Ошибки операционной системы Windows при проверке сертификата

Информационная система 1С:ИТС

Инструкции по учету в программах 1СИнструкции по разработке на 1СКонсультации по законодательствуКниги и периодикаБаза нормативных документов

Акции и конкурсыКурсы и экзамены 1СОтзывы об ИТС

(6) TMV, МенеджерКриптографии — это внутренний 1С объект, который инициируется программно. Это не компонента.
Описание процедуры в СП ничего не говорит.
МенеджерКриптографии (CryptoManager)
НачатьПроверкуСертификата (BeginCheckingCertificate)
Синтаксис:

Тип: РежимПроверкиСертификатаКриптографии; Массив.
Указывает режим проверки.
Содержит один объект или массив объектов режимов проверки.
Описание:

Начинает проверку сертификата.

Сообщение может быть из-за:
1) если это подчинённый ЦС — то недоступен актуальный СОС вышестоящего ЦС
2) неработоспособен выбранный revocation provider.
Посмотрите, какой у Вас используется — это параметр Dll в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CertDllVerifyRevocationDEFAULT

Чтобы поставить сертификат или СОС из файла в хранилище локального компьютера — нужно при выборе названия хранилища поставить галку «Показать физические хранилища», потом раскрыть элемент «Доверенные корневые ЦС» и выбрать там локальный компьютер.

Сейчас практические шаги я делаю такие:
1. Установил RootCA
2. Установил SubCA, сгенерировал запрос в файл
3. Проинсталировал на SubCA сертификат RootCA
4. Подписал сертификат SubCA на RootCA
5. Сделал экспорт сертификата SubCA из списка сертификатов RootCA в формате .P7B
6. Добавил этот сертификата в SubCA
7. Пытаюсь запустить сервер SubCA — Ошибка 80092013 Не могу найти RootCA.

Методика выявления причины исключения

Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.

  • По умолчанию журнал не ведется и его следует включить. (Здесь и далее инструкция приводится для Windows 10). В меню Пуск выберите Средства администрирования – Просмотр событий.В окне Просмотр событий в списке Журналы приложений и служб выберите Microsoft – Windows – CAPI2 – Operational.В списке Действия выберите Включить журнал.
  • Ошибка проверки отзыва сертификата средствами операционной системы может выглядеть следующим образом:

Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:

Ошибки операционной системы Windows при проверке сертификата

Из текста этих ошибок видно, что операционная система не смогла получить список отзыва сертификатов, расположенный по url-адресу http://crl4.digicert.com/DigiCertGlobalRootCA.crl по причине превышения времени ожидания. Поэтому не удалось выполнить проверку сертификата и получили исключение платформы.

В разделе System указаны дополнительные сведения. Например:

Ошибки операционной системы Windows при проверке сертификата

В случае из примера причина невозможности проверки отзыва сертификата сервера — в том, что доступ к http://crl4.digicert.com/DigiCertGlobalRootCA.crl есть только у доменных пользователей, а сервер «1С:Предприятия» запущен как сервис от имени локального пользователя.

Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.

Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).

1.

Alfn

Сейчас в теме

5.

cdiamond

Сейчас в теме

(1) Было такое же, временно лечилось выдачей админовских прав USR1CV8. Система не давала проверять сторонние сертификаты, админы что-то накрутили с доменной политикой.
Плюс сейчас есть немалая вероятность что у самих сервисов к которым обращается сервер 1с могут быть отозваны сертификаты зарубежными органициями, где они выдавались, как это случилось недавно с Госуслугами.

А что делать у кого фрэш?

3.

ClickUp

Сейчас в теме

(2) У Фреша есть тех поддержка которая должно решать вопросы фреша, на сервере фреша

4.

ivanov_alex

Сейчас в теме

Да, вчера с таким столкнулся, пришлось табачку отправлять поздно вечером

6.

mixsture

Сейчас в теме

Давайте добавим, что это отвратительный шаг с точки зрения безопасности. Отзывают сертификаты то обычно, когда они скомпрометированы (украдены) — вот этой части безопасности клиент лишается. Даже на ИТС хорошая такая приписка красным цветом к данной опции:
Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
В случае применения данной настройки ответственность возлагается на пользователя.

7.

pocket_deer

Сейчас в теме

8.

ClickUp

Сейчас в теме

(7) Возможно стоит задать этот вопрос 1С их техподдержке, как лечить данную проблему и на чей стороне проблема клиента или их серверов, и что с этим делать, понять и простить.

