Работая с криптографическими утилитами (КриптоПро и др.), применяющими инструменты криптозащиты и электронные подписи, пользователи нередко сталкиваются с проблемами создания реквизита электронного документа. Один из частых сбоев – ошибка с кодом 0x800b010a и описанием неисправности «Не удаётся проверить цепочку сертификатов». Возникает проблема при различных условиях, например, в процессе регистрации на сайте госзакупок или применении сгенерированной ЭЦП в подписании документов.
Решение проблемы напрямую зависит от причины её возникновения, а потому рассмотрим способы устранения неприятности, эффективные в зависимости от провоцирующего фактора.
Причины конфликта сертификатов
Ошибка связана с некорректным использованием ключей цифровой подписи и сертификатами, поэтому может появляться независимо от веб-ресурса, с которым вы работаете. Столкнуться с уведомлением «Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800b010a)» (текст может отличаться, но сути вопроса не меняет) можно по следующим причинам:
- нет доступа к удостоверяющему центру (УЦ), откуда можно загрузить нужный сертификат;
- необходимого сертификата нет в хранилище;
- сертификат отсутствует или недействителен (истёк срок действия);
- сбой в программе, вызванный неактуальностью компонентов и указывающий на необходимость обновления ПО;
- нестабильное подключение.
Так, в тексте уведомления об ошибке сообщается причина проблемы – цепочку сертификатов не удаётся построить, поскольку один из них или несколько недоступны (отсутствуют, некорректно установлены или неактуальны).
Нормальная работа осуществляется при условии установленных корневого (головного), промежуточного и личного сертификатов.
Исправление сбоя 0x800b010a
При возникновении данной проблемы электронная подпись станет недействительной, и подписать ею файл не получится. Сбой может произойти при различных условиях, от чего будет зависеть вариант решения.
Так как ошибка с кодом 0x800b010a и пояснением «Не удаётся построить цепочку сертификатов для доверенного корневого центра» или другим описанием, например, «Ошибка вычисления подписи», возникает из-за невозможности построения элементов, то основная задача заключается в проверке всех участвующих звеньев и восстановлении цепи. Рассмотрим подробнее, как исправить проблему разными способами, актуальными в том или ином случае.
Проверка сроков
В некоторых случаях проблема спровоцирована истёкшим сроком действия сертификатов. Если вы своевременно не обновили их и не запросили свежие ключи, то решение заключается в просмотре сведений и выборе актуального на текущий момент сертификата. Для этого выбираем из списка нужный и жмём кнопку «Просмотр». Необходимые сведения доступны на вкладке «Общие». При необходимости обновляем, а в случае отсутствия доверия устанавливаем в корректную директорию. Невозможность отслеживания пути до доверенного центра говорит о нарушении общей цепи, вероятно, не установлены промежуточные сертификаты.
Проверка наличия основного ГУЦ
Если ошибка всё ещё беспокоит, переходим к следующему варианту устранения проблемы. Кроме проверки актуальности ключей, важно также убедиться в наличии основного ключа ПАК, являющегося первым и главным звеном в последовательной цепи сертификатов.
Выполняем пошагово такие манипуляции:
Устанавливая сертификат Головного удостоверяющего центра, следует загрузить его в папку «Доверенные корневые центры сертификации», личный располагаем в каталоге «Личные», а прочие – в «Промежуточные центры сертификации».
Проверка CryptoPro
Если внутренний сбой не был устранён, можно попытаться выполнить переустановку КриптоПРО путём полного удаления софта с компьютера и установки свежей версии:
При работе в тестовом режиме рекомендуем также проверить правильность указанного адреса службы штампов времени (TSP).
В решении проблем с функционированием программы КриптоПРО и прочих продуктов может также помочь поддержка на сайте cryptopro.ru/support.
Проверка защищенных соединений в Mozilla
Firefox
Браузер Mozilla Firefox не использует хранилище
сертификатов Microsoft Windows. Для проверки SSL-соединений при
использовании Firefox необходимо установить сертификат «Лаборатории
Касперского» вручную.
