Ошибка при работе в КриптоАрм
Проблема с недействительной подписью при работе в КриптоАрм может быть вызвана и истекшим сроком сертификата, и тем, что ключ ЭЦП попал в список отозванных сертификатов, и в невозможности построить цепочку сертификатов.
Как устранить
Чтобы устранить ошибку, нужно проверить адрес OCSP службы в сертификате. В поле «Доступ к информации о центрах сертификации» обычно не ставится пункт «Метод доступа». Сделать это можно так:
- «Пуск»/«Все программы»/«Сертификаты»/«Пользователь»/«Личное»/«Сертификаты».
- В правой части рабочего окна открыть нужный сертификат.
- Открыть вкладку «Состав»/«Доступ к информации…».
Если данное условие нарушено, то необходимо обратиться в удостоверяющий центр, выдавший электронную подпись, и попросить изготовить новую ЭЦП в формате CAdeS XLONG.
Если создание ЭЦП требует использования штампа времени, то построение цепочки без подписи данного формата невозможно. Для устранения ошибки понадобится установка сертификата тестовой службы штампа времени с официальной страницы удостоверяющего центра, изготовившего ЭЦП в хранилище доверенных центров сертификации. После этого рекомендуется выполнить проверку на тестовой странице удостоверяющего центра и, если ошибка повторяется, еще раз обратиться в УЦ для проверки корректности работы ЭЦП.
Если не удается построить цепочку сертификатов, то нужно убедиться в отсутствии проблем с интернетом. Ошибка может возникать при нестабильном сигнале сети. Затем нужно проверить наличие КС удостоверяющего центра. Сделать это просто:
- Открыть КриптоПро и вкладку «Сертификаты».
- Выбрать необходимый центр.
- Выбрать «Доверенные сертификаты».
- Перейти в «Реестр» и «Сертификаты».
- Выбрать в списке КС нужного удостоверяющего центра.
При отсутствии сертификата его скачивают с официального сайта удостоверяющего центра, но обычно он находится в папке с КС и его нужно только установить. Для корректной работы в дальнейшем лучше пользоваться браузером Internet Explorer, т.к. в других браузерах возможны ошибки и сбои из-за некорректной работы плагинов.
Установка КС происходит автоматически при нажатии кнопки «Установить» и занимает несколько секунд. После этого браузер и ПК нужно перезагрузить.
Обычно проблему с недействительной подписью в сертификате можно решить собственными силами. Помогает как переустановка криптопровайдера со всеми сертификатами, так и проверка на срок действия и даже соответствие носителя ЭЦП используемой подписи. Если после всех действий ошибка повторяется, то лучше обратиться в службу технической поддержки удостоверяющего центра, изготовившего ЭЦП.
Как проверялся статус сертификатов до OCSP?
Ранее для проверки статуса SSL сертификатов использовались САС списки (также распространено название CRL списки, сокращенно от Certificate Revocation Lists). САС представляет собой список с SSL сертификатами, которые по каким-либо причинам были отозваны. Такой причиной, к примеру, может стать потеря или компрометация приватного ключа, привязанного к сертификату, или взлом сайта.
CRL списки очень информативны и содержат все серийные номера SSL сертификатов, которые были отозваны, тем самым являясь очень ресурсоемкими, а следовательно и более медленными, чем протокол OCSP. Списки САС должны постоянно обновляться со стороны центров сертификации, что требует достаточно много времени и усилий. К тому же процесс проверки сертификата по CRL спискам часто выдает неверный результат, так как информация в списках САС может быть устаревшей на момент запроса.
Ошибка при работе в СУФД
Иногда при работе системы удаленного финансового документооборота также выходит ошибка о недействительности электронной подписи. Причин может быть несколько — это и отсутствие личных сертификатов, и устаревшая версия Java и даже неправильно выбранный пользователь.
Решение
Для проверки наличия личных сертификатов нужно перейти: «Панель управления»/«Свойства обозревателя»/«Содержание»/папка «Сертификаты». Если они личные, то необходима установка КриптоПро.
Для корректной работы подписи необходима версия Java 6 update 17 и выше. Также важно проверить, включены ли в используемом браузере плагины Java. Сделать это можно так:
- для IE: «Сервис»/«Надстройки»/«Панель инструментов». В открывшемся меню все пункты, относящиеся к Java, должны быть активны.
- для Firefox: «Инструменты»/«Дополнение»/«Расширения»/«Плагины». Также в новом окне должны быть активны все пункты, связанные с Java.
Также нужно проверить «Документарный контроль» и очередность подписей, используемый ключевой носитель и соответствие учетной записи.
Сохранение списков отозванных сертификатов
- Загрузите список отозванных сертификатов Головного Удостоверяющего Центра с данного сайта
- Загрузите список отозванных сертификатов Подчиненного Удостоверяющего Центра, для этого:
- Откройте Ваш сертификат
- Списки отзыва сертификатов успешно сохранены
Ошибка обновления crl криптоарм устранение ошибок сертификатов
Нет полного доверия к сертификату подписи.
Как выглядит ошибка:
1. Если в вашей организации используется прокси-сервер, то запишите настройки прокси в соответствующем меню КриптоАРМа. Если прокси не используется, то в меню Настройки — Управление настройками — Параметры прокси-сервера отключите использование прокси.
2. В верхнем меню КриптоАРМ выберите пункт Настройки , затем Управление настройками , далее вкладка Общие — снимите чекбокс с опции Отключить проверку личных сертификатов по спискам отзыва .
3. Зайдите в меню Профили — Управление профилями, откройте профиль, который используется по умолчанию (он отмечен галочкой в списке профилей). Достаточно нажать по нему 2 раза левой клавишей мышки. Далее в разделе Верификация сертификатов в таблице нажмите кнопку Добавить все УЦ и установите чекбокс в ячейке рядом с появившимися звездочками в таблице, нажмите Применить и ОК. Выполните подписание, если предупреждение еще возникает, то переходите к следующему пункту.
4. Выберите в окне программы КриптоАРМ ветку Личное хранилище сертификатов . Затем справа выберите нужный сертификат и нажмите правой кнопкой мыши, чтобы вызвать контекстное меню. В появившемся меню выберите Проверить статус — По CRL, полученному из УЦ .
5. Если статус сертификата стал с зеленой галочкой, повторите ваше изначальное действие, подпишите файл.
- Если статус вашего сертификата не изменился, то перейдите в папку Списки отзыва сертификатов в КриптоАРМ и посмотрите, появился ли там актуальный список отзыва от вашего удостоверяющего центра (УЦ). Если список отзыва не появился, откройте сертификат, нажмите Просмотреть, перейдите на вкладку Состав, найдите строку Точки распространения списков отзыва, скопируйте ссылку и скачайте по ней список отзыва. Файл списка установите в папку Списки отзыва сертификатов нажатием кнопки Импорт. Если подгруженный список отзыва имеет недействительный статус , то это значит, что в системе отсутствует промежуточный сертификат УЦ.
