Добрый день! Подскажите по проблеме. Windows Server 2019. Нужно в личном кабинете подписать эцп документ в личном кабинете в одной из систем. Появляется ошибка:
Есть идеи что это может быть ?
У сертификата отображается статус «Последний сертификат цепи не является доверенным корневым сертификатом».
Причина
На компьютере не установлен корневой сертификат удостоверяющего центра. Он подтверждает подлинность вашей электронной подписи. Если корневой сертификат УЦ не установлен или истек срок его действия, все сертификаты от этого УЦ отображаются как недействительные.
Решение
Запустите мастер настройки рабочего места. Он сам установит все действующие корневые сертификаты УЦ Тензор. Сделать это можно и вручную:
- Кликните файл правой кнопкой мыши и выберите «Запуск от имени администратора».
- Установите корневые сертификаты, следуя подсказкам мастера установки.
Чтобы установить сертификаты других УЦ, сначала узнайте, какого именно корневого не хватает:
- Сохраните сертификат в файл. Укажите любое имя, система присвоит ему расширение *.cer.
- Запустите файл как программу.
- В открывшемся окне перейдите на вкладку «Путь сертификации».
- Найдите сертификат, у которого отображается ошибка, и дважды кликните его левой кнопкой мыши.
- Установите сертификат в хранилище «Доверенные корневые центры сертификации».
Права и роли
Нашли неточность? Выделите текст с ошибкой и нажмите ctrl + enter.
Каждый сертификат, используемый на компьютере, проверяется на подлинность. Для выполнения такой проверки в системе должен быть установлен корневой или кросс-сертификат того удостоверяющего центра, которым он выдан.
Сертификаты, необходимые для работы в «СБИС Электронная отчетность», ставятся на компьютер автоматически при установке программы; для работы на ЭТП — при запуске мастера настройки рабочего места.
Может кто сталкивался и знает как вылечить. На рабочей станции одного из пользователей никак не хотят добавляться корневые сертификаты в хранилище «Доверенных корневых центров сертификации». Выяснил, что они «самопроизвольно» удаляются оттуда сразу после добавления.
Если импортировать корневой сертификат в любой другой раздел, например «Промежуточные центры сертификации», то он импортируется туда без проблем и остается там. Но если, его от туда переместить в «Доверенные корневые центры сертификации» командой Вырезать-Вставить, то он там сперва появляется (Скрин 1), но после команды «Обновить» (Скрин 2), сразу же оттуда исчезает (Скрин 3).
При этом, это происходит на его машине только под его доменной учетной записью. Под другими администраторскими локальными и доменными учетками на этой же машине, сертификаты импортируются без проблем. Его учетка так же находится в группе «Администраторы».
Буду признателен за любые подсказки) Спасибо.
Последнее редактирование модератором: 23.12.2021
Может групповые политики добавляют или обновляют сертификаты? Посмотрите в GPMC
В оснастке gpedit.msc просмотрел почти все параметры, у всех состояние «не задано».
Неплохо бы увидеть журнал и ошибки если они там есть.
В журнале событий ошибок много, но именно в момент импорта сертификата никакие ошибки не регистрируются. Есть ошибка «Сбой автоматической регистрации сертификатов», но она произошла ранее по времени.
Попробуйте установить корневой сертификат в Учетную запись компьютера а не УЗ пользователя
С помощью оснастки ViPNet Клиента удалось установить корневой сертификат ключа ЭП, посредством выбора хранилища «Компьютер» вместо «Текущий пользователь», и он теперь нормально отображается в разделе «Доверенные корневые центры сертификации», и сам пользовательский сертификат теперь наконец-то стал действительным. Это уже прогресс, спасибо))
Но нужно еще установить корневой сертификат веб-портала. Его можно установить только через оснастку Windows, а она не дает выбрать хранилище «Компьютер» либо «Пользователь».
Ругается на фразу «Import-Certificate»
А вот это помогло, спасибо огромное! Все сертификаты на месте и действительны! Теперь буду знать как в хранилище Компьютера добавлять сертификаты. Остальным отписавшимся тоже спасибо за помощь!
Последнее редактирование: 23.12.2021
Чтобы добавить сертификаты в хранилище доверенных корневых центров сертификации локального компьютера, выполните следующие действия.
