Появилось предупреждение «Нет полного доверия к сертификату подписи»
При шифровании в КриптоАРМ процесс завершается с предупреждением: «Нет полного доверия к сертификату подписи».
Причина №1. Не настроен КриптоАРМ
Откройте «Пуск/КриптоАРМ/КриптоАРМ». В меню нажмите «Настройки/Управление настройками» и перейдите в раздел «Режимы». Убедитесь, что снят флаг «Включить режим квалифицированной подписи».
Причина №2. Отсутствует или устарел список отозванных сертификатов
То же самое повторите для вашего сертификата.
Причина №3. Сертификаты УЦ не установлены или установлены в другое хранилище
Все сертификаты УЦ должны находиться в хранилище «Промежуточные центры сертификации».
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
Ошибка проверки отношений доверия сертификата
В ФНС записали КЭП на Рутокен 3.0 3220.
Установил драйверы для Windows из Центра Загрузки (4.14.0.0 от 26.12.2022), вставил токен и пошёл смотреть сертификат:
В Свойствах сертификата, во вкладке «Общие» выдаёт ошибку «При проверке отношений доверия произошла системная ошибка»:
Во вкладке «Путь сертификации» пишет «Этот сертификат содержит недействительную цифровую подпись». И в окне сертификатов отображается только мой сертификат, без какого-либо древа:
В инструкции из Базы знаний https://dev.rutoken.ru/display/KB/PU1004 есть примечание:
Если в дереве «Путь сертификации» есть только ваш сертификат, вам необходимо обращаться в удостоверяющий центр, выдавший вам сертификат электронной подписи для получения доверенного корневого сертификата.
Я так понимаю, это моя ситуация и нужно повторно ехать в налоговую? Или помимо установки Панели управления Рутокен нужно произвести ещё какие-то манипуляции?
Николай Киблицкий
Николай Киблицкий пишет:
Спасибо за оперативный ответ. Попробую связаться с техподдержкой. В случае чего, обновлю топик.
serv, еще получилось выяснить, что такое сообщение наблюдается, когда в системе не установлено ни одного ГОСТ криптопровайдера, например КриптоПро CSP. Даже если установить все сертификаты, Windows не сможет корректно проверить цепочку сертификата.
33 отредактировано serv)
Вы правы, ещё раз спасибо за оказанную помощь 🙂
В моём случае виной всему оказалось как раз отсутствие установленного криптопровайдера на ПК.
В итоге по Вашей наводке и совету техподдержки УЦ ФНС:
а) установил корневой сертификат Минцифры и промежуточный сертификат ФНС;б) установил КриптоПро CSP 5.0.
И всё заработало нормально — появилось и полное дерево сертификатов во вкладке «Путь сертификации», и возможность поставить галочку «Зарегистрирован» во вкладке «Сертификаты» (т.е. добавить свой сертификат в «Личные»), и сертификат стал действителен.
Также приведу ответ техподдержки, если кому-то пригодятся подробности (информация актуальна на 10.02.2023):
После установки сертификатов в Доверенные и Промежуточные на вкладке «Путь сертификации» в поле «Состояние сертификата» должно отображаться сообщение о действительности сертификата.
Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in в браузерах и предлагает способы их решения.
Появляется окно КриптоПро CSP Вставьте ключевой носитель
Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.
Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.
Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.
Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)
Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.
Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.
Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.
https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 — страница сертифката, ссылка с серийным номером скачает файл сертификата
Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) — Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.
Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.
Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.
При создании подписи появляется окно с ошибкой «Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)», в информации о сесртификате отображается «нет привязки к закрытому ключу»
Выполните привязку сертификата к закрытому ключу.
Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение «нет привязки к закрытому ключу» в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.
Подпись создается, но также отображается статус «ошибка при проверке цепочки сертификатов».
Это значит, что нет доступа к спискам отозванных сертификатов.
Причина ошибки — истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.
Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.
Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.
Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0
Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.
Чтобы активировать имеющуюся лицензию:
— введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.
Отказано в доступе (0x80090010)
Ошибка: Invalid algorithm specified. (0x80090008)
Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.
Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.
Или если используется алгоритм хеширования, не соответствующий сертификату.
Так же проверьте актуальность версии КриптоПро CSP.
Как исправить ошибку отсутствия доверия к сертификату ЭЦП
Программа «КриптоАрм» является стандартом для электронной цифровой подписи (ЭЦП), постоянно обновляется, дорабатывается и отслеживает все возникающие сбои. Обычно у пользователей не возникает проблем в работе, т.к. интерфейс понятен и прост, а алгоритмы отвечают всем стандартам безопасности. Но иногда возникает ошибка отсутствия полного доверия к сертификату ЭЦП, которую можно устранить самостоятельно и за несколько минут.
Выглядит ошибка «Нет полного доверия к сертификату подписи КриптоАрм» так:
Отсутствие доверия к закрытому ключу электронной подписи говорит о том, что ПК не может определить степень доверия к Удостоверяющему центру, выдавшему сертификат ЭЦП. Одновременно отсутствие доверия к УЦ отражается на сертификате электронной подписи и ставит ее под сомнение.
На работе ЭЦП или на работе ПО «КриптоАрм» данная ошибка не сказывается, но лучше ее исправить для избежания возникновения конфликтов при проверке ключей ЭЦП.
Как устранить ошибку
Исправление ошибки происходит в несколько последовательных шагов и не занимает много времени.
Шаг 1
Для начала «КриптоАрм» нужно перевести в режим «Эксперт», т.к. он позволяет использовать больше функций и работает лучше.
Шаг 2
Следующий этап — подключение носителя ЭЦП к ПК.
Нужно выбрать действующий криптопровайдер, а при выборе типа носителя — токен или дискету (в системе под дискетой понимается также флешка).
После этого пользователю предстоит выбрать контейнер с ЭЦП. Под контейнером подразумевается место хранения сертификата электронной подписи на флешке или токене. Один контейнер содержит один сертификат, а если на носителе ЭЦП содержится несколько сертификатов, то нужно выбрать вызывающий сомнения.
Если контейнер ЭЦП хранится на внешнем носителе, то обычно требуется введение пин-кода. Он стандартный для всех токенов:
По технике безопасности лучше сменить стандартный пин-код на пользовательский, т.к. использование заводского кода повышает риск компрометации ЭЦП.
Шаг 3
Теперь нужно добавить сертификат Удостоверяющего центра в список доверенных, т.к. ошибка «Нет полного доверия к сертификату» возникает по этой причине.
Сделать это просто. Нужно лишь:
Обычно установка занимает несколько секунд и после нее не требуется перезагрузка ПК.
Шаг 4
Последний шаг — проверка сертификата по списку отозванных. Чтобы это сделать, нужно:
После проверки можно перейти в раздел «Личное хранилище» для обновления информации. Зеленая галочка говорит об устранении ошибки и полном доверии к электронной подписи со стороны ПО.
Установка отозванных сертификатов
В некоторых случаях необходимо установить списки отозванных сертификатов дополнительно. Для установки нужно:
Иногда в строке списка отозванных сертификатов имеется две ссылки, т.е. два списка. В этом случае действия со вторым списком отозванных сертификатов аналогичны и полностью повторяют путь установки через «Мастера импорта».
После проведенных действий для корректной работы электронной подписи лучше произвести перезагрузку ПК. При соблюдении последовательности действий проблем в установке списка отозванных ключей электронной подписи и исправлении ошибки не возникает. Единственной причиной, по которой процесс может сбиться, является нестабильное подключение к интернету.
(пока оценок нет)