нужно установить в хранилище «Личные».
Ошибки при установке
Довольно распространённой проблемой при установке становится зависание компьютера. Обычно это связано с установкой нелицензионного ПО, наличием ошибок или отсутствием критических обновлений. Также проблемы могут возникнуть в следующих случаях:
- попытка установить недействительный сертификат;
- указание неверного пути к файлу;
- истечение срока действия сертификата.
Для корректной работы рекомендуем использовать только лицензионное ПО. Приобрести его и получить комплексную техническую поддержку можно в компании «Астрал-М». Мы входим в число официальных дилеров компании «КриптоПро», что подтверждает информация на сайте разработчика. Обращаясь в «Астрал-М», вы получаете:
- поддержку в режиме 24/7;
- оперативное оформление ЭЦП;
- любую форму оплаты;
- консультации по выбору подписи и типа лицензии;
- возможность оформления ЭЦП в офисе клиента и в ускоренном формате.
Для приобретения электронной подписи или криптопровайдера заполните форму обратной связи, чтобы наш специалист связался с вами.
Ошибка: «Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)» часто возникает в различных приложениях при создании/проверке подписи. Она означает, что у Вас на машине не установлены необходимые промежуточные/корневые сертификаты для проверкисоздания подписи.
Мы проанализировали наиболее частые обращения к нам и пострались собрать сертификаты самых популярных издателей в один файл, на примере которого ниже показано, как решать ошибку из данной статьи:
Если у Вас на компьютере установлен КриптоПро CSP 5.0
Для ОС Windows: Зайдите Пуск-Все программы-КРИПТО-ПРО- Инструменты КриптоПро
Для MAC OS: Зайдите Finder-Программы-Инструменты
Перейдите на вкладку Сертификаты и выберите вверху раздел «Доверенные корневые центры сертификации»
Выберите кнопку «Установить сертификаты», выберите скачанный ранее файл и нажмите «Открыть»
Если у Вас на компьютере установлен КриптоПро CSP версии ниже 5.0 или Вы не используете графический интерфейс:
Для Windows: выполните в командной строке:
Для Linux/macOS: выполните в командной строке:
В редких случаях для построения цепочки данных сертфикатов будет недостаточно, тогда рекомендуем установить промежуточные сертификаты.
Если Вы используете CSP 5.0 с графическим интерфейсом, то выполните Шаг 2, выбрав хранилище «Промежуточные центры сертификации», используя файл CA.p7s
Если Вы используете КриптоПро CSP версии ниже 5.0 или Вы не используете графический интерфейс, то используйте данные команды:
Для Linux выполните в командной строке:
Для MACOS выполните в командной строке:
Списки сертфикатов, содержащихся в файлах root.p7b, ca.p7b:
Форум КриптоПро
Устаревшие продукты
КриптоПро CSP 3.0
Кто нибудь решил проблему окончательно????