Не удалось проверить сертификат, отследив его до доверенного центра (страница 1)

Нужна ЭЦП? Подберем подходящий вариант электронной подписи для вашего бизнеса.

Оставьте заявку и получите бесплатную консультацию специалиста.

Некорректный путь сертификации

Эта та самая проблема, с которой пришлось столкнуться мне. Удивительно, но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

Чтобы устранить ошибку «Этот сертификат содержит недействительную подпись» необходимо восстановить всю цепочку сертификации, установив в хранилище сертификаты всех промежуточных УЦ и Головного удостоверяющего центра.

Открываем хранилище сертификатов при помощью консоли certmgr.msc

Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.

Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».

В поле состояние сертификата наблюдаем ошибку: «Этот сертификат содержит недействительную подпись».

Теперь нам надо отследить всю цепочку сертификатов, которая содержит промежуточные сертификаты и сертификат головного удостоверяющего центра.

Вернемся на вкладку «Общие», чтобы проверить кем выдан личный сертификат. Сертификат выдан той же организацией, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

Находим в списке сертификат, который соответствует условиям.Средства УЦ: КриптоПРО УЦ 2.0Кем выдан: CN=Головной удостоверяющий центрДействует: текущая дата входит в указанный промежуток дат.

Щелкаем по ссылке в поле «Отпечаток» и скачиваем сертификат.

Этот сертификат необходимо установить в промежуточные центры сертификации.

Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

Этот сертификат содержит.

Появление данной надписи обозначает ошибку, делающую невозможным использование сертификата для удостоверения информации. По сути, это является проблемой, требующей оперативного исправления. Понятно, что для этого нужно разобраться, что именно послужило причиной сбоя. Например, ей могут стать неправильные действия криптопровайдера.

Сама надпись появляется при попытке завизировать документацию с помощью квалифицированной электронной подписи. Она дает понять, что сама подпись на данный момент является недействительной. И нужно четко свои действия на этот случай. Их алгоритм и приводится в статье на примере конкретного удостоверяющего центра. Следуя этому алгоритму, вы обнаружите причину сбоя. А дальнейшая информация, помещенная в данном материале, поможет найти и способы решения обнаруженной проблемы. Если есть несколько вариантов решения, то они приводятся полностью. Если вам не подойдет один из них, вы сможете воспользоваться альтернативным способом. Читайте эту статью полностью и узнавайте, как решить данную проблему.

Чтобы воспользоваться квалифицированной электронно-цифровой подписью (далее — КЭЦП, КЭП, ЭЦП), криптопровайдер должен признать сертификат пользователя доверенным, то есть надежным. Это возможно, если правильно выстроена цепочка доверия сертификации, которая состоит из трех звеньев:

сертификат ключа проверки электронной подписи (далее — СЭП, СКПЭП, СКЭП);
промежуточный сертификат (ПС) удостоверяющего центра;
корневой сертификат (КС) от головного центра, то есть от Минкомсвязи.

Искажение хотя бы одного файла приводит к недействительности сертификата, и он не может быть использован для визирования документации. Среди других причин сбоя выделяют неправильную работу криптопровайдера (средства криптозащиты или СКЗИ), несовместимость с браузером и др.

Почему возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать для решения этой проблемы, рассмотрим детально.

7 thoughts on “ Сертификат содержит недействительную цифровую подпись ”

Молодцы, отличная статья, мне помог первый вариант с установкой промежуточных центов сертификации.

Спасибо, мне помог трюк с установкой промежуточного центра сертификации, с сертификатом sbis.

Большое спасибо! Очень помогли. Единственное нормальное описание где и как найти сертификат промежуточного центра сертификации.

Сертификат ГБ в СУФД проблемы. Установка промежуточного сертификата ФК! Все работает!

не помогло с новыми сертификатами ФСС. как была надпись «Целостность этого сертификата не гарантирована. Возможно он изменён или повреждён «, так она и осталась.

