Нет подлинного сертификата, но репозиторий capi не может подключиться

Что такое ЭЦП

Электронная подпись — это атрибут документа, составленного в электронном виде. В зависимости от своего вида ЭЦП может быть равноценной рукописной подписи, а также обеспечивать документы юридической значимостью. Подробнее в нашей статье.

Токены ЭЦП. Обзор основных разновидностей токенов в России

Токенами называют USB-носители, предназначенные для хранения и применения ключа электронной подписи. В России сертифицировано несколько разновидностей токенов. В статье мы рассмотрим наиболее распространённые варианты ключевых носителей и расскажем, по какому принципу их выбирать.

Что такое сертификат ключа электронной подписи

В сертификате ключа ЭЦП содержатся сведения о владельце электронной подписи. В ЭДО сертификат ключа служит подтверждением того, что подтверждением того, что электронная подпись действительно принадлежит её владельцу. Информация о составе сертификата ключа и о том, какие учреждения занимаются выпуском сертификатов — в нашей статье.

Что такое штамп времени в ЭП

В момент подписания электронного документа с помощью ЭЦП формируется атрибут, который называется штамп времени. Он содержит информацию о дате и времени подписании документа. При подписании документа программа для работы с ЭЦП обращается к службе TSA (time stamping authority), которая сообщает точные дату и время, после чего формируется штамп. Рассказываем об этом здесь.

Проверка срока действия сертификата для JaCart и Rutoken:

В правом нижнем углу рабочего стола (трей), нажмите 2 раза по значку JaCart Перейдите во вкладку PKI, где будут указаны сроки действия вашего сертификата.

В панели управления компьютера откройте «Панель управления Rutoken» во вкладке «Сертификаты» будут отображены ваши сертификаты ГОСТ и PKI, нажав на которые вы узнаете срок их действия.

Проверить срок действия сертификатов можно на домашней странице УТМ.
( На компьютере с УТМ перейти по адресу http://localhost:8080/ во вкладку «Сертификаты»)

Если срок действия подходит к концу, то нужно обновить сертификат в личном кабинете ЕГАИС http://egais.ru

Также процедуру по обновлению нужно провести, если появляется следующая надпись:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

Извините, но у вас недостаточно прав для комментирования

Я полный профан, искренне надеюсь на помощь простыми словами 🙂

На удаленном сервере с OS Debian по вот этому гайду с использованием strongSwan организовал для себя VPN. Все отлично работает на iPhone и Mac, однако для подключения с Windows нужно проделать какие-то дополнительные манипуляции, потому что ни так, ни этак подключится не удается. Ошибки подключения разные, в зависимости от настроек создаваемого подключения в Windows.

Если делать подключение в лоб:

вот так

то получаем ошибку сопоставления групповой политики:

ошибка

В свойствах подключения можно переставить проверку подлинности на «Использовать сертификаты компьютеров»:

настройки vpn

правда это ничего не меняет.

Вот этот мануал по strongSwan’у подсказывает, что «By default Windows 7 up to Windows 11 propose only the weak modp1024 Diffie-Hellman key exchange algorithm» и предлагает соотвествующую настройку для ipsec.conf:

ike = 3des-aes128-aes192-aes256-sha1-sha256-sha384-modp1024

О том, что именна эта строчка портит малину подсказывают коллеги из комментов в оригинальной статье на vc.ru:

скриншот комментариев

мне, правда, это не помогло 🙁

Из какого-то источника, который я уже не могу нагуглить, я узнал что на компьютере нужно иметь корневой сертификат, который я создал на удаленном сервере. Сертификат был создан в формате *.pem, установить его в Windows я смог только переименовав файл в *.der и кликнув по нему два раза. Создать сертификат с помощью pki в формате, который винда переварила бы by-design я не смог. Установка сертификата в хранилице «Доверенных корневых центров сертификации» не помогла.

Вот эта статья из мануала strongSwan подсказывает, что для windows сертификат должен быть сгенерирован с дополнительным ключом:
subjectAltName = DNS:
но увы и это мне тоже не помогло.

В конце уже упомянутого выше мануала есть ссылки, в том числе на Configuring strongSwan for Windows clients для случая, когда Windows client «Using Passwords with EAP-MSCHAPv2», однако он предлагает конфигурировать файл swanctl.conf, а у меня конфигурация уже задана в ipsec.conf, понять как одно с другим связано квалификации моей не хватает 🙁

Вобщем, достаточно разрозненный набор фактов выглядит вот так, очень прошу помощь от гуру.

Почему я не купил готовый сконфигурированный сервер?

Да

Из нашей статьи вы узнаете:

ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.

Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.

Что может послужить причиной такой ошибки

Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:

• установка сертификата впервые;
• экспортирование данных на внешний носитель;
• попытка просмотра ключей в контейнерах ключей;
• загрузка информации на компьютер извне.

В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.

Решение ошибки: отсутствие электронного сертификата в контейнере закрытого ключа

Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».

Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt

Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.

Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»

В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:

• «найти контейнер автоматически
• вручную через «обзор»

В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки

Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»

Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»

>

В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»

Затем появится окно с подтверждением данной операции, жмём «ДА»

В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.

Особенности версий КриптоПро

С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.

Основные проблемы в работе ЭЦП

Мы выделили самые часто встречающиеся ошибки в работе КЭП. Ниже мы будем описывать причину проблемы и путь её решения.

Выбранная подпись не авторизована

Такая проблема появляется, когда используется новая КЭП на ЭТП (электронной торговой площадке), если пользователь не был зарегистрирован. То же самое происходит, когда не был зарегистрирован сам сертификат.

Решением данной проблемы является авторизация:

1. Перейдите на главную страницу торговой площадки, а затем → ‎«Вход по ЭЦП».
2. Выберите ‎«Авторизация ЭЦП‎» и нажмите кнопку «Пользователь организации‎».
3. Подтвердите выбор нового ключа ЭЦП.
4. В появившемся окне ‎«Идентификационные данные»‎ заполните все обязательные поля и нажмите «Отправить на рассмотрение‎».

В течение часа подпись будет зарегистрирована и ошибка исчезнет. Если же она всё-таки повторятся, то отключите антивирус или поставьте электронную торговую площадку в исключения.

ЭЦП проставлено сертификатом, на который нет заключённого соглашения

Такая проблема появляется при обращении в ПФР без заключённого с ними соглашения.

Чтобы решить проблему, нужно заключить договор с ПФР в письменном виде. Если же он уже был заключён, нужно проверить соответствие данных в документе с данными в сертификате электронной подписи.

‎Алгоритм ключа сертификата не поддерживается

Название ошибки говорит само за себя — тут либо программное обеспечение несовместимо, либо неправильно установлена КриптоПро CSP.

В первую очередь нужно проверить компьютер на совместимость с программными средствами. Если здесь всё нормально, то попробуйте переустановить КриптоПро CSP. Также проверьте хранилище сертификатов на наличие там закрытого ключа. В крайнем случае понадобится переустановка операционной системы.

Электронная подпись документа невалидна

Такая ошибка появляется при работе в системах «1С» как следствие того, что на устройстве не установлен корневой сертификат УЦ. Он нужен для подтверждения того, что удостоверяющий центр сертифицирован Минцифры.

Исправить ошибку можно путём установки соответствующего сертификата в правильное хранилище → ‎«‎Доверенные корневые центры сертификации»‎. Найти его можно на сайте удостоверяющего центра.

Невозможно создание объекта сервером программирования объектов ЭЦП

Подобная проблема может проявиться при подписании электронных документов и при создании запросов в информационных системах.

Чтобы исправить ошибку, достаточно переустановить КриптоПро CSP и КриптоПро ЭЦП Browser plug-in. Если ошибка сохраняется, то скачайте и установите capicom.dll. В крайнем случае отключите защитник Windows и центр обеспечения безопасности.

Ваш сертификат ключа подписи включён в список отозванных

Такая ошибка появляется, когда истекает срок действия сертификата. Решением является продление срока действия.

Если же ошибка возникает, а срок сертификата ещё не подошёл к концу, то нужно установить СОС (список отозванных сертификатов) и перезагрузить компьютер. Если это не помогло, свяжитесь с удостоверяющим центром.

Техническая поддержка продуктов «Астрал-ЭТ» и «1С-ЭТП» работает круглосуточно и поможет решить любую возникшую проблему.

У применения ЭЦП довольно много нюансов, которые в некоторых случаях требуют внимания к себе. Чтобы разобраться в них, мы подготовили материал, в котором вы найдёте ответы на основные вопросы, касающиеся использования ЭЦП.

Из нашей статьи вы узнаете:

Куда обращаться при ошибке: у вас нет действующих сертификатов

При работе с ЭЦП следует знать, что электронный сертификат или флеш-носитель не могут быть источниками ошибки. Если при работе с порталами вы видите предупреждение об отсутствии рабочего сертификата, значит, сбой выдает сайт или обслуживающий сервис.

Возможно, потребуется установка через «КриптоПро» и дальнейшая настройка в программе. Для решения задачи необходимо найти источник сбоя и воспользоваться инструкцией. Под каждый сайт или портал разработан свой алгоритм устранения ошибок.