Чтобы установить сертификат
«Лаборатории Касперского», выполните следующие действия:
- В блоке Сертификаты
выберите закладку
Безопасность
и нажмите на
кнопку . - и нажмите
на кнопку Восстановить
.
Чтобы установить сертификат
«Лаборатории Касперского» для Mozilla Firefox версии 3.х,
выполните следующие действия:
- В меню браузера выберите пункт Инструменты
®
Настройки
. - В открывшемся окне выберите раздел
Дополнительно
. - На закладке Шифрование
нажмите на кнопку . - В открывшемся окне выберите закладку
и нажмите
на кнопку Импортировать
. - В открывшемся окне установите флажки для
выбора действий, для проверки которых будет применяться
установленный сертификат. Для просмотра информации о сертификате
воспользуйтесь кнопкой Просмотреть
.
** Если через проводник не получается добраться до сертификата, включите отображение скрытых файлов и папок по инструкции из статьи
.
Для контроля правильности проделанных операций в окне Просмотр сертификатов
откройте вкладку Центры сертификации
и найдите установленный вами корневой сертификат, откройте окно информации о сертификате, нажав кнопку «Просмотр»
. Убедитесь, что сертификат действителен.
К разделу «Безопасные платежи»
Статья относится к:
- Kaspersky Internet Security;
- Kaspersky Total Security;
- Kaspersky Security Cloud;
- Kaspersky Small Office Security.
Проблема
При открытии сайта появляется сообщение «Обнаружена проблема при проверке сертификата » или «Невозможно гарантировать подлинность домена, с котором устанавливается зашифрованное соединение».
Причина
Сайт может быть небезопасным, ваши учетные данные и другую информацию могут украсть злоумышленники. Мы не рекомендуем открывать такой сайт.
Подробнее о возможных причинах смотрите .
Решение
Вы можете разрешить однократное открытие сайта. Инструкция .
Если вы уверены в безопасности этого сайта и хотите, чтобы программа больше его не проверяла и не выводила такие сообщения:
Причины появления сообщения
- Сертификат может быть отозван. Например, по заявлению владельца, если его сайт взломали.
- Сертификат выписан нелегально. Сертификат должен быть получен в удостоверяющем центре после прохождения проверки.
- Нарушена цепочка сертификатов. Сертификаты проверяются по цепочке от самоподписанного до доверенного корневого сертификата, который предоставляет удостоверяющий центр. Промежуточные сертификаты предназначены для подписания (подтверждения) другого сертификата в цепочке.
Причины, по которым может быть нарушена цепочка сертификатов:
Цепочка состоит из одного самоподписанного сертификата. Такой сертификат не заверяется удостоверяющим центром и может быть опасен.Цепочка не завершается доверенным корневым сертификатом.Цепочка содержит сертификаты, не предназначенные для подписывания других сертификатов.Истекло или не наступило время действия корневого или промежуточного сертификата. Удостоверяющий центр выдает сертификат на определенный период времени.Цепочка не может быть выстроена. - Цепочка состоит из одного самоподписанного сертификата. Такой сертификат не заверяется удостоверяющим центром и может быть опасен.
- Цепочка не завершается доверенным корневым сертификатом.
- Цепочка содержит сертификаты, не предназначенные для подписывания других сертификатов.
- Истекло или не наступило время действия корневого или промежуточного сертификата. Удостоверяющий центр выдает сертификат на определенный период времени.
- Цепочка не может быть выстроена.
- Домен в сертификате не соответствует сайту, с которым устанавливается соединение.
- Сертификат не предназначен для подтверждения подлинности узла. Например, сертификат предназначен только для шифрования соединения между пользователем и сайтом.
- Нарушены политики использования сертификата. Политика сертификата — набор правил, определяющий использование сертификата с заданными требованиями безопасности. Каждый сертификат должен соответствовать хотя бы одной политике сертификата. Если их приведено несколько, сертификат должен удовлетворять всем политикам.
- Нарушена структура сертификата.
- Возникла ошибка при проверке подписи сертификата.
Как убрать сообщения о проблеме с сертификатом, отключив проверку защищенных соединений
Отключение проверки защищенных соединений снизит уровень защиты компьютера.