Читать также:  Госуслуги стоп коронавирус сертификат о вакцинации скачать бесплатно без регистрации на телефон

9.

ClickUp

Сейчас в теме

10.

Asbz

Сейчас в теме

С меркурием последние 3 дня такая же беда при обмене.

Проблема со списком отзыва сертификатов.berezina_o_n15-12-2020

Здравствуйте, на экран выводится сообщение, что списки отзыва сертификатов отсутствуют. Как можно исправить?
Полный текст сообщения следующий: «Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.» Спасибо!

RE: Проблема со списком отзыва сертификатов.Ruslan16-12-2020

berezina_o_n Писал(а): Здравствуйте, на экран выводится сообщение, что списки отзыва сертификатов отсутствуют. Как можно исправить?
Полный текст сообщения следующий: «Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.» Спасибо!

RE: Проблема со списком отзыва сертификатов.16-12-2020

У нас похожая проблема образовалась с месяц назад (скриншоты). Поскольку все работает, откладывали до удобного случая. Случай представился. Как это решается?

ЗЫ VipNet-клиент работает 24/7 на сервере с АСИОУ7.

RE: Проблема со списком отзыва сертификатов.dominusego16-12-2020

У нас это уже лет 5 не меньше. Писал в ТП, звонил, говорят, что сертификат обновили, но у нас он отображается недействительным. Живем по принципу «работает — не трожь».

RE: Проблема со списком отзыва сертификатов.Ruslan17-12-2020

dominusego Писал(а): У нас это уже лет 5 не меньше. Писал в ТП, звонил, говорят, что сертификат обновили, но у нас он отображается недействительным. Живем по принципу «работает — не трожь».

RE: Проблема со списком отзыва сертификатов.dominusego17-12-2020

Чтобы что-то активировать, оно должно быть. У нас вот так.

dominusego Писал(а): Чтобы что-то активировать, оно должно быть. У нас вот так.

yarsch078 Писал(а): У нас похожая проблема образовалась с месяц назад (скриншоты). Поскольку все работает, откладывали до удобного случая. Случай представился. Как это решается?

RE: Проблема со списком отзыва сертификатов.17-12-2020

В какую ТП нужно обращаться? В ТП АСИОУ сказали, что не занимаются вопросами VipNet (что вполне логично).

(1)Покажите сертификаты, установленные в КриптоПРО.

5.

AntonNoProfessional

Сейчас в теме

(3)Не видит только на сервере почему-то

2.

пользователь

Сообщение было скрыто модератором.

4.

AntonNoProfessional

Сейчас в теме

Ошибки операционной системы Windows при проверке сертификата

(4)Сертификат виден только тот, который в реестре. Пользователю, который копирует сертификат в личные сертификаты нужно дать права администратора.

7.

AntonNoProfessional

Сейчас в теме

(6)У пользователя права администратора

(7)Тогда скопируйте сертификат в реестр.

9.

AntonNoProfessional

Сейчас в теме

(8)Теперь другая ошибка

Ошибки операционной системы Windows при проверке сертификата

Мало скопировать сертификат, его надо установить (связать с контейнером ключей).

Можно сделать это через оснастку КриптоПро: «Сервис» — «Установить личный сертификат».

11.

AntonNoProfessional

Сейчас в теме

Спасибо за помощь. Долго мучился.

Такая же проблема, в личных ставил, контейнер ставил, тест проходит без ошибок а 1С не видит.

Ошибки операционной системы Windows при проверке сертификата

Ошибки операционной системы Windows при проверке сертификата

Ошибки операционной системы Windows при проверке сертификата

(14)Сейчас такой алгоритм не действует, действует GOST P 34.11-2012

(15)
Нужно менять на криптопро R5, в нём проблема?

(16)Вы эти скриншоты на сервере делали? У пользователя, который устанавливал сертификат на сервере были права Администратора?

(17)
На сервере 1С, и в 1С у пользователя админ права и у локального тоже.

(18)А конфигурация какая?

Ошибки операционной системы Windows при проверке сертификата

(20)Конфигурация не очень старая. Попробуйте обновить её до последней.

(21)
А как это сделать?) Есть ссылка на мануал какой-нить?

25.

пользователь

26.

a_inves

Сейчас в теме

Была подобная ошибка:
Не удалось проверить сертификат в списке отозванных, т.к. соответствующий сервер в состоянии offline.
Вылечил установкой сертификатов:

Сообщений: 12
Темы: 2
У нас с: Jun 2016

Сообщений: 656
Темы: 64
У нас с: Jun 2016

Обратитесь в  ТП по випнету.

