Истечение срока действия закрытого
ключа сертификата CA. Ошибка 0x80090010.
В КриптоПро CSP версии
4.0 и выше реализован контроль сроков действия долговременных ключей.
Независимо от срока
действия открытого ключа, срок действия закрытого ключа составляет 1 год
и 3 месяца.
Проверить не истекли
срок действия закрытого ключа можно следующим образом:
Запустите
от имени администратора.
В
открывшемся окне «Тестирование
контейнера закрытого ключа» выберете контейнер CA и нажмите
на кнопку (Рисунок 460).
Если
срок действия закрытого ключа не истек, проверка пройдет успешно. Так
же обратите внимание на пункт «Использование
ключа подписи».
Пример удачной проверки:
Проверка завершена успешно ошибок
не обнаружено
Использование ключа подписи разрешено
до окончания срока действия закрытого ключа.
Пример
неудачной проверки:
Проверка завершилась с ошибкой
Использование ключа подписи запрещено.
Срок действия закрытого ключа истек. Срок действия закрытого ключа не
может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на
HSM, и 1 год 3 месяца для прочих ключей.
Если после истечения срока действия закрытого ключа перезапустить
сервер с УЦ или сервис CertificationAuthority, то при следующем его запуске
возникнет ошибка запуска службы сертификации (Рисунок 461):
В Диспетчере Серверов будет выдана следующая ошибка:
Active Directory Certificate Services did not start:
Could not load or verify the current CA certificate. WIN-9ABB69BGV2E-CA
Access denied. 0x80090010 (-2146893808).
Службы сертификации Active Directory не запущены:
Не удается загрузить или проверить текущий сертификат ЦС. autosterraCA
Отказано в доступе. 0x80090010 (-2146893808 NTE_PERM).
При формировании закрытого ключа в контейнер записывается
дата истечения срока действия этого ключа, по истечении которого в зависимости
от значения параметра
возможны различные варианты использования этого ключа.
Для решения данной проблемы необходимо создать параметр
и присвоить
ему значение 0. Значение «0» данного параметра не накладывает никаких
ограничений на использование ключа, т.е. разрешает все операции с ним.
Указанный параметр может быть изменён путём редактирования/создания
следующих ключей реестра Windows (Рисунок 462 и Рисунок 463):
Для 64-битных операционных
систем:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeCrypto
ProCryptographyCurrentVersionParametersControlKeyTimeValidity
Для 32-битных операционных
систем:
HKEY_LOCAL_MACHINESOFTWARECrypto
ProCryptographyCurrentVersionParametersControlKeyTimeValidity
Затем перезагрузите сервер.
Всем добрый день!
Я как специалист по настройке АРМ для работы на ЕИС и других электронных торговых площадках, с вышеуказанной ситуацией сталкивался уже дважды. И оба раза мои действия, которые я буду описывать ниже, привели к спасительному результату и подписанию гос. контакта на ЕИС (44-фз). Итак, я предполагаю, что у Вас сейчас ситуация следующая:
Сертификат ЭЦП еще действует, но уже не подписывает на zakupki. gov
ЕИС: невозможно отобразить страницу
И т.к. Вы наверняка уже догадываетесь, что это зловещее окно может быть как-то связано с тем, что срок действия сертификата ЭЦП вообще-то ещё не подошёл к концу, но подходит. Наверняка Вы уже обратились в ТП ЕИС, и наверняка Вам уже указали, что срок действия закрытого ключа Вашего сертификата ключа ЭЦП подошёл к концу, и единственный выход получить новую ЭЦП. Вам даже, может быть, тоже самое говорит Ваш программист в УФК. Но не спешите с выводами, пока не дочитаете эту публикацию до конца.
У нас тоже была ситуация, и мы знали, что срок действия сертификата ключа ЭЦП подойдёт к концу через 5 дней. НО! Он же ещё действует!? Но уже не подписывает на площадках. Так вот.. и ТП и программист в УФК в один голос сказали нам, что мол, надо менять ЭЦП, но на это нужно время, а контракт на площадке нужно было подписать именно сегодня! А выпуск новой ЭЦП всё-таки занимает несколько дней. Казалось бы «патовая» ситуация, но из неё есть выход!