- Для загрузки сертификата УЦ откройте в личном хранилище КриптоАРМ свой сертификат, нажмите Просмотреть , далее Состав . Найдите строку Доступ к информации о центре сертификации , в окне внизу найдите ссылку с окончанием crt , скопируйте ее комбинацией клавиш ctrl+C , вставьте в адресную строку браузера с помощью комбинации клавиш ctrl+V и нажмите Enter . Далее в КриптоАРМ выберите папку Промежуточные центры сертификации , на панели инструментов выберите Импорт . В открывшемся мастере импорта сертификата галки “установить личный сертификат” и “поместить в контейнер” ставить не нужно, перейдите Далее и выберите из папки загрузок сертификат УЦ. После успешного импорта статус вашего сертификата изменится. Повторите попытку подписания.
6. Если к промежуточному сертификату удостоверяющего центра тоже нет полного доверия, то выполните эти же действия по загрузке списка отозванных сертификатов.
Что делают сертификационные центры?
Каждый из центров сертификации, как правило, владеет собственным сервером для проверки статусов SSL сертификатов, где одним из важнейших требований является время обработки запроса сервером. Издатели вкладывают огромную работу в оптимизацию и ускорение данных запросов, чтобы ни в чем не уступать своим конкурентам. Различные исследования показали, что замедления в обработке запросов могут привести к значительным коммерческим потерям. Одними из самых быстрых на сегодня являются сервера центра сертификации
Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.
Обычно эта ошибка выглядит так:
Давайте сначала разберемся, почему эта ошибка возникает.
Отсутствие полного доверия к сертификату означает, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно — и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.
Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва — то можно ничего не делать и ошибки не исправлять. Это действительно так!
Шаг 1: Переводим КриптоАРМ в режим Эксперт
В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим
Шаг 2: Подключаем сертификат электронной подписи
Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен , и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет — .
Подключаем отчуждаемый носитель
Выбираем криптопровайдер , как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой , не удивляйтесь).
Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов — выберите именно тот, который вам нужен.
Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678 , для eToken — 1234567890 . Если вы все еще пользуетесь стандартным пин-кодом — стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.
Все, мы объяснили программе КриптоАРМ , где находится наш сертификат, но она ему не очень доверяет.
Шаг 2-1: Подключаем сертификат, если он не на съемном носителе
Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить — это очень небезопасно . Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами , при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.
Я попытался найти простой способ добавить сертификат в КриптоАРМ, если он лежит на локальном диске, но не нашел. Поэтому единственный быстрый способ добавить сертификат с локального диска в КриптоАРМ — это положить его на флешку (прямо в корень, без папок) и .
Шаг 3: Добавляем сертификат УЦ в список доверенных центров сертификации
Для этого возвращаемся в основное окно КриптоАРМ, заходим Сертификаты — Личное хранилище сертификатов — Правой кнопкой мыши на ваш сертификат — Свойства
Переходим на вкладку «Статус Сертификата «, выбираем сертификат удостоверяющего центра (из него «вытекает» ваш сертификат), и нажимаем Просмотреть , а затем нажимаем кнопку Установить сертификат .
Выбираем пункт «Поместить все сертификаты в следующее хранилище «, нажимаем Обзор , а затем выбираем «Доверенные корневые центры сертификации «, а затем подтверждаем установку сертификата.
Как устранить ошибку
Исправление ошибки происходит в несколько последовательных шагов и не занимает много времени.
Шаг 1
Для начала «КриптоАрм» нужно перевести в режим «Эксперт», т.к. он позволяет использовать больше функций и работает лучше.
Шаг 2
Следующий этап — подключение носителя ЭЦП к ПК.
Нужно выбрать действующий криптопровайдер, а при выборе типа носителя — токен или дискету (в системе под дискетой понимается также флешка).
После этого пользователю предстоит выбрать контейнер с ЭЦП. Под контейнером подразумевается место хранения сертификата электронной подписи на флешке или токене. Один контейнер содержит один сертификат, а если на носителе ЭЦП содержится несколько сертификатов, то нужно выбрать вызывающий сомнения.
Если контейнер ЭЦП хранится на внешнем носителе, то обычно требуется введение пин-кода. Он стандартный для всех токенов:
- для Рутокена: 12345678;
- для eToken: 1234567890.
По технике безопасности лучше сменить стандартный пин-код на пользовательский, т.к. использование заводского кода повышает риск компрометации ЭЦП.
Шаг 3
Теперь нужно добавить сертификат Удостоверяющего центра в список доверенных, т.к. ошибка «Нет полного доверия к сертификату» возникает по этой причине.
Сделать это просто. Нужно лишь:
- Вернуться в меню КриптоАрм.
- Перейти во вкладку «Сертификаты»/«Личное хранилище»/«Свойства» выбранного сертификата.
- Перейти во вкладку «Статус» и нажать «Посмотреть».
- Выбрать «Поместить сертификаты в хранилище» и нажать «Обзор».
- Выбрать «Доверенные корневые центры».
- Подтвердить установку нового сертификата.
Обычно установка занимает несколько секунд и после нее не требуется перезагрузка ПК.
Шаг 4
Последний шаг — проверка сертификата по списку отозванных. Чтобы это сделать, нужно:
- Перейти во вкладку «Свойства сертификата» и выбрать в списке нужный.
- Выбрать «По CRL, полученному в удостоверяющем центре».
- Нажать «Проверить».
После проверки можно перейти в раздел «Личное хранилище» для обновления информации. Зеленая галочка говорит об устранении ошибки и полном доверии к электронной подписи со стороны ПО.
Предупреждение «Нет полного доверия к сертификату подписи»
Выглядит ошибка «Нет полного доверия к сертификату подписи КриптоАрм» так:
Для исправления данной проблемы потребуется выполнить следующие действия:
1. Открыть программу «Internet Explorer»/«Сервис»/«Свойства»/«Содержание»/«Сертификаты», или же через меню кнопки Пуск – все программы – Крипто про — сертификаты.
Через вкладку «Состав» выбрать «Точки распространения списка отзыва».
В разделе «Имя точки» скопировать ссылку на список.
2. Далее открываем любой браузер (или выполняем данное действие в Internet Explorer) и вставляем ссылку в адресную строку, после нажимаем сохранить.
3. Далее открываем программу Крипто АРМ либо по ярлыку с рабочего стола, или через меню пуск – все программы.
