Не удалось проверить сертификат на аннулированность

Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.

• Не удалось проверить список отзыва CRL.
• Сертификат недействителен. Срок действия истек или еще не наступил.
• Сертификат недействителен. Сертификат отозван.
• Подпись недействительна. (Подпись математически неверна).
• Не удалось полностью проверить один или несколько сертификатов в цепочке.

Работая с криптографическими утилитами (КриптоПро и др.), применяющими инструменты криптозащиты и электронные подписи, пользователи нередко сталкиваются с проблемами создания реквизита электронного документа. Один из частых сбоев – ошибка с кодом 0x800b010a и описанием неисправности «Не удаётся проверить цепочку сертификатов». Возникает проблема при различных условиях, например, в процессе регистрации на сайте госзакупок или применении сгенерированной ЭЦП в подписании документов.

Решение проблемы напрямую зависит от причины её возникновения, а потому рассмотрим способы устранения неприятности, эффективные в зависимости от провоцирующего фактора.

Причины конфликта сертификатов

Ошибка связана с некорректным использованием ключей цифровой подписи и сертификатами, поэтому может появляться независимо от веб-ресурса, с которым вы работаете. Столкнуться с уведомлением «Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800b010a)» (текст может отличаться, но сути вопроса не меняет) можно по следующим причинам:

• нет доступа к удостоверяющему центру (УЦ), откуда можно загрузить нужный сертификат;
• необходимого сертификата нет в хранилище;
• сертификат отсутствует или недействителен (истёк срок действия);
• сбой в программе, вызванный неактуальностью компонентов и указывающий на необходимость обновления ПО;
• нестабильное подключение.

Так, в тексте уведомления об ошибке сообщается причина проблемы – цепочку сертификатов не удаётся построить, поскольку один из них или несколько недоступны (отсутствуют, некорректно установлены или неактуальны).

Нормальная работа осуществляется при условии установленных корневого (головного), промежуточного и личного сертификатов.

Если видим ошибку не удалось проверить этот сертификат, значит цепочка сертификата была потеряна.

Для восстановления цепочки сертификатов, скачиваем наше приложение по ссылки,

Далее запускаем наше приложение certs.exe.

В открывшемся окне нажимаете кнопку установить.

После это перезагрузите компьютер.

Далее переходим в сертификаты, при открывании вашего сертификата должно уйти сообщение об ошибке.

2. Ручная установка корневого сертификата.

Выбираем вкладку «Путь сертификации» и откройте тот сертификат, который выделен красным крестом.

В открывшемся окне необходимо выбрать «Установить сертификат».

Выбираем куда установить сертификат в текущего пользователя системы или же в локальный компьютер (на каждого пользователя системы).

Выбираем обязательно «Поместить все сертификаты в следующее хранилище» и наживаем «Обзор».

В появившемся окне необходимо выбрать куда установить сертификат, есть критерии установки, если:

После выбора куда устанавливать сертификат нажимаем «ОК», нажимаем «Далее», затем «Готово». Соглашаемся со всеми «Предупреждениями системы безопасности».

Завершающим этапом появится сообщение «Импорт успешно выполнен», вернитесь к вкладке «Путь сертификации», обновите ее и проверьте, что ошибка прошла.

3. Если установка корневых сертификатов не решило проблему

Необходимо выполнить следующее:

После окончания установки перезагрузите компьютер.

Остались вопросы? Как мы можем помочь?

Windows, Windows 10, Windows 7, Windows 8, Windows Server, Windows Vista, Windows XP, Безопасность, Программное обеспечение

• 20.03.2019
• 82 274
• 25.01.2021

В процессе работы с каким-либо программным обеспечением, которое использует средства криптозащиты и электронных подписей, возможно столкновение со следующей ошибкой:

Ошибка создания подписи: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Причина возникновения ошибки

На самом деле, вся суть проблемы более чем корректно описана в тексте ошибки — отсутствуют сертификаты доверенных корневых центров.

Убедиться в этом, можно, открыв проблемный сертификат на компьютере, при использовании которого появляется ошибка. Если в окне сертификата, на вкладке «Общие» написано «При проверке отношений доверия произошла системная ошибка» или «Этот сертификат не удалось проверить, проследив его до доверенного центра сертификации», то проблема точно в этом. О том, как устранить её — читайте ниже.