Попробуйте всю процедуру установки необходимых программ и сертификатов на чистом ПК, лучше со свежеустановленной Windows. Если не помогло, то может действительно ваш сертификат поврежден и его необходимо перевыпустить.

Автору спасибо. Все получилось, отличный материал.

Как исправить ошибку «Этот сертификат содержит недействительную цифровую подпись»

В данной статье мы расскажем о путях решения ошибки «Этот сертификат содержит недействительную цифровую подпись» на примере «Тензор» и Казначейства. Вы узнаете, что такое цепочка доверия¸ как её настроить и многое другое.

Для возможности использования квалифицированной электронно-цифровой подписи (далее — КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:

Сертификат ключа проверки ЭП (далее — СКПЭП).

Промежуточный сертификат (далее — ПС).

Корневой сертификат (далее — KC).

Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.

Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы ее исправить.

Что означает ГИС МТ, ЦРПТ, СКЗИ, КЭП и проч

Наконец, и к ПК, предназначенного для использования «Честного Знака», также предъявляются определенные требования, которые надо проверять до начала работы. В противном случае никакой работы не будет. Вот эти требования:

ОС не ниже Windows 7, Mac OS X Mountain Lion – не ниже 10.8;
«свежий» браузер (Mozilla Firefox 60, Google Chrome 70, Safari 12, Explorer 11).
установленная СКЗИ. Установка не требуется, если используется внешний носитель УКЭП и криптопровайдер в него встроен.

При криптопровайдере, встроенном в носитель (токен, внешне схожий с привычной флешкой), обеспечивается двухфакторная идентификация и СКЗИ на ПК ставить не надо. В противном случае требуется установка специализированного ПО. Рассмотрим этот вопрос подробнее.

Нарушение прав доступа к ветке реестра.

Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.

Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.

Если пользователь настроил путь доверия и устранил неполадки криптопровайдера, но проблема не решилась, есть вероятность, что она кроется в браузере. В первую очередь это касается подписания документов непосредственно на сайтах государственных систем и контролирующих органов (ЕГАИС, ПФР, ФНС и др.).

Разработчик CryptoPro рекомендует использовать для работы с КЭП только Internet Explorer, так как он встроен в Windows. Но и с этим веб-обозревателем случаются сбои.

Вход под ролью администратора

Обычно после входа под правами администратора все становится на свои места, и ключи работают в привычном режиме. Что предпринять:

Кликнуть ПКМ по иконке браузера.
Выбрать пункт «Запуск от имени администратора».

Если ошибка устранена, рекомендуется:

Снова выбрать ярлык браузера.
Нажать кнопку «Дополнительно».
Выбрать «Запуск от имени администратора».

Теперь при каждом запуске права администратора будут автоматически вступать в силу, и пользователю не придется каждый раз менять настройки.

Если используется старая версия веб-обозревателя, рекомендуется обновить ее до последнего релиза.

Отключение антивирусной программы

Некоторые «антивирусники», например, Symantec или AVG, воспринимают КриптоПро как вирусную угрозу, поэтому отдельные процессы криптопровайдера могут быть заблокированы. В результате этого всплывают различные ошибки с СКПЭП. Если нужно срочно заверить электронный документ, рекомендуется на время деактивировать антивирус:

Кликнуть ПКМ на иконку «антивирусника».
Нажать «Сетевые экраны» или «Управление экранами».
Выбрать время, на которое планируется отключить утилиту.

После заверки документов снова запустите программу.

Настройка даты и времени

Также следует проверить актуальность даты ПК. Для этого необходимо:

Навести мышкой на часы внизу экрана.
Выбрать «Настройка даты и времени».
Указать свой часовой пояс, выставить правильные значения и сохранить обновление.

После всех действий рекомендуется перезагрузить компьютер.

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования

Прежде чем разбираться в причинах ошибки, следует понять алгоритм построения цепочки доверия сертификатов (ЦДС) — она обязательна для корректной работы ЭЦП на любых информационных ресурсах.

