Загрузка пакета с сертификатами
Установка из репозитория может не дать нужного эффекта, если в нем находятся не самые свежие сертификаты или наша система сильно устарела или не имеет выхода в Интернет.
В этом случае нам нужно загрузить пакет с корневыми сертификатами вручную. Разберем пример на системе Ubuntu. В официальном репозитории или в поисковой системе находим пакет для загрузки, например, по ссылке ftp.ru.debian.org/debian/pool/main/c/ca-certificates копируем ссылку на файл с последней версией сертификатов, и загружаем его на наш компьютер:
Полученный пакет устанавливаем в системе:
И обновляем корневые сертификаты:
Установка вручную
Выше рассмотрены самые удобные способы обновления корневых сертификатов. Но мы можем столкнуться с ситуацией, когда в предоставляемых официальных пакетах не окажется обновленного сертификата. Например, на момент написания данной инструкции у систем на базе Deb не оказалось нового сертификата для Let’s Encrypt, а старый закончил свое действие 30 сентября 2022 года.
В данном случае, мы можем установить любой нужный нам сертификат руками. Для этого скачала находим его и копируем — приведем пример с Let’s Encrypt. На странице letsencrypt.org/ru/certificates мы можем увидеть ссылки на корневые сертификаты. Допустим, нам нужен Let’s Encrypt Authority X3 (Signed by ISRG Root X1), который доступен по ссылке letsencrypt.org/certs/letsencryptauthorityx3.pem.txt. Копируем последовательность и создаем файл на компьютере:
——BEGIN CERTIFICATE—— MIIFjTCCA3WgAwIBAgIRANOxciY0IzLc9AUoUSrsnGowDQYJKoZIhvcNAQELBQAw TzELMAkGA1UEBhMCVVMxKTAnBgNVBAoTIEludGVybmV0IFNlY3VyaXR5IFJlc2Vh cmNoIEdyb3VwMRUwEwYDVQQDEwxJU1JHIFJvb3QgWDEwHhcNMTYxMDA2MTU0MzU1 WhcNMjExMDA2MTU0MzU1WjBKMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNTGV0J3Mg RW5jcnlwdDEjMCEGA1UEAxMaTGV0J3MgRW5jcnlwdCBBdXRob3JpdHkgWDMwggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCc0wzwWuUuR7dyXTeDs2hjMOrX NSYZJeG9vjXxcJIvt7hLQQWrqZ41CFjssSrEaIcLo+N15Obzp2JxunmBYB/XkZqf 89B4Z3HIaQ6Vkc/+5pnpYDxIzH7KTXcSJJ1HG1rrueweNwAcnKx7pwXqzkrrvUHl Npi5y/1tPJZo3yMqQpAMhnRnyH+lmrhSYRQTP2XpgofL2/oOVvaGifOFP5eGr7Dc Gu9rDZUWfcQroGWymQQ2dYBrrErzG5BJeC+ilk8qICUpBMZ0wNAxzY8xOJUWuqgz uEPxsR/DMH+ieTETPS02+OP88jNquTkxxa/EjQ0dZBYzqvqEKbbUC8DYfcOTAgMB AAGjggFnMIIBYzAOBgNVHQ8BAf8EBAMCAYYwEgYDVR0TAQH/BAgwBgEB/wIBADBU BgNVHSAETTBLMAgGBmeBDAECATA/BgsrBgEEAYLfEwEBATAwMC4GCCsGAQUFBwIB FiJodHRwOi8vY3BzLnJvb3QteDEubGV0c2VuY3J5cHQub3JnMB0GA1UdDgQWBBSo SmpjBH3duubRObemRWXv86jsoTAzBgNVHR8ELDAqMCigJqAkhiJodHRwOi8vY3Js LnJvb3QteDEubGV0c2VuY3J5cHQub3JnMHIGCCsGAQUFBwEBBGYwZDAwBggrBgEF BQcwAYYkaHR0cDovL29jc3Aucm9vdC14MS5sZXRzZW5jcnlwdC5vcmcvMDAGCCsG AQUFBzAChiRodHRwOi8vY2VydC5yb290LXgxLmxldHNlbmNyeXB0Lm9yZy8wHwYD VR0jBBgwFoAUebRZ5nu25eQBc4AIiMgaWPbpm24wDQYJKoZIhvcNAQELBQADggIB ABnPdSA0LTqmRf/Q1eaM2jLonG4bQdEnqOJQ8nCqxOeTRrToEKtwT++36gTSlBGx A/5dut82jJQ2jxN8RI8L9QFXrWi4xXnA2EqA10yjHiR6H9cj6MFiOnb5In1eWsRM UM2v3e9tNsCAgBukPHAg1lQh07rvFKm/Bz9BCjaxorALINUfZ9DD64j2igLIxle2 DPxW8dI/F2loHMjXZjqG8RkqZUdoxtID5+90FgsGIfkMpqgRS05f4zPbCEHqCXl1 eO5HyELTgcVlLXXQDgAWnRzut1hFJeczY1tjQQno6f6s+nMydLN26WuU4s3UYvOu OsUxRlJu7TSRHqDC3lSE5XggVkzdaPkuKGQbGpny+01/47hfXXNB7HntWNZ6N2Vw p7G6OfY+YQrZwIaQmhrIqJZuigsrbe3W+gdn5ykE9+Ky0VgVUsfxo52mwFYs1JKY 2PGDuWx8M6DlS6qQkvHaRUo0FMd8TsSlbF0/v965qGFKhSDeQoMpYnwcmQilRh/0 ayLThlHLN81gSkJjVrPI0Y8xCVPB4twb1PFUd2fPM3sA1tJ83sZ5v8vgFv2yofKR PB0t6JzUA81mSqM3kxl5e+IZwhYAyO0OTg3/fs8HqGTNKd9BqoUwSRBzp06JMg5b rUCGwbCUDI0mxadJ3Bz4WxR6fyNpBK2yAinWEsikxqEt ——END CERTIFICATE——
