Как проверить статус сертификата?
Использование сертификата можно условно разделить на два этапа
- проверка статуса сертификата
- если статус «действителен», использование сертификата для выполнения криптографических операций.
Каждый раз при обращении к сертификату программа «КриптоАРМ» проверяет его статус. Существует несколько типов проверки статуса сертификатов:
- По локальному списку отзыва сертификатов (СОС)
- По списку отозванных сертификатов из удостоверяющего центра
- С использованием Revocation Provider
- В OCSP службе
- С помощью списка доверенных сертификатов
- В режиме «Квалифицированная подпись»
Статус сертификата проверяется по следующим параметрам
Возможны 3 статуса действительности сертификатов, выданных УЦ:
Сертификат является действительным, если:
- Подпись Удостоверяющего центра под сертификатом корректна.
- Срок действия сертификата не истек.
- Сертификат используется для тех целей, для которых был создан.
- Сертификат не отозван и его действие не приостановлено.
Чтобы проверить статус сертификата:
- В дереве элементов главного окна выберите раздел Сертификаты. Откройте нужное вам хранилище, в котором выберите сертификат для проверки.
- В контекстном меню объекта или на панели инструментов выберите пункт Проверить статус
- По локальному списку отзыва сертификатов (списку, установленному в хранилище Списки отзыва сертификатов);
- По списку отзыва из Удостоверяющего центра (в онлайн-режиме по локальной сети);
- С использованием Revocation Provider;
- Проверить в OCSP службе.
При проверке статуса сертификата могут возникнуть следующие сообщения:
Проверка статуса сертификата по локальному СОС
«КриптоАРМ» поддерживает способ проверки статуса цифрового сертификата по локальному списку отзыва сертификатов (СОС), периодически обновляемого Удостоверяющим центром согласно Регламенту данного УЦ.
Чтобы проверить статус сертификата, выполните следующие шаги:
- В дереве элементов главного окна выберите раздел Сертификаты — нужное вам хранилище, в котором выберите сертификат (или группу сертификатов) для проверки.
- В контекстном меню объекта или на панели инструментов выберите пункт Проверить статус — по локальному СОС.
Возможные ошибки обновления списка отозванных сертификатов (СОС)
Проверка статуса сертификата по СОС из УЦ
«КриптоАРМ» позволяет проверять статус цифрового сертификата в режиме получения (и их участия в процедурах проверок) СОС в онлайн режиме из CDP и/или сетевого справочника системы.
Для использования возможности получения СОС из УЦ необходимо соблюдение следующих условий:
- В дереве элементов главного окна выберите раздел Сертификаты — нужное вам хранилище, в котором выберите сертификат (или группу сертификатов) для проверки.
- В контекстном меню объекта или на панели инструментов выберите пункт Проверить статус — по СОС из УЦ.
Возможные ошибки обновления СОС
Проверка статуса сертификата с помощью Revocation Provider
При работе с сертификатами в «КриптоАРМ» их статус можно проверить с помощью Revocation Provider (если на компьютере пользователя установлен «КриптоПро Revocation Provider»).
- В дереве элементов главного окна выберите раздел Сертификаты — нужное вам хранилище, в котором выберите сертификат (или группу сертификатов) для проверки.
- В контекстном меню объекта или на панели инструментов выберите пункт Проверить статус — с использованием Revocation Provider.
Проверка статуса сертификата в OCSP службе
«КриптоАРМ» поддерживает способ проверки статуса цифрового сертификата в OCSP службе (при установленной лицензии на модуль OCSP). При проверке статуса сертификата по OCSP формируется запрос в службу OCSP и его отправка по адресу, прописанному в сертификате или указанному в настройках групповых политик.
Если сертификат не имеет атрибута, содержащего адрес службы OCSP, то параметры доступа к службе берутся из текущей установленной по умолчанию настройке.
Если сертификат содержит адрес службы или несколько адресов, то параметры доступа в служб (такие как настройки прокси-сервера или сертификат аутентификации) берутся из OCSP профиля. При этом программа будет повторно пытаться получить OCSP ответ для каждого адреса OCSP до тех пор, пока не будет получен ответ со статусом (сертификат действителен или сертификат недействителен).
Если ни по одному из адресов, указанных в сертификате, не был получен ответ со статусом сертификата, то проверяется статус сертификата в службе, адрес которой указан в настройке.
- В дереве элементов главного окна выберите раздел Сертификаты — нужное вам хранилище, в котором выберите сертификат (или группу сертификатов) для проверки.
- В контекстном меню объекта или на панели инструментов выберите пункт Проверить статус — В службе OCSP.