Нажать на сохраненном списке правой кнопкой мыши для выбора режима установки.
4. Следовать инструкции «Мастера импорта сертификатов».
Выбираем файл, который загружали по ссылке на пункте 2 и нажимаем далее.
Так же в решении данной проблемы может помочь временное отключение антивирусной программы, и обновление программы Крипто АРМ по ссылке
Отдел технической поддержки
Не запущена служба инициализации
Иногда ошибка недействительности подписи связана со сбоем в службе инициализации. Обнаружить это можно, если попробовать посмотреть любой из закрытых ключей электронной подписи в хранилище.
Решение
Чтобы устранить ошибку нужно:
- Открыть командную строку (Win+R) и ввести в строке поиска cmd.
- Выполнить команду certmgr.msc.
- Открыть «Доверенные КС» и проверить статус интересующего закрытого ключа.
- Выполнить команду services.msc.
- Посмотреть состояние «Службы инициализации КриптоПро».
- Открыть через «Свойства» КриптоПро вкладку «Алгоритмы».
Обычно причина ошибки в том, что не все поля заполнены. После введения недостающей информации и перезагрузки программы ошибка исчезает.
Причина неисправности
Выглядит ошибка «Нет полного доверия к сертификату подписи КриптоАрм» так:
Отсутствие доверия к закрытому ключу электронной подписи говорит о том, что ПК не может определить степень доверия к Удостоверяющему центру, выдавшему сертификат ЭЦП. Одновременно отсутствие доверия к УЦ отражается на сертификате электронной подписи и ставит ее под сомнение.
На работе ЭЦП или на работе ПО «КриптоАрм» данная ошибка не сказывается, но лучше ее исправить для избежания возникновения конфликтов при проверке ключей ЭЦП.
Ошибка сертификата при работе в ЕГАИС
Во время работы в Единой Государственной Автоматизированной Информационной Системе (ЕГАИС) проблема с недействительной подписью возникает реже и обычно из-за отсутствия личного сертификата или повреждения ключевого носителя.
Как устранить
Для устранения ошибки нужно:
- Проверить действительность личного сертификата.
- Проверить наличие контейнера на носителе ЭЦП и файла с расширением .cer.
- При помощи КриптоПро сделать копию и установить с копии новый личный сертификат.
- Переместить содержимое ключевого носителя в любое место на ПК, а если данные повреждены и копирование не удается, восстановить при помощи специальной программы (badcopy).
- Переустановить КриптоПро.
Обычно после переустановки программы и повторной загрузки КС проблема исчезает. При повторном появлении ошибки лучше обратиться в техническую поддержку.
Поддержка
В разделе «Поддержка» вы можете найти ответы на часто задаваемые вопросы, загрузить дистрибутивы для установки и ознакомиться с регламентом технической поддержки.
КриптоАРМ
1. Ошибка «Указан неправильный алгоритм (0x80090008)»
В большинстве случаев ошибка «Указан неправильный алгоритм (0x80090008)» решается переустановкой сертификата подписи. Переустановить сертификат можно в программе «КриптоАРМ»
Также это можно сделать через КриптоПро CSP. Для этого откройте программу КриптоПро CSP и перейдите во вкладку «Сервис». Затем нажмите на кнопки «Просмотреть сертификаты в контейнере. » и «Обзор» Выберите нужный контейнер и нажмите кнопку «Ok», а после «Установить».
2. Ошибка построения пути сертификации
Сообщение «Статус сертификата: недействителен, ошибка построения пути сертификации» говорит о том, что нужно на рабочем месте установить корневой сертификат удостоверяющего центра, чтобы цепочка доверия могла быть построена и проверена программой.
- Выбрать сертификат в личном хранилище КриптоАРМ-а и двойным кликом открыть его
- Нажать на кнопку «Просмотреть»
- Выбрать вкладку «Состав»
- Выбрать «Доступ информации о центрах сертификации»
- Скопировать ссылку для скачивания корневого сертификата
- По ссылке скачать корневой сертификат удостоверяющего центра
- Установить сертификат в хранилище «Доверенные корневые центры сертификации»
Видео инструкция по решению ошибки с построением цепочки сертификатов:
3. Предупреждение «Нет полного доверия к сертификату подписи»
- В верхнем меню выберите пункт «Настройки», затем «Управление настройками» и «Параметры прокси-сервера». Из выпадающего списка выберите вариант «Использовать системные настройки прокси». Нажмите «Применить».
- Далее в «Управление настройками» вкладка «Общие» снимите галку с опции «Отключить проверку личных сертификатов по спискам отзыва».
- Запустите «Internet Explorer», откройте меню «Сервис» -> пункт «Свойства обозревателя» («Свойства браузера») -> закладка «Подключения» -> кнопка «Настройка сети». Убедитесь в том, чтобы в «Настройках сети» флажки «Автоматическое определение параметров» и «Использовать скрипт автоматической настройки» были сброшены.
- Выберите в окне программы «КриптоАРМ» ветку «Личное хранилище сертификатов». Затем справа выберите нужный сертификат и нажмите правой кнопкой мыши, чтобы вызвать контекстное меню. В появившемся меню выберите «Проверить статус» «По CRL, полученному из УЦ».
- Если статус сертификата стал с зеленой галкой повторите ваше изначальное действие, вновь подпишите либо проверьте подпись.
Если статус вашего сертификата не изменился, то перейдите в папку Списки отзыва сертификатов в КриптоАРМ и посмотрите, появился ли там актуальный список отзыва от вашего удостоверяющего центра (УЦ). Если подгруженный список отзыва имеет статус ( ), то это значит, что в системе отсутствует промежуточный сертификат УЦ.
- Для загрузки сертификата УЦ откройте в личном хранилище КриптоАРМ свой сертификат, нажмите Просмотреть, далее Состав. Найдите строку Доступ к информации о центре сертификации, в окне внизу найдите ссылку с окончанием crt, скопируйте ее комбинацией клавиш ctrl+C, вставьте в адресную строку браузера с помощью комбинации клавиш ctrl+V и нажмите Enter. Далее в КриптоАРМ выберите папку Промежуточные центры сертификации, на панели инструментов выберите Импорт. В открывшемся мастере импорта сертификата галки “установить личный сертификат” и “поместить в контейнер” ставить не нужно, перейдите Далее и выберите из папки загрузок сертификат УЦ. После успешного импорта статус вашего сертификата изменится. Повторите попытку подписания.