Установка через Internet Explorer
- Запустите iexplorer. В главном меню выберите Сервис / Свойства обозревателя.
- Откройте «Свойства обозревателя» через Пуск / Панель управления.
- Переключитесь на вкладку «Содержание».
- Откроется окно «Сертификаты». Переключитесь на вкладку «Доверенные корневые центры сертификации».
- Нажмите кнопку «Импорт».
- Запустите файл сертификата как программу. Появится окно «Сертификат».
- Нажмите кнопку «Установить сертификат».
Через консоль MS Windows
Корневые сертификаты – это сертификаты открытых ключей, которые помогают вашему браузеру определить, является ли общение с веб-сайтом подлинным, и основано на том, является ли орган, выдавший лицензию, доверенным и остается ли цифровой сертификат действительным. Если цифровой сертификат не принадлежит доверенному органу, вы получите сообщение об ошибке в виде « Проблема с сертификатом безопасности этого веб-сайта », и браузер может заблокировать связь с веб-сайтом.
Windows 10 имеет встроенные сертификаты и автоматически обновляет их. Однако вы все равно можете вручную добавить дополнительные корневые сертификаты в Windows 10 из центров сертификации (ЦС). Существует множество органов по выдаче сертификатов, среди которых наиболее известны Comodo и Symantec.
Как добавить корневые сертификаты Windows 10 вручную?
- Установить сертификаты из доверенных ЦС
- Установите сертификаты с помощью консоли управления Microsoft
Способ 1. Установите сертификаты из доверенных ЦС
Вот как вы можете добавить цифровые сертификаты в Windows 10 из доверенных центров сертификации.
- Затем нажмите Политики открытого ключа и Параметры проверки пути сертификата , чтобы открыть окно Свойства параметров проверки пути сертификата.
- Перейдите на вкладку «Магазины» и установите флажок Определить эти параметры политики .
- Выберите параметры Разрешить доверенные корневые центры сертификации для проверки сертификатов и Разрешить пользователям доверять сертификатам доверенных сертификатов , если они еще не выбраны.
- Затем нажмите горячую клавишу Win + R и введите «certmgr.msc» в текстовом поле «Выполнить», чтобы открыть окно, показанное на снимке экрана ниже. Это менеджер сертификации, который перечисляет ваши цифровые сертификаты.
- Нажмите Доверенные корневые центры сертификации и щелкните правой кнопкой Сертификаты , чтобы открыть контекстное меню.
- Нажмите кнопку Далее , нажмите Обзор, и выберите корневой файл цифрового сертификата, сохраненный на жестком диске.
- Снова нажмите Далее , чтобы выбрать Автоматически выбирать хранилище сертификатов на основе типа сертификата .
Способ 2. Установите сертификаты с помощью консоли управления Microsoft
- Вы также можете добавить цифровые сертификаты в Windows с помощью консоли управления Microsoft. Нажмите клавишу Win + R и введите «mmc» в «Выполнить», чтобы открыть окно ниже.
- Нажмите Файл , а затем выберите Добавить/удалить оснастки , чтобы открыть окно на снимке экрана ниже.
- Затем выберите Сертификаты и нажмите кнопку Добавить .
- Затем нажмите кнопку ОК в окне «Добавить или удалить оснастку».
- Теперь вы можете выбрать Сертификаты и щелкнуть правой кнопкой мыши Доверенные корневые центры сертификации в окне консоли MMC, как показано ниже.
Теперь вы установили новый доверенный корневой сертификат в Windows 10. Таким же образом вы можете добавить еще много цифровых сертификатов для этой ОС и других платформ Windows. Просто убедитесь, что сторонние цифровые сертификаты поступают от доверенных центров сертификации, таких как GoDaddy, DigiCert, Comodo, GlobalSign, Entrust и Symantec.
Примечание редактора . Этот пост был первоначально опубликован в апреле 2017 года и с тех пор был полностью переработан и обновлен для обеспечения свежести, точности и полноты.
Доброго времени суток! Есть определенное ПО которое отправляет по электронной почте файлы и подписывает их ЭЦП. В настройках ПО есть настройка выбора сертификата шифрования из списка установленных сертификатов. На сервере установлено Crypto PRO CSP 4. Когда выбираешь эту самую опцию то появляется ошибка expimp
Сертификаты не доступны
Сертификаты не отвечают критериям.
