Уведомление
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
При работе с online сервисами 1С и других разработчиков, где необходимо обращение к электронной подписи, пользователи часто сталкиваются с ошибками ее проверки. Что делать, если не удалось выполнить проверку отзыва сертификата 1С и какие еще возникают ошибки работы с ЭДО, разбираем подробно с вариантами решений.
Компании, у кого жестко настроена политика безопасности, чаще всего наблюдают сбои в работе с ЭП. Это из-за того, что постоянно очищается список имеющихся CRL на ПК или, наоборот, к ним не может достучаться криптография для проверки
- Инструкции по разработке на 1С
- Методические материалы для разработчиков и администраторов 1С
- Методическая поддержка для разработчиков и администраторов 1С:Предприятия 8
- Администраторам
- Диагностика ошибок ОС Windows при проверке сертификата
Информационная система 1С:ИТС
Инструкции по учету в программах 1СИнструкции по разработке на 1СКонсультации по законодательствуКниги и периодикаБаза нормативных документов
Акции и конкурсыКурсы и экзамены 1СОтзывы об ИТС
(6) TMV, МенеджерКриптографии — это внутренний 1С объект, который инициируется программно. Это не компонента.
Описание процедуры в СП ничего не говорит.
МенеджерКриптографии (CryptoManager)
НачатьПроверкуСертификата (BeginCheckingCertificate)
Синтаксис:
Тип: РежимПроверкиСертификатаКриптографии; Массив.
Указывает режим проверки.
Содержит один объект или массив объектов режимов проверки.
Описание:
Начинает проверку сертификата.
Сообщение может быть из-за:
1) если это подчинённый ЦС — то недоступен актуальный СОС вышестоящего ЦС
2) неработоспособен выбранный revocation provider.
Посмотрите, какой у Вас используется — это параметр Dll в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyOIDEncodingType 1CertDllVerifyRevocationDEFAULT
Чтобы поставить сертификат или СОС из файла в хранилище локального компьютера — нужно при выборе названия хранилища поставить галку «Показать физические хранилища», потом раскрыть элемент «Доверенные корневые ЦС» и выбрать там локальный компьютер.
Сейчас практические шаги я делаю такие:
1. Установил RootCA
2. Установил SubCA, сгенерировал запрос в файл
3. Проинсталировал на SubCA сертификат RootCA
4. Подписал сертификат SubCA на RootCA
5. Сделал экспорт сертификата SubCA из списка сертификатов RootCA в формате .P7B
6. Добавил этот сертификата в SubCA
7. Пытаюсь запустить сервер SubCA — Ошибка 80092013 Не могу найти RootCA.
Методика выявления причины исключения
Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.
- По умолчанию журнал не ведется и его следует включить. (Здесь и далее инструкция приводится для Windows 10). В меню Пуск выберите Средства администрирования – Просмотр событий.В окне Просмотр событий в списке Журналы приложений и служб выберите Microsoft – Windows – CAPI2 – Operational.В списке Действия выберите Включить журнал.
- Ошибка проверки отзыва сертификата средствами операционной системы может выглядеть следующим образом:
Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:
Из текста этих ошибок видно, что операционная система не смогла получить список отзыва сертификатов, расположенный по url-адресу http://crl4.digicert.com/DigiCertGlobalRootCA.crl по причине превышения времени ожидания. Поэтому не удалось выполнить проверку сертификата и получили исключение платформы.
В разделе System указаны дополнительные сведения. Например:
В случае из примера причина невозможности проверки отзыва сертификата сервера — в том, что доступ к http://crl4.digicert.com/DigiCertGlobalRootCA.crl есть только у доменных пользователей, а сервер «1С:Предприятия» запущен как сервис от имени локального пользователя.
Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.
Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).
1.
Alfn
Сейчас в теме
5.
cdiamond
Сейчас в теме
(1) Было такое же, временно лечилось выдачей админовских прав USR1CV8. Система не давала проверять сторонние сертификаты, админы что-то накрутили с доменной политикой.
Плюс сейчас есть немалая вероятность что у самих сервисов к которым обращается сервер 1с могут быть отозваны сертификаты зарубежными органициями, где они выдавались, как это случилось недавно с Госуслугами.
А что делать у кого фрэш?
3.
ClickUp
Сейчас в теме
(2) У Фреша есть тех поддержка которая должно решать вопросы фреша, на сервере фреша
4.
ivanov_alex
Сейчас в теме
Да, вчера с таким столкнулся, пришлось табачку отправлять поздно вечером
6.
mixsture
Сейчас в теме
Давайте добавим, что это отвратительный шаг с точки зрения безопасности. Отзывают сертификаты то обычно, когда они скомпрометированы (украдены) — вот этой части безопасности клиент лишается. Даже на ИТС хорошая такая приписка красным цветом к данной опции:
Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
В случае применения данной настройки ответственность возлагается на пользователя.
7.
pocket_deer
Сейчас в теме
8.