пункт «Свойства обозревателя» («Свойства браузера») -> закладка «Подключения» -> кнопка «Настройка сети». Убедитесь в том, чтобы в «Настройках сети» флажки «Автоматическое определение параметров» и «Использовать скрипт автоматической настройки» были сброшены и повторите процедуру обновления статуса сертификата, как это указано в предыдущем абзаце. —>
4. Не удается установить лицензионный ключ: ошибка сохранения данных
Запустите программу в режиме администратора. Для этого нажмите правой кнопкой на иконку «КриптоАРМ» и выберите в открывшемся контекстном меню команду «Запуск от имени администратора». Повторите ввод лицензионного ключа в меню «Помощь» — «Установить лицензию».
5. Указан хеш-алгоритм, несовместимый с данным файлом подписи
Ошибка встречается при добавлении подписи, когда хеш-алгоритм сертификата подписанта отличается от хеш-алгоритма сертификата первого подписанта
6. Отсутствует личный сертификат для расшифрования
В первую очередь проверьте наличие лицензии на КриптоАрм. Помощь \ о программе — если истек срок действия лицензии, то расшифровать не получится. Далее можно проверить зашифрован ли файл в адрес Вашего сертификата — в окне с ошибкой нажать кнопку детали \ менеджер сообщения — там будут указаны серийные номера сертификатов получателей. Среди них надо поискать свой номер. Сам номер в сертификате увидеть так: открыть сертификат 2м нажатием в личном хранилище — в поле серийный номер будет прописан нужный номер.
Также проверьте, тот ли сертификат используется для расшифрования: профили \ управление профилями \ открыть профиль с галкой 2м нажатием \ общие \ в поле владелец сертификата проверьте, какой сертификат прописан. Если нужно, выберите.
7. Ошибка установки свойства в контекст сертификата 0x80092004
Ошибка 0x80092004 говорит о том, что сертификат был установлен без привязки к закрытому ключу. Попробуйте переустановить сертификат через КриптоПро CSP.
Для этого откройте программу КриптоПро CSP и перейдите во вкладку «Сервис». Затем нажмите на кнопки «Просмотреть сертификаты в контейнере. » и «Обзор» Выберите нужный контейнер и нажмите кнопку «Ok», а после «Установить».
8. Не найден используемый криптопровайдер. Возможно он не установлен, запрещен или не поддерживается.
Это оповещение возникает в том случае, если у вас установлена устаревшая сборка ПО КриптоАРМ.
Проверьте номер сборки в главном окне КриптоАРМ нажав на кнопку Помощь, далее О программе. Устаревшими считаются сборки 4, 5.0, 5.1, 5.2, 5.3. Актуальна сборка 5.4.
Обновить КриптоАРМ можно просто скачав сборку 5.4.3.10. После загрузки запустите установку файла trusteddesktop.exe, выберите из предложенных вариантов Изменить и дождитесь окончания установки. После обновления выполните перезагрузку компьютера.
Заказ на обновление версии КриптоАРМ 4 до КриптоАРМ 5 можно оформить в интернет-магазине.
9. Установка «КриптоАРМ» завершается с ошибкой
В большинстве случаев устранить ошибку помогает удаление и установка его заново:
- Удалите программу «КриптоАРМ» через Панель управления;
- Проверьте, осталась ли папка Digt в каталоге Program Files (дополнительно проверьте каталог Program Files (х86) если используете 64-х разрядную систему Windows);
- Если Вы устанавливали «КриптоАРМ» версии 5, то необходимо дополнительно проверить, удалились ли папки, содержащие в названии CifrovieTehnologii.TrustedTLS из папки WinSxS.
- Скачайте заново дистрибутив из Центра загрузок.
- Установить «КриптоАРМ», согласно шагам Мастера установки.
10. Установка «КриптоАРМ»: ошибка «Policy 2.0.CryptoPro.PKI.Cades.publicKeyToken»
Для того чтобы установить КриптоАРМ из msi-пакета понадобится извлечь из дистрибутива установочный пакет. Для этого создайте текстовый файл (например в Блокноте) и сохраните в него следующую строчку:
trusteddesktop.exe /x package
Где trusteddesktop.exe — имя файла дистрибутива, а package — имя папки, в которую будут сохранены файлы установки. Если папка не существует, она будет создана автоматически.
Далее сохраните этот файл с расширением bat. Переместите файл в папку с дистрибутивом и запустите его двойным щелчком. После завершения его выполнения должна будет создаться папка package.
В папке package, после распаковки будут ещё две папки TDStandard и TDPlus. Сначала установите КриптоАрм Стандарт. Для этого зайдите в папку TDStandard и запустите msi файл setup-win32 (для 32-х разрядной версии Windows) или setup-x64 (для 64-х разрядной версии Windows). Чтобы узнать разряднось системы (Пуск -> Панель управления -> Система).
После установки КриптоАрм Стандарт можно установить КриптоАрм Плюс. Для этого зайдите в папку TDPlus и запустите msi файл setup-win32 (для 32-х разрядной версии Windows) или setup-x64 (для 64-х разрядной версии Windows).
11. Не удается установить «КриптоАРМ»: ошибка «Windows Installer»
После того как запустите утилиту cryptoarm.remover, перезагрузите компьютер и начните установку программы КриптоАРМ без дополнительных модулей TSP и OCSP (чтоб они были с красными крестиками в окне установки) — необходимо при установке КриптоАРМ-а выбрать не быструю установку а настраиваемую.
12. Не удается установить «КриптоАРМ»: ошибка 2739
Для 64-разрядных Windows зайти в меню Пуск и выполнить команды:
c:\windows\SysWOW64\regsvr32 c:\windows\SysWOW64\vbscript.dll c:\windows\SysWOW64\regsvr32 c:\windows\SysWOW64\jscript.dll
Для 32-разрядных Windows зайти в меню Пуск и выполнить команды:
c:\windows\System32\regsvr32.exe c:\windows\System32\vbscript.dll c:\windows\System32\regsvr32.exe c:\windows\System32\jscript.dll
Для выполнения команд необходимо наличие прав администратора.
13. В контекстном меню нет КриптоАРМа
Нужно зарегистрировать библиотеку ShellExtention. Для этого создайте текстовый файл с расширением bat и сохраните в него следующую команду:
Так же рекомендуем внести папку установки КриптоАРМ-а в список исключений антивируса.
Проверьте также выключен ли у вас UAC. Если он выключен, компоненты могут регистрироваться неправильно. Попробуйте включить UAC и перерегистрировать библиотеку. Руководство по включению и отключению UAC с сайта Microsoft:
14. Ошибка «Подпись не валидна» на сайтах наш.дом.рф и rosreestr.ru
При создании подписи убедитесь что выбран тип кодировки DER и указана опция«Сохранить подпись в отдельном файле». Т.е. нужно создать отделенную подпись, на портале помещать исходный файл и файл подписи (около 2Кб).
