При обмене с фсс возникли ошибки не найден страхователь с такими параметрами
Дата публикации 10. 202020
При использовании сервиса «1С-Отчетность» с подключенным направлением «ФСС» настройки и сертификаты, необходимые для обмена, устанавливаются автоматически.
Важно: в «облачном» режиме работы с базой при условии хранения ЭП сервиса «1С-Отчетность» в «облаке» подключение стороннего сертификата ЭП для обмена с ФСС невозможно.
Какие настройки необходимо произвести в таком случае?
Чтобы настроить обмен с ФСС, нужно:
Примечание: при ручных настройках сертификаты ФСС необходимо поддерживать в актуальном состоянии, обновлять с сайтов-источников.
Сертификаты ФСС
Сертификаты ФСС следует загрузить с государственных порталов и установить встроенными средствами Windows.
Необходимые сертификаты
Сертификат страхователя
Порядок установки сертификата.
В VipNet CSP процесс установки запускается командой Установить сертификат.
Открывается диалоговое окно выбора сертификата. Мастер установки помогает установить сертификат в хранилище сертификатов текущего пользователя.
В КриптоПро CSP необходимо перейти на закладку Сервис, выбрать команду Просмотреть сертификаты в контейнере.
В открывшемся окне указать контейнер закрытого ключа, переключатель Введенное имя задает ключевой контейнер установить в значение Пользователя и нажать Далее.
Откроется окно просмотра сертификата. В нем следует нажать Установить.
Сертификат будет установлен в хранилище «Личные» текущего пользователя.
Настройка сертификатов в 1С
Примечание: в программах семейства «1С: Бухгалтерия 8, редакция 2. 0» настройки находятся в элементе справочника Организации на закладке Документооборот, кнопка Настроить параметры отправки отчетности в ФСС.
Электронный лист нетрудоспособности в Контур. Экстерн
В 2021 году больничные листы оформляются как в электронном, так и в бумажном виде. Согласие застрахованного лица на выписку больничного листа в электронном виде не требуется. С 2022 года больничные листы будут оформлять только в электронном виде, но по желанию застрахованного ему выдадут бумажную выписку из электронного больничного. Президент подписал федеральный закон 30. 2021 N 126-ФЗ. Законодательство приведут в соответствие с действующей практикой — прямые выплаты пособий из ФСС с этого года действуют во всей России.
Электронный листок нетрудоспособности (ЭЛН) подписывается усиленной квалифицированной электронной подписью лечащего врача и медицинского учреждения. Он имеет одинаковое правовое значение с бумажным больничным листом.
Далее расскажем, как работать с электронными больничными в Контур. Экстерн.
Редактирование
Для редактирования документа следует нажать на строку с ним. Отобразиться окно просмотра документа.
Отправленный ранее ЭЛН нужно искать на странице со списком документов.
Чтобы листок стал доступен для редактирования, следует нажать «Исправить ошибки и отправить заново»:
После редактирования данных на закладке «Электронный больничный» необходимо выбрать код причины исправления из предложенного списка:
Для просмотра содержания отправленного документа, не исправляя его, следует нажать «Распечатать ЭЛН».
Отправка
Для проверки и отправки документа нужно открыть страницу просмотра документа и выбрать «Проверить и отправить»:
Файл отправится в региональное отделение ФСС. Статус электронного листка нетрудоспособности можно будет отследить на странице документооборота.
Отправка нескольких ЭЛН
Больничные можно отправлять массово. Для этого на странице со списком документов нужно Перейти в раздел «Реквизиты и настройки», далее нажать «Включить режим массовой отправки». Он будет включен для организации в целом, то есть его действие распространится на всех пользователей.
В этом же разделе при необходимости режим массовой отправки можно отключить.
Сначала сервис показывает документы за 4 последние дня, за которые они имеются. При необходимости нужно выбрать другую дату, а также включить фильтр «Без ошибок». Появится кнопка отправки — на изображении это «Отправить 2 документа в ФСС». После ее нажатия система перекинет пользователя на окно выбора электронной подписи.
Отправленные документы
В сервисе можно отслеживать историю передачи больничных листов в ФСС. Для этого нужно на списке документов кликнуть на строку того больничного, который ранее был отправлен. В следующем окне сервис отразит основную информацию по этому ЭЛН:
Если нужно получить информацию о более ранних больничных, следует нажать на ссылку «Показать историю».
Какие ошибки могут возникнуть при работе с ЭЛН
Ошибка выглядит так:
Суть в том, что больничный не может быть изменен страхователем. На изображении выделен статус — он может принимать разные значения:
Означает, что после того, как был оформлен ЭЛН, медучреждение выдало сотруднику бумажный листок нетрудоспособности по его просьбе. Этот бланк нужно запросить у сотрудника.
Текст ошибки будет такой:
Ошибка означает, что больничный не найден в базе данных ФСС. Это может быть из-за некорректно указанных регистрационного номера ФСС, СНИЛС сотрудника либо номера ЭЛН. Нужно проверить эти параметры и исправить ошибку.
