Проблема со списком отзыва сертификатов.berezina_o_n15-12-2020
Здравствуйте, на экран выводится сообщение, что списки отзыва сертификатов отсутствуют. Как можно исправить?
Полный текст сообщения следующий: «Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.» Спасибо!
RE: Проблема со списком отзыва сертификатов.Ruslan16-12-2020
berezina_o_n Писал(а): Здравствуйте, на экран выводится сообщение, что списки отзыва сертификатов отсутствуют. Как можно исправить?
Полный текст сообщения следующий: «Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.» Спасибо!
RE: Проблема со списком отзыва сертификатов.16-12-2020
У нас похожая проблема образовалась с месяц назад (скриншоты). Поскольку все работает, откладывали до удобного случая. Случай представился. Как это решается?
ЗЫ VipNet-клиент работает 24/7 на сервере с АСИОУ7.
RE: Проблема со списком отзыва сертификатов.dominusego16-12-2020
У нас это уже лет 5 не меньше. Писал в ТП, звонил, говорят, что сертификат обновили, но у нас он отображается недействительным. Живем по принципу «работает — не трожь».
RE: Проблема со списком отзыва сертификатов.Ruslan17-12-2020
dominusego Писал(а): У нас это уже лет 5 не меньше. Писал в ТП, звонил, говорят, что сертификат обновили, но у нас он отображается недействительным. Живем по принципу «работает — не трожь».
RE: Проблема со списком отзыва сертификатов.dominusego17-12-2020
Чтобы что-то активировать, оно должно быть. У нас вот так.
dominusego Писал(а): Чтобы что-то активировать, оно должно быть. У нас вот так.
yarsch078 Писал(а): У нас похожая проблема образовалась с месяц назад (скриншоты). Поскольку все работает, откладывали до удобного случая. Случай представился. Как это решается?
RE: Проблема со списком отзыва сертификатов.17-12-2020
В какую ТП нужно обращаться? В ТП АСИОУ сказали, что не занимаются вопросами VipNet (что вполне логично).
Сообщение может быть из-за:
1) если это подчинённый ЦС — то недоступен актуальный СОС вышестоящего ЦС
2) неработоспособен выбранный revocation provider.
Посмотрите, какой у Вас используется — это параметр Dll в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CertDllVerifyRevocationDEFAULT
Чтобы поставить сертификат или СОС из файла в хранилище локального компьютера — нужно при выборе названия хранилища поставить галку «Показать физические хранилища», потом раскрыть элемент «Доверенные корневые ЦС» и выбрать там локальный компьютер.
Сейчас практические шаги я делаю такие:
1. Установил RootCA
2. Установил SubCA, сгенерировал запрос в файл
3. Проинсталировал на SubCA сертификат RootCA
4. Подписал сертификат SubCA на RootCA
5. Сделал экспорт сертификата SubCA из списка сертификатов RootCA в формате .P7B
6. Добавил этот сертификата в SubCA
7. Пытаюсь запустить сервер SubCA — Ошибка 80092013 Не могу найти RootCA.
Сообщений: 12
Темы: 2
У нас с: Jun 2016
Сообщений: 653
Темы: 64
У нас с: Jun 2016
Обратитесь в ТП по випнету.
Причина — вы пропустили обновление списка отзывов. При обновлении появляется окно — принять или нет обновления. Надо принимать. Также, клиент надо включать хот бы раз в несколько дней.
Сообщений: 612
Темы: 41
У нас с: Jun 2016
сертификаты и списки отзывов несколько разные вещи. после обновления сертификата приходит новый. его надо активировать в настройках випнета.
17-12-2020, 08:27
(Последний раз сообщение было отредактировано 17-12-2020, 08:32 пользователем dominusego.)
отправьте в ТП скрины и название АП
Отправьте в ТП скрины и название АП. Когда придут новые списки — надо нажать кнопку Принять (или что-то подобное)
(6) TMV, МенеджерКриптографии — это внутренний 1С объект, который инициируется программно. Это не компонента.
Описание процедуры в СП ничего не говорит.