15. Не удается подписать файл: ошибка исполнения функции 0x0000065b
Скорее всего отсутствует лицензионный ключ или истек срок его действия для программы «КриптоАРМ» или КриптоПро CSP. Лицензионные ключи должны быть установлены в обеих программах, они должны быть активны.
Проверить наличие и статус лицензии на «КриптоАРМ» можно в верхнем меню программы в разделе «Помощь» — «О программе». В КриптоПро CSP эта информация есть на вкладке «Общие».
16. При установке сертификата возникает ошибка «Ошибка при установке сертификата и далее ФИО\ название»
Выключите режим квалифицированной подписи в настройках: настройки / управление настройками / режимы. После этого сертификат появится в папке«личное хранилище». Если возникнет ошибка построения пути сертификации, то исправить ее можно будет по инструкции вопрос №2:http://trusted.ru/support/faq/.
Ошибка обновления TSL Актуальный список TSL КриптоАрм подгружает с сайта Минкомсвязи: http://minsvyaz.ru/ru/activity/govservices/2/ или Госуслуги:http://e-trust.gosuslugi.ru/CA. Если программе не удается обновить список, то можно загрузить его с одного из этих сайтов вручную и установить в нужную папку.
Загруженный документ XML устанавливается в папку: C:\Documents and Settings\ \Local Settings\Application Data\КриптоАРМ\tsl .
17. 0x0000064a – возникает при отсутствии лицензии на модуль TSP
Проверьте пожалуйста, установлены ли лицензии в программах КриптоПро CSP и КриптоАРМ, а также установлена ли лицензия на модуль КриптоПро TSP.
Посмотреть информацию о лицензии на модуль КриптоПро TSP можно через меню пуск / все программы / КриптоПро / КриптоПро PKI -> управление лицензиями.
18. Ошибка 0x00000057 говорит о том что скорее всего в установленном сертификате нет привязки к закрытому ключу.
19. Не удается найти сертификат и закрытый ключ для расшифровки. В связи с этим использование данного сертификата невозможно.
Скорее всего у Вас нет привязки сертификата к ключевому контейнеру, наличие привязки можно проверить следующим образом — путем просмотра сертификата из личного хранилища сертификатов, например, при помощи КриптоАРМ: главное окно КриптоАРМ (вид«Эксперт») ->
Сертификаты -> Личное хранилище сертификатов -> Выбор сертификата -> Свойства -> Кнопка Просмотреть. Если привязка существует, то на закладке«Общие» (»General») последней строкой (после срока действия сертификата) будет надпись«Есть закрытый ключ, соответствующий этому сертификату.» (»You have a private key that corresponds to this certificate.»).
Для сертификатов с ключевой парой на КриптоПро CSP установить привязку
можно следующим образом:
1. Сохраните сертификат (например, в der-формате) в файл и удалите из
личного хранилища;
2. Откройте Панель КриптоПро CSP: Пуск -> Настройки -> Панель управления
-> КриптоПро CSP -> Закладка«Сервис»;
3. Нажмите на кнопку«Просмотреть сертификаты в контейнере», затем
«Обзор», выберите контейнер и нажмите«ОК», должно заполниться поле с
именем контейнера;
4. Нажмите«Далее», при необходимости введите пароль (пин-код),
откроется форма«Сертификаты в контейнере секретного ключа»;
5. Нажмите на кнопку«Свойства», откроется стандартная форма просмотра
сертификата;
6. При необходимости сравните данный сертификат с сертификатом,
сохраненным на первом шаге, если они отличаются, вернитесь на шаг 3 и
выберите другой контейнер;
7. Нажмите на кнопку«Установить сертификат», затем«Далее», выберите
«Автоматически выбирать хранилище на основе типа сертификата», снова
«Далее» и«Готово».
20. Ошибка 0x80091008 при расшифровке сообщения
Возникает в основном когда в КриптоАРМ или в КриптоПро CSP не установлена лицензия. В КриптоАрм проверить наличие лицензии можно через пункт меню помощь / о программе. В КриптоПро на вкладке «общие».
Если лицензии установлены, попробуйте переустановить КриптоПро CSP.
21. Как подписать отчеты для ГОЗ (Минобороны)
Запустите мастер подписи. Если запускался не через контекстное меню, то на второй странице нужно выбрать подписываемый файл.
На странице «Выходной формат» выбрать вариант Base64 (выбран по умолчанию) и в поле справа заменить расширение sig на sign. На этой же странице установить галочку «Отключить служебные заголовки».
На следующей странице «Параметры подписи» убрать галочку «Поместить имя исходного файла в поле Идентификатор ресурса». На этой же странице установить галочку «Сохранить подпись в отдельном файле».
На этой странице не нужно убирать галочку «Включить время создания подписи». При работе Ccptest время добавляется в подпись.
На странице «Выбор сертификата подписи» выбрать нужный сертификат.
При завершении мастера можно сохранить настройки в профиль, чтобы не вводить их заново в следующий раз.
По завершению мастера нужно вручную убрать из имени файла расширение xml. КриптоАРМ всегда добавляет в имя исходное расширение, а поскольку по требованиям его там быть не должно, то переименовывать файл придется вручную.
Установка отозванных сертификатов
В некоторых случаях необходимо установить списки отозванных сертификатов дополнительно. Для установки нужно:
- Проделать путь «Internet Explorer»/«Сервис»/«Свойства»/«Содержание»/«Сертификаты».
- Через вкладку «Состав» выбрать «Точки распространения списка отзыва».
- В разделе «Имя точки» скопировать ссылку на список.
- Сохранить список в любое место на ПК.
- Нажать на сохраненном списке правой кнопкой мыши для выбора режима установки.
- Следовать инструкции «Мастера импорта сертификатов».
Иногда в строке списка отозванных сертификатов имеется две ссылки, т.е. два списка. В этом случае действия со вторым списком отозванных сертификатов аналогичны и полностью повторяют путь установки через «Мастера импорта».
После проведенных действий для корректной работы электронной подписи лучше произвести перезагрузку ПК. При соблюдении последовательности действий проблем в установке списка отозванных ключей электронной подписи и исправлении ошибки не возникает. Единственной причиной, по которой процесс может сбиться, является нестабильное подключение к интернету.
Установка списков отозванных сертификатов
- Запустите пограмму КриптоАРМ
- Нажмите Вид и выберите Эксперт
- Затем нажмите правой кнопкой мыши на Список отзыва сертификатов и нажмите Импорт
- Откроется Мастер установки сертификатов, нажмите Далее
- В открывшемся окне нажмите Выбрать
- Выберите список отозванных сертификатов с расширением crl. Затем нажмите Открыть
- Нажмите Далее
- Выберите хранилище Промежуточные центры сертификации, нажмите Далее
- Нажмите Готово
- Повторите все вышеперечисленные действия со вторым списком отозванных сертификатов
Сертификаты были успешно установлены.