Проблема в том, что так называемый закрытый ключ формируется на портале ФЗС как Вы догадались, раньше, чем УФК проведёт все проверки и выпустит сертификат. Он формируется в момент подачи Вами заявления на изготовление сертификата. Предположим, если сегодня 12 октября, и Вы подали на портале Заявителя заявление на выпуск сертификата новой ЭЦП, а сам сертификат Вам сделали через пять дней, например,то в свойствах контейнера будет вот эта самая разница во времени жизни закрытого ключа (контейнера) и открытого (сертификата .cer) :
Срок действия закрытого ключа истёк (КРИПТО ПРО, опция «тестирование контейнера закрытого ключа»)
Решение этой проблемы
Благо, техническое решение этой проблемы существует! Это делается путём добавления в системный реестр параметра ControlKeyTimeValidity
- В ветку: HKEY_LOCAL_MACHINESOFTWARECrypto ProCryptographyCurrentVersionParameters — если у Вас 32-разрядная система;
- И в ветку: HKEY_LOCAL_MACHINESOFTWAREWOW6432NodeCrypto ProCryptographyCurrentVersionParameters — если у Вас 64-разрядная система.
Необходимо добавить «Параметр DWORD (32 бита)», и прописать в нём значение =0. Показываю пошагово:
И создаём с помощью клика правой мышки на пункте «Parameters» параметр DWORD (32 бита) прямо как на иллюстрации. ВВодим имя параметра: ControlKeyTimeValidity и присваиваем ему значение = 0:
Здесь набираем ControlKeyTimeValidity
Откроется вот такое уже небольшое окно, где и нужно ввести ноль:
Осталось нажать «ОК», закрыть все окна, перезагрузить компьютер, зайти на площадку, и попытаться подписать документ/контракт ещё старым сертификатом. Вот такой не простой, но выполнимый квест. Кстати, в ТП ЕИС такие действия одобрили и назвали легальными. Я звонил..)
- Не удалось проверить список отзыва CRL.
- Сертификат недействителен. Срок действия истек или еще не наступил.
- Сертификат недействителен. Сертификат отозван.
- Подпись недействительна. (Подпись математически неверна).
- Не удалось полностью проверить один или несколько сертификатов в цепочке.
Не удалось проверить список отзыва CRL.
Визуально ошибка отображена на картинке ниже:
В КриптоАРМ не установлен актуальный список отзыва.
Как устранить данную проблему:
1 – нажимаем Статус сертификата, 2 – двойным кликом открываем сертификат, 3- нажимаем Состав, 4 – выбираем Точки распространения, 5 – выделяем ссылку после = , нажимаем Ctrl + C (плюс не нажимаем , одновременно две клавиши Ctrl и C на клавиатуре), вставляем ссылку в строке поиска в браузере.
Нажимаем Готово. Перезагружаем Компьютер и проверяем повторно. Ошибка должны быть устранена.
Сертификат недействителен. Срок действия истек или еще не наступил.
Сертификат недействителен. Сертификат отозван.
Ошибка указана на картинке ниже:
При возникновении данной ошибки, если ранее вы самостоятельно не отзывали сертификат. Вам необходимо обратиться в Удостоверяющий центр, выдавший сертификат, для уточнения причины возникновения данной проблемы.
Удостоверяющий центр выдавший сертификат, обычно указан в разделе Издатель.
Подпись недействительна. (Подпись математически неверна).
Пример ошибки на картинке ниже:
Причина возникновения данной проблемы: файл был изменен или поврежден, после подписания.
Файл может быть изменен в следствии воздействия антивирусного ПО. Или в результате изменений внесенным в структуру файла почтовым сервисом, при отправке по электронной почте.
Файл необходимо повторно подписать, предварительно отключив антивирус (при его наличии, и при повышенном уровне защиты файловой системы).
Перед отправкой по электронной почте, файл необходимо заархивировать.
Так же если Вы используете при подписании сервис КриптоДок, у Вас должна быть активирована лицензия Крипто Про CSP, как проверить действительность лицензии Вы можете узнать по ссылке
Так же, если для подписания используется программа КриптоАРМ, перед подписанием обратите внимание, чтобы был отключен режим Квалифицированная подпись в КриптоАРМ.
Проверить это можно нажав правой кнопкой мыши, по иконке в области уведомлений.
Не удалось полностью проверить один или несколько сертификатов в цепочке.
Не установлен корневой сертификат удостоверяющего центра, выдавшего сертификат.
Не установлен корневой сертификат Минкомсвязь России
- Откроется мастер экспорта сертификата, все оставляем по умолчанию, нажимаем далее –далее – выбираем место для сохранения файла и задаем ему имя.
- Запоминаем куда сохранился файл, и открываем его. Нажимаем — установить сертификат (далее выполняем действия, последовательно как на скриншотах)
- По окончании установки перезапускаем программу КриптоАРМ, и повторно выполняем операцию, которую не удалось выполнить ранее.
- Скачиваем по ссылке — https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ufoCertificates/download/34656
- Проделываем те же действия что показаны в пункте 4 , но в качестве хранилища выбираем Доверенные корневые центры сертификации.
Остались вопросы? Как мы можем помочь?
Как мы можем помочь?
Проверка документа подписанного электронной подписьюКак установить корневые сертификаты на Windows