Некорректные параметры: Per
Ошибка означает, что запрос на загрузку документа подписал представитель, на которого нет доверенности.
Нужно связаться с отделением Фонда и уточнить, что с доверенностью.
При отправке электронного больничного
Ошибка бывает с кодом 090. Означает, что больничный аннулирован по одной из двух причин: сотрудник запросил бумажный листок нетрудоспособности либо в нем была допущена ошибка. Нужно обратиться к сотруднику и взять у него номер ЭЛН или его бумажный бланк.
Ошибка выглядит следующим образом:
Суть в том, что пользователь пытается отправить ЭЛН, который ранее уже был принят ФСС, но с другим значением. Это значение указывается в тексте ошибки (показано на изображении выше). Ранее обработанные документы повторно направлять не нужно.
ORA-20013: Не удалось обновить данные. Обновляемая запись потеряла актуальность
Ошибка имеет такой текст:
Ошибка выдается чаще всего при попытке подписать неактуальный документ. Возможно, он был изменен медработником. Нужно загрузить его заново, подписать и ждать по нему ответа.
Ошибка обозначает, что электронный больничный с такими параметрами на стороне ФСС найден не был. Нужно уточнить СНИЛС и номер ЭЛН.
Направленные данные страхователя содержат исправления, но не указаны причина и обоснование исправлений
Вот так выглядит эта ошибка:
Поданный больничный ранее уже был принят Фондом. Теперь пользователь пытается отправить документ с изменениями, но при этом он не указывает причину исправлений. Нужно перейти во вкладку «Электронный лист нетрудоспособности» и заполнить в ней поле «Причина исправления», а также «Обоснование исправления». После этого документ нужно Направить в ФСС повторно.
Проблемы с выбором сертификата
При запросе ЛН или попытке открытия ранее найденного ЛН, плагин КриптоПро ЭЦП browser plug-in не видит установленные личные сертификаты.
— Необходимо проверить видит ли криптопровайдер установленный сертификат. Для этого в интерфейсе Vipnet CSP открываем контейнер с сертификатом, затем, в разделе «Закрытый ключ, хранящийся в контейнере» нажать кнопку «Открыть». Должен открыться личный сертификат. Если сертификат не открывается, значит криптопровайдер не видит установленные сертификаты. В данном случае необходимо переустановить криптопровайдер, полное удаление не требуется, только переустановить приложение Vipnet CSP.
— Если сертификат открывается, необходимо проверить цепочку пути сертификации. Сертификат должен быть подтвержден, иметь закрытый ключ и должны быть установлены корневые сертификаты УЦ. Все сертификаты должны быть действительны.
При запросе ЭЛН отображается ошибка: Ошибка сервера: ORA-20001: Пара (регистрационный номер, ОГРН) страхователя не найдена в справочнике.
— Не указан ОГРН в сертификате страхователя;
— Страхователь не найден в Реестре Страхователей по паре (регистрационный номер, ОГРН).
Коды ошибок ЭЛН
He удалось расшифровать
He удалось проверить ЭЦП.
Ошибка сертификата пользователя – в данном случае следует связаться с УЦ, выдавшим вам ЭЦП. XML – файл был подписан дважды, необходимо выбрать и подписать файл расчета еще раз. Нарушен порядок подписания / шифрования файла расчета. Файл расчета сначала подписывается ЭЦП, затем зашифровывается.
В сертификате отсутствует регистрационный номер страхователя.
Сертификат пользователя не содержит записи о Регистрационном номере страхователя (свойство 1. 643. 141. 1 поля «Субъект» сертификата). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания.
В сертификате отсутствует код подразделения ФСС РФ.
Сертификат пользователя не содержит записи о Коде подразделения ФСС РФ (свойство 1. 643. 141. 2 поля «Субъект» сертификата). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания.
Внутренняя ошибка криптосервиса. Необходимо отправить файл расчета повторно.
Неверный формат регистрационного номера страхователя.
В сертификате, выданным УЦ, неправильно указан регистрационный номер страхователя (количество цифр регистрационного номера не равно 10). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания.
Неверный формат кода подразделения ФСС РФ.
В сертификате, выданным УЦ, неправильно указан код подразделения ФСС РФ (количество цифр код подразделения не равно 4). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания.
Расчет зашифрован на ключе, отличном от открытого ключа ФСС.
При подписании и шифровании файла расчета выбран неверный сертификат уполномоченного лица ФСС РФ. В данном случае нужно повторить операцию подписания и шифрования используя сертификат уполномоченного лица ФСС РФ Хасянова Рената Алиевича (Департамент ИТ ФСС РФ).
Расчет не зашифрован или не подписан.
Необходимо подписать, зашифровать и направить файл расчета на шлюз приема расчетов повторно.
Неизвестный формат файла.
Формат файла не xml. Необходимо сформировать новый файл реестра в соответствии со спецификации
Нет доверия к издателю сертификата.