Как мы можем помочь?
КриптоАРМ: Не удается установить лицензионный ключ: ошибка сохранения данныхКриптоАРМ: статус сертификата: недействителен, ошибка построения пути сертификации
Ошибка обновления crl криптоарм устранение ошибок сертификатов
Время работы
Написать в поддержку
Перейти к
Перейти к
Как исправить ошибку отсутствия доверия к сертификату ЭЦП
Программа «КриптоАрм» является стандартом для электронной цифровой подписи (ЭЦП), постоянно обновляется, дорабатывается и отслеживает все возникающие сбои. Обычно у пользователей не возникает проблем в работе, т.к. интерфейс понятен и прост, а алгоритмы отвечают всем стандартам безопасности. Но иногда возникает ошибка отсутствия полного доверия к сертификату ЭЦП, которую можно устранить самостоятельно и за несколько минут.
Различия между CRL и OCSP
Свойства списков САС:
- Список серийных номеров сертификатов, которые были отозваны
- Необходимо обновление вручную каждых 5-14 дней
- Проверка только сертификатов с EV (не работает для и )
- Если список САС недоступен, сертификат по умолчанию считается доверенным
Свойства протокола OCSP:
- Проверка SSL сертификата в индивидуальном порядке
- Требуется меньше информации, ниже нагрузка на сеть
- Осуществляется на серверах, принадлежащих издателям сертификатов
- Имеются некоторые уязвимости личных данных
Как работает протокол OCSP?
Оптимальное решение на смену CRL протоколу — это протокол OCSP, позволяющий запрашивать статус сертификата стандарта X-509 на специальных серверах центров сертификации в режиме реального времени. Стандарт X-509 — это интернациональный стандарт для инфраструктуры общественного ключа, представляющий собой криптографическую систему, в которой выдаются, распределяются и проверяются сертификаты. Структура X-509 содержит такие данные о сертификате, как версия, серийный номер, алгоритмы и значение подписи, имя (название) владельца и издателя, срок действия сертификата, публичный ключ, подпись.
Протокол отправляет в режиме настоящего времени запрос на OCSPсервер, который обычно принадлежит издателю SSL сертификата, и получает OCSP ответ, как описано в начале текста. Если сервер не может обработать запрос, он возвращает ошибку. Ответы OCSP, как правило, имеют цифровую подпись и могут быть проверены пользователем на подлинность. Цифровая подпись OCSP ответа должна осуществляться тем же ключом, что и подпись самого SSL сертификата.
Протокол OCSP позволяет проверять большое количество SSL сертификатов, получая список ответов от сервера. Условием подтверждения актуального статуса сертификата является необходимость работы сервера по актуальной базе данных сертификационных центров. Большинство программ, например, Windows Vista и выше, все версии Mozilla Firefox, Adobe, Opera начиная с версии 8.0, Lotus и т.д. поддерживают протокол OCSP. Однако некоторые более старые браузеры, которые поддерживают только CRL. Кроме того, браузер Chrome отменил проверку статуса SSL по OCSP.
Ошибка. Нет полного доверия к сертификату подписи
Данная ошибка возникает в случае, если необходимо установить списки отозванных сертификатов.
Для установки отозванных сертификатов Удостоверяющего Центра выполните следующие действия:
Ошибка обновления crl крипто арм. Устранение ошибок сертификатов
КриптоАРМ
1. Ошибка — указан неверный серийный номер
Установите соответствующий лицензии дистрибутив:
2. Ошибка — Статус сертификата: недействителен, ошибка построения пути сертификации
3. При подписании или проверке документа возникает предупреждение: «Нет полного доверия к сертификату подписи»
Если при создании электронной подписи либо после проверки подписанного документа появляется предупреждение «Нет полного доверия к сертификату подписи» и статус сертификата отображается с желтым вопросительным знаком, то необходимо проверить сертификат по списку отозванных сертификатов, а для этого выполните следующие действия:
- В верхнем меню выберите пункт «Настройки», затем «Управление настройками» и «Параметры прокси-сервера». Из выпадающего списка выберите вариант «Использовать системные настройки прокси». Нажмите «Применить».
- Далее в «Управление настройками» вкладка «Общие» снимите галку с опции «Отключить проверку личных сертификатов по спискам отзыва».
- Запустите «Internet Explorer», откройте меню «Сервис» -> пункт «Свойства обозревателя» («Свойства браузера») -> закладка «Подключения» -> кнопка «Настройка сети». Убедитесь в том, чтобы в «Настройках сети» флажки «Автоматическое определение параметров» и «Использовать скрипт автоматической настройки» были сброшены.
- Выберите в окне программы «КриптоАРМ» ветку «Личное хранилище сертификатов». Затем справа выберите нужный сертификат и нажмите правой кнопкой мыши, чтобы вызвать контекстное меню. В появившемся меню выберите «Проверить статус» «По CRL, полученному из УЦ».
- Если статус сертификата стал с зеленой галкой повторите ваше изначальное действие, вновь подпишите либо проверьте подпись.
4. Ошибка в ходе установки «КриптоАРМ»
В большинстве случаев устранить ошибку помогает удаление и установка его заново:
1. Удалите программу «КриптоАРМ» через Панель управления;
2. Проверьте, осталась ли папка Digt в каталоге Program Files (дополнительно проверьте каталог Program Files (х86) если используете 64-х разрядную систему Windows);
3. Если Вы устанавливали «КриптоАРМ» версии 5, то необходимо дополнительно проверить, удалились ли папки, содержащие в названии CifrovieTehnologii.TrustedTLS из папки WinSxS.
5. Установить «КриптоАРМ», согласно шагам Мастера установки.
5. Росреестр не принимает файлы, подписанные с помощью «КриптоАРМ».
При создании подписи убедитесь что выбран тип кодировки DER и указана опция “Сохранить подпись в отдельном файле”. Т.е. нужно создать отделенную подпись, на портале помещать исходный файл и файл подписи (около 2Кб).
Видеоинструкция о том, как подписать документы для Росреестра по ссылке .
6. Чем отличается использование самоподписанных сертификатов от сертификатов, выданных официальным Удостоверяющим центром?
Сертификат – это электронный или печатный документ, удостоверяющий соответствие между парой цифровых ключей и их владельцем. В корпоративных и иных системах такие сертификаты выдаются специальным органом – Удостоверяющим центром. В этом случае получатель подписанного вами электронного документа может проверить подлинность и корректность данных отправителя, обратившись к этому УЦ.