Проверка сертификата с помощью списка доверенных сертификатов
- Необходимо отметить «Использовать CTL для проверки пути сертификации» в настройке верификации сертификатов.
- После произведенных действий все сертификаты, корневой сертификат которых не включен в список доверенных сертификатов, станут недействительными.
Общие рекомендации
Для участия в торгах на электронной площадке ЗАО «Сбербанк — АСТ» требуется должным образом настроить рабочее место. На компьютере нужно устанавливать подходящее программное обеспечение, в том числе криптопровайдер, подключать сертификат усиленной электронной подписи.
В противном случае при регистрации или входе в систему могут отображаться ошибки, что сделает невозможным участие в закупочных процедурах.
Требования к ПО следующие:
- инструменты для создания документов Adobe Acrobat Reader, LibreOffice, WordPad, MS Office;
- браузер Google Chrome версии 45 и больше, либо Internet Explorer не ниже 11 версии;
- архиваторы файлов WINZIP, ZIP, RAR;
Кроме того, нужно получить сертификат ЭЦП в одном из удостоверяющих центров, имеющих аккредитацию, и обеспечить его установку на ПК. Вместе с цифровым ключом вы получите плагин КриптоПро, его следует настроить на компьютере (инструкцию по установке и серийный номер лицензии выдают в центре). После нужно пройти регистрацию и аккредитацию на ресурсе Сбербанка, выполнить вход в личный кабинет.
Проверить настройки рабочего места можно на сайте Сбербанк АСТ в разделе «Информация» — «Получение и проверка ЭП». Нужно ввести номер сертификата в специальном поле и нажать кнопку «Проверить».
Проблемы с плагином
Иногда plugin КриптоПро интегрируется в браузер с ошибкой, и при входе на сайт появляется надпись вроде «Сбербанк АСТ плагин недоступен». В таком случае авторизоваться не выйдет, нужно искать причины, почему программа стала недоступной.
Они могут быть такими:
- плагин cryptopro не установлен (проверить можно в надстройках обозревателя);
- неправильно выполнена установка корневого сертификата;
- браузер неверно настроен;
- браузер устарел или не подходит для данной программы;
- используется неподдерживаемая ОС (Windows XP и Windows Vista).
Варианты решения проблемы, если на Сбербанк АСТ плагин перестал быть доступным:
1. В двух последних случаях нужно привести систему в соответствие с полным количеством требований, которые предъявляются к работе на Сбербанк АСТ.
2. Если какой-то объект, в том числе плагин, отсутствует на компьютере, его нужно установить, перед этим закрыв все браузеры. После установки, в ходе которой следует разрешать интеграцию плагинов, нужно перезагрузить ПК. Если после запуска программы появится надпись о необходимости активации вручную, следуйте подсказкам на экране.
3. Исправить настройки браузера Google Chrome, включив NPAPI (в строке адреса написать chrome://flags, нажать Enter, отметить пункт #enable-npapi и перезагрузить).
В Internet Explorer нужно:
- выбрать в главном меню «Сервис», открыть «Настроить надстройки»;
- отключить все, кроме КриптоПро, перезапустить.
- установить корневой сертификат двойным кликом по его файлу, нажать «Разрешить» и после добавления заново загрузить компьютер.
Если на вашем экране появилась ошибка «Истекло время ожидания загрузки плагина», нужно проверить, что он активен и установлен. Правила установки описаны выше, а включить программу следует в настройках браузера, выбор решения будет зависеть от вида обозревателя. Например, в Google Chrome нужно найти в меню «Дополнительные инструменты» и открыть «Расширения».
Ошибки с подписанием и сертификатом
Одна из самых распространённых ошибок — Сбербанк АСТ не видит ЭЦП. В таком случае не получается подписывать документы. Обычно это происходит из-за некорректной работы Крипто Про ЭЦП Browser plug-in.
Нужно проверить ряд факторов:
- наличие установленного плагина;
- совместимость и версию браузера, правильность настроек в нём;
- наличие в ОС корневого сертификата.
Ошибка 0x8007065b возникает во время подписания данных, и связана она с отсутствием лицензии на программу КриптоПро.
Устранить ошибку можно так:
- проверить, установлен ли сертификат со встроенной лицензией, если нет — сделать это;
- узнать, введена ли на компьютере лицензия, если она не была встроена, и срок её действия в разделе «Общее» программы КриптоПро.
Если вы видите, что содержимое подписи при заверении акта пустое, причин может быть несколько:
- площадка не работает в это время;
- портал Сбербанк АСТ не добавлен в список надёжных доменов;
- пользователь не дал разрешение использовать ActiveX в Internet Explorer.