Данная ошибка возникает в следующих случаях:
1) Корневой сертификат УЦ не соответствует Федеральному закону от 06. 2011 № 63-ФЗ (Закон № 63-ФЗ)
2) Не установлен корневой сертификат УЦ
Необходимо связаться с УЦ, выдавшим сертификат пользователя.
Ошибка при проверке сертификата.
Общая ошибка шифрования. Необходимо отправить файл расчета повторно.
Сертификат, которым подписан файл расчета, более недействителен. Необходимо связаться с УЦ, выдавшим сертификат пользователя.
Не найден или просрочен СОС издателя сертификата.
Ошибка списка отозванных сертификатов (СОС) УЦ, выдавшего сертификат пользователя. Необходимо связаться для консультации с УЦ, выдавшим сертификат пользователя.
В сертификате отсутствует ИНН страхователя.
Сертификат пользователя не содержит записи о ИНН страхователя (свойство 1. 643. 131. 1 поля «Субъект» сертификата). Необходимо обратиться в УЦ, выдавший сертификат для его переиздания.
XML-файл расчёта не прошел форматный контроль
Рекомендуется проверить xml-файл по XSD схеме
В сертификате указано несуществующее подразделение ФСС РФ
В сертификате пользователя, выданным УЦ, неправильно указан код подразделения ФСС РФ. Необходимо обратиться в УЦ, выдавший сертификат для его переиздания.
Неверное наименование файла.
Привести наименование файла реестра в соответствии со спецификацией.
Не загружен файл расчета. Необходимо отправить файл расчета повторно.
Ошибка при чтении XML-файла расчёта
Файл пуст или не является XML-файлом
Регистрационный номер страхователя в сертификате не совпадает с регистрационным номером, указанном в имени файла.
Файл расчёта подписан ЭЦП, принадлежащей организации отличной от организации, указанной в расчёте. Необходимо проверить сертификат, используемый для ЭЦП.
Регистрационный номер страхователя в XML-файле не совпадает с регистрационным номером в сертификате ЭЦП.
Необходимо привести содержание xml-файла расчёта в соответствие с сертификатом.
Регистрационный номер страхователя в XML-файле не совпадает с номером страхователя, указанном в имени файла.
Необходимо проверить содержание xml-файла расчёта.
Дополнительный код обособленного подразделения в XML-файле не совпадает с номером страхователя, указанном в имени файла.
Слишком большой файл
Размер файла расчёта превышает максимально допустимое значение 2097152 байт. Необходимо сформировать новый файл расчёта
Нулевой размер файла
ИНН страхователя в XML-файле не совпадает с ИНН страхователя в сертификате.
ОГРН страхователя в XML-файле не совпадает с ОГРН страхователя в сертификате.
Сертификат не является квалифицированным сертификатом.
Сертификат пользователя, которым подписан файл расчета, не является квалифицированным сертификатом.
ИНН страхователя в XML-файле не совпадает с регистрационным номером страхователя.
Необходимо проверить актуальность использованного ИНН.
Внутренняя ошибка в модуле контроля принимаемых данных.
Сообщите в техническую поддержку.
Общая ошибка расшифровки. Возможно, проблема в сертификате, используемом для шифрования.
Рекомендуется проверить xml-файл по XSD схеме. Расчет страхователя по Форма-4 ФСС за 1-й квартал 2017 г. должен быть подготовлен в виде xml файла в формате, заданном следующей XSD-схемой.
Вторые разделы расчёта имеют одинаковые шифры налогообложения
Необходимо исправить расчёт.
Ошибки логического контроля
Необходимо исправить ошибочные параметры расчёта, указанные в протоколе проверки.
Отчетный период в XML-файле не совпал с отчетным периодом в наименовании файла
Необходимо привести содержание xml-файла расчёта в соответствие с наименованием.
Расчетный год в XML-файле не совпал с расчетным годом в наименовании файла расчёта.
Файл расчёта подписан ЭЦП, принадлежащей организации отличной от организации, указанной в расчёте. Необходимо проверить сертификат используемый для ЭЦП.
Атрибут QUART_NUM элемента TITLE может иметь значение только из следующего ряда: «3»,»6″,»9″,»0″,»03″,»06″,»09″,»12″.
Необходимо исправить значение атрибута QUART_NUM в XML-файле отчёта.
Скорее всего файл отчета не был зашифрован вообще. Данная ошибка часто возникает при выгрузке файла отчета из 1С бухгалтерии, причем при выгрузке файлу уже присвоено расширение «ef4», как будто это зашифрованный файл.
Электронный сертификат страхователя, с помощью которого подписывали и шифровали файл отчета, не содержит внутри записи о рег. № страхователя и его код подчиненности в системе ФСС, скорее всего это сертификат для работы с ПФР и ФНС, или УФК. Если подписывали с помощью arm. exe, при выборе личного сертификата цолжна стоять галочка «удовлетворять требованиям ФСС РФ».
В сертификате отсутствует код подразделения ФСС.
Электронный сертификат страхователя, с помощью которого подписывали и шифровали файл отчета, не содержит внутри записи о коде подразделения в системе ФСС
В сертификате, выданном спецоператором, неправильно указан регистрационный номер страхователя, требуется переиздание сертификата.