Открываем на редактирование файл:
И добавляем в него строку с указанием на созданный файл:
Сертификат не действителен. Цепочка сертификатов обработана, но прервана на корневом сертификате, который не является доверенным (код ошибки 103,104).
Ошибка связана с тем, что сертификат удостоверяющего центра не установлен в списке доверенных. Что бы устранить данную ошибку, необходимо установить корневой сертификат в хранилище операционной системы.
Установка корневого сертификата должна происходить на той машине, на которой происходят криптографические операции (Подписание, Шифрование). В случае использования клиент-серверной версии, с подписанием на сервере, корневой сертификат должен устанавливаться на сервере 1С:Предприятие. Установка на сервере должна происходить под доменным пользователем, под которым добавлен сертификат пользователя.
2. Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Доступ к информации о центрах сертификации» и скопировать ссылку на сертификат Удостоверяющего Центра (ссылка должна заканчиваться на .crt или .cer):
4. Открыть файл скаченного корневого сертификата и нажать кнопку «Установить сертификат. «. В «Мастере импорта сертификатов» на этапе определения хранилища необходимо выбрать пункт «Поместить все сертификаты в следующее хранилище» и указать хранилище «Доверенные корневые центры сертификации»:
5. Если в завершении процесса установки сертификата появится предупреждение, то нужно нажать кнопку «Да»:
Установка КриптоПро
Когда установочный файл скачен, его нужно запустить для установки на ваш компьютер. Система отобразит предупреждение, что программа запрашивает права на изменение файлов на ПК, разрешите ей это сделать.
Перед установкой программы на свой компьютер, все ваши токены должны быть извлечены. Браузер должен быть настроен на работу, исключением является браузер Opera, в нем уже произведены все настройки по умолчанию. Единственное, что остается пользователю — это активировать специальный плагин для работы. В процессе вы увидите соответствующее окно, где Opera предлагает активировать этот плагин.
После запуска программы, нужно будет ввести ключ в окне.
Найти программу для запуска можно будет по следующему пути: «Пуск», «Все программы», «КриптоПро», «КриптоПро CSP». В открывшемся окне нажмите кнопку «Ввод лицензии» и в последней графе введите ключ. Готово. Теперь программу необходимо настроить соответствующим образом под ваши задачи. В некоторых случаях для электронной подписи используют дополнительные утилиты — КриптоПро Office Signature и КриптоАКМ. Можно устранить ошибку — нет возможности построить цепочку сертификатов для доверенного корневого центра — простой переустановкой КриптоПро. Попытайтесь это сделать, если другие советы не помогли.
Ошибка «Не удается построить цепочку сертификатов» все еще появляется? Отправьте запрос в службу поддержки, в котором нужно разместить скриншоты ваших последовательных действий и объяснить подробно свою ситуацию.
Операционные системы Astra Linux
Оперативные обновления и методические указания
Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).
1) от несанкционированного доступа; 2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.
В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.
Очередные обновления (версии) предназначены для:
Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:
Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.