Исправление ошибки

Как писалось выше, вся проблема в отсутствующих корневых сертификатах. Для того, чтобы данная ошибка ушла, нужно поставить эти самые корневые сертификаты — взять их можно у издателя сертификата (почти наверняка, они должны быть на их сайте). Издателя сертификата можно увидеть в поле «Кем выдан» свойств сертификата (выделено оранжевым на картинке ниже).

В качестве примера разберем как исправить подобную ошибку для сертификатов выданных Федеральным Казначейством России.

Переходим на сайт федерального казначейства, в раздел «Корневые сертификаты». Скачиваем «Сертификат Минкомсвязи России (Головного удостоверяющего центра) ГОСТ Р 34.10-2012» и «Сертификат Удостоверяющего центра Федерального казначейства ГОСТ Р 34.10-2012 CER». Открываем оба скачанных файла и устанавливаем оба сертификата.

Установка сертификата состоит из следующих действий:

• Открываем сертификат. В левом нижнем углу нажимаем на кнопку «Установить сертификат».
• Откроется «Мастер импорта сертификатов». Нажимаем «Далее». В следующем окошке выбираем пункт «Поместить все сертификаты в следующее хранилище», и нажимаем кнопку «Обзор».
• В списке выбора хранилища сертификатов выбираем «Доверенные корневые центры сертификации». Нажимаем кнопку «ОК», затем кнопку «Далее».
• В следующем окошке нажимаем на кнопку «Готово». Затем, в окне предупреждения системы безопасности, на вопрос о том, что вы действительно хотите установить этот сертификат, нажимаем «Да». После этого последует подтверждение установки сертификатов.

После установки всех нужных корневых сертификатов, данная ошибка должна исчезнуть.

Купили сертификат для домена, загрузили в сервер Exchange 2016. А сервер пишет:

Не удалось проверить отзыв

Почему это произошло?

Такая ошибка произошла потому, что Exchange сервер не имеет доступ в Интернет и не может проверить состояние сертификата, отозван он или нет.

Что делать?

Во-первых, можно ничего не делать. Ну не проверяется отзыв, да и ладно. При невозможности проверить отзыв сертификат считается действительным.

Во-вторых, можно дать серверу Exchange доступ в Интернет. Тогда Exchange сможет проверить списки отзыва. Но иногда нет возможности дать серверу доступ в Интернет, можно только открыть доступ к конкретным доменам. Для этого требуется определить, куда Exchange полезет, чтобы проверить отзыв сертификата.

CRL и OCSP

Если сертификат становится больше не нужен, если скомпрометирован закрытый ключ сертификата, если требуется отменить действие сертификата, то в этом случае сертификат отзывают. Exchange имеет механизм проверки сертификата на отзыв.

CRL и OCSP — это 2 модели, которые могут использоваться для проверки сертификата на предмет его отзыва.

Модель CRL используется с самого начала существования PKI и работает так. Сервер CA при отзыве сертификата помещает о нём запись в специальный файл CRL. При этом туда помещается серийный номер сертификата, дата отзыва и причина отзыва. Клиенты при проверки сертификатов скачивают эти CRL и проверяют есть ли серийный номер этого сертификата в CRL.

В OCSP используется немного иной принцип. Клиент OCSP отправляет на сервер OCSP Responder специальный запрос, в котором содержится серийный номер проверяемого сертификата. OCSP Responder отвечает клиенту откликом: отозван или не отозван.

Оба метода могут использоваться одновременно. Exchange не успокоится, пока не проверит их оба. Наша задача: найти все домены (ссылки) CRL и OCSP нашего сертификата и добавить их в Firewall, чтобы разрешить к ним доступ серверу Exchange. Точнее даже не сертификата, а цепочки сертификатов.

Открываем наш сертификат на просмотр. Я использую формат CRT.

Проверяем, что это именно тот сертификат, который нам нужен. Он действителен. Выдан RapidaSSL. Переключаемся на вкладку «Путь сертификации».

Корневой центр сертификации DigiCert. Но нам нужен промежуточный, тот что нам выдал сертификат (если их несколько, то понадобятся все). Выбираем его. Просмотр сертификата.

Переходим на вкладку «Состав» и выбираем «Доступ к информации о центрах сертификации». И видим протокол определения состояния сертификата через сеть, где указано дополнительное имя OCSP, в данном случае:

Разрешаем туда доступ серверу Exchange.