Неверный формат кода подразделения ФСС.
В сертификате, выданном спецоператором, неправильно указан код подразделения ФСС, требуется переиздание сертификата.
Отчет зашифрован на ключе отличном от открытого ключа ФСС
При возникновении данной ошибки проверьте установлена ли у Вас обновленная версия АРМ и обновлен ли сертификат уполномоченного лица ФСС.
Отчет не зашифрован или не подписан.
Необходимо подписать и снова отправить файл отчета программным средством предложенным спецоператором или воспользоваться бесплатной программой APM
На одном из этапов формирования, подписания и отправки файла отчета произошла ошибка. Имеет смысл повторить данные действия.
Не найден издатель сертификата.
Сертификат, которым подписан файл более не действителен. Данная ошибка может возникать, если файл отчета подписан старым сертификатом при наличие вновь выданного или сертификат скомпрометирован. В данной ситуации следует проверить правильность выбранного для подписания сертификата или обратится к спецоператору, выдавшему ЭЦП.
Ошибка возникала, когда на уровне УЦ ФСС не был обновлен корневой сертификат УЦ страхователя (закончился срок его действия), или отсутствовал или был неработоспособен список отзыва (решается на уровне УЦ ФСС РФ (Москва) и УЦ страхователя)
Сертификат, которым подписан файл более не действителен. Данная ошибка может возникать, если файл отчета подписан старым сертификатом при наличие вновь выданного или срок действия сертификата окончен. В данной ситуации следует проверить правильность выбранного для подписания сертификата или обратится к спецоператору, выдавшему ЭЦП.
XML-файл с отчетом не прошел форматный контроль
Не заполнен или не правильно заполнен шифр II раздела
Не заполнен или не правильно заполнен шифр I раздела
XML-файл с отчетом не прошел форматный контроль:
Ошибка возникает при выгрузке отчета из программы 1С Бухгалтерия – не заполнена или не правильно заполнена дата платежного документа.
Ошибка: код 1824, сообщение Элемент ‘PAYM_ORDER’, атрибут ‘DT’: ‘ ‘ неверное значение для типа ‘xs:date’.
В сертификате указано несуществующее подразделение Фонда
Неверное имя файла.
Например, зашифрованный файл расчета страхователя с реестровый номером 3712000456 за 1-й квартал 2011 года должен называться 3712000456_2011_03. ef4
Несколько вторых разделов (узлы F4INF2) имеют одинаковые шифры налогообложения
Отчет не прошел логический контроль
Требуется исправление сумм, указанных в отчете
Отчетный период в XML-файле не совпал с отчетным периодом в имени загруженного файла
Произошли ошибки при чтении XML-файла с отчетом:
Критическая ошибка: код 4, сообщение Документ пуст или не является XML
Расчетный год в XML-файле не совпал с расчетным годом в имени загруженного файла
Peг. номер в сертификате не совпадает с peг. номером в имени файла
Файл отчета подписал ЭЦП пренадлежащей организации отличной от организации, указанной в отчете
Регистрационный номер в XML-файле не совпал с регистрационным номером в сертификате ЭЦП
Файл не зашифрован или не подписан.
Слишком маленький файл
Неверная контрольная сумма файла
Не удалось загрузить XSD-схему для проверки структуры XML-файла
Сертификат не действителен. Не удалось проверить сертификат в списке отозванных т. соответствующий сервер в состоянии offline (код ошибки 103,104).
Ошибка связана с тем, что на компьютере не установлен актуальный список отозванных сертификатов Удостоверяющего Центра.
Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Точки распространения списков отзыва (CRL)» и скопировать ссылку на список отзыва Удостоверяющего Центра (ссылка должна заканчиваться на. crl):
Навести курсор на скаченный файл, нажать правую клавишу мыши и выбрать пункт «Установить список отзыва (CRL)». В «Мастере импорта сертификатов» на этапе определения хранилища необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».
Установка этого списка отзыва проводится тем же способом, что описан выше.
Инструкция при возникновении проблем подключения к АИС
Инструкция обновлена 19. 2020.
Общая инструкция при возникновении проблем подключения к АИС с помощью TLS-клиента и ЭП:
Если предыдущие шаги не помогли, то найдите описание своей ошибки:
Способы решения перечисленных ошибок:
Данная ошибка возникает по разным причинам. Решение: выполните шаги 1-9 в начале данной инструкции.
Решение: Проверьте, что флешка с электронной подписью подключена к компьютеру. Необходимо установить все серверные сертификаты.
Решение: необходимо получить новую электронную подпись и/или удалить сертификат истекшей подписи из TLS-клиента, для этого:
Решение: необходимо установить корневые сертификаты по аналогии с ошибкой.
Решение: необходимо импортировать списки отзыва сертификатов по аналогии с ошибкой.
Решение: нарушен порядок установки программ либо произошел сбой.
Решение : нажмите «Да».
Решение: выполните действия по аналогии с предыдущей ошибкой.