Причина — вы пропустили обновление списка отзывов. При обновлении появляется окно — принять или нет обновления. Надо принимать. Также, клиент надо включать хот бы раз в несколько дней.

Сообщений: 608
Темы: 41
У нас с: Jun 2016

сертификаты и списки отзывов несколько разные вещи. после обновления сертификата приходит новый. его надо активировать в настройках випнета.

Читать также:  Сертификат для детей сирот на жилье в алтайском крае

17-12-2020, 08:27
(Последний раз сообщение было отредактировано 17-12-2020, 08:32 пользователем dominusego.)

отправьте в ТП скрины и название АП

Отправьте в ТП скрины и название АП. Когда придут новые списки — надо нажать кнопку Принять (или что-то подобное)

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in  в браузерах  и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.

Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 — страница сертифката, ссылка с серийным номером скачает файл сертификата

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) — Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.

При создании подписи появляется окно с ошибкой «Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)», в информации о сесртификате отображается «нет привязки к закрытому ключу»

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение «нет привязки к закрытому ключу» в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.

Подпись создается, но также отображается статус «ошибка при проверке цепочки сертификатов».

Это значит, что нет доступа к спискам отозванных сертификатов.

Причина ошибки — истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

— введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.

Отказано в доступе (0x80090010)

Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

Варианты настройки платформы

Платформа «1С:Предприятие 8» поддерживает следующие варианты настройки проверки отзыва сертификата:

  • По умолчанию. – С получением исключений «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата».
  • Настройка, позволяющая игнорировать ошибки проверки отзыва сертификата и не вызывать на них исключения.
Читать также:  Как узнать остаток материнского капитала по номеру сертификата онлайн?

Внимание! Такая настройка снижает уровень доверия к внешним ресурсам! В случае применения данной настройки ответственность возлагается на пользователя.

Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:

Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.

Частые Ошибки

Ошибка проверки ЭЦП: ЭЦП проставлено сертификатом на который нет заключенного соглашения.

После отправки в ПФР отчета или письма в ответ приходит ошибка: «Ошибка проверки ЭЦП: ЭЦП проставлено сертификатом на который нет заключенного соглашения. Пакет доставлен в ПФР. Криптографические проверки по обработке пакета выполнены успешно. На текущий момент времени выполняется проверка наличия у страхователя Соглашения, заключенного с УПФР по месту регистрации. По срокам проверки наличия соглашения необходимо обращаться в УПФР по месту регистрации.»

Такая ошибка возникает при первой отправке любой отчетности в УПФР после смены электронной подписи руководителя. Необходимо просто дождаться обработки вашей отчетности и получить протокол. Для ускорения процесса Вы можете обратиться в ПФР, чтобы они прикрепили к Вашему сертификату номер соглашения.

Ошибка при проверке сертификата: Не удалось проверить этот сертификат

После отправки в ПФР отчета или письма в ответ приходит ошибка: «Ошибка при проверке сертификата: Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.»

Такая ошибка возникает при обновлении списка отзывов сертификатов в ПФР. Данная ошибка не влияет на сдачу. Необходимо просто дождаться обработки вашей отчетности и получить протокол.

Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.

Диагностика ошибок ОС Windows при проверке сертификата

Методика выявления причины исключения

Варианты настройки платформы

Начиная с версии 8.3.12 платформа «1С:Предприятие» при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата». Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера «1С:Предприятия».

Сертификат не действителен. Не удалось проверить сертификат в списке отозванных т. соответствующий сервер в состоянии offline (код ошибки 103,104).

Дата обновления: 28.06.2022

Ошибка связана с тем, что на компьютере не установлен актуальный список отозванных сертификатов Удостоверяющего Центра.

1. В программе 1С пройти по пути: Сервис — Обмен электронными документами — Профили настроек ЭДО (зайти в профиль) — закладка «Сертификаты организации» (открыть сертификат) — Все действия — Сохранить сертификат в файл.

2. Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Точки распространения списков отзыва (CRL)» и скопировать ссылку на список отзыва Удостоверяющего Центра (ссылка должна заканчиваться на .crl):

4. Навести курсор на скаченный файл, нажать правую клавишу мыши и выбрать пункт «Установить список отзыва (CRL)». В «Мастере импорта сертификатов» на этапе определения хранилища необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».

Установка этого списка отзыва проводится тем же способом, что описан выше.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *