Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.
Какие бывают ошибки
Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:
- Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
- Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
- Проблема при авторизации на торговых площадках.
Рассмотрим неполадки подробнее и разберёмся, как их решать.
Сертификат не найден
Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».
У подобных ошибок могут быть следующие причины:
- На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
- На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
- Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.
Для установки списка отозванных сертификатов:
Не виден сертификат на носителе
Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.
К наиболее распространённым причинам такой проблемы относятся следующие случаи:
- Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
- Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
- Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.
ЭП не подписывает документ
Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:
- Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
- Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
- Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
- Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
- Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
Выбранная подпись не авторизована
Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».
Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.
Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.
Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.
Часто задаваемые вопросы
Почему компьютер не видит ЭЦП?
Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.
О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.
Почему КриптоПро не отображает ЭЦП?
Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.
Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.
Где на компьютере искать сертификаты ЭЦП?
Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:
Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.
При работе с online сервисами 1С и других разработчиков, где необходимо обращение к электронной подписи, пользователи часто сталкиваются с ошибками ее проверки. Что делать, если не удалось выполнить проверку отзыва сертификата 1С и какие еще возникают ошибки работы с ЭДО, разбираем подробно с вариантами решений.
Компании, у кого жестко настроена политика безопасности, чаще всего наблюдают сбои в работе с ЭП. Это из-за того, что постоянно очищается список имеющихся CRL на ПК или, наоборот, к ним не может достучаться криптография для проверки
Что вообще такое списки отзывов сертификатов
Certificate Revocation List или список отозванных сертификатов – это информация, предоставляемая удостоверяющими центрами о недействительных сертификатах, о тех, чей срок действия уже либо закончился, либо был прерван по различным обстоятельствам.
Ключи могут отзываться по различным причинам. Самые распространенные:
- компрометация ключа или истечение срока годности ЭП;
- неверно заполненные реквизиты в составе ключа;
- поменялся владелец компании или ресурса;
- если речь идет про ключи сайтов, сайт более недоступен, перестал работать.
Список отозванных сертификатов ключей электронных подписей имеет расширение CRL. Сокращенное наименование СОС. В некоторых кругах можно услышать также понятие — Список аннулированных сертификатов (САС).
В настоящий момент (процесс был запущен еще в далеком 2017 г.) все чаще прибегают к отказу от СОС в сторону Online Certificate Status Protocol (OCSP, Онлайн Протокол Состояния Сертификата).
Принципы работы списков отозванных сертификатов
Актуализирует и публикует списки отозванных сертификатов САС Certificate Authority (CA — центр сертификации), который данный сертификат и выпустил.
Предпосылки для отзыва сертификата
Причины, по которым требуется аннулировать сертификат:
Рис.1 Почему аннулирован сертификат ключа проверки ЭП
Отправляет запрос на аннулирование/отзыв сертификат:
- Владелец.
- Директор компании.
- ФНС может послать запрос, если обнаружит компрометацию ключа.
Ошибка работы с ЭДО в 1С. Сертификат не прошел проверку или отозван
Пользователи онлайн-сервисов 1С нередко спрашивают: почему только недавно все работало, а теперь программа пишет, что сертификат недействительный или не удалось проверить сертификат в списке отозванных. Почему же этот сертификат не удалось проверить? Ответ прост: потому что на ПК нет установленных актуальных СRL-сертификатов от удостоверяющих центров, которые бы «сказали», что сертификат все еще действителен.
Для того, чтобы установить списки отозванных необходимо выполнить следующие шаги:
- Перейдите в папку, куда скопировали открытую часть ключа из ПО 1С и откройте файл (он должен быть с расширением .cer).
- Если по крайней не скачивается, проверьте весь ли путь скопировали.
- Если после установки сертификата ничего не изменилось, попробуйте следующую ссылку (снизу вверх).
- Ошибка воспроизвелась опять? Установите СОС по всей цепочке сертификации.
- Все еще сертификат недействителен? Проверьте валидность ключа на сайте госуслуг или иным способом. Обратитесь в УЦ за проверкой ключа.
- Находим наш скачанный файл и правой кнопкой мыши выбираем команду Установить списки отозванных.Рис.14 Устанавливаем СОС
Откроется мастер импорта сертификатов, так называемый, помощник в установке сертификатов на компьютер.Рис.15 Автоматическая установка списков отозванных сертификатов на персональный компьютерРис.16 Автоматическая установка списков отозванных сертификатов на персональный компьютерРис.17 Автоматическая установка списков отозванных сертификатов на персональный компьютерЕсли выбирать пункт Поместить все сертификаты в следующие хранилища важно выбрать правильное хранилище, а именно: Промежуточные центры сертификации. И если активирована функция Показать физические хранилища указать Реестр (в зависимости от политики безопасности компании).Рис.18 Установка отозванных списков в Промежуточные центры сертификации Рис.19 Установка отозванных списков в Промежуточные центры сертификации
Если установка списков отозванных для личного сертификата не помогла, установите списки отзывов от других сертификатов из цепочки сертификации.