Решение: в настройках TLS-Клиента уберите галочку «Самотестирование драйвера прозрачного проксирования»:
Я написал несколько инструкций по этому процессу, в том числе с чего начать, как грамотно обновить и как использовать двойные сертификаты. Это всё здорово, не правда ли? Но в чём проблема? А проблема возникнет тогда, когда всё пойдёт не по плану и у вас случится плохой день.
Нас хакнули
Если злоумышленник завладел нашим секретным ключом, то он может выдать себя за нас. Повторим это: кто-то в интернете может доказать, что он — это вы, хотя в реальности он таковым не является. Это реальная проблема, и прежде чем вы подумаете «Со мной такого никогда не произойдёт», вспомните Heartbleed. Этот крошечный баг в библиотеке OpenSSL позволял злоумышленнику украсть ваш секретный ключ, даже если вы соблюдали все меры безопасности. Кроме этого, было бесчисленное множество случаев, когда секретные ключи утекали из-за случайности или небрежности. Реальность такова, что мы можем потерять наш секретный ключ, а когда это случается, нам требуется способ помешать злоумышленнику использовать наш сертификат. Нужно его отозвать.
Списки отозванных сертификатов
Проблема CRL в том, что списки содержат много сертификатов от конкретных центров сертификации. Не вдаваясь в излишние детали, они разбиваются на промежуточные сертификаты CA, а центр сертификации может выдавать списки меньшими частями, но проблема остаётся той же. У списка CRL немалый размер. Другая проблема в том, что у клиента нет свежей копии CRL, ему нужно запросить её при первоначальном подключении к сайту, что может сделать всю процедуру заметно медленнее. Всё это выглядит не очень приятно, так что посмотрим на OCSP.
Протокол проверки статуса сертификата
OCSP предлагает намного более красивое решение проблемы и имеет значительное преимущество перед CRL. Здесь мы спрашиваем у CA статус единственного, конкретного сертификата. Это значит, что CA должен вернуть только простой ответ: сертификат либо хороший, либо отозван, и такой ответ гораздо меньше по размеру, чем список CRL. Отлично!
Сертификат для pornhub. com валидный?
Полный сбой
Выше я говорил о CRL и OCSP, двух механизмах проверки сертификатов браузером, и они выглядят таким образом.
После получения сертификата браузер обратится к одному из этих сервисов и отправит запрос для окончательного выяснения статуса сертификата. А что, если у вашего CA плохой день и его инфраструктура в офлайне? Что, если ситуация выглядит так?
Частичный сбой
На самом деле сегодня браузеры выполняют так называемую проверку отзыва сертификата с частичным сбоем. То есть браузер попытается проверить статус сертификата, но если ответ не пришёл совсем или не пришёл за короткий промежуток времени, то браузер просто забывает об этом. Ещё хуже, что Chrome даже не пытается проверить сертификат. Да, вы прочитали правильно, Chrome даже не пытается проверить статус сертификата, который ему поступает. Вы можете найти это странным, но я полностью согласен с их подходом и я рад сообщить, что Firefox тоже, вероятно, скоро начнёт работать так же. Позвольте объяснить. Проблема с полным сбоем очевидна: если у CA плохой день, то у нас тоже он будет, вот так мы пришли к логике частичного сбоя. Браузер теперь пытается осуществить проверку сертификата на предмет отзыва, но полностью отказывается от неё, если она занимает слишком много времени или если кажется, что CA ушёл в офлайн. Погодите, какие были последние слова? Проверка сертификата на предмет отзыва отменяется, «если кажется, что CA ушёл в офлайн». Интересно, может ли злоумышленник имитировать такие условия?
Если вы осуществляете атаку MiTM, то вам нужно всего лишь блокировать запрос на проверку сертификата и создать впечатление, что CA не работает. Браузер тогда столкнётся с частичным сбоем проверки и продолжит радостно использовать отозванный сертификат. Если вас никто не атакует, то каждый раз при проверке этого конкретного сертификата вы тратите время и ресурсы на проверку, что сертификат не отозван. И один раз, когда вас атакуют — тот единственный раз, когда вам по-настоящему нужна такая проверка — злоумышленник просто блокирует соединение, и браузер проходит через частичный сбой. Адам Лэнгли из Google лучше всех описал, что такое отзыв сертификата: это ремень безопасности, который рвётся в момент аварии, и он прав. Вы каждый день садитесь в машину и пристёгиваете ремень безопасности — и он даёт вам приятное и комфортное ощущение безопасности. А потом в один день что-то идёт не по плану — вы попадаете в аварию, и вот тут вы вылетаете в ветровое стекло. В тот единственный раз, когда он действительно нужен, ремень безопасности вас подводит.
Проприетарные механизмы
Если сайт скомпрометирован и злоумышленник получил секретный ключ, то он может подделать этот сайт и причинить некоторый вред. Здесь ничего хорошего, но могло быть и хуже. Что если CA скомпрометирован и злоумышленник получил секретный ключ для промежуточного сертификата? Это было бы катастрофой, потому что тогда злоумышленник может подделать буквально любой сайт, который захочет, подписав собственный сертификат. Поэтому вместо онлайновой проверки промежуточных сертификатов на предмет отзыва у Chrome и Firefox есть собственные механизмы для той же задачи.