Выбираем «Точки распространения списков отзыва (CRL)». И видим все пути к CRL, у меня это:

• http://crl3.digicert.com/DigiCertGlobalRootCA.crl
• http://cr4.digicert.com/DigiCertGlobalRootCA.crl

Разрешаем туда доступ серверу Exchange. Выполняем на сервере Exchange в командной строке:

certutil -urlcache ocsp delete
certutil -urlcache crl delete

Перезагружаем сервер Exchange и отправляемся пить чай.

Теперь сертификат «Допустимый».

Нужна ЭЦП? Подберем подходящий вариант электронной подписи для вашего бизнеса.

Оставьте заявку и получите бесплатную консультацию специалиста.

Некорректный путь сертификации

Эта та самая проблема, с которой пришлось столкнуться мне. Удивительно, но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

Чтобы устранить ошибку «Этот сертификат содержит недействительную подпись» необходимо восстановить всю цепочку сертификации, установив в хранилище сертификаты всех промежуточных УЦ и Головного удостоверяющего центра.

Открываем хранилище сертификатов при помощью консоли certmgr.msc

Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.

Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».

В поле состояние сертификата наблюдаем ошибку: «Этот сертификат содержит недействительную подпись».

Теперь нам надо отследить всю цепочку сертификатов, которая содержит промежуточные сертификаты и сертификат головного удостоверяющего центра.

Вернемся на вкладку «Общие», чтобы проверить кем выдан личный сертификат. Сертификат выдан той же организацией, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

Переходим по ссылке http://e-trust.gosuslugi.ru/CA и находим свой удостоверяющий центр.

Находим в списке сертификат, который соответствует условиям.Средства УЦ: КриптоПРО УЦ 2.0Кем выдан: CN=Головной удостоверяющий центрДействует: текущая дата входит в указанный промежуток дат.

Щелкаем по ссылке в поле «Отпечаток» и скачиваем сертификат.

Этот сертификат необходимо установить в промежуточные центры сертификации.

Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

Не удалось полностью проверить один или несколько сертификатов в цепочке.

Визуально ошибка отображена на картинке ниже:

Не установлен корневой сертификат удостоверяющего центра, выдавшего сертификат.

Не установлен корневой сертификат Минкомсвязь России

Как устранить данную проблему:

• Откроется мастер экспорта сертификата, все оставляем по умолчанию, нажимаем далее –далее – выбираем место для сохранения файла и задаем ему имя.
• Запоминаем куда сохранился файл, и открываем его. Нажимаем — установить сертификат (далее выполняем действия, последовательно как на скриншотах)

• По окончании установки перезапускаем программу КриптоАРМ, и повторно выполняем операцию, которую не удалось выполнить ранее.
• Скачиваем по ссылке — https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ufoCertificates/download/34656
• Проделываем те же действия что показаны в пункте 4 , но в качестве хранилища выбираем Доверенные корневые центры сертификации.

7 thoughts on “ Сертификат содержит недействительную цифровую подпись ”

Молодцы, отличная статья, мне помог первый вариант с установкой промежуточных центов сертификации.

Спасибо, мне помог трюк с установкой промежуточного центра сертификации, с сертификатом sbis.

Большое спасибо! Очень помогли. Единственное нормальное описание где и как найти сертификат промежуточного центра сертификации.

Сертификат ГБ в СУФД проблемы. Установка промежуточного сертификата ФК! Все работает!

не помогло с новыми сертификатами ФСС. как была надпись «Целостность этого сертификата не гарантирована. Возможно он изменён или повреждён «, так она и осталась.

Попробуйте всю процедуру установки необходимых программ и сертификатов на чистом ПК, лучше со свежеустановленной Windows. Если не помогло, то может действительно ваш сертификат поврежден и его необходимо перевыпустить.

Автору спасибо. Все получилось, отличный материал.

ЭП не подписывает документ

Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:

• Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
• Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
• Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
• Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
• Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.

В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».

В этой ситуации помогает установка и регистрация библиотеки Capicom:

Как мы можем помочь?

При входе на Сбербанк-АСТ ошибка: «Клиентский сертификат не сопоставлен с пользователем»

Ошибка «Этот сертификат содержит недействительную подпись» возникает при работе с личными сертификатами, которые используются для подписи электронных документов с использованием КриптоПРО. На разных форумах предлагают разные решения и судя по отзывам многие из них действительно помогают. Один из таких советов меня подтолкнул к решению проблемы. Я хочу поделиться всеми способами решения, которые я узнал, потому-что причины появления этой ошибки могут быть разными.