МенеджерКриптографии (CryptoManager)
НачатьПроверкуСертификата (BeginCheckingCertificate)
Синтаксис:
Тип: РежимПроверкиСертификатаКриптографии; Массив.
Указывает режим проверки.
Содержит один объект или массив объектов режимов проверки.
Описание:
Начинает проверку сертификата.
Диагностика ошибок ОС Windows при проверке сертификата
Методика выявления причины исключения
Варианты настройки платформы
Начиная с версии 8.3.12 платформа «1С:Предприятие» при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата». Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера «1С:Предприятия».
Методика выявления причины исключения
Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.
Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:
В разделе System указаны дополнительные сведения. Например:
Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.
Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).
Варианты настройки платформы
Платформа «1С:Предприятие 8» поддерживает следующие варианты настройки проверки отзыва сертификата:
Внимание! Такая настройка снижает уровень доверия к внешним ресурсам! В случае применения данной настройки ответственность возлагается на пользователя.
Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:
Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.
1.
Alfn
Сейчас в теме
5.
cdiamond
Сейчас в теме
(1) Было такое же, временно лечилось выдачей админовских прав USR1CV8. Система не давала проверять сторонние сертификаты, админы что-то накрутили с доменной политикой.
Плюс сейчас есть немалая вероятность что у самих сервисов к которым обращается сервер 1с могут быть отозваны сертификаты зарубежными органициями, где они выдавались, как это случилось недавно с Госуслугами.
А что делать у кого фрэш?
3.
ClickUp
Сейчас в теме
(2) У Фреша есть тех поддержка которая должно решать вопросы фреша, на сервере фреша
4.
ivanov_alex
Сейчас в теме
Да, вчера с таким столкнулся, пришлось табачку отправлять поздно вечером
6.
mixsture
Сейчас в теме
Давайте добавим, что это отвратительный шаг с точки зрения безопасности. Отзывают сертификаты то обычно, когда они скомпрометированы (украдены) — вот этой части безопасности клиент лишается. Даже на ИТС хорошая такая приписка красным цветом к данной опции:
Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
В случае применения данной настройки ответственность возлагается на пользователя.
7.
pocket_deer
Сейчас в теме
8.
ClickUp
Сейчас в теме
(7) Возможно стоит задать этот вопрос 1С их техподдержке, как лечить данную проблему и на чей стороне проблема клиента или их серверов, и что с этим делать, понять и простить.
9.
ClickUp
Сейчас в теме
10.
Asbz
Сейчас в теме
С меркурием последние 3 дня такая же беда при обмене.
При работе с online сервисами 1С и других разработчиков, где необходимо обращение к электронной подписи, пользователи часто сталкиваются с ошибками ее проверки. Что делать, если не удалось выполнить проверку отзыва сертификата 1С и какие еще возникают ошибки работы с ЭДО, разбираем подробно с вариантами решений.
Компании, у кого жестко настроена политика безопасности, чаще всего наблюдают сбои в работе с ЭП. Это из-за того, что постоянно очищается список имеющихся CRL на ПК или, наоборот, к ним не может достучаться криптография для проверки
Что вообще такое списки отзывов сертификатов
Certificate Revocation List или список отозванных сертификатов – это информация, предоставляемая удостоверяющими центрами о недействительных сертификатах, о тех, чей срок действия уже либо закончился, либо был прерван по различным обстоятельствам.
Ключи могут отзываться по различным причинам. Самые распространенные:
Список отозванных сертификатов ключей электронных подписей имеет расширение CRL. Сокращенное наименование СОС. В некоторых кругах можно услышать также понятие — Список аннулированных сертификатов (САС).
В настоящий момент (процесс был запущен еще в далеком 2017 г.) все чаще прибегают к отказу от СОС в сторону Online Certificate Status Protocol (OCSP, Онлайн Протокол Состояния Сертификата).
Принципы работы списков отозванных сертификатов
Актуализирует и публикует списки отозванных сертификатов САС Certificate Authority (CA — центр сертификации), который данный сертификат и выпустил.