Получить инструкции и консультацию нужно в техподдержке того удостоверяющего центра, в котором выдавался сертификат.

Госуслуги: что делать, если портал не видит сертификат

Проблема в работе с сайтом Госуслуг может быть связана с ошибками в регистрации. При работе с порталом необходимо следовать четкому алгоритму при регистрации. Правильный порядок действий выглядит следующим образом: пункт меню «Регистрация» → ввод мобильного номера и данных → заполнение анкеты.

В этом случае ошибиться сложно, поскольку система сама проверяет каждый пункт на соответствие числу цифр и букв в каждой графе. Если допущены неточности, вы не сможете продвинуться дальше. Области с ошибкой подчеркиваются красным знаком.

В законе ФЗ-63 описано, как должны действовать сертификаты в системе. Если при регистрации с ЭЦП не возникло проблем, но в дальнейшем всплывает предупреждение об ошибке, стоит обратиться в службу поддержки.

Самостоятельная работа с ошибкой:

• проверьте установку плагинов или иных дополнений;
• войдите с другого устройства, если ошибка сохраняется, значит скорее всего проблема не в браузерах, а в настройках самой операционной системы;
• ссылка на сайт может не допускаться антивирусным ПО, временно отключите его и повторите попытку воспользоваться сертификатом;
• проверьте срок действующей ЭЦП, возможно, он истек;
• внесите в список надежных сайтов расширения *.esia.gosuslugi.ru, *.gosuslugi.ru, *.zakupki.gov.ru;
• в работе с сайтами очистите куки и кэш, перезапустите браузер.

Если ни один вышеприведенный случай не подходит, следует обратиться в службу поддержки Госуслуг. В сопроводительном письме (или в обращение через онлайн чат) нужно указать даты регистрации сертификата и УЦ, выдавший сертификат.

Часто ошибкой, в работе с сертификатами на Госуслугах, бывает сам плагин для браузера. Иногда достаточно его переустановить и работа портала будет восстановлена.

Работа через ЭП на Госуслугах, доступна через все браузера, хотя чаще всего рекомендуется пользоваться Microsoft Internet Explorer версии 6.0 и выше. Отдельно стоит рассмотреть работы на госуслугах через ЭП с использованием MacOS, для этого на сайте КриптоПро подготовлена отдельная статья по настройке своего компьютера.

РТС Тендер: что делать, если площадка не видит сертификат

В работе с РТС Тендер действующий сертификат может не отражаться в «Личном кабинете». При этом ЭП используется на других порталах без сбоев. Чтобы видеть пути решения, необходимо пройти в настройки «Личного кабинета».

Как действовать, если у вас нет действующих сертификатов:

• установленное ПО заменить на рекомендованное (рекомендуемое СКЗИ — КриптоПро);
• отключить блокировку всплывающего окна или другие блокировщики рекламы;
• проверить сроки действующей лицензии в «КриптоПро»;
• проверить актуальность действия версии «КриптоПро Browserplugin (CADESCOM)», при необходимости обновить плагин.

Обратившись в службу поддержки, проверьте по предоставленным рекомендациям «Настройки компьютера». Большинство плагинов для Google Chrome не работают в браузерах Internet Explorer и FireFox. Отключить блокировку всплывающего окна можно в разделе «Сервис», подраздел «Блокирование всплывающих окон». В нем ставьте галочку напротив пункта «Выключить блокирование всплывающих окон».

Сроки сертификата по «КриптоПро» проверяются в разделе лицензии. Проверка совершается по пути: пуск → все программы → «КриптоПро» → управление лицензиями «КриптоПро PKI» → «КриптоПро CSP».

Чтобы заменить/переустановить Browserplugin с официальной страницы «КриптоПро», нужно зайти в раздел «Загрузки» и выбрать актуальную версию.

Что рекомендует КриптоПро

Чтобы действовать в рамках ФЗ, рекомендовано установить плагины с официального сайта «КриптоПро». Бесперебойно Plugin взаимодействует с Google Chrome, Internet Explorer. Остальные браузеры игнорируют установку.

Система «КриптоПро» настроена на простое управление. Если в работе возникает ошибка, в обращении к службе поддержки нужно указать тип вашего носителя и ПК. Вам могут предложить проверить целостность токена или его срок годности. Для восстановления работы сертификата может потребоваться утилита «КриптоПро CSP». Скачать ее можно с официального сайта. Так же не лишним будет почитать, что пишут на форуме криптопро про схожие ситуации.

Чаще всего ошибка возникает на устаревших операционных системах MAC OS, Windows XP, Vista. В этом случае перед обращением проверьте ЭП с другого устройства. Программа должна соответствовать вашей версии ОС.