Читать также: Настройка криптопровайдера КриптоПРО для работы с 1С-ЭДО

Как строится путь доверия

Первое звено в иерархической цепочке — корневой сертификат ключа проверки ЭЦП ПАК «Минкомсвязь России». Именно этот госорган, согласно ст. 16 ФЗ № 63 «Об электронной подписи», осуществляет аккредитацию удостоверяющих центров, то есть дает им официальное право заниматься выпуском ЭЦП. Полный перечень таких организаций можно уточнить на официальном портале Минкомсвязи.

Следующее звено — КС удостоверяющего центра (промежуточный). Файл выдается в комплекте с ключами и содержит в себе:

сведения об УЦ с указанием даты его действия;
сервисный интернет-адрес (через который можно связаться с реестром компании).

Эти данные предоставляются в зашифрованном виде и используются криптопровайдером (на ПК пользователя) для проверки подлинности открытого ключа КЭЦП. Теоретически цифровую подпись можно украсть, но применить ее без установленного сертификата УЦ не получится. То есть вся ЦДС построена таким образом, чтобы предотвратить риски использования чужой подписи мошенниками.

СКПЭП — конечное звено в этой цепи. Его выдает удостоверяющий центр вместе с открытым и закрытым ключами. Сертификат предоставляется на бумажном или цифровом носителе и содержит основную информацию о держателе. Он связывает последовательность символов открытого ключа с конкретным лицом. Другими словами, СКПЭП подтверждает тот факт, что открытый ключ ЭП принадлежит определенному человеку.

Если возникает ошибка «Этот сертификат содержит недействительную цифровую подпись» , причина может быть в повреждении ЦДС от Минкомсвязи России до пользователя. То есть один из элементов в этой цепи искажен или изменен.

Как решить проблему

Открыть загруженный файл на ПК.
Во вкладке «Общие» кликнуть «Установить».
Поставить флажок напротив строчки «Поместить в следующее хранилище».

Выбрать хранилище «Доверенные корневые центры сертификации».

После установки появится сообщение, что импорт успешно завершен. Далее рекомендуется перезагрузить компьютер.

Файл выдается удостоверяющим центром вместе с другими средствами для формирования ЭЦП. Если он утерян или удален, следует обратиться в УЦ, в котором был получен СКПЭП.

Если КС Минкомсвязи на месте, но в статусе по-прежнему сказано, что он недействителен, удалите его (выбрать файл и нажать «Удалить») и установите заново.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

Не все ветки могут быть в наличии. Удалите те, что есть, предварительно сохранив их резервные копии в отдельный файл. Перезагрузите ПК и проверьте статус СКЭП — он должен стать действительным.

Этот сертификат не удалось проследить до доверенного корневого центра сертификации.

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.

Установите корневые сертификаты. Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Ошибки при установки ЭЦП на компьютер, ошибки проверки сертификатов, способы их устранения.

Заказать электронно-цифровую подпись (ЭЦП) можно по ссылке

Бывают случаи, когда проверить установленный сертификат не удается, в этом случае выходит окно с ошибкой «Этот сертификат не удалось проверить, проследив его до достоверного центра сертификации».

Для устранения ошибки сертификата ЭЦП необходимо:

Удостоверяющего Центра выдавшего данный ключ ЭЦП, для этого вы можете перейти на сайт www.aetp.ru

Для установки данного сертификата, необходимо зайти в его свойства (нажимаем правой клавишей на сертификате и жмем свойства) и нажимаем «Установить сертификат»

Должен запуститься мастер импорта сертификатов, нажимаем «Далее».

Отмечаем пункт «Поместить все сертификаты в следующее хранилище» и жмем «Обзор»:

Далее выбираем доверенные корневые центры. жмем «ОК», «Далее» и «Готово», последовательно, для завершения установки.

Нажимаем «ОК», «Далее» и «Готово», последовательно, для завершения установки.