Самоподписанный сертификат формируется самим пользователем за счет возможностей, заложенных в программу “КриптоАРМ”, т.е. сам удостоверяет соответствие своих ключей и себя, как их владельца. Использование таких сертификатов возможно при личной переписке или в тех организациях, где такая возможность специально оговорена регламентом использования ЭЦП.
Для использования сертификата вне организации для обеспечения юридически значимого документооборота необходимо использовать сертификаты, выданные сторонней организацией, Удостоверяющим центром. Одними из ведущих УЦ на территории РФ являются КриптоПро УЦ, Ekey УЦ и ряд других.
7. Почему размер зашифрованного файла увеличивается почти в два раза?
Размер зашифрованного файла зависит от того, какой вариант шифрования вы выбираете. Если выбираете шифрование в p7s, то выходной файл будет в der-кодировке. Если выбираете вариант pem, то он будет в кодировке Base 64, что естественно приводит к увеличению размера на 33%. Если же вы подписываете и шифруете одновременно и в обоих случаях используете Base 64 кодировку, то выходной файл будет больше аналогичного бинарного в 1,33 * 1,33 = 1,77 раза.
8. Как переустановить личный сертификат (с привязкой к ключевому контейнеру) средствами «КриптоАРМ».
Далее предполагается, что закрытый ключ хранится на токене (например, eToken или ruToken), если он хранится на дискете, то соответственно вынимать и вставлять следует дискету. Если же он хранится в реестре, то ничего вынимать и вставлять не требуется, но тогда необходимо быть особо внимательным на шаге 2.3, — на второй вопрос (про удаление ключей) необхидомо ответить “Нет”.
0. подготовка:
0.1. запустить КриптоАРМ.
0.2. в верхнем меню “Вид” выбрать режим “Эксперт”.
1. сохранить сертификат в файл в следующем порядке:
1.1. выбрать элемент списка “Личное хранилище сертификатов” в левой части окна КриптоАРМ.
1.2. встать на сертификат в списке в правой части окна и нажать на него правую кнопку.
1.3. в появившемся контекстном меню выберите “Экспорт”.
1.4. если появится окно “CryptoPro CSP” для ввода пин-кода, на нем можно нажать “Отмена” (при необходимости — несколько раз).
1.5. в появившемся окне мастера нажать “Далее”.
1.6. на следующей странице мастера выбрать “Нет, не экспортировать закрытый ключ” и нажать “Далее”.
1.7. на следующей странице мастера выбрать первый (”DER”) или второй (”Base64″) формат и нажать “Далее”.
1.8. на следующей странице мастера нажать кнопку “Обзор”, перейти на рабочий стол (или в любое удобное место), в поле “Имя файла” ввести любое имя, например, “Сертификат1″ и нажать кнопку “Сохранить”. В странице мастера появится путь, по которому он будет сохранен, этот путь рекомендуется запомнить или даже скопировать в блокнот. Нажать “Далее”.
1.9. на следующей странице мастера нажать кнопку “Завершить”.
2. удалить сертификат из хранилища в следующем порядке:
2.0. подготовка: ВЫНУТЬ ТОКЕН из компьютера.
2.1. выбрать элемент списка “Личное хранилище сертификатов” в левой части окна КриптоАРМ.
2.2. в правой части окна нажать правой кнопкой мыши на сертификат.
2.3. в появившемся конекстном меню выбрать пункт “Удалить”, в первом окне подтверждения выбрать “Да”, а затем во втором окне подтверждения (где спрашивается про закрытые ключи) выбрать “Нет”.
2.4. убедиться что сертификат пропал из списка.
3. установить сертификат подписи в следующем порядке:
3.1. щелкнуть правой кнопкой на элемент левого окна “Личное хранилище сертификатов”.
3.2. в появившемся контекстном меню выбрать “Импорт”
3.3. в появившемся мастере включить галочки “Установить личный сертификат”, нажать “Далее”.
3.4. на следующей странице мастера нажать кнопку “Выбрать” и в диалоге выбора файла выбрать файл по имени из п.1.8 (сохраненный в блокноте). Нажать “Далее”.
3.5. на следующей странице мастера можно увидеть информацию о сертификате и нажать “Далее”.
3.6. ВСТАВИТЬ ТОКЕН.
3.7. на следующей старнице мастера необходимо выбрать криптопровайдер “CryptoPro GOST R 34.10-2001 Cryptographic Service Provider”, нажать кнопку ниже “Выбрать” и в появившемся окне выбрать контейнер, нажать “ОК”, а затем нажать кнопку “Далее”.
3.8. в появившемся окне при необходимости укажите пин-код и нажмите “ОК”.
3.9. на следующей странице мастера нажмите “Завершить”.
Если в процессе выполнения этих пунктов не возникло проблем, то дальнейшая подпись должна работать без ошибок.
9. Как подписать и зашифровать декларацию для ФСРАР (Росалкогольрегулирование)?
10. Ошибка — Использование выбранного сертификата невозможно
Для корректной подписи и расшифрования в КриптоАРМ личный сертификат должен иметь привязку к ключевому контейнеру (ключевой паре).
Ее наличие можно проверить путем просмотра сертификата из личного хранилища сертификатов, например, при помощи КриптоАРМ: Контекстное меню трей-агента -> Хранилища сертификатов -> Личное хранилище сертификатов -> Выбор сертификата -> Просмотреть.
Если привязка существует, то на закладке ”Общие” (”General”) последней строкой (после срока действия сертификата) будет надпись ”Есть закрытый ключ, соответствующий этому сертификату.” (”You have a private key that corresponds to this certificate.”).
Для сертификатов с ключевой парой на КриптоПро CSP установить привязку можно следующим образом:
1. сохраните сертификат (например, в der-формате) в файл и удалите из личного хранилища;
2. откройте Панель КриптоПро CSP: Пуск -> Настройки -> Панель управления -> КриптоПро CSP -> Закладка ”Сервис”;
3. нажмите кнопку ”Просмотреть сертификаты в контейнере”, затем ”Обзор”, выберите контейнер и нажмите ”ОК”, должно заполниться поле с именем контейнера;
4. нажмите ”Далее”, при необходимости введите пароль (ПИН-код), откроется форма ”Сертификаты в контейнере секретного ключа”;
5. нажмите кнопку ”Свойства”, откроется стандартная форма просмотра сертификата;
6. при необходимости сравните данный сертификат с сертификатом, сохраненным на первом шаге, если они отличаются, вернитесь на шаг 3 и выберите другой контейнер;
7. нажмите кнопку ”Установить сертификат”, затем ”Далее”, выберите ”Автоматически выбирать хранилище на основе типа сертификата”, снова ”Далее” и ”Готово”.