27 фев 2021 08:50 #18156
от Gvinpin

для головного УЦ нужно заменить mCA (промежуточные центры сертификации) на mroot (доверенные корневые).

______________________________
Как получилось, так и хотели (c)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

01 март 2021 05:20 — 09 июль 2021 07:43 #18159
от FarWinter

Alex_04 пишет: Убился после НГ с одним компом клиента — не обновляются САС автоматом хоть тресни. А без этого TLS-клиент не хочет подключать к СУФД (немного не в тему, но главное — борьба с CRL).

Пусть проверят вход и подписание в СУФД без Континент-TLS,
через Internet Explorer 11 по

ссылке

Списки отзывов не обновлялись скорее всего из-за того что
в прежнем файле CRL.ZIP списки отзывов загружались в хранилище сертификатов Локальный компьютер (mCA)
Если пользователь не Администратор или на ПК включен контроль учётных записей,
то запускать пакетный файл можно было только по правой кнопке мыши — Запуск от имени Администратора

Новая версия CRL.ZIP
ссылка для скачивания

ImportCRL_LC_mCA.bat — импорт списков отзывов сертификатов
в хранилище сертификатов Локальный компьютер (mCA)
(если включен контроль учетных записей, то запускать файл правой кнопкой мыши — Запуск от имени Администратора)

(Примечание: Континент TLS-клиент загружает списки отзывов сертификатов в хранилище сертификатов
(uCA) — Текущий пользователь — Промежуточные центры сертификации — Список отзыва сертификатов )

Спасибо сказали: Alex_04

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

01 март 2021 08:13 — 01 март 2021 08:16 #18161
от Alex_04

ranger пишет: возможно проблема в неправильной установки корневых и промежуточных сертов — вместо локального компьютера ставили в пользователя

Смотрел — и там и там серты ГУЦ и ФК по своим хранилищам лежат, не перепутаны, но есть дубли, надо будет удалить (если снова обратятся).

ещё вариант — мешает прокси сервер и/или шлюз, настроенный параноидально

Прокси нет, инет от РТК как раз такой (совсем никакой), используют мобильный, но и его скорость оставляет желать лучшего…

Gvinpin пишет: для головного УЦ нужно заменить mCA (промежуточные центры сертификации) на mroot (доверенные корневые).

По содержимому 5-и CRL неясно для корневых они или промежуточных, но даже без загрузки их в корневые (только в промежуточные) в ТЛС статусы серверных сертов становятся как положено — «действительный». Отсюда предположу, что НЕТ необходимости грузить CRL в доверенные корневые — не влияет это на работу TLS.

Была такая мысль, если опять обратятся за помощью пожалуй так и настрою — наверно последний из простейших вариантов.

СПАСИБО ВСЕМ за идеи и советы!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

21 апр 2021 05:38 — 26 апр 2021 11:26 #18540
от FarWinter

Установка Нового подчиненного сертификата от Головного удостоверяющего центра (сертификата УЦ ФК) (Действительного с 13.04.2021 по 13.04.2036)

новость на сайте roskazna.gov.ru,
ссылка

в сборки QuickEB новый сертификат УЦ ФК не добавлен, его нужно установить вручную или с помощью инсталлятора

Для клиентов Федерального казначейства, которые получали свои сертификаты после 04.05.2021
созданные с использованием Нового подчиненного сертификата УЦ ФК(Действительного с 13.04.2021 по 13.04.2036)

Нужно установить вручную в «Локальный компьютер»-«Промежуточные центры сертификации» , скачав
Сертификат УЦ ФК размещенный на
официальном сайте Федерального казначейства
.

Либо

Установить с помощью автоматического инсталлятора все нужные корневые сертификаты ФК включая новый сертификат УЦ ФК от 13.04.2021
«root_2036 Локальный компьютер (ГОСТ 2012).exe»
ссылки для скачивания:
c Яндекс Диск
«root_2036 Локальный компьютер (ГОСТ 2012).exe»

или
с сайта sedkazna.ru файл:
root_2036 Локальный компьютер (ГОСТ 2012).zip

В файле «root_2036 Локальный компьютер (ГОСТ 2012).zip»
«root_2036 Локальный компьютер (ГОСТ 2012).exe» — автоматическая установка сертификатов ФК в Локальный компьютер

под пользователем с правами Администратораобязательно запускать файл правой кнопкой мыши — Запуск от имени Администратора

Выполнить файл «root_2036 Локальный компьютер (ГОСТ 2012).exe»

Установка корневых сертификатов для ГОСТ 2012
в хранилище сертификатов — Локальный компьютер