Далее повторно проверяем свойства сертификата, должно быть окно, примерно следующего вида.

Если обнаружение сертификата прошло успешно, приступаем к установки Вашего сертификата. Для этого необходимо в «свойствах» сертификата, нажать «установить сертификат»

Ставим галочку на «Поместить все сертификаты в следующее хранилище» и жмем «Обзор»:

В следующем окне нужно поставить галочку на «Показать физические хранилища», после чего нажимаем «Личные» и далее «Реестр»

Далее последовательно «ОК», «Далее» и «Готово». Ваш сертификат установлен.

Для дальнейшей работы необходимо установить программы для работы с ЭЦП, а так же настроить браузер Internet Explorer.

Так же Вы можете ознакомиться:

Сгенерировано за 0.0013 с.

Как установить СКЗИ?

При использовании в системе «Честного Знака» УКЭП на внешнем устройстве, необходимо для входа в систему указать тип сертификата на носителе (см. табл.).

Поскольку работа в ЛК в «Честном Знаке» осуществляется через браузер, при этом требуется инсталляция соответствующего плагина, которые помогает авторизовываться, шифровать информацию при передаче по цепочке «браузер» — «Честный Знак» и наоборот, а также лимитирует доступ к ЛК. Плагин нужен и для того, чтобы создать и проверить УКЭП. Принимая во внимание тип сертификата и товарную группу, в системе «Честный Знак» легко определить плагин, подлежащий инсталляции.

После загрузки для инсталляции файла достаточно открыть его, и дать разрешение на внесение изменений (кнопка «Да»), а после установки – перезагрузить ПК.

В поле состояние сертификата наблюдаем ошибку: «Этот сертификат содержит недействительную подпись».

Щелкаем по ссылке в поле «Отпечаток» и скачиваем сертификат.

В сертификате содержится недействительная цифровая подпись

О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.

Для того, чтобы узнать о состоянии ключа, следует:

Открыть раздел «Все программы» и перейти в «КриптоПро».

После этого нужно нажать л.к.м. на «Сертификаты».

В строке хранилище, отметить нужное.

Кликнуть на выбранный сертификат.

Открыть раздел «Путь сертификации».

В строке «Состояние» будет отражён статус неактивного сертификата.

Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Сообщение об ошибке может отображаться по следующим причинам:

Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).

Некорректно инсталлирован криптопровайдер КриптоПро.

Алгоритмы шифрования СКЗИ не работают, или работают некорректно.

Нет доступа к реестровым документам.

Версия браузера устарела.

На компьютере выставлены неправильные хронометрические данные.

Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.

Цепочка доверия, от министерства цифрового развития и связи до пользователя

До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, — ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.

Принцип построения ЦДС

Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.

Читать также: Сертификат на прыжок с парашютом шаблон распечатать

КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.

Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:

Данные об УЦ и срок действия ключа.

Электронный адрес для связи с реестром организации.

Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП.

В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами.

СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП.

СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу.

КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.

Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.

Пути решения ошибки

Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».

Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».

Укажите хранилище «Доверенные корневые центры сертификации».

Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.

После инсталляции сертификата, перезагрузите ПК.

Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.

Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно).

Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.

Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным.

Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам.

Исправление ошибки, на примере казначейства

Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП.

Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).

Изменение или повреждение файла УФК

Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК.

В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:

Зайти в раздел «Личное».

Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.

Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.

Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.

После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до . ».

Загрузить «Сертификат УЦ Федерального казначейства».

Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».

Выключите и включите ПК.

На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации.

Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.

Истечение срока

Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.

Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть.

Ошибка с отображением в КриптоПро

Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная.

В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера.

Неправильная работа КриптоПро

Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:

Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки.

Сервисы инициализации

СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP.

Для того, чтобы проверить активность службы:

Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.

После чего вбейте в командной строке services.msc.

В перечне служб, укажите «Службы инициализации».

Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.

Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.

Что делать, если ошибка вызвана сбоем браузера

Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.

Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.