Общесистемные корневые CA сертификаты
Консолидированный файл, включающий в себя все корневые сертификаты CA операционной системы, находится в файле /etc/ssl/certs/ca-certificates.crt. Этот файл может быть символической ссылкой на фактическое расположение сертификатов в файлах /etc/ssl/cert.pem или /etc/ca-certificates/extracted/tls-ca-bundle.pem.
Корневые CA сертификаты в виде отдельных файлов расположены в директории /etc/ssl/certs, в этой директории могут быть ссылки на фактическое расположение сертификатов, например, в /etc/ca-certificates/extracted/cadir/.
Для просмотра Subject всех корневых CA сертификатов в системе:
Эти сертификаты используются утилитоми curl, wget и другими. Веб-браузеры Chromium и Firefox используют свои собственные хранилища корневых CA сертификатов.
Чтобы узнать, где веб браузеры хранять корневые CA сертификаты в Linux, нам нужно познакомиться с NSS.
Как переустановить КриптоПРО, если не удаётся исправить ошибку
Если не помогли предыдущие советы по устранению ошибки 0x800b010a, попробуйте переустановить КриптоПРО. Программы, которые долгое время не обновлялись на ПК могут выходить из строя по разным причинам. Часто любые сбои можно решить, установив последнюю версию программы.
Для начала вам нужно удалить существующую КриптоПРО из ПК:
- Если вы используете Windows 8.1, 10, можно выбрать «» ПКМ и нажать на пункт «». В 7 версии этот пункт в меню пуск. Или нажмите вместе , после чего введите в строке «» и нажмите Ввод для подтверждения;
- Выберите строчку «»;
- Найдите среди установленного ПО и выберите его;
- Нажмите вверху на панели кнопку «». Удалите КриптоПРО
После удаления нужно перейти на сайт КриптоПРО, выбрать вкладку «» и найти нужный продукт из списка.
Загрузите и установите программу. После чего попробуйте снова выполнить действия, которые приводили к ошибке.
А вы знаете, как исправить ошибку при получении данных с сервера DF-DFERH-01 в Play Market?
Как добавить корневой сертификат в доверенные в Linux в веб браузеры
Chrome, Chromium, Firefox и созданные на их основе веб браузеры доверяют корневым сертификатам, установленным на уровне системы. То есть вам достаточно добавить в доверенные CA сертификат как это показано в предыдущем разделе.
Причём эти браузеры хотя и используют NSS, они игнорируют общесистемные сертификаты NSS, которые можно добавить в файл /etc/pki/nssdb!
Тем не менее приложения, которые используют NSS (такие как Firefox, Thunderbird, Chromium, Chrome) хранят свои списки доверенных сертификатов в файлах cert9.db. Чтобы добавить свой сертификат в каждый из этих файлов можно использовать скрипт.
Сохранить следующий код в файл CAtoCert9.sh:
В этом файле измените значение certfile на имя файла вашего сертификата и значение certname на имя вашего сертификата, сохраните и закройте файл.
Затем запустите его следующим образом:
В результате в домашней папке пользователя будут найдены все файлы cert9.db и в каждый из них будет добавлен указанный CA сертификат.
Вы можете добавить CA сертификаты в графическом интерфейсе каждого браузера.
Нажмите кнопку «Импорт»:
Выберите файл с сертификатом.
Укажите, какие полномочия вы даёте этому сертификату:
Нажмите кнопку «Импортировать»:
Обновление корневых сертификатов на Linux
От корневых сертификатов в системе может зависеть правильная работа при обращении к ресурсам, которые работают по зашифрованному каналу связи. Если данные сертификаты устареют, мы можем столкнуться с рядом проблем:
Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания.
Устранение ошибки при создании создания цепочки сертификатов для доверенного корневого центра
В первую очередь убедитесь, что у вас нет проблем с интернет-подключением. Ошибка может появляться при отсутствии доступа. Сетевой кабель должен быть подключен к компьютеру или роутеру.
При подключенном интернете у вас должны отобразиться данные об отправленных пакетах, скорости передачи и прочая информация. Если Интернета нет, вы увидите, что пакеты не дошли до места назначения.
Теперь проверим наличие корневого сертификата Удостоверяющего Центра. Для этого:
Firefox
Поскольку Firefox принадлежит Mozilla, то этот веб браузер, конечно, также использует Mozilla Network Security Services (NSS).
Стандартными расположениями папок с базами данных NSS являются:
Firefox НЕ использует ни одно из этих стандартных расположений, база данных хранится в профиле пользователя, который имеет общий вид
Посмотреть корневые сертификаты CA которые использует Firefox в Linux можно следующей командой:
У Firefox-esr это папка:
Также вы можете просмотреть корневые CA сертификаты в настройках браузера:
Проверка корневого сертификата УЦ в браузере
Проверку можно выполнить в браузере.