В Доверенные корневые центры сертификации (Root):В Промежуточные центры сертификации (CA):

Спасибо сказали: ranger, andreyfoxter, maLkwin

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

09 июль 2021 13:07 — 13 июль 2021 06:02 #18842
от FarWinter

Новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS

На сайте ФК www.roskazna.gov.ru/gis/ehlektronnyj-byudzhet/
выложены новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS
для сайтов

(старый сертификат заканчивается 14.07.2021)
и

(старый сертификат заканчивается 18.07.2021)

Пример для

lk.budget.gov.ru

Есть 2 варианта установки нового серверного сертификата «Континент TLS-клиент»:

1) !!! Самый простой способ !!! При входе на сайт автоматическое добавление сертификата.
Главное чтобы был установлен
новый подчиненный сертификат УЦ ФК(Действительный с 13.04.2021 по 13.04.2036)
в «Локальный компьютер»-«Промежуточные центры сертификации»
(Пример установки нового подчинённого сертификата УЦ ФК в сообщении выше
sedkazna.ru/forum.html?view=topic&defaul…=1011&start=30#18540 )
и
В настройках Континент TLS был добавлен ресурс lk.budget.gov.ru
Главная
соединения:
lk.budget.gov.ru

Достаточно один раз зайти в ЭБ с запущенным «Континент TLS-клиентом»
по ссылке

или

Появится сообщение:

Внимание
Получен сертификат сервера Федеральное казначейство
Серийный номер: 46 74 2b 38 6d ef bf 98 bd 5d a3 5d e1 60 45 c8 9f f8 d6 ad
Издатель: Федеральное казначейство
Серийный номер издателя: 00 cb c6 98 33 00 00 00 00 05 6e
Добавить в хранилище ?

Предложено добавить сертификат сервера в хранилище, нужно будет нажать [ OK ]
новый сертификат сам добавится в СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент TLS

2) Скачать файл с официального сайта www.roskazna.ru и установить вручную
Из раздела Главная/ГИС/Электронный бюджет/Подключение к системе
www.roskazna.gov.ru/gis/ehlektronnyj-byu…lyuchenie-k-sisteme/
или
www.roskazna.gov.ru/gis/ehlektronnyj-byudzhet/

На значке «Континент TLS-клиент» в системном трее(Панель задач) кликнуть левой кнопкой мыши два раза.
Выбрать в окне Континент TLS-клиент — Управление сертификатами — вкладка СЕРВЕРНЫЕ СЕРТИФИКАТЫ
[ Импортировать ]
Т.к. файл сертификата сайта с нестандартным расширением crt
при ручном импорте, после нажатия на кнопку [ Импортировать ] нужно в окне внизу справа изменить фильтр на Все файлы(*.*)
выбрать файл сертификата и нажать [ Открыть ]

Если на ПК не был установлен новый подчиненный сертификат УЦ ФК(Действительный с 13.04.2021 по 13.04.2036)
то при входе на сайт ЭБ

будет ошибка:

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошёл проверку. Ошибка: Цепочка сертификатов недействительна

Спасибо сказали: Alex_04, maLkwin

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

12 июль 2021 06:07 — 12 июль 2021 06:08 #18855
от Alex_04

Просьба к модератору форума: вынести данный пост автора

на главную страницу сайта

в «Новости» (например с тем же заголовком «Новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS») — чтоб было куда посылать почитать всех звонящих по данному вопросу после 14.07, когда истекут старые.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

19 июль 2021 11:02 — 19 июль 2021 11:16 #18933
от Alex_04

Alex_04 пишет: Убился после НГ с одним компом клиента — не обновляются САС автоматом хоть тресни. А без этого TLS-клиент не хочет подключать к СУФД (немного не в тему, но главное — борьба с CRL).

---

---

Списки отзывов не обновлялись скорее всего из-за того что
в прежнем файле CRL.ZIP списки отзывов загружались в хранилище сертификатов Локальный компьютер ()

---

---

ссылка для скачивания

ImportCRL_LC_mCA.bat — импорт списков отзывов сертификатов
в хранилище сертификатов Локальный компьютер (mCA)
(если включен контроль учетных записей, то запускать файл правой кнопкой мыши — Запуск от имени Администратора)

(Примечание: Континент TLS-клиент загружает списки отзывов сертификатов в хранилище сертификатов
() — Текущий пользователь — Промежуточные центры сертификации — Список отзыва сертификатов )

У того же самого клиента наступил очередной день «Ч» — не обновились САС автоматом.
Испытал на нем Ваш

обновленный набор

— оказалось достаточно одной «таблетки»: запустить

ч/з ПКМ — от им. админа

ImportCRL_LC_mCA.bat + сброс соединения в настройках ТЛСа. Все 3 необходимых казначейских