Обмен письмами с владельцем сертификата (инспекцией / спецоператором связи) возможен только в том случае, если сертификат, который установлен в карточке его владельца на закладке «Сертификаты «, имеет статус «действителен «.
Если у сертификата на закладке «Сертификаты » в поле «Статус » появляется любое другое сообщение, это означает, что сертификат непригоден.
При получении писем от владельца данного сертификата возникнет ошибка «Невозможно определить отправителя! « и письмо окажется в реестре проблемной почты (т.е. не будет получено). При отправке документов в адрес владельца данного сертификата возникнет ошибка «У лица не найдено действительного сертификата для шифрования « и документ не будет отправлен.
В каких случаях определяется непригодность сертификата?
Истек срок действия сертификата
Сертификаты выдаются центрами сертификации на определённый срок. Когда срок действия сертификата истекает, использование данного сертификата в системе электронной отчётности автоматически прекращается. В этом случае у сертификата в карточке его владельца в поле «Статус » появляется сообщение «Один из сертификатов удостоверяющей цепи не подходит по дате «.
Как правило, когда подходит завершение срока действия какого-то сертификата, спецоператор связи в своей базе устанавливает в карточку владельца сертификата сертификат с новым сроком действия и рассылает этот сертификат в адрес других абонентов системы. Получение сертификата на стороне абонента-получателя происходит в обычные сеансы документооборота, как только сертификат получен, он автоматически устанавливается в карточку его владельца на закладку «Сертификаты «. Как только сертификат вступает в действие, он автоматически начинает использоваться вместо того сертификата, срок действия которого истёк. Этот порядок используется как при истечении срока действия сертификатов ИФНС, так и при истечении срока действия сертификата спецоператора связи.
Если сертификат с новым сроком действия вы получили на дискете или средствами обычной почтовой программы, в этом случае вам необходимо открыть карточку владельца сертификата и добавить сертификат на закладку «Сертификаты » из файла сертификата, который вы получили. Для этого необходимо выполнить ряд несложных действий:
1. В справочнике организаций откройте соответствующую карточку.
2. Перейдите на закладку «Сертификаты » и нажмите клавишу , выберите добавление сертификата «Из файла» , далее укажите полученный файл сертификата.
Рис. 15-17 – Реквизиты сертификата
Убедитесь, что ключ подписи соответствует данному налогоплательщику и что он действителен . Название владельца указано в поле «Кому выдан «, текущий статус ключа отображается в поле «Статус «.
3. Закройте окно с реквизитами сертификата («Сохранить «). В таблице на закладке «Сертификаты » появляется новая запись.
Сертификат был отозван
Удостоверяющие центры могут аннулировать и прекращать действие сертификатов, которые им были выданы (отзыв сертификатов). Списки отозванных сертификатов (списки отзыва) периодически публикуются удостоверяющими центрами. Эти списки регулярно рассылаются специализированными операторами связи системы в адрес своих абонентов.
Получение списка отзыва на стороне абонента происходит автоматически, в обычные сеансы доставки почты (вместе с документами с отчётностью).
Как только список отзыва получен, он автоматически устанавливается в реестр отозванных сертификатов («Главное меню/ Сервис/ Обновления/ Списки отзыва сертификатов » в задаче «Администратор «). Как только в этот список попадает отозванный сертификат, его статус меняется с «действителен » на «отозван «. Доставка документов владельцев данных сертификатов автоматически прекращается.
Непригоден / отсутствует корневой сертификат
Подлинность сертификатов, которые используются в системе, подтверждают сертификаты удостоверяющих центров , которыми они были изготовлены. Сертификаты всех удостоверяющих центров – изготовителей сертификатов отправителей и получателей писем, должны быть установлены в хранилище корневых сертификатов Windows на рабочей станции, на которой производится доставка документов, и иметь статус «действителен «.
Система работает с корневым сертификатом автоматически, без участия пользователя. Если сертификат соответствующего удостоверяющего центра отсутствует в корневом хранилище или непригоден (например, просрочен), использование сертификатов, изготовленных данным центром сертификации, прекращается.
В этом случае в карточках владельцев соответствующих сертификатов в поле «Статус » появляется сообщение: «Цепь сертификатов не закончена » и доставка документов владельцев данных сертификатов прекращается.
Для устранения проблемы следует обратиться в спецоператору связи или в соответствующий удостоверяющий центр, получить действительный сертификат и установить его в корневое хранилище с помощью Мастера импорта сертификатов Windows (подробные инструкции приводятся в приложении «Импорт корневого сертификата «).
Как только действительный сертификат удостоверяющего центра окажется в хранилище, статус сертификатов в карточках соответствующих организаций изменится на «Действителен «.
Непригодно СКЗИ «КриптоПро CSP»
При доставке документов для работы с ключами подписи и сертификатами используется программа СКЗИ «КриптоПро CSP «. Система работает с КриптоПро CSP автоматически, без участия пользователя. Если СКЗИ «КриптоПро CSP» не установлено или непригодно, прекращается доставка документов всех отправителей.
В этом случае у всех сертификатов в карточках организаций в поле «Статус » появляется сообщение «Один из сертификатов удостоверяющей цепи не имеет правильной подписи «, «Не найден подходящий криптопроцессор! » и доставка почты прекращается.
Для устранения проблемы необходимо переустановить СКЗИ «КриптоПро CSP» (подробные инструкции приводятся в приложении «Переустановка программ криптозащиты «). После переустановки КриптоПро CSP статус сертификатов в карточках организаций изменится на «Действителен «.
OCSP (сокращенно от полного названия Online Certificate Status Protocol ) представляет из себя Интернет протокол для проверки статуса SSL-сертификата, который работает быстрее и надежнее, чем это осуществлялось ранее с помощью списков САС (или CRL списков) с отозванными SSL сертификатами.
Вкратце протокол OCSP работает следующим образом: конечный пользователь посылает запрос серверу для получения информации о SSL-сертификате. В ответ он получает OCSP ответ, один из следующих вариантов:
- good – SSL сертификат не отозван и не заблокирован,
- revoked – SSL сертификат отозван,
- unknown – не удалось установить статус SSL сертификата, так как серверу не известен издатель.
Эти OCSP ответы позволяют пользователям узнать статус SSL сертификата и подтвердить (или поставить под сомнение) безопасность того или иного веб-сервиса. Протокол OCSP стремительно ускорил процесс получения информации о SSL сертификатах и таким образом стал предпочтительным инструментом проверки статуса SSL сертификата для пользователя в режиме реального времени.