В первом случае нужно выбрать другое время для подписания документа; во втором — через меню «Пуск» в разделе «Служба управления правами Windows» найти «Глобальное администрирование» и внести нужный домен в перечень доверенных; в третьем — запустить нажмите элементы ActiveX Сервис в браузере (раздел «Свойства обозревателя», подраздел «Безопасность»).
Ошибка «неверный формат подписи errorcode 202» — нужно обновить программное обеспечение, в частности, плагин криптографической защиты информации. Также нужен просмотр формата ЭЦП, установленной на компьютере, соотношение его с исходником, полученным в УЦ (проверить название и расширение).
Сообщение «Невозможно выполнить подписание» связано с неверной установкой корневого сертификата. Нужно проверить его наличие и правильность настроек в КриптоПро.
Ошибка получения сертификата из хранилища «cannot find object or property 0x80092004», или error Сбербанк-АСТ, может возникать из-за неверных настроек браузера, либо неточной работы библиотеки Capicom.
Для устранения ошибки 80092004 её нужно должным образом установить:
- распаковать архив с программой, запустить файл от имени администратора;
- в окне установки нажать Next;
- согласиться лицензионными правилами Microsoft;
- запустить установку кнопкой Install;
- завершить загрузку, нажав на иконку Finish;
- зарегистрировать приложение, введя в командной строке c:windowssystem32
egsvr32.exe capicom.dll и нажав «ENTER» на клавиатуре.
При входе в систему могут появиться слова «Данный сертификат не сопоставлен с пользователем системы» — в таком случае для устранения проблемы нужно делать следующее:
2. Если снова возникла ошибка «Данный сертификат не сопоставлен с пользователем системы», нужно подать заявку на регистрацию нового пользователя:
- зайдите в раздел «Участникам» на сайте Сбербанк-АСТ, кликните иконку «Регистрация», далее — «Подать заявку» в окне «Регистрация пользователя участника (нового сертификата электронной подписи)»;
- заполните пустые поля вручную, придумать новое имя пользователя и указать его латинскими буквами.
Для устранения ошибки «Клиентский сертификат не сопоставлен с пользователем Сбербанк АСТ», которая также может запрещать вход в систему, следует заполнить заявление на регистрацию нового пользователя по алгоритму, приведенному выше.
Во время заполнения регистрационной формы порой встречается ошибка «Не удалось сопоставить oid вашего сертификата с ролями системы».
Если Сбербанк АСТ не видит сертификат в личном кабинете, сначала следует проверить правильность настройки плагина криптопро и установки ЭЦП. Когда Сбербанк АСТ не видит сертификат в окне выбора при их исправной работе, проблема может быть связана с окончанием действия электронной подписи. Он истекает через 1 год после выдачи. Для перевыпуска нужно обратиться в УЦ и ввести полученный ключ, зарегистрировав нового пользователя на портале Сбербанка.
Указанные решения помогают в большинстве случаев. Однако если проблему устранить невозможно, стоит обратиться в техническую поддержку Сбербанк АСТ. Заявку можно писать по форме, опубликованной на сайте площадки в разделе «Информация». В её содержимом должны быть перечислены все проблемы, а также используемая ОС, версия браузера, дата и место выдачи ЭЦП.
Отказано в доступе. (0x80090010)
Ошибка сохранения сообщения (0x80004005)
Произошла ошибка при создании подписи
Произошла ошибка при определении размера закодированного сообщения
Как выглядит ошибка:
Переустановите ваш сертификат через КриптоПро CSP так: Перейдите на вкладку Сервис, далее Просмотреть сертификаты в контейнере, затем Обзор, выберите контейнер и нажмите Установить.
Если переустановка не поможет, то проверьте контейнер ключа при помощи кнопки Протестировать на той же вкладке. Если в результате тестирования возникнет ошибка “Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей”, то подписать этим сертификатом вам не удастся, нужно получить новый сертификат.
Также вероятная причина ошибки это ограничение прав доступа к ресурсу, на котором находится ключевой контейнер. Например в следующей статье описана похожая ошибка на серверной Windows, где причиной было ограничение прав пользователя к флешке на которой находился ключевой контейнер.
Также возможно ограничение прав на ветку реестра с контейнером, так как понадобятся не только права чтения, но и права записи.
Ключи носителя «реестр» КриптоПро CSP хранит в следующей ветке реестра:
Если не получается исправить эту ошибку добавлением прав пользователя для носителя контейнера, то с этим вопросом стоит обратиться в техподдержку компании КриптоПРО.