CRL актуализировались в обоих разделах

— «Текущий пользователь» и «Локальный компьютер» (как ни странно).
СПАСИБО! Проверено —

работает.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

20 июль 2021 08:58 #18934
от maLkwin

Спасибо..проблема решилась за пару кликов! была такая же ошибка!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 нояб 2021 05:44 #19651
от premio739

Добрый день. Настроен «электронный бюджет» через Chromium gost. АРМ находится за брандмауэром. Доступ разрешен только к тем адресам, которые указаны в инструкции по настройке АРМ. Проблема заключается в том, что:

— вход в ЭБ происходит очень долго (предполагаю, что связано с проверкой и загрузкой CRL)
— периодически выдает, что сервер не доступен
— список сертификатов(при подписании) подгружается очень долго — порой до 15- 20 минут

При предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

Последняя проблема вне зависимости от ограниченный интернет или полный доступ.

Может кто сталкивался с похожими проблемами? Спасибо.

PS:
До этого АРМ было настроено в связке с TLS клиентом. Проблемы были те же.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 нояб 2021 06:21 — 30 нояб 2021 06:33 #19652
от FarWinter

premio739 пишет: — вход в ЭБ происходит очень долго (предполагаю, что связано с проверкой и загрузкой CRL)
— периодически выдает, что сервер не доступен
— список сертификатов(при подписании) подгружается очень долго — порой до 15- 20 минут

При предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

Можно попробовать:
Выставить настройки в «КриптоПро CSP»
КриптоПро CSP -> Настройки TLS:
Включить — Не проверять сертификат сервера на отзыв.
Включить — Не проверять назначение собственного сертификата.
Отключить — Не использовать устаревшие chiper suite-ы.

!!! Перезагрузить компьютер

Проверить доступность списков отзывов

и

Проверить и удалить старые просроченные сертификаты и списки отзывов

Пуск — КРИПТО-ПРО — Сертификаты
(Это файл: «C:\Program Files (x86)\Common Files\Crypto Pro\Shared\certs.ru.msc»)
Проверить Сертификаты — текущий пользователь — Личное — Сертификаты

Проверить Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)
Доверенные корневые центры сертификации — Список отзыва сертификатов
Промежуточные центры сертификации — Список отзыва сертификатов

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

30 нояб 2021 09:39 — 30 нояб 2021 09:41 #19655
от ranger

premio739 пишет: При предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

значит плохо отследили
сниффер в руки и вперед

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

24 фев 2022 11:05 — 28 фев 2022 08:00 #20374
от andreyfoxter

Обновил ImportCRL — добавил новые .crl для корневого и промежуточного от января 2022

надо бы еще скрипт установки самих сертификатов обновить…

UPD.: а в последней «QuickCG — Порядок настройки Chromium GOST» скрипт с новыми сертами уже есть — «root_2040 Локальный компьютер.exe», (спасибо FarWinter)

Спасибо сказали: Alex_04, ranger

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

25 март 2022 12:02 #20610
от FarWinter

В теме QuickEB — Порядок быстрой настройки Электронного бюджета, для ГОСТ 2002
ссылка

и в сообщении Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
ссылка

добавлено описание ручной и автоматической установки новых корневых сертификатов ФК

Установка новых корневых сертификатов ФК — ГУЦ(Минкомсвязь России), УЦФК 2021 (Федеральное казначейство)
и ФК — ГУЦ(Минцифры России), УЦФК 2022 (Казначейство России)
без них не будет заходит в lk.budget.gov.ru (вход в лк ЭБ c 1 августа 2020 через lk2012.budget.gov.ru — не работает),
будет ошибка:

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна

в сборки эти сертификаты не добавлены, их нужно установить вручную или с помощью инсталлятора
например, установить после выполнения QuickEB.exe или QuickEB_Lite.exe

Спасибо сказали: andreyfoxter

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Пошаговая инструкция как продлить RSA сертификат

Шаг 1. Переключение в режим администрирования

В меню «Пуск» найдите приложение «Единый клиент JaCarta» и откройте его.

Рис. 1. Единый клиент JaCarta

Откроется рабочая область программы.

В левом нижнем углу нажмите на ссылку «Переключиться в режим администрирования».

Рис. 2. Переключение в режим администрирования

Вновь откроется рабочая область программы. Перейдите на вкладку PKI.

Рис. 3. Информация о токене

ПРИМЕЧАНИЕ: Перед тем как продолжить, убедитесь, что раздел PKI не заблокирован.