Теперь попробуйте снова выполнить те действия, в процессе которых возникла ошибка. Чтобы получить корневой сертификат, необходимо обратиться в соответствующий центр, где вы получили СКП ЭП.
Другие способы исправить ошибку цепочки сертификатов
В следующем окне вы должны увидеть сообщение о предварительной регистрации.
Добавление сертификатов в базу данных NSS
Некоторые приложения используют базу данных NSS, и у вас может быть необходимость добавить доверенные CA в неё.
Последующие изменения повлияют только на приложения, использующие базу данных NSS и учитывающие файл /etc/pki/nssdb.
1. Сначала создайте структуру каталогов для системных файлов базы данных NSS:
Затем создайте новый набор файлов базы данных. Пароль нужен для того, чтобы базу данных могли редактировать только люди, которые его знают. Если все пользователи в системе (и с доступом к резервным копиям) заслуживают доверия, этот пароль можно оставить пустым.
2. Убедитесь, что файлы базы данных доступны для чтения всем:
Примечание: вышеприведённые инструкции применимы только в том случае, если пока не существует общесистемного набора файлов базы данных NSS. Если он уже существует, то важно знать пароль для этого набора баз данных (конечно, если он защищён паролем).
3. Теперь, когда доступны файлы базы данных NSS, добавьте сертификат в хранилище следующим образом:
Биты доверия, используемые в приведённом выше примере, помечают сертификат как надёжный для подписи сертификатов, используемых для связи SSL/TLS. Имя (указывается после опции -n), используемое в команде, можно выбрать любое, но убедитесь, что его легко отличить от других сертификатов в магазине.
Аналогичные инструкции можно использовать для включения сертификата только в базу данных NSS конкретного пользователя:
Удаление из файлов базы данных NSS
Чтобы удалить сертификат из любой базы данных NSS, используйте команду certutil следующим образом. В этом примере используется общесистемное расположение базы данных NSS, но его можно легко изменить на пользовательское
Код ошибки 102 сертификат не действителен эдо
Ошибка связана с тем, что на компьютере не установлен актуальный список отозванных сертификатов Удостоверяющего Центра.
1. В программе 1С пройти по пути: Сервис — Обмен электронными документами — Профили настроек ЭДО (зайти в профиль) — закладка «Сертификаты организации» (открыть сертификат) — Все действия — Сохранить сертификат в файл.
2. Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Точки распространения списков отзыва (CRL)» и скопировать ссылку на список отзыва Удостоверяющего Центра (ссылка должна заканчиваться на .crl):
4. Навести курсор на скаченный файл, нажать правую клавишу мыши и выбрать пункт «Установить список отзыва (CRL)». В «Мастере импорта сертификатов» на этапе определения хранилища необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».
Установка этого списка отзыва проводится тем же способом, что описан выше.
Бывают случаи, когда при отправкеполучении ЭДО ничего не происходит, отсутствуют как сообщения об ошибках, так и движение электронных документов. Еще нередки случаи, когда после нажатия «Подписать и отправить» ничего не происходит и документ остается с прежним статусом. В данных ситуациях необходимо проверить следующие настройки:
1. Проверка наличия установленной программы для работы с криптографией (КриптоПРО, VipNet CSP) на компьютере.
2. Проверка настроек электронной подписи и шифрования в 1С.
Первым делом проверим настройки программ шифрования в 1С.
Раздел «Администрирование» — «Обмен электронными документами».
Далее «Настройки электронной подписи и шифрования».
Проверить наличие строки с установленной программой для работы с электронной подписью (КриптоПРО, VipNet CSP). При необходимости добавить нужную программу, нажав соответствующую кнопку (если эта программа действительна установлена на данном компьютере).
Далее проверим настройки электронной подписи в 1С.
Проверить наличие действующего сертификата организации. Проверить работу сертификата можно, дважды щелкнув по нему левой кнопкой мыши. После открытия формы нажать «Проверить», ввести пароль (иногда пароль пустой) и нажать «Проверить».
Если нужного сертификата нет в списке, необходимо его добавить, для этого делаем следуещее.
Нажать «Добавить» далее «Из установленных на компьютере».
В появившемся окне выбрать нужный действующий сертификат.
Затем ввести пароль (иногда пароль пустой) от сертификата и нажать «Добавить».
Если напротив строчек отобразились зеленые галочки — все в порядке, в ином случае проверить установлена ли цепочка доверенных сертификатов.
В разделе «Администрирование» — «Обмен с контрагентами».