Предпосылки для отзыва сертификата
Причины, по которым требуется аннулировать сертификат:
Рис.1 Почему аннулирован сертификат ключа проверки ЭП
Отправляет запрос на аннулирование/отзыв сертификат:
Ошибка работы с ЭДО в 1С. Сертификат не прошел проверку или отозван
Пользователи онлайн-сервисов 1С нередко спрашивают: почему только недавно все работало, а теперь программа пишет, что сертификат недействительный или не удалось проверить сертификат в списке отозванных. Почему же этот сертификат не удалось проверить? Ответ прост: потому что на ПК нет установленных актуальных СRL-сертификатов от удостоверяющих центров, которые бы «сказали», что сертификат все еще действителен.
Для того, чтобы установить списки отозванных необходимо выполнить следующие шаги:
Если установка списков отозванных для личного сертификата не помогла, установите списки отзывов от других сертификатов из цепочки сертификации.
Рис.20 Цепочка сертификатов в открытой части электронной подписи
Удаленный узел не прошел проверку
Сообщение, которое также связано с корректной проверкой сертификатов.
Рис.21 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
Рис.22 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
С помощью операционной системы Windows платформа 1С:Предприятие проводит проверку сертификата средствами защищенного соединения TLS/SSL.
SSL (Secure Sockets Layer) — это протокол безопасности в Интернете, основанный на шифровании. Впервые он был разработан компанией Netscape в 1995 году с целью обеспечения конфиденциальности, аутентификации и целостности данных при общении через Интернет. SSL является предшественником современного шифрования TLS, используемого сегодня.
Поддержка работы ЭДО в 1С
Консультации и поддержка работы ЭДО в любых программах 1С. Приступим к вашему вопросу в течение 15 минут
Основным вариантом использования TLS является шифрование связи между веб-приложениями и серверами. Например, когда веб-браузеры загружают сайт. TLS также можно использовать для шифрования других сообщений, таких как электронная почта, обмен сообщениями и передача голоса по IP (VoIP). В этой статье мы сосредоточимся на роли TLS в безопасности веб-приложений.
TLS был предложен IETF, международной организацией по стандартизации. Первая версия протокола была опубликована в 1999 году. Самая последняя версия TLS 1.3 — в 2018.
Итак, проблема, связанная с сообщением в конфигурации о том, что удаленный узел не прошел проверку связано с тем, что доступ в Интернет ограничен в общем или в частности только у пользователя, под которым запускается конфигурация и работает служба агент сервера 1С.
Наиболее распространенные причины:
Рис.23 Причины возникновения ошибки
Пути решения
Рис.24 Настройки прокси
Хост файл (host)
Расположен обычно по такому пути:
Рис.25 Путь расположения файла host
Доступ к сайтам может также быть ограничен параметрами, прописанными в данном файле. Пример блокировки выглядит так:
Рис.26 Пример заблокированного сайта в файле host
Постарались максимально доступно рассказать о наиболее частых ошибках, с которыми пользователи 1С могут столкнуться при работе в ЭДО, в т.ч. с применением сертификатов ключа проверки электронной подписи.
Сертификат не действителен. Не удалось проверить сертификат в списке отозванных т. соответствующий сервер в состоянии offline (код ошибки 103,104).
Дата обновления: 28.06.2022
Ошибка связана с тем, что на компьютере не установлен актуальный список отозванных сертификатов Удостоверяющего Центра.
1. В программе 1С пройти по пути: Сервис — Обмен электронными документами — Профили настроек ЭДО (зайти в профиль) — закладка «Сертификаты организации» (открыть сертификат) — Все действия — Сохранить сертификат в файл.
2. Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Точки распространения списков отзыва (CRL)» и скопировать ссылку на список отзыва Удостоверяющего Центра (ссылка должна заканчиваться на .crl):
4. Навести курсор на скаченный файл, нажать правую клавишу мыши и выбрать пункт «Установить список отзыва (CRL)». В «Мастере импорта сертификатов» на этапе определения хранилища необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».
Установка этого списка отзыва проводится тем же способом, что описан выше.