В Chrome он называется CRLsets, а в Firefox — OneCRL. Эти механизмы проверяют списки отозванных сертификатов, объединяя доступные CRL и выбирая оттуда сертификаты. Так проверяются особо ценные сертификаты вроде промежуточных, но что насчёт обычных, наших с вами?
OCSP Must-Staple
Чтобы объяснить, что такое OCSP Must-Staple, нужно сначала вкратце разобраться, что такое OCSP Stapling. Я не хочу здесь вдаваться в лишние подробности, вы можете получить всестороннюю информацию из моего блога по OCSP Stapling, но вот суть. OCSP Stapling избавляет браузер от необходимости отправлять запрос OCSP, выдавая ответ OCSP вместе с самим сертификатом. Это называется OCSP Stapling, потому что сервер должен «скрепить» (staple) ответ OCSP с сертификатом и выдать их вместе.
На первый взгляд это кажется немного странным, потому что сервер как будто «сам удостоверяет» собственный сертификат как неотозванный, но всё работает правильно. Ответ OCSP действует только короткий промежуток времени и подписан CA точно так же, как сертификат. Так что если браузер может удостовериться, что сертификат подписан CA, то точно так он может удостовериться, что ответ OCSP тоже подписан этим CA. Это устраняет большую проблему приватности и избавляет клиента от бремени выполнять внешний запрос. Лучший вариант! Но на самом деле не лучший, извините. OCSP Stapling — отличная вещь, и все мы должны поддерживать эту технологию на своих сайтах, но действительно ли мы думаем, что её будет поддерживать злоумышленник? Нет, я так не думаю, конечно же он не будет этого делать. Что нам на самом деле нужно — так это заставить сервер поддерживать OCSP Stapling, и вот для чего нужен OCSP Must-Staple. При запросе нашего сертификата у CA мы просим его установить на нём флаг OCSP Must-Staple. Этот флаг указывает браузеру, что сертификат должен поставляться с откликом OCSP или он будет отвергнут. Установить флаг легко.
После установки этого флага мы должны гарантировать, что используется OCSP Staple, иначе браузер отвергнет сертификат. В случае компрометации, если злоумышленник получит наш ключ, ему также придётся использовать OCSP Staple вместе с нашим сертификатом, а если он не включит OCSP Staple, то ответ OCSP скажет, что сертификат отозван, и браузер его не примет. Тада!
OCSP Expect-Staple
Хотя Must-Staple кажется отличным решением проверки отзыва сертификатом, это не совсем так. На мой взгляд, одной из самых больших проблем является то, что я как оператор сайта не могу точно знать, насколько надёжны метки OCSP Staple и как их принимает клиент. Без включенного OCSP Must-Staple это не является проблемой, но если включить OCSP Must-Staple и мы не уверены в надёжности или правильности OCSP Staple, это проблема для сайта. Чтобы попытаться и получить некую обратную связь о качестве меток OCSP Staple, мы можем активировать функцию под названием OCSP Expect-Staple. Я писал о ней раньше, и вы можете узнать все подробности в блоге OCSP Expect-Staple, но здесь тоже объясню вкратце. Вдобавок к списку предзагрузки HSTS вы запрашиваете браузер прислать отчёт, удовлетворён ли он меткой OCSP Staple. Вы можете собирать отчёты сами или использовать мой сервис report-uri. io, в обоих случаях вы точно узнаете, когда ваш сайт столкнулся с проблемами при работе OCSP Must-Staple. Поскольку использование списка предзагрузки HSTS не настолько очевидно, как мне бы хотелось, я также написал спецификацию для определения нового заголовка безопасности под названием Expect-Staple, чтобы обеспечивать ту же функциональность ценой меньших усилий. Идея в том, что теперь вы можете установить этот заголовок и включить функцию отправки отчётов, которые так нам нужны, ещё до активации Must-Staple. Установка заголовка будет простой, как и всех остальных заголовков безопасности:
Поддельные сертификаты
Если мы говорим об отзыве сертификатов, то должны рассмотреть тему их подделки. Если некто пытается скомпрометировать CA или как-то ещё получить сертификат, который ему не положен, то как он будет действовать? Если я прямо сейчас взломаю CA и получу сертификат на ваш сайт, то вы не узнаете об этом до тех пор, пока об этом не сообщат в новостях. У вас в компании даже может быть инсайдер, который получит сертификат в обход внутренних процедур, и он будет делать с ним всё что захочет. Нам нужна стопроцентная прозрачность, и скоро мы её получим. Это Certificate Transparency.
Certificate Transparency
Сертификат не найден на компьютере
При возникновении ошибки «Сертификат не имеет связи с закрытым ключом» необходимо выполнить проверку сертификата электронной подписи.