Далее «Профили настроек ЭДО» выбрать свой профиль и дважды щелкнуть по нему для изменения.
Проверить наличие действующего сертификата. Если указан старый сертификат, и Вы уверены, что у Вас есть новый действующий сертификат, то его необходимо добавить.
При продлении или замене сертификата для 1С:Отчетности, и при его использовании в качестве сертификата для ЭДО, он не добавляется автоматически, это необходимо сделать вручную.
Также необходимо выполнить тест настроек, нажав кнопку «Тест профиля настроек».
Далее вводим пароль от ЭЦП (иногда пароль пустой, либо стандартный: 123456, или 12345678) и нажимаем «ОК».
После чего внизу, либо во всплывающем окне отобразится следующее.
Если тест прошел неудачно, необходимо проверить наличие сертификата в личном хранилище сертификатов пользователя и установленную цепочку доверенных корневых сертификатов.
Маршруты подписания профиля ЭДО (актуально для ЖКХ 3.1)
Далее «Профили настроек ЭДО».
Выбрать свой профиль и перейти в открывшемся окне на вкладку «Виды электронных документов».
Проверить на отсутствие устаревших форматов электронных документов. Настроить актуальные форматы. Проверить маршруты подписания. В табличной части в столбце «Регламент ЭДО» по очереди щелкнуть по «Подпись (маршрут: Одной доступной подписью)».
Откроется окно «Настройка регламента ЭДО». В нем выбрать маршрут, нажав на «. ».
Откроется окно с маршрутами подписания (обычно там прописан 1 маршрут).
04.03.2020 Где в комплексной автоматизации находится новый отчет по электронным трудовым книжкам — СТД-Р Ответ: Отчет СТД-Р и СЗВ-ТД будут реализованы в релизе запланированном 2.4.11.70 от 05.02.2020
04.03.2020 Как в ЗУП 2.5 поменять ставку взносов в ПФР? Ответ: Необходимо зайти в регистр сведений и поменять ставку с 26 % на 22% за 2020г.
В профиле ЭДО ГК РОСНОВОТЕХ ООО, Через сервис 1С-ЭДО (Калуга Астрал) нет доступных сертификатов электронной подписи. Пытаемся добавить действующий сертификат — выдаётся ошибка.
Остались вопросы? Получите бесплатную консультацию наших специалистов!
Ваш заказ успешно отправлен,
наши менеджеры свяжутся
с Вами в ближайшее время
22.02.2019 23 февраля День Защитника Отечества! Коллектив ГК «Сервистренд» от всей души поздравляет Вас с днем защитника Отечества! Подробнее
21.02.2020 14:10:00 Управление торговлей, редакция 11 11.4.11.71
21.02.2020 14:09:00 Управление торговлей, редакция 10.3 10.3.59.2
25.02.2020 14:09:00 Управление торговлей базовая, редакция 11 11.4.11.71
21.02.2020 14:08:00 Управление торговлей базовая, редакция 10.3 10.3.59.2
21.02.2020 14:08:00 Управление производственным предприятием, редакция 1.3 1.3.133.2
Ваш заказ успешно отправлен, наши менеджеры свяжутся с вами в ближайшее время
Криптопро эцп browser plug-in астра, альт, роса линукс
1. устанавливаем необходимые стандартные библиотеки Код: sudo su sudo apt update sudo apt install lsb lsb-core alien
2. Качаем КриптоПро CSP 4.0R2 linux x64 предварительно зарегистрировавшись
3. Распаковываем и устанавливаем Код: cd
4. готово p.s. удалить можно выполнив код в этой же директории: Код:
Установка тестовых сертификатов
1. Качаем корневой сертификат
1. Качаем плагин версии 2.0
2. Распаковывем и устанавливаем Код: cd
3. Копируем файл libnpcades.so в папку с плагинами Код: sudo cp /opt/cprocsp/lib/amd64/libnpcades.so /usr/lib/firefox-addons/plugins/libnpcades.so
4. Перезапускаем/запускаем firefox
5. Открываем about:addons
6. Выбираем вкладку Plugins.
7. У плагина CryptoPro CAdES plugin ставим значение Always Activate
8. Проверяем работоспособность на demo странице, либо на странице генерации тестового сертификата
Инструкция по установке КриптоПро Browser Plug-In 2.0 в Google Chrome 54.0.2840.100 (64-bit)
Выполняем, если не выполнены пункты 1 и 2 из предыдущего раздела.
Устанавливаем плагин из магазина: CryptoPro Extension for CAdES Browser.