При этом установлены все необходимые корневые сертификаты, и так же личные сертификаты. Они все видны в certmgr.msc и при просмотре контейнера в крипто про. Подскажите что это может быть
Дело на windows server 2019 + crypto pro 4
Может у софта нет прав для доступа к сертификатам. Надо глянуть от имени кого ваше ПО работает. Я бы в эту сторону подумал
Не думаю. Он ведь их видит по идее но понимает что они каким то критериям не соответствуют
а на чем записаны сертификаты? Что за носитель? java token, e-token или реестр или рутокен ? Может ему носитель не нравится
Они на обычной флэшке записаны, но я пробовал копировать сертификат в реестр — пофигу, не работает
крипто про нормально видит эти сертификаты в считывателях
У меня на личном сертификате пользователя горело сообщение: Недостаточно информации для проверки этого сертификата
Тогда я понял что нет корневых сертификатов. Я их установил позже — все предупреждения исчезли. Теперь все в порядке с сертификатами.
Только выбрать их почему то не дает софт
Все таки еще раз проверьте что корневые установлены там где нужно. Похоже на то что не хватает каких то сертификатов. Возможно стоит попробовать перезагрузиться
Или есть промежуточные сертификаты
Громадное значение имеет место размещения сертификатов. Личное хранилище либо доверенные корневые центры сертификации либо промежуточные центры сертификации.
Также сам сертификат имеет дату до которой он валиден, а после нет!
Также в свойствах сертификата обычно прописывается каким он сертификатом подписывается.
А также под каким пользователем ставится сертификат!
Проверьте все эти моменты — каждый из них может кардинальным образом влиять на конечный результат.
UPD. Решили перезагрузить сервак. Ушел в ребут и не вернулся. Пищит — что то с памятью.
UPD2. Битую память извлекли сервак запустили. Переставили еще раз все корневые сертификаты — не работает.
UPD3. Написали в саппорт разрабам — говорят поставьте корневые сертификаты в доверенные корневые ЦС локального ПК а не пользователя.
Дичь какая то! Попробовали так — тоже не работает.
UPD3. Написали в саппорт разрабам — говорят поставьте корневые сертификаты в доверенные корневые ЦС локального ПК а не пользователя.
Дичь какая то! Попробовали так — тоже не работает.
Так, стоп! Команды «паниковать» не было!
Откройте пожалуйста в Проводнике файл сертификата и покажите здесь вкладку «Certification Path».
Вроде норм сертификат. Я думаю надо дождаться ответа ТП разработчиков
Отлично. Итак, у вас на руках должно быть три файла:
1. сертификат, свойства которого мы сейчас смотрим. Его надо класть в хранилище сертификатов Личное или Personal.
2. сертификат промежуточного центра сертификации. Его надо класть в хранилище промежуточных центров.
3. сертификат корневого удостоверяющего центра. Его надо класть в хранилище доверенных центров сертификации.
Делать это надо запустив оснастку Сертификаты с правами администратора для всего компа. Хотя я сделал бы и под админом и под пользователем.
Также в каждом из хранилищ надо проверить, чтобы свой сертификат лежал ТОЛЬКО в своём хранилище.
А также проверил бы свойства КАЖДОГО сертификата валиден ли он.
С этих точек зрения именно так и было сделано?
точнее не скажешь. Все так.
Тогда так:
1. Crypto PRO CSP 4 поддерживает работу на WS2019?
2. Что сказано в инструкции Crypto PRO CSP 4 как ставить сертификаты?
3. В ТП Crypto PRO CSP 4 обращались? Что они говорят?
В общем совместно с саппортом победили. Дело было в том что установленный личный сертификат был без закрытого ключа (там есть пометка что содержит закрытый ключ). Это косяк номер раз.
Косяк номер два — сертификаты должны были устанавливаться в в личные текущего компьютера, а не пользователя.
Всем спасибо за советы и ответы!
Порядок действий зависит от версии СКЗИ:
- КриптоПро CSP 4.0
- КриптоПро CSP 5.0
Корневой или кросс-сертификат УЦ установлен, можно приступать к работе с электронной подписью.