Вход под администраторскими правами

Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.

Что нужно сделать:

Правой кнопкой мыши нажмите на значок браузера.

Выберите строку «Запуск от имени администратора».

После того, как ошибка исчезнет:

Кликните на «Дополнительно»

И выберите «Запуск от имени администратора».

Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.

Выключение антивирусника

Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого:

Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».

После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.

Когда электронный документ будет подписан, активируйте антивирусную программу обратно.

Настройка хронометрических данных

Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:

Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.

Выберите «Настройка даты и времени».

Выставьте нужный часовой пояс и правильные значения.

Читать также: Сертификат на соответствие требованиям международного стандарта на производство

По окончанию настроек выключите, а потом включите ваш ПК.

Построение цепочки доверия КСКПЭП

Для того чтобы выстроить цепочку доверия КСКПЭП, необходимо:

Если в данном окне не отображаются сертификаты, это значит, что ранее не был произведен импорт сертификатов на пользователя.
Чтобы сертификаты отображались во вкладке «Личные», необходимо после их установки прописать их и на локальный компьютер, и на текущего пользователя.
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Путь сертификации»:
У демонстрационного и рабочего сертификата разные цепочки сертификации, поэтому если будет установлены данные частично от одного и от другого сертификата, ничего работать не будет.

Сертификат Головного Удостоверяющего Центра и удостоверяющего центра, выдавшего КСКПЭП юридическому лицу, будут размещаться в хранилище сертификатов «Доверенные корневые центры сертификации».

Остальные сертификаты цепочки будут размещаться в хранилище сертификатов «Промежуточные центры сертификации». Как их туда добавить самостоятельно с помощью мастера импорта сертификатов, описано в пункте 3, с отличием в том, что при выборе хранилища сертификатов указываются «Промежуточные центры сертификации».

О содержании недействительной цифровой подписи в сертификате пользователь узнает при попытке подписать документы с помощью КЭЦП. В этом случае на экране появляется сообщение: «При проверке отношений доверия произошла системная ошибка» или «Не удается построить цепочку доверия для доверенного корневого центра». Чтобы увидеть состояние ключа, необходимо:

Открыть меню «Пуск».
Кликнуть на кнопку «Сертификаты».
Выбрать хранилище: «Личное», «Доверенные корневые центры» или «Промежуточные доверенные центры».
Нажать на выбранный сертификат.
Перейти во вкладку «Путь сертификации».

В поле «Состояние» отображается статус недействительного сертификата , на примере с УЦ «Тензор» это выглядит так:

При корректно настроенном пути сертификации состояние было бы таким:

В разделе «Общие» отображается причина, например, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Системное оповещение о сбое может возникать по ряду причин:

нарушена цепочка доверия (неверный путь сертификации), поврежден один из сертификатов или все три (шифрованное соединение между браузером клиента и сервером будет недоверенным или вовсе не будет работать);
неправильно установлен криптопровайдер КриптоПро;
неактивны алгоритмы шифрования СКЗИ;
заблокирован доступ к файлам из реестра;
старые версии браузеров;
на ПК установлены неактуальные дата и время и т. д.

Таким образом, ошибка может быть связана непосредственно с сертификатами, криптопровайдером или настройками ПК. Для каждого варианта придется пробовать разные способы решения.

Самая распространенная причина недействительности сертификата заключается в нарушенных путях сертификации. Причем проблема может быть не только в файле Минкомсвязи, о котором было сказано ранее, но также в промежуточных и личных СКЭП. Рассмотрим эту причину на примере Управления Федерального казначейства (УФК), которое, среди прочего, тоже занимается выдачей КЭЦП.

Функции УЦ выполняются в территориальных органах Росказны по всей России. Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики должны заверять отчеты ЭП, полученной в УФК.