Если на демо странице пишет что-то вроде: Код: Ошибка при открытии хранилища: The system cannot find the file specified. (0x80070002)
Значит у вас не установлено ни одного сертификата.
Если при попытке сгенерировать сертификат по алгоритму *KC2*, например с Crypto-Pro GOST R 34.10-2001 KC2 CSP возникает ошибка:
Произошла ошибка при создании запроса на сертификат. Проверьте, что выбранный поставщик служб шифрования поддерживает заданные вами параметры и введены правильные данные. Предполагаемая причина: (нет вариантов) Ошибка: 0x00000000 — (нет данных)
то у вас нет аппаратного датчика случайных чисел, а работает только биологический датчик случайных чисел (который может быть использован в КриптоПро КС1).
Устанавливаем штамп времени для правильного создания подписи
Затем установить на компьютер необходимый софт, который понадобится для исправления ошибки.
Когда у вас будет установлено всё соответствующее ПО, откройте личный кабинет банка и найдите пункт :
- Выберите пункт ;
- Если штамп не настроен должным образом, вы увидите кнопку «»;
- Нажмите её и удостоверяющего центра. Если у вас нет адреса, обратитесь в УЦ или подробно изучите его регламент. Он должен быть в списке;
- После получения адреса введите его в соответствующее поле.
Далее внизу нажмите кнопку «». Только в том случае, если адрес будет подтверждён появится кнопка «». Её нужно нажать, чтобы сохранить адрес. Даже после этого у вас будет возможность изменить его.
Это может быть полезным: этот сертификат содержит недействительную цифровую подпись — что делать? — статья.
Код ошибки 102 сертификат не действителен ошибка при получении контекста цепочки сертификатов
Установка из репозитория
Самый простой способ, который нужно попробовать, установить сертификаты из официального репозитория системы. В зависимости от ее типа, наши команды будут немного отличаться.
а) для систем на базе DEB (Debian, Ubuntu, Mint):
apt install ca-certificates
б) для систем на базе RPM (Rocky Linux, CentOS):
yum install ca-certificates
Если нам повезет и в репозитории будут обновленные корневые центры, наша работа закончена. Иначе, устанавливаем сертификаты вручную.
Ошибка все еще появляется? Отправьте запрос в службу поддержки, в котором нужно разместить скриншоты ваших последовательных действий и объяснить подробно свою ситуацию.
Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.
Обычно эта ошибка выглядит так:
Давайте сначала разберемся, почему эта ошибка возникает.
Переводим КриптоАРМ в режим Эксперт
В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим
Подключаем сертификат электронной подписи
Подключаем отчуждаемый носитель
Подключаем сертификат, если он не на съемном носителе
В большинстве случаев ошибка «Указан неправильный алгоритм (0x80090008)» решается переустановкой сертификата подписи. Переустановить сертификат можно в программе «КриптоАРМ»
Также это можно сделать через КриптоПро CSP. Для этого откройте программу КриптоПро CSP и перейдите во вкладку «Сервис». Затем нажмите на кнопки «Просмотреть сертификаты в контейнере. » и «Обзор» Выберите нужный контейнер и нажмите кнопку «Ok», а после «Установить».
Ошибка построения пути сертификации
Сообщение «Статус сертификата: недействителен, ошибка построения пути сертификации» говорит о том, что нужно на рабочем месте установить корневой сертификат удостоверяющего центра, чтобы цепочка доверия могла быть построена и проверена программой.
Видео инструкция по решению ошибки с построением цепочки сертификатов:
Предупреждение «Нет полного доверия к сертификату подписи»
Если при создании электронной подписи либо после проверки подписанного документа появляется предупреждение «Нет полного доверия к сертификату подписи» и статус сертификата отображается с желтым вопросительным знаком, то необходимо проверить сертификат по списку отозванных сертификатов, а для этого выполните следующие действия:
Не удается установить лицензионный ключ
Ошибка встречается при добавлении подписи, когда хеш-алгоритм сертификата подписанта отличается от хеш-алгоритма сертификата первого подписанта
Способ исправления: обновить программу до версии 5.4.2.280 или выше.
Отсутствует личный сертификат для расшифрования
Также проверьте, тот ли сертификат используется для расшифрования: профили управление профилями открыть профиль с галкой 2м нажатием общие в поле владелец сертификата проверьте, какой сертификат прописан. Если нужно, выберите.
Ошибка установки свойства в контекст сертификата 0x80092004
Ошибка 0x80092004 говорит о том, что сертификат был установлен без привязки к закрытому ключу. Попробуйте переустановить сертификат через КриптоПро CSP.