Если вы не хотите, чтобы программа «Лаборатории Касперского» показывала сообщение о проблеме с сертификатом, отключите проверку защищенного соединения:
Проверка защищенных соединений будет выключена.
Как убрать сообщения о проблеме с сертификатом, добавив сайт в исключения
Причины ошибки в цепочке сертификатов
Ошибки могут возникать по разным причинам — проблемы с Интернетом на стороне клиента, блокировка программного обеспечения Защитником Windows или другими антивирусами. Далее, отсутствие корневого сертификата Удостоверяющего Центра, проблемы в процессе криптографической подписи и другие.
Устранение ошибки при создании создания цепочки сертификатов для доверенного корневого центра
В первую очередь убедитесь, что у вас нет проблем с интернет-подключением. Ошибка может появляться при отсутствии доступа. Сетевой кабель должен быть подключен к компьютеру или роутеру.
- Нажмите кнопку «Пуск» и напишите в поиске «Командная строка».
- Выберите ее правой кнопкой мыши и нажмите «Запуск от администратора».
- Введите в DOS-окне следующую команду «ping google.ru
».
При подключенном интернете у вас должны отобразиться данные об отправленных пакетах, скорости передачи и прочая информация. Если Интернета нет, вы увидите, что пакеты не дошли до места назначения.
Теперь проверим наличие корневого сертификата Удостоверяющего Центра. Для этого:
Проверка корневого сертификата УЦ в браузере
Проверку можно выполнить в браузере.
- Выберите в меню пункт «Сервис».
- Далее нажмите строку «Свойства обозревателя».
- Нажмите на вкладку «Содержание».
- Здесь нужно выбрать «Сертификаты».
- Следующую вкладка «Доверенные центры сертификации». Здесь должен быть корневой сертификат УЦ, обычно он находится на дне списке.
Теперь попробуйте снова выполнить те действия, в процессе которых возникла ошибка. Чтобы получить корневой сертификат, необходимо обратиться в соответствующий центр, где вы получили СКП ЭП.
Другие способы исправить ошибку цепочки сертификатов
В следующем окне вы должны увидеть сообщение о предварительной регистрации.
Установка КриптоПро
Когда установочный файл скачен, его нужно запустить для установки на ваш компьютер. Система отобразит предупреждение, что программа запрашивает права на изменение файлов на ПК, разрешите ей это сделать.
Перед установкой программы на свой компьютер, все ваши токены должны быть извлечены. Браузер должен быть настроен на работу, исключением является браузер Opera, в нем уже произведены все настройки по умолчанию. Единственное, что остается пользователю — это активировать специальный плагин для работы. В процессе вы увидите соответствующее окно, где Opera предлагает активировать этот плагин.
После запуска программы, нужно будет ввести ключ в окне.
Найти программу для запуска можно будет по следующему пути: «Пуск», «Все программы», «КриптоПро», «КриптоПро CSP». В открывшемся окне нажмите кнопку «Ввод лицензии» и в последней графе введите ключ. Готово. Теперь программу необходимо настроить соответствующим образом под ваши задачи. В некоторых случаях для электронной подписи используют дополнительные утилиты — КриптоПро Office Signature и КриптоАКМ. Можно устранить ошибку — нет возможности построить цепочку сертификатов для доверенного корневого центра — простой переустановкой КриптоПро. Попытайтесь это сделать, если другие советы не помогли.
Ошибка все еще появляется? Отправьте запрос в службу поддержки, в котором нужно разместить скриншоты ваших последовательных действий и объяснить подробно свою ситуацию.
Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.
Обычно эта ошибка выглядит так:
Давайте сначала разберемся, почему эта ошибка возникает.
Отсутствие полного доверия к сертификату
означает, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно — и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.
Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва — то можно ничего не делать и ошибки не исправлять. Это действительно так!
Переводим КриптоАРМ в режим Эксперт
В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим
Подключаем сертификат электронной подписи
Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен , и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет — .
Подключаем отчуждаемый носитель
Выбираем криптопровайдер
, как показано на скриншоте, а выбирая тип носителя, следует выбрать токен
или дискету (флешка считается дискетой
, не удивляйтесь).