Алгоритм проверки электронной подписи:
В программном продукте 1С необходимо
перейти в раздел «Администрирование»
«Обмен электронными документами»
«Настройка электронной подписи и шифрования»
На вкладке «Сертификаты» открыть используемый сертификат
Нажать на кнопку «Проверить»
Ввести пароль закрытой части ключа и нажать «Проверить»
Если в ходе проверки напротив пункта «Наличие сертификата в личном списке» возникнет сигнализирующий желтый символ, на него необходимо нажать для открытия технической информации.
В открывшемся окне перейти на вкладку «Содержание» и нажать «Сертификаты»
В сертификатах перейти на вкладку «Личные».
Как видно на примере в личных действительно отсутствует сертификат электронной подписи.
Решение: Установить сертификат в личный список.
Корректная установка сертификата в личный список происходит из программы криптографии.
Для пользователей, использующих VIPNet CSP
В открывшемся окне свойств контейнера необходимо нажать «Открыть» для открытия сертификата электронной подписи.
В сертификате необходимо нажать «Установить сертификат»
В открывшемся мастере импорта сертификатов необходимо выбрать в расположении хранилища «Текущий пользователь» и нажать «Далее»
Затем выбрать «Поместить все сертификаты в следующее хранилище» и нажать «Обзор«. В открывшемся окне выбрать хранилище «Личное» и нажать «ОК«. Завершить установку сертификата.
Для пользователей, использующих КриптоПро CSP
В открывшемся окне криптопровайдера перейти на вкладку «Сервис» и нажать «Просмотреть сертификат в контейнере.
Затем нажать «Обзор» и выбрать необходимый контейнер закрытого ключа.
В открывшемся окне необходимо выбрать необходимый контейнер закрытого ключа и нажать «ОК«
В следующем окне можно сверить данные о выбранного сертификата и нажать «Установить«.
После чего появиться окно, свидетельствующее о том, что сертификат установлен в хранилище «Личные» текущего пользователя.
После установки сертификат появится в хранилище «Личные» в свойствах браузера.
После установки сертификата в хранилище «Личные» ошибка не воспроизводится.
Не удалось определить цифровой сертификат получателя 1С — как исправить?
В современном мире представителям бизнеса уже не нужно обязательно стоять в долгих очередях в налоговой инспекции для того, чтобы сдать отчёт. Нет необходимости торопиться, нести кучу бумаг, переделывать ошибки, бояться, что не успеешь в срок. Теперь это всё легко можно сделать прямо из уютного офиса, имея под рукой компьютер, интернет и 1С.
Она является главной программой каждого офиса — от малого до крупного бизнеса. Бухгалтера, менеджеры, работники складов и логистики пользуются той или иной версией, улучшают производительность своего труда, отчётность и упрощают себе жизнь. Однако иногда возникают такие ситуации, когда программа эту жизнь наоборот усложняет. Например, когда появляются разнообразные ошибки и проблемы, решить которые самостоятельно затруднительно.
В данной статье рассмотрим ошибку, которая сопровождается сообщением « Не удалось определить цифровой сертификат получателя для шифрования сообщения! » в программе 1С. В этом сообщении нет ничего катастрофичного. Оно возникло от того, что в сертификате получателя отчёта произошли какие-либо изменения. Следовательно, для того чтобы сдать отчёт, остаётся лишь обновить данные о сертификате на стороне компьютера отправителя, что занимает несколько минут. Мы пошагово покажем, как можно решить эту проблему.
Что делать, если появилось уведомление «Не удалось определить цифровой сертификат»?
Итак, решение данной проблемы есть, и оно достаточно простое. Нужно просто сделать всё внимательно, по шагам.
Первым делом, необходимо вручную добавить контейнер закрытого ключа и установить сертификат. Рассмотрим, как это сделать пользователям Крипто ПРО и ViPNet CSP.
Для Крипто ПРО:
Для ViPNet CSP:
Дальнейшие действия при возникновении ошибки «Не удалось определить цифровой сертификат получателя» в ПО 1С:
Если вы правильно выполнили данную операцию, то сообщение «Не удалось определить цифровой сертификат получателя» больше не должно появляться. Описанная выше инструкция поможет решить не только проблему с этой ошибкой, но также и при появлении сообщений « Ошибка расшифровки файла документа при распаковке пакета » и « Сертификат не зарегистрирован в системном хранилище 1С «.
Если после выполнения всех действий проблема всё же осталась, то вам следует обратиться за помощью в службу поддержки вашего поставщика 1С.
Подробнее о программе 1С
Для отправки электронных отчётов предприятия России могут использовать приложение 1С:Отчётность, которое позволяет сдавать сведения во все контролирующие органы: ФНС, ПФР, ФСС, Росстат, Росалкогольрегулирование, Росприроднадзор. Кроме того, с его помощью можно получать выписки и сверки из разнообразных документов этих инстанций.
Отчётность можно отнесли следующее
Мы разобрали, что же делать, если не удалось определить цифровой сертификат получателя в программе 1С. На видео ниже вы можете познакомиться с функциональностью сервиса 1С:Отчётность.