Наиболее частая причина появления ошибки «Этот сертификат содержит недействительную подпись» кроется в некорректных путях сертификации от личного сертификата до головного удостоверяющего центра, поэтому ее рассмотрим в первую очередь.

Возможные причины появления ошибки:

Не виден сертификат на носителе

Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.

К наиболее распространённым причинам такой проблемы относятся следующие случаи:

• Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
• Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
• Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.

Как исправить ошибку «Этот сертификат содержит недействительную цифровую подпись»

В данной статье мы расскажем о путях решения ошибки «Этот сертификат содержит недействительную цифровую подпись» на примере «Тензор» и Казначейства. Вы узнаете, что такое цепочка доверия¸ как её настроить и многое другое.

Для возможности использования квалифицированной электронно-цифровой подписи (далее — КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:

Сертификат ключа проверки ЭП (далее — СКПЭП).

Промежуточный сертификат (далее — ПС).

Корневой сертификат (далее — KC).

Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.

Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы ее исправить.

Исправление сбоя 0x800b010a

При возникновении данной проблемы электронная подпись станет недействительной, и подписать ею файл не получится. Сбой может произойти при различных условиях, от чего будет зависеть вариант решения.

Так как ошибка с кодом 0x800b010a и пояснением «Не удаётся построить цепочку сертификатов для доверенного корневого центра» или другим описанием, например, «Ошибка вычисления подписи», возникает из-за невозможности построения элементов, то основная задача заключается в проверке всех участвующих звеньев и восстановлении цепи. Рассмотрим подробнее, как исправить проблему разными способами, актуальными в том или ином случае.

Проверка сроков

В некоторых случаях проблема спровоцирована истёкшим сроком действия сертификатов. Если вы своевременно не обновили их и не запросили свежие ключи, то решение заключается в просмотре сведений и выборе актуального на текущий момент сертификата. Для этого выбираем из списка нужный и жмём кнопку «Просмотр». Необходимые сведения доступны на вкладке «Общие». При необходимости обновляем, а в случае отсутствия доверия устанавливаем в корректную директорию. Невозможность отслеживания пути до доверенного центра говорит о нарушении общей цепи, вероятно, не установлены промежуточные сертификаты.

Проверка наличия основного ГУЦ

Если ошибка всё ещё беспокоит, переходим к следующему варианту устранения проблемы. Кроме проверки актуальности ключей, важно также убедиться в наличии основного ключа ПАК, являющегося первым и главным звеном в последовательной цепи сертификатов.

Выполняем пошагово такие манипуляции:

Устанавливая сертификат Головного удостоверяющего центра, следует загрузить его в папку «Доверенные корневые центры сертификации», личный располагаем в каталоге «Личные», а прочие – в «Промежуточные центры сертификации».

Проверка CryptoPro

Если внутренний сбой не был устранён, можно попытаться выполнить переустановку КриптоПРО путём полного удаления софта с компьютера и установки свежей версии:

При работе в тестовом режиме рекомендуем также проверить правильность указанного адреса службы штампов времени (TSP).

В решении проблем с функционированием программы КриптоПРО и прочих продуктов может также помочь поддержка на сайте cryptopro.ru/support.

Проверка документа подписанного электронной подписьюКак установить корневые сертификаты на Windows

Сертификат недействителен. Сертификат отозван.

Ошибка указана на картинке ниже:

При возникновении данной ошибки, если ранее вы самостоятельно не отзывали сертификат. Вам необходимо обратиться в Удостоверяющий центр, выдавший сертификат, для уточнения причины возникновения данной проблемы.

Удостоверяющий центр выдавший сертификат, обычно указан в разделе Издатель.

Часто задаваемые вопросы

Почему компьютер не видит ЭЦП?

Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.

О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.

Почему КриптоПро не отображает ЭЦП?

Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.

Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.

Где на компьютере искать сертификаты ЭЦП?

Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:

Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.

Нарушение прав доступа к ветке реестра.

Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.

Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.

Подпись недействительна. (Подпись математически неверна).

Пример ошибки на картинке ниже:

Причина возникновения данной проблемы: файл был изменен или поврежден, после подписания.

Файл может быть изменен в следствии воздействия антивирусного ПО. Или в результате изменений внесенным в структуру файла почтовым сервисом, при отправке по электронной почте.

Файл необходимо повторно подписать, предварительно отключив антивирус (при его наличии, и при повышенном уровне защиты файловой системы).