Рис.20 Цепочка сертификатов в открытой части электронной подписи
Удаленный узел не прошел проверку
Сообщение, которое также связано с корректной проверкой сертификатов.
Рис.21 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
Рис.22 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
С помощью операционной системы Windows платформа 1С:Предприятие проводит проверку сертификата средствами защищенного соединения TLS/SSL.
SSL (Secure Sockets Layer) — это протокол безопасности в Интернете, основанный на шифровании. Впервые он был разработан компанией Netscape в 1995 году с целью обеспечения конфиденциальности, аутентификации и целостности данных при общении через Интернет. SSL является предшественником современного шифрования TLS, используемого сегодня.
Веб-сайт, реализующий SSL/TLS, имеет в своем URL-адресе «HTTPS» вместо «HTTP». Протокол TLS (Transport Layer Security) основан на протоколе SSL. Безопасность транспортного уровня, или TLS, — это широко распространенный протокол безопасности, предназначенный для обеспечения конфиденциальности и безопасности данных при обмене данными через Интернет.
Поддержка работы ЭДО в 1С
Консультации и поддержка работы ЭДО в любых программах 1С. Приступим к вашему вопросу в течение 15 минут
Основным вариантом использования TLS является шифрование связи между веб-приложениями и серверами. Например, когда веб-браузеры загружают сайт. TLS также можно использовать для шифрования других сообщений, таких как электронная почта, обмен сообщениями и передача голоса по IP (VoIP). В этой статье мы сосредоточимся на роли TLS в безопасности веб-приложений.
TLS был предложен IETF, международной организацией по стандартизации. Первая версия протокола была опубликована в 1999 году. Самая последняя версия TLS 1.3 — в 2018.
Итак, проблема, связанная с сообщением в конфигурации о том, что удаленный узел не прошел проверку связано с тем, что доступ в Интернет ограничен в общем или в частности только у пользователя, под которым запускается конфигурация и работает служба агент сервера 1С.
Наиболее распространенные причины:
Рис.23 Причины возникновения ошибки
Пути решения
Рис.24 Настройки прокси
Хост файл (host)
Расположен обычно по такому пути:
Рис.25 Путь расположения файла host
Доступ к сайтам может также быть ограничен параметрами, прописанными в данном файле. Пример блокировки выглядит так:
Рис.26 Пример заблокированного сайта в файле host
Постарались максимально доступно рассказать о наиболее частых ошибках, с которыми пользователи 1С могут столкнуться при работе в ЭДО, в т.ч. с применением сертификатов ключа проверки электронной подписи.
Сертификат сервера шлюза удаленных рабочих столов просрочен или отозван что это значит
Этот форум закрыт. Спасибо за участие!
Спрашивающий
Имеется сервер Server 2008 SP2, на нем стоит терминальный сервер
Сгенерен самозаверяющий сертификат, и установлен в «доверенные» и в «личные»(в личных не отображается) на сервере
Этот же сертификат поставлен в рабочую станцию, с которой пытаюсь подключится.
Но сервер почему то предлагает совсем другой, непонятно откуда взявшийся сертификат. Прочесала весь сервак(и реестр, и жесткие) — нету такого сертификата там, на который ругается мой комп при попытке подключится.
Я опустила руки. Нет ни идей, ни вариантов, что делать.
Где брать этот, просроченный, ума не прилажу.
Может у кого будут какие то идеи?
П.с. сертифкат этот, просроченный(с 2005 по 2006 год, тогда и системы то не стояло, ни серверной, ни моей. ), откуда-то взялся на моем компе в «доверенных», хотя я его не устанавливала. После удаления с ошибки «срок действия» переключился на «не стоит доверия».э
Но проблему это не решает.
п.п.с Просроченный сертификат тоже самозаверяющий, т.к. графы «Кому выдан» и «Кем выдан» совпадают — хаотический набор букв и цифр.
Т.е. он должен лежать на сервере, куда пытаюсь подключится. Но ГДЕ?
Все ответы
Там один, мой сертификат. Сгенеренный.
Еще момент — я подключаюсь не напрямую через рдп, а через интернет экплорер, через RemoteApplication. Может ли в этом быть загвоздка?