Теперь выбираем контейнер.
Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов — выберите именно тот, который вам нужен.
Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен
стандартный пин-код 12345678
, для eToken
— 1234567890
. Если вы все еще пользуетесь стандартным пин-кодом — стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.
Все, мы объяснили программе КриптоАРМ
, где находится наш сертификат, но она ему не очень доверяет.
Подключаем сертификат, если он не на съемном носителе
Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить — это очень небезопасно
. Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами
, при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.
Я попытался найти простой способ добавить сертификат в КриптоАРМ, если он лежит на локальном диске, но не нашел. Поэтому единственный быстрый способ добавить сертификат с локального диска в КриптоАРМ — это положить его на флешку (прямо в корень, без папок) и .
Добавляем сертификат УЦ в список доверенных центров сертификации
Для этого возвращаемся в основное окно КриптоАРМ, заходим Сертификаты
— Личное хранилище сертификатов
— Правой кнопкой мыши на ваш сертификат
— Свойства
Переходим на вкладку «Статус Сертификата
«, выбираем сертификат удостоверяющего центра
(из него «вытекает» ваш сертификат), и нажимаем Просмотреть
, а затем нажимаем кнопку Установить сертификат
.
Выбираем пункт «Поместить все сертификаты в следующее хранилище
«, нажимаем Обзор
, а затем выбираем «Доверенные корневые центры сертификации
«, а затем подтверждаем установку сертификата.
КриптоАРМ Trusted TLS Trusted Java
В процессе работы с системой электронного представления сведений в таможенные органы для подписания и отправки пакета электронных документов каждый декларант должен использовать сертификат электронной подписи, который выдается удостоверяющим центром ФТС на специальных носителях.
В данной статье описана проблема, которая может возникнуть при использовании ЭП, сертификаты ключей которой выпущены удостоверяющими центрами, аккредитованными сравнительно недавно.
Доверенные удостоверяющие центры
Порядок использования средств электронной подписи (далее — ЭП) участниками ВЭД при реализации информационного взаимодействия с таможенными органами описан в Приказе ФТС № 2187 от 25.10.2011 г. В частности, в разделе 3 данного приказа дается определение Системы удостоверяющих центров таможенных органов, а также устанавливается порядок аккредитации Доверенных удостоверяющих центров (ДУЦ).
Начало активной деятельности аккредитованных УЦ ознаменовалось не только удобным для пользователей ускоренным получением сертификатов ключей ЭП, но и, вместе с тем, возникновением некоторых проблем. В чем суть основной проблемы, с которой столкнулись участники ВЭД?
На некоторых таможенных постах ФТС происходит следующая ситуация: корневые сертификаты УЦ не обновлены на рабочих местах инспекторов или вообще не установлены.В этом случае пакет электронных документов, подписанный ЭП, выпущенной этими УЦ, не может попасть в очередь оформления (Аист-М) на посту.
Симптомы
процедура ЭД открывается успешно, в ответ на сообщение «Передана ДТ» от таможни декларант получает «Сообщение получено» (CMN.00002)
и «Сообщение обработано» (CMN.00004)
. НО НЕ ПОЛУЧАЕТ «Уведомление о получении ДТ в таможенный орган» (CMN.11072)
. На этой стадии процесс информационного обмена останавливается. Такой сценарий типичен при условии, что каких-либо других технических проблем не возникло.
Шаг 1. Уведомить ИТ-службу таможенного поста о сложившейся ситуации, описав суть проблемы и симптомы. Можно сослаться на Письмо ЦИТТУ № 31-07/418 от 24.01.2013 г. начальникам региональных таможенных управлений и таможням, непосредственно подчиненным ФТС РФ. В данном документе содержатся сведения о необходимости установки кросс-сертификатов ДУЦ на рабочие места должностных лиц таможенных органов.
Шаг 2. Информировать о сложившейся ситуации и симптомах представителей УЦ, выпустившего сертификат ключа вашей ЭП, а также сообщить специалистам данные этого таможенного поста. Скорейшее решение данной проблемы в интересах УЦ.