(1)Покажите сертификаты, установленные в КриптоПРО.
5.
AntonNoProfessional
Сейчас в теме
(3)Не видит только на сервере почему-то
2.
пользователь
Сообщение было скрыто модератором.
4.
AntonNoProfessional
Сейчас в теме
(4)Сертификат виден только тот, который в реестре. Пользователю, который копирует сертификат в личные сертификаты нужно дать права администратора.
7.
AntonNoProfessional
Сейчас в теме
(6)У пользователя права администратора
(7)Тогда скопируйте сертификат в реестр.
9.
AntonNoProfessional
Сейчас в теме
(8)Теперь другая ошибка
Мало скопировать сертификат, его надо установить (связать с контейнером ключей).
Можно сделать это через оснастку КриптоПро: «Сервис» — «Установить личный сертификат».
11.
AntonNoProfessional
Сейчас в теме
Спасибо за помощь. Долго мучился.
Такая же проблема, в личных ставил, контейнер ставил, тест проходит без ошибок а 1С не видит.
(14)Сейчас такой алгоритм не действует, действует GOST P 34.11-2012
(15)
Нужно менять на криптопро R5, в нём проблема?
(16)Вы эти скриншоты на сервере делали? У пользователя, который устанавливал сертификат на сервере были права Администратора?
(17)
На сервере 1С, и в 1С у пользователя админ права и у локального тоже.
(18)А конфигурация какая?
(20)Конфигурация не очень старая. Попробуйте обновить её до последней.
(21)
А как это сделать?) Есть ссылка на мануал какой-нить?
25.
пользователь
26.
a_inves
Сейчас в теме
Была подобная ошибка:
Не удалось проверить сертификат в списке отозванных, т.к. соответствующий сервер в состоянии offline.
Вылечил установкой сертификатов:
Частые Ошибки
Ошибка проверки ЭЦП: ЭЦП проставлено сертификатом на который нет заключенного соглашения.
После отправки в ПФР отчета или письма в ответ приходит ошибка: «Ошибка проверки ЭЦП: ЭЦП проставлено сертификатом на который нет заключенного соглашения. Пакет доставлен в ПФР. Криптографические проверки по обработке пакета выполнены успешно. На текущий момент времени выполняется проверка наличия у страхователя Соглашения, заключенного с УПФР по месту регистрации. По срокам проверки наличия соглашения необходимо обращаться в УПФР по месту регистрации.»
Такая ошибка возникает при первой отправке любой отчетности в УПФР после смены электронной подписи руководителя. Необходимо просто дождаться обработки вашей отчетности и получить протокол. Для ускорения процесса Вы можете обратиться в ПФР, чтобы они прикрепили к Вашему сертификату номер соглашения.
Ошибка при проверке сертификата: Не удалось проверить этот сертификат
После отправки в ПФР отчета или письма в ответ приходит ошибка: «Ошибка при проверке сертификата: Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.»
Такая ошибка возникает при обновлении списка отзывов сертификатов в ПФР. Данная ошибка не влияет на сдачу. Необходимо просто дождаться обработки вашей отчетности и получить протокол.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in в браузерах и предлагает способы их решения.
Появляется окно КриптоПро CSP Вставьте ключевой носитель
Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.
Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.
Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.
Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)
Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.
Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.
Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.
Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) — Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.
Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.
Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.
При создании подписи появляется окно с ошибкой «Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)», в информации о сесртификате отображается «нет привязки к закрытому ключу»
Выполните привязку сертификата к закрытому ключу.
Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение «нет привязки к закрытому ключу» в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.
Подпись создается, но также отображается статус «ошибка при проверке цепочки сертификатов».
Это значит, что нет доступа к спискам отозванных сертификатов.
Причина ошибки — истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.
Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.
Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.
Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0
Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.
Чтобы активировать имеющуюся лицензию:
— введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.
Отказано в доступе (0x80090010)
Ошибка: Invalid algorithm specified. (0x80090008)
Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.
Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.
Или если используется алгоритм хеширования, не соответствующий сертификату.
Так же проверьте актуальность версии КриптоПро CSP.