Установка «КриптоАРМ» завершается с ошибкой
В большинстве случаев устранить ошибку помогает удаление и установка его заново:
Ошибка «Policy 2. CryptoPro. PKI. Cades. publicKeyToken»
Для того чтобы установить КриптоАРМ из msi-пакета понадобится извлечь из дистрибутива установочный пакет. Для этого создайте текстовый файл (например в Блокноте) и сохраните в него следующую строчку:
trusteddesktop. exe /x package
После установки КриптоАрм Стандарт можно установить КриптоАрм Плюс. Для этого зайдите в папку TDPlus и запустите msi файл setup-win32 (для 32-х разрядной версии Windows) или setup-x64 (для 64-х разрядной версии Windows).
Не удается установить «КриптоАРМ»
Для 64-разрядных Windows зайти в меню Пуск и выполнить команды:
C:windowsSysWOW64regsvr32 c:windowsSysWOW64vbscript. dll c:windowsSysWOW64regsvr32 c:windowsSysWOW64jscript. dll
Для 32-разрядных Windows зайти в меню Пуск и выполнить команды:
C:windowsSystem32regsvr32.exe c:windowsSystem32vbscript. dll c:windowsSystem32regsvr32.exe c:windowsSystem32jscript. dll
Для выполнения команд необходимо наличие прав администратора.
В контекстном меню нет КриптоАРМа
Зарегистрировать ShellExtention. Для этого создайте текстовый файл с расширением bat и сохраните в него следующую команду:
Проверьте также выключен ли у вас UAC. Если он выключен, компоненты могут регистрироваться неправильно. Попробуйте включить UAC и перерегистрировать библиотеку. Руководство по включению и отключению UAC с сайта Microsoft:
Снять системный лог
Ошибка «Подпись не валидна» на сайтах наш. дом. рф и rosreestr
При создании подписи убедитесь что выбран тип кодировки DER и указана опция«Сохранить подпись в отдельном файле». Т. е. нужно создать отделенную подпись, на портале помещать исходный файл и файл подписи (около 2Кб).
Ошибка исполнения функции 0x0000065b
Скорее всего отсутствует лицензионный ключ или истек срок его действия для программы «КриптоАРМ» или КриптоПро CSP. Лицензионные ключи должны быть установлены в обеих программах, они должны быть активны.
При установке сертификата возникает ошибка «Ошибка при установке сертификата и далее ФИО название в общем»
Выключите режим квалифицированной подписи в настройках: настройки / управление настройками / режимы. После этого сертификат появится в папке«личное хранилище»..
0x0000064a – возникает при отсутствии лицензии на модуль TSP
Проверьте пожалуйста, установлены ли лицензии в программах КриптоПро CSP и КриптоАРМ, а также установлена ли лицензия на модуль КриптоПро TSP.
Ошибка 0x00000057 говорит о том что скорее всего в установленном сертификате нет привязки к закрытому ключу.
Для сертификатов с ключевой парой на КриптоПро CSP установить привязку можно следующим образом:
Ошибка 0x80091008 при расшифровке сообщения
Возникает в основном когда в КриптоАРМ или в КриптоПро CSP не установлена лицензия. В КриптоАрм проверить наличие лицензии можно через пункт меню помощь / о программе. В КриптоПро на вкладке «общие».
Если лицензии установлены, попробуйте переустановить КриптоПро CSP.
Как подписать отчеты для ГОЗ (Минобороны)
Запустите мастер подписи. Если запускался не через контекстное меню, то на второй странице ныжно выбрать подписываемый файл.
На странице «Выходной формат» выбрать вариант Base64 (выбран по умолчанию) и в поле справа заменить расширение sig на sign. На этой же странице установить галочку «Отключить служебные заголовки».
На следующей странице «Параметры подписи» убрать галочку «Поместить имя исходного файла в поле Идентификатор ресурса». На этой же странице установить галочку «Сохранить подпись в отдельном файле».
На этой странице не нужно убирать галочку «Включить время создания подписи». При работе Ccptest время добавляется в подпись.
На странице «Выбор сертификата подписи» выбрать нужный сертификат.
По завершению мастера нужно вручную убрать из имени файла расширение xml. КриптоАРМ всегда добавляет в имя исходное расширение, а поскольку по требованиям его там быть не должно, то переименовывать файл придется вручную.
Как подписать файл для ЦБ РФ (Центрального Банка Российской Федерации)?
В процессе работы с системой электронного представления сведений в таможенные органы для подписания и отправки пакета электронных документов каждый декларант должен использовать сертификат электронной подписи, который выдается удостоверяющим центром ФТС на специальных носителях.