Заказать консультацию специалиста по работе с ЕГАИС

Шаг 2. Очистка PKI раздела

На вкладке PKI в панели «Операции с приложением» нажмите на ссылку «Инициализировать…».

Рис. 4. Операции с приложением

Для инициализации получите разрешение и укажите данные для пользователя:

1. PIN-код администратора – по умолчанию 00000000

2. PIN-код пользователя – по умолчанию 11111111

Рис. 5. Инициализация приложения

После ввода данных нажмите «Выполнить».

Появится уведомление о том, что при инициализации будет удален старый PKI сертификат. Нажмите «Продолжить» для завершения.

Рис. 6. Предупреждение об удалении

После того как Вы очистили PKI раздел, он готов к записи нового сертификата.

Шаг 3. Запись нового сертификата

Зайдите на портал http://egais.ru через браузер Internet Explorer.

На главной странице портала нажмите на ссылку «Войти в личный кабинет».

Рис. 7. Вход в личный кабинет

Для входа на портал выполните проверку. Для этого на странице нажмите на кнопку «Ознакомиться с условиями и проверить их выполнения».

Рис. 8. Проверка выполнения условий

Нажмите на кнопку «Начать проверку».

Рис. 9. Проверка выполнения условий

Дождитесь завершения проверки – все галочки слева станут зелеными.

Рис. 10. Завершение проверки

После успешной проверки под проверочными пунктами появится кнопка «Перейти в Личный кабинет». Нажмите на кнопку.

Введите PIN-код от ГОСТ сертификата. PIN-код пользователя по умолчанию 098765431. Укажите PIN-код и нажмите на кнопку «Показать сертификаты».

Рис. 11. Ввод ПИН код аппаратного ключа

Система покажет ваш сертификат. Нажмите на него для входа на портал.

Рис. 12. Сертификат для входа на портал

В левом вертикальном меню выберите пункт «Получить ключ».

Рис. 13. Получение ключа

В центре страницы появятся точки с адресами, которые зарегистрированы в системе ЕГАИС. Найдите нужную и нажмите кнопку «Сформировать ключ».

Запустится процесс создания сертификата.

Для формирования сертификата введите PIN-код пользователя – по умолчанию 11111111. Нажмите на кнопку «Сформировать ключ».

Рис. 14. Формирование сертификата RSA

В некоторых случаях операционная система дополнительно запросит ввести PIN-код пользователя PKI раздела– по умолчанию 11111111.

Рис. 15. Дополнительный ввод ПИН-кода

Дождитесь завершения формирования RSA сертификата.

После успешного завершения появится надпись: «Сертификат успешно записан на токен».

Рис. 16. Формирование сертификата

На этом замена RSA сертификата завершена, продолжайте работать с ЕГАИС.

Как оформить заявление на получение ЭЦП

Согласно правилам оформления ЭП, для получения электронной подписи необходимо подготовить пакет документов и подать заявление в удостоверяющий центр или МФЦ (в зависимости от вида подписи). В статье мы подробно рассмотрим все вопросы оформления электронной подписи: какие документы нужны, в каком порядке происходит получение сертификата и куда нужно обращаться.

Срок действия ключа электронной подписи

Максимальный срок, на который выдаётся сертификат ключа ЭП, составляет 12 месяцев. Чтобы продлить действие сертификата, владелец электронной подписи должен за 14 дней до истечения срока подать заявку на продление действия сертификата. В противном случае работа сертификата будет приостановлена, как только срок его действия истечёт. Подробнее в нашей статье.

Как сделать КЭП для торгов

Для участия в торгах необходима квалифицированная электронная подпись. Она потребуется на всех этапах — от регистрации на электронной торговой площадке до подписания договора с контрагентом. Чтобы оформить квалифицированную ЭЦП для торгов, необходимо подать заявление в аккредитованный удостоверяющий центр. Детальное описание процедуры выпуска КЭП — в нашей статье.

Получение выписки ЕГРН с помощью электронной подписи

Вопрос получения такого свидетельства актуален при совершении любой сделки с недвижимостью. Заказать выписку можно на бумаге, либо в электронном формате.
Рассказываем, как получить электронную выписку с помощью ЭЦП и сколько это будет стоить.

Продление сертификата ЭП

Сертификаты электронной подписи имеют срок годности, по истечении которого нужно обращаться в удостоверяющий центр для продления. Рассказываем, как узнать срок действия сертификата и в каком порядке подаётся заявление на его продление.

Как выглядит электронная подпись

Увидеть ЭЦП в электронном документе своими глазами в буквальном смысле, конечно, нельзя, потому что это не просто какой-то графический символ. Однако можно, например, проверить документ, чтобы наглядно убедиться, что он подписан с помощью электронной подписи. В статье мы раскроем все основные вопросы, касающиеся подписания документов электронной подписью, а также выясним, какие средства и реквизиты для этого применяются.

Как зарегистрироваться в ЕИС

Единая информационная система в сфере закупок (ЕИС) создана для формирования, обработки и хранения данных о закупках. Это позволяет в значительной мере упростить доступ к сведениям о торгах. Рассказываем, что нужно для регистрации в ЕИС и в каком порядке проходит регистрация.

Создание заявления на получение ЭП

Чтобы оформить на себя электронную подпись электронную подпись, необходимо подать специальное заявление в аккредитованный удостоверяющий центр. Мы подготовили пошаговые инструкции для юридических лиц, индивидуальных предпринимателей, а также физических лиц. С их помощью вы сможете без труда оформить заявку на получение ЭЦП в личном кабинете пользователя сервиса «Астрал-ЭТ».

Как работает ЭП

Применение ЭЦП обеспечивает сохранность данных и неизменность подписанного документа, а также позволяет идентифицировать подписанта. Как же работает электронная подпись? Чтобы ответить на этот вопрос, нужно сначала разобраться как устроена подпись и какие средства шифрования используются для её применения. Об этом и пойдёт речь далее.

Как получить выписку из ЕГРЮЛ с ЭЦП ФНС

Выписка из Единого государственного реестра юридических лиц содержит все основные сведения о юрлице. Она необходима для того, чтобы удостовериться или подтвердить данные государственной регистрации, уточнить сведения об адресе местонахождения юрлица и др. Выписку в электронном виде можно получить с помощью электронной подписи. Как это сделать? Отвечаем на этот вопрос в нашей статье.

Не найден сертификат ЕГАИС

В зависимости от ключа JaCart или RuToken введите пароль

для JaCart: 11111111 (восемь единиц)

для RuToken: 12345678

Система покажет Вам ваш сертификат ГОСТ после нажатия на который вы попадёте в свой личный кабинет системы ЕГАИС.

Для генерации нового сертификата PKI нужно войти в меню (1) «Получить ключ доступа«, где выбрав нужное (2) «Подразделение» нажать на зелёную кнопку (3) «Сформировать ключ«

Вариант 1 (если сертификат записан в контейнер закрытого ключа)

Зайдите Пуск-Все программы-КРИПТО-ПРО-КриптоПро CSP.

Перейдите на вкладку Сервис.

Нажмите – Просмотреть сертификаты в контейнере.

В открывшемся окне нажмите Обзор.

В открывшемся окне выберите контейнер закрытого ключа, нажмите ОК.

Нажмите Установить, нажмите ОК (или, если сертификат уже присутствовал в хранилище, согласитесь на замену, нажав Да).

Вариант 2 (установка с использованием файла сертификата .cer)

Зайдите Пуск-Все программы-КРИПТО-ПРО-КриптоПро CSP.

Перейдите на вкладку Сервис.

Нажмите – Установить личный сертификат.

Нажмите Обзор и выберите файл сертификата, нажмите Открыть.

Затем нажмите Далее.

Если хотите найти контейнер автоматически, то поставьте галочку Найти контейнер автоматически. При установке этой галочки КриптоПро CSP автоматически найдет контейнер, сответствующий сертификату.

Если Вы хотите выбрать контейнер вручную, то нажмите Обзор-Выберите соответствующий контейнер из списка-Нажмите ОК.

Нажмите Далее, нажмите Готово (если сертификат уже присутствовал в хранилище, согласитесь на замену, нажав Да).

Спасибо!

Наш менеджер уже увидел Ваше обращение и спешит помочь Вам как можно скорее!

В рабочее время (пн – пт с 9:00 до 18:00) наши менеджеры очень активны и общительны и с радостью ответят Вам в течение дня.

В остальное время – дожидайтесь ответа на следующий рабочий день.

А пока предлагаем вам:

• Почитать отзывы наших клиентов;
• Узнать о новинках для бизнеса в блоге;
• Пообщаться с нашими клиентами в группе ВКонтакте и на Facebook.

Заказ обратного звонка

Описание проблемы. Для ЕГАИС используются два сертификата: ГОСТ сертификат для юридической значимости ТТН; RSA сертификат для идентификации контрагента.

Каждый сертификат действует один год с момента его формирования.

ГОСТ сертификат формирует удостоверяющий центр, поэтому для его продления обратитесь в удостоверяющий центр.

RSA сертификат формируется на портале ЕГАИС, поэтому вы можете самостоятельно заменить его.

Чтобы решить проблему, нужно очистить раздел PKI от старого RSA сертификата и записать туда новый.