Zuyza , ваша проблема еще актуальна?
Dmitriy Poberezhniy ( my web blog http://dimsan.blogspot.com )
«Точно смотрите сертификат в хранилище «Личные» локального компьбютера, а не «Личные» для вашей учетки?»
Захожу в точности как описали выше
«Посмотрите есть ли неправильный сертификат в оснастке Сертификаты (локальный компьютер) (mmc — Ctrl+M — Add.. — Сертификаты — Учетной записи комп — Локал. комп. ) Смотрите Личные — Сертификаты, тут должны быть все ваши сертификаты.»
А если зайти через панель управления-свойства обозревателя-содержание-сертификаты-личное(как раз сертификаты пользователя) то там именно сертификат пользователя, который нигде не вылазит(и не должен ведь)
Вроде поняла где собака зарыта с этим сертификатом от 2005 года. Скорее всего он привязан к программе, которую я пытаюсь открыть через RemoteApp.
Но если не программу открывать, а выбрать «Удаленный рабочий стол», то все равно вылазит сертификат от 15.06.2011, который я опять нигде не могу найти. Самозаверяющий, выданный этим сервером, на который пытаюсь зайти. Т.е. где-то он в настройках должен светиться.
Возможно при установки системы(как раз примерно эти числа) — сервера шлюза служб терминалов — генерится какой-то сертификат, который в дальнейшем используется по умолчанию?
Он то конечно действующий, но через пол года закончится, и как его менять, если его нигде не найти? 🙁
Ошибка «Не удалось подключиться к удалённому компьютеру, поскольку сертификат сервера шлюза удалённых рабочих столов отозван или просрочен».
При этом Windows 10 (8, 7) этот сертификат (выданный доменным Центром сертификации) не просрочен и подключение в этих ОC происходит без проблем. В хранилище Доверенные корневые центры сертификации (локальный компьютер) сертификат доменного ЦС есть.
Списки отзыва актуальные, серийного номера сертификата шлюза в них нет.
Пока нагуглил, что какие-то проблемы с Службой времени Windows в этой ОС. В Просмотре событий очень много 158 кодов про ошибку VMICTimeProvider. Вместе с тем, время в трее показывается актуальное, синхронизация с сервером времени time.windows.com происходит успешно.
Кто-нибудь сталкивался с подобной проблемой? Нашлось решение?
Буду признателен за любую помощь по существу проблемы.
Ещё пробовали почистить кэш SSL с помощью команды certutil -urlcache * delete. К сожалению, тоже не помогло.
Настроил шлюз на 2012R2 — все прекрасно заработало. На 2008R2 сертификаты TLSv1, на 2012R2 TLSv1.2
Скорее всего на WIN11 старый TLS запрещен или его можно включить.
Спасибо за наводку! Включил TLS v.1 согласно этой статьи (выполнил пункты 3.1 и 3.2) и тоже всё заработало. ОГРОМНОЕ Спасибо! Конечно, со временем будем переходить новые серверные ОC.
Спасибо добрый человек, но чтоб долго не искать напишу тут, нужно создать reg файл с содержимым, добавить в реестр и перезагрузиться:
Спасибо, что ответили. Я уж думал, что я один с такой проблемой столкнулся. Я создал обращение в техподдержку MS, сегодня ко мне подключались специалисты, смотрели и недоумевали, обещали подключить спецов уровнем выше. Можно поинтересоваться, а какая у Вас версия Windows на Шлюзе удалённых рабочих столов? У меня 2008R2.
Есть такая же проблема, шлюз 2008R2. На самом деле по ошибкам time-service мы ничего не определим т.к. на ОС Win10 они точно такие же, но при этом все прекрасно работает.
Спасибо Вам за Ваш вопрос.
1. Когда вы увидите сообщение об ошибке, нажмите кнопку «Просмотреть сертификат . » и убедитесь, что сведения и отпечаток совпадают с тем, что настроено в диспетчере шлюза удаленных рабочих столов на сервере шлюза удаленных рабочих столов.
2. Убедитесь, что URL-адрес rdweb работает нормально.
3. Выдан ли сертификат шлюза удаленных рабочих столов доверенным государственным органом, например Thawte, GeoTrust, Comodo, GoDaddy, DigiCert и т. Д., Или он из другого источника, например внутреннего центра сертификации?
4. Также это может произойти, если время клиентского компьютера и время RD Server не синхронизированы. Если у вас есть домен AD, они синхронизируют время с вашим контроллером домена PDC для всех ваших серверов и клиентских ПК.
— Если ответ полезен, пожалуйста, проголосуйте за и примите в качестве ответа —