В данной статье описана проблема, которая может возникнуть при использовании ЭП, сертификаты ключей которой выпущены удостоверяющими центрами, аккредитованными сравнительно недавно.
Доверенные удостоверяющие центры
Начало активной деятельности аккредитованных УЦ ознаменовалось не только удобным для пользователей ускоренным получением сертификатов ключей ЭП, но и, вместе с тем, возникновением некоторых проблем. В чем суть основной проблемы, с которой столкнулись участники ВЭД?
На некоторых таможенных постах ФТС происходит следующая ситуация: корневые сертификаты УЦ не обновлены на рабочих местах инспекторов или вообще не установлены. В этом случае пакет электронных документов, подписанный ЭП, выпущенной этими УЦ, не может попасть в очередь оформления (Аист-М) на посту.
Симптомы
Шаг 1. Уведомить ИТ-службу таможенного поста о сложившейся ситуации, описав суть проблемы и симптомы. Можно сослаться на Письмо ЦИТТУ № 31-07/418 от 24.01.2013 г. начальникам региональных таможенных управлений и таможням, непосредственно подчиненным ФТС РФ. В данном документе содержатся сведения о необходимости установки кросс-сертификатов ДУЦ на рабочие места должностных лиц таможенных органов.
Шаг 2. Информировать о сложившейся ситуации и симптомах представителей УЦ, выпустившего сертификат ключа вашей ЭП, а также сообщить специалистам данные этого таможенного поста. Скорейшее решение данной проблемы в интересах УЦ.
- Выберите в меню пункт «Сервис».
- Далее нажмите строку «Свойства обозревателя».
- Нажмите на вкладку «Содержание».
- Здесь нужно выбрать «Сертификаты».
- Следующую вкладка «Доверенные центры сертификации». Здесь должен быть корневой сертификат УЦ, обычно он находится на дне списке.
Проверяем построение цепочки сертификатов
Убедитесь, что вы используете подходящие . Возможно в них истёк . Если этот так, найдите актуальный сертификат. Также убедитесь, что есть ключ «пак». Он является главным этой цепочке.
Выполните следующий порядок действий:
- Запустите КриптоПРО директории через кнопку «» и проследуйте в «»; Определите ключ, с которым возникают проблемы
- Следующий шаг – откройте «»;
- Выберите «»;
- Найдите «» и снова укажите сертификаты;
- Определите здесь , с которым возникают . Обычно такие помечены . Или другими выделяющимися элементами. Чтобы его проверить, выберите в свойствах пункт «»;
- Если его нет — загрузите. Делать это нужно на ;
- Установка происходит стандартным способом — запустите распаковку пакета. Для хранилища укажите «»;
- В такой же способ нужно протестировать ключ «пак», «УЦ, ГУЦ, ИС».
Скачивать их также нужно с доверенных сайтов. В случае, если данный метод не устранил ошибку создания подписи «Не удаётся построить цепочку сертификатов для доверенного центра», попробуйте полностью переустановить КриптоПРО. Если вам необходимы старые сертификаты, можно посмотреть тут: .
Thunderbird
Чтобы просмотреть, каким CA доверяет Thunderbird:
Чтобы найти все файлы cert9.db выполните команду:
Как мы можем помочь?
При входе на Сбербанк-АСТ ошибка: «Клиентский сертификат не сопоставлен с пользователем»
Mozilla Network Security Services (NSS)
Network Security Services (NSS) это набор библиотек, разработанных для поддержки кросс-платформенной разработки защищенных клиентских и серверных приложений. Приложения построенные с использование NSS могут использовать SSL v2 и v3, TLS, PKCS#5, PKCS#7, PKCS#11, PKCS#12, S/MIME, сертификаты X.509 v3 и другие стандарты обеспечения безопасности.
В отличие от OpenSSL, NSS использует файлы базы данных в качестве хранилища сертификатов.
NSS начинается с жёстко закодированного списка доверенных сертификатов CA внутри файла libnssckbi.so. Этот список можно просмотреть из любого приложения, использующего NSS, способного отображать (и манипулировать) хранилищем доверенных сертификатов, например, Chrome-совместимые или Firefox-совместимые браузеры.
Некоторые приложения, использующие библиотеку NSS, используют хранилище сертификатов, отличное от рекомендованного. Собственный Firefox от Mozilla является ярким примером этого.
В вашем дистрибутиве скорее всего уже установлен пакет NSS, в некоторых дистрибутивах он называется libnss3 (Debian и производные) в некоторых — nss (Arch Linux, Gentoo и производные).