Если не удается заверить документ ЭП казначейства , и появляется отметка « Этот сертификат содержит недействительную цифровую подпись », предлагается следующий алгоритм действий:

Перейти в папку «Личное».
Выбрать СКЭП, который не работает, и перейти во вкладку «Путь сертификации». В качестве головного УЦ будет указан Минкомсвязи РФ, а промежуточного (подчиненного) — Федеральное казначейство. Нижним звеном в этой цепи будет личный СКЭП держателя.
Если в поле состояния стоит статус недействительности документа, необходимо отследить всю цепочку и выявить «слабое звено».
Вернуться в раздел «Общие», чтобы убедиться, верно ли указаны сведения о компании, выпустившей СКЭП.
Выйти из папки «Личное» и перейти в хранилище «Промежуточные центры сертификации».

Зайти в раздел «Корневые сертификаты» на веб-ресурсе УФК.
Импортировать файл на ПК. Процесс импорта аналогичен описанной выше процедуре для головного центра, только в качестве хранилища необходимо выбрать «Промежуточные центры сертификации».
Перезагрузить компьютер.

На завершающем этапе необходимо перейти в папку «Личное», выбрать нужный СЭП и проверить путь сертификации. Если проблема с промежуточным звеном решена, в графе состояния будет стоять «Этот сертификат действителен». Это означает, что система проверила ЦДС для этого ключа и не выявила никаких ошибок.

При наступлении нового календарного года пользователь должен установить обновленный промежуточный ключ УЦ на каждый компьютер, где используется КЭП. Операционная система выдаст соответствующее упоминание при запуске. Если не выполнить обновление вовремя, при заверке документов тоже будет возникать уведомление о недействительности ключа. Процедура установки аналогична рассмотренной ранее. Предыдущий ПС удалять необязательно, система все равно будет отмечать его как недействительный.

Для импорта обновленных ключей действующий интернет не нужен, файл автоматически проверяется при первом подключении к сети. Такая проверка производится всего один раз за все время действия ключа.

Не работают алгоритмы шифрования КриптоПРО CSP

Открываем КриптоПРО CSP и переходим на вкладку «Алгоритмы».Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.

Открыть раздел «Все программы» и перейти в «КриптоПро».
После этого нужно нажать л.к.м. на «Сертификаты».
В строке хранилище, отметить нужное.
Кликнуть на выбранный сертификат.
Открыть раздел «Путь сертификации».

Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).
Некорректно инсталлирован криптопровайдер КриптоПро.
Алгоритмы шифрования СКЗИ не работают, или работают некорректно.
Нет доступа к реестровым документам.
Версия браузера устарела.
На компьютере выставлены неправильные хронометрические данные.

Данные об УЦ и срок действия ключа.
Электронный адрес для связи с реестром организации.

Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».
Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».
Укажите хранилище «Доверенные корневые центры сертификации».
Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.

Зайти в раздел «Личное».
Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.
Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.
Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.

Загрузить «Сертификат УЦ Федерального казначейства».
Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».
Выключите и включите ПК.

Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.
После чего вбейте в командной строке services.msc.
В перечне служб, укажите «Службы инициализации».
Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.

Правой кнопкой мыши нажмите на значок браузера.
Выберите строку «Запуск от имени администратора».

Правой кнопкой мыши нажмите на значок браузера.
Кликните на «Дополнительно»
И выберите «Запуск от имени администратора».

Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».
После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.

Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.
Выберите «Настройка даты и времени».
Выставьте нужный часовой пояс и правильные значения.

Ошибка «Этот сертификат содержит недействительную подпись» возникает при работе с личными сертификатами, которые используются для подписи электронных документов с использованием КриптоПРО. На разных форумах предлагают разные решения и судя по отзывам многие из них действительно помогают. Один из таких советов меня подтолкнул к решению проблемы. Я хочу поделиться всеми способами решения, которые я узнал, потому-что причины появления этой ошибки могут быть разными.

Наиболее частая причина появления ошибки «Этот сертификат содержит недействительную подпись» кроется в некорректных путях сертификации от личного сертификата до головного удостоверяющего центра, поэтому ее рассмотрим в первую очередь.