Вложения
Rixar пишет: Нет. Через крипто-про на рабочем месте. Фишка в том что до этого все подписывалось. Я пока не знаю где копать
Что- меняли, переустанавливали? Попробуйте удалить сертификат и установить заново. Если ошибка останется, позвоните в УФК:
Rixar пишет: Да ничего не меняли вообще.
Все равно для начала переустановите сертификат.
Rixar пишет: С утра все подписывало.
Rixar пишет: Я так и думал что грамотного ответа по этой ошибке не дождусь.
Ну и зачем тогда Вы здесь? Ищите грамотных специалистов.
автор, с таким отношением заниматься решениями проблем не следует, найдите другую работу
Надо удалить ветки реестра:
Это должно было помочь.
Установка сертификата в системное хранилище
Если вы хотите входить в программу с помощью внешнего устройства, выполните следующие действия:
На странице Хранилище сертификатов установите переключатель в положение Поместить все сертификаты в следующее хранилище и с помощью кнопки Обзор выберите хранилище Личное.
На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.
В результате сертификат электронной подписи будет установлен в системное хранилище сертификатов. Для входа в программу подключите к компьютеру внешнее устройство с сертификатом.
Подробнее об установке контейнера ключей с помощью криптопровайдера ViPNet CSP см. в документе «ViPNet CSP. Руководство пользователя», в разделе «Установка контейнеров и сертификатов».
Перенос контейнера ключей в локальную папку и установка сертификата в системное хранилище
Если вы хотите входить в программу с помощью пароля, выполните следующие действия:
В результате копия выбранного контейнера ключей появится на панели просмотра в списке Контейнеры. В столбце Путь для данной копии будет указана папка на жестком диске.
В результате сертификат электронной подписи будет установлен в системное хранилище сертификатов. Для входа в программу используйте пароль к контейнеру ключей.
Ошибка при получении свойства сертификата (0x00000000)
Чтобы определить под каким пользователем ОС (на каком компьютере), необходимо наличие связи закрытого ключа с открытой частью сертификата, требуется узнать режим запуска 1С:
Если файловая база запускается через браузер на том же компьютере, значит используется web-сервер, и наличие связи надо проверять для пользователя ОС, под которым запущен web-сервер без повышения прав (и на том же компьютере, где запущен web-сервер).
Если база клиент-серверная и проверяется подпись на сервере, то наличие связи надо проверять для пользователя ОС, под которым запущен сервер 1С без повышения прав (если используется web-сервер, то все равно проверки выполнять для пользователя ОС, под которым запущен сервер 1С). В этом случае ошибка в проверке подписи на клиенте проблемой не является.
Если база клиент-серверная и проверяется подпись на клиенте, то наличие связи надо проверять для пользователя ОС, под которым запускается сеанс 1С на машине-клиенте без повышения прав. В этом случае ошибка в проверке подписи на сервере проблемой не является.
Необходимо выяснить в каком из вышеперечисленных режимов происходит запуск 1С при возникновении ошибки, а также в какой проверке возникает ошибка (проверка на сервере или на клиенте). Все дальнейшие рекомендации выполнять на нужной машине и в сеансе нужного пользователя ОС без повышения прав (т. без «запуск от имени администратора»).
Проверить, что сертификат установлен в Личный список сертификатов пользователя ОС, а также наличие связи с закрытым ключом:
В консоли развернуть папку «Личное» и перейти в «Сертификаты».
Открыть проблемный сертификат.
В сведениях о сертификате не должно быть красного креста или восклицательного знака.
Проверка связи и перепривязка средствами криптопровайдера:
В мастере экспорта сертификатов необходимо выбрать «Да, экспортировать закрытый ключ» и нажать «Далее».
На следующем шаге автоматически определится предпочтительный формат экспортируемого файла (. PFX). Необходимо нажать «Далее».
После чего необходимо задать пароль для закрытого ключа, а также выполнить его повторный ввод в поле «Подтверждение» и нажать «Далее».
На следующем шаге мастера экспорта сертификатов требуется указать имя файла и доступную директорию компьютера.
И завершить экспорт.
В сеансе пользователя, двойным щелчком левой кнопки мыши по экспортированному файлу, необходимо запустить мастер импорта сертификатов.
В поле «Расположение хранилища» выбрать «Текущий пользователь» и нажать «Далее».
Импортируемый файл определится автоматически.
На следующем шаге мастера необходимо ввести пароль, который был указан при экспорте файла, и нажать «Далее».
После чего завершить импорт сертификата, выбрав «Автоматически выбрать хранилище на основе типа сертификата».
Если криптосредство (КриптоПро, VipNet) не запускается без повышения прав в сеансе пользователя ОС, из-под которого выполняется запуск приложений 1С (запуск сервера 1С или web-сервера для файловой ИБ), рекомендуется выполнить переустановку криптосредства, чтобы оно было доступно в сеансе пользователя ОС, из-под которого выполняется запуск приложений 1С (и/или сервера/web-сервера).