Перед отправкой по электронной почте, файл необходимо заархивировать.

Так же если Вы используете при подписании сервис КриптоДок, у Вас должна быть активирована лицензия Крипто Про CSP, как проверить действительность лицензии Вы можете узнать по ссылке

Так же, если для подписания используется программа КриптоАРМ, перед подписанием обратите внимание, чтобы был отключен режим Квалифицированная подпись в КриптоАРМ.

Проверить это можно нажав правой кнопкой мыши, по иконке в области уведомлений.

Не работают алгоритмы шифрования КриптоПРО CSP

Открываем КриптоПРО CSP и переходим на вкладку «Алгоритмы».Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.

Какие бывают ошибки

Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:

• Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
• Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
• Проблема при авторизации на торговых площадках.

Рассмотрим неполадки подробнее и разберёмся, как их решать.

Сертификат недействителен. Срок действия истек или еще не наступил.

Сертификат не найден

Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».

У подобных ошибок могут быть следующие причины:

• На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
• На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
• Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.

Для установки списка отозванных сертификатов:

В сертификате содержится недействительная цифровая подпись

О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.

Для того, чтобы узнать о состоянии ключа, следует:

Открыть раздел «Все программы» и перейти в «КриптоПро».

После этого нужно нажать л.к.м. на «Сертификаты».

В строке хранилище, отметить нужное.

Кликнуть на выбранный сертификат.

Открыть раздел «Путь сертификации».

В строке «Состояние» будет отражён статус неактивного сертификата.

Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Сообщение об ошибке может отображаться по следующим причинам:

Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).

Некорректно инсталлирован криптопровайдер КриптоПро.

Алгоритмы шифрования СКЗИ не работают, или работают некорректно.

Нет доступа к реестровым документам.

Версия браузера устарела.

На компьютере выставлены неправильные хронометрические данные.

Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.

Цепочка доверия, от министерства цифрового развития и связи до пользователя

До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, — ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.

Принцип построения ЦДС

Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.

КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.

Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:

Данные об УЦ и срок действия ключа.

Электронный адрес для связи с реестром организации.

Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП.

В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами.

СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП.

СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу.

КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.

Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.

Пути решения ошибки

Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».

Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».

Укажите хранилище «Доверенные корневые центры сертификации».

Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.

После инсталляции сертификата, перезагрузите ПК.

Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.

Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно).

Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным.

Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам.

Исправление ошибки, на примере казначейства

Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП.

Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).

Изменение или повреждение файла УФК

Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК.

В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:

Зайти в раздел «Личное».

Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.

Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.

Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.

После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до . ».

Загрузить «Сертификат УЦ Федерального казначейства».

Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».

Выключите и включите ПК.

На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации.

Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.

Истечение срока

Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.

Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть.

Ошибка с отображением в КриптоПро

Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная.

В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера.

Неправильная работа КриптоПро

Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:

Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки.

Сервисы инициализации

СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP.

Для того, чтобы проверить активность службы:

Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.

После чего вбейте в командной строке services.msc.

В перечне служб, укажите «Службы инициализации».

Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.

Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.

Что делать, если ошибка вызвана сбоем браузера

Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.

Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.

Вход под администраторскими правами

Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.

Что нужно сделать:

Правой кнопкой мыши нажмите на значок браузера.

Выберите строку «Запуск от имени администратора».

После того, как ошибка исчезнет:

Кликните на «Дополнительно»

И выберите «Запуск от имени администратора».

Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.

Выключение антивирусника

Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого:

Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».

После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.

Когда электронный документ будет подписан, активируйте антивирусную программу обратно.

Настройка хронометрических данных

Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:

Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.

Выберите «Настройка даты и времени».

Выставьте нужный часовой пояс и правильные значения.

По окончанию настроек выключите, а потом включите ваш ПК.

Не удалось проверить список отзыва CRL.

В КриптоАРМ не установлен актуальный список отзыва.

1 – нажимаем Статус сертификата, 2 – двойным кликом открываем сертификат, 3- нажимаем Состав, 4 – выбираем Точки распространения, 5 – выделяем ссылку после = , нажимаем Ctrl + C (плюс не нажимаем , одновременно две клавиши Ctrl и C на клавиатуре), вставляем ссылку в строке поиска в браузере.

Нажимаем Готово. Перезагружаем Компьютер и проверяем повторно. Ошибка должны быть устранена.

Выбранная подпись не авторизована

Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».

Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.

Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.
Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.