ClickUp
Сейчас в теме
(7) Возможно стоит задать этот вопрос 1С их техподдержке, как лечить данную проблему и на чей стороне проблема клиента или их серверов, и что с этим делать, понять и простить.
9.
ClickUp
Сейчас в теме
10.
Asbz
Сейчас в теме
С меркурием последние 3 дня такая же беда при обмене.
(1)Покажите сертификаты, установленные в КриптоПРО.
5.
AntonNoProfessional
Сейчас в теме
(3)Не видит только на сервере почему-то
2.
пользователь
Сообщение было скрыто модератором.
4.
AntonNoProfessional
Сейчас в теме
(4)Сертификат виден только тот, который в реестре. Пользователю, который копирует сертификат в личные сертификаты нужно дать права администратора.
7.
AntonNoProfessional
Сейчас в теме
(6)У пользователя права администратора
(7)Тогда скопируйте сертификат в реестр.
9.
AntonNoProfessional
Сейчас в теме
(8)Теперь другая ошибка
Мало скопировать сертификат, его надо установить (связать с контейнером ключей).
Можно сделать это через оснастку КриптоПро: «Сервис» — «Установить личный сертификат».
11.
AntonNoProfessional
Сейчас в теме
Спасибо за помощь. Долго мучился.
Такая же проблема, в личных ставил, контейнер ставил, тест проходит без ошибок а 1С не видит.
(14)Сейчас такой алгоритм не действует, действует GOST P 34.11-2012
(15)
Нужно менять на криптопро R5, в нём проблема?
(16)Вы эти скриншоты на сервере делали? У пользователя, который устанавливал сертификат на сервере были права Администратора?
(17)
На сервере 1С, и в 1С у пользователя админ права и у локального тоже.
(18)А конфигурация какая?
(20)Конфигурация не очень старая. Попробуйте обновить её до последней.
(21)
А как это сделать?) Есть ссылка на мануал какой-нить?
25.
пользователь
26.
a_inves
Сейчас в теме
Была подобная ошибка:
Не удалось проверить сертификат в списке отозванных, т.к. соответствующий сервер в состоянии offline.
Вылечил установкой сертификатов:
Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in в браузерах и предлагает способы их решения.
Появляется окно КриптоПро CSP Вставьте ключевой носитель
Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.
Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.
Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.
Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)
Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.
Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.
Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.
https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 — страница сертифката, ссылка с серийным номером скачает файл сертификата
Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) — Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.
Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.
Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.
При создании подписи появляется окно с ошибкой «Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)», в информации о сесртификате отображается «нет привязки к закрытому ключу»
Выполните привязку сертификата к закрытому ключу.
Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение «нет привязки к закрытому ключу» в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.
Подпись создается, но также отображается статус «ошибка при проверке цепочки сертификатов».
Это значит, что нет доступа к спискам отозванных сертификатов.
Причина ошибки — истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.
Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.
Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.
Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0
Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.
Чтобы активировать имеющуюся лицензию:
— введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.
Отказано в доступе (0x80090010)
Ошибка: Invalid algorithm specified. (0x80090008)
Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.
Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.
Или если используется алгоритм хеширования, не соответствующий сертификату.
Так же проверьте актуальность версии КриптоПро CSP.
Удаленный узел не прошел проверку
Сообщение, которое также связано с корректной проверкой сертификатов.
Рис.21 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
Рис.22 Окно с ошибкой про удаленный узел, который не прошел проверку в 1С:Предприятии
С помощью операционной системы Windows платформа 1С:Предприятие проводит проверку сертификата средствами защищенного соединения TLS/SSL.
SSL (Secure Sockets Layer) — это протокол безопасности в Интернете, основанный на шифровании. Впервые он был разработан компанией Netscape в 1995 году с целью обеспечения конфиденциальности, аутентификации и целостности данных при общении через Интернет. SSL является предшественником современного шифрования TLS, используемого сегодня.
Веб-сайт, реализующий SSL/TLS, имеет в своем URL-адресе «HTTPS» вместо «HTTP». Протокол TLS (Transport Layer Security) основан на протоколе SSL. Безопасность транспортного уровня, или TLS, — это широко распространенный протокол безопасности, предназначенный для обеспечения конфиденциальности и безопасности данных при обмене данными через Интернет.
Поддержка работы ЭДО в 1С
Консультации и поддержка работы ЭДО в любых программах 1С. Приступим к вашему вопросу в течение 15 минут
Основным вариантом использования TLS является шифрование связи между веб-приложениями и серверами. Например, когда веб-браузеры загружают сайт. TLS также можно использовать для шифрования других сообщений, таких как электронная почта, обмен сообщениями и передача голоса по IP (VoIP). В этой статье мы сосредоточимся на роли TLS в безопасности веб-приложений.
TLS был предложен IETF, международной организацией по стандартизации. Первая версия протокола была опубликована в 1999 году. Самая последняя версия TLS 1.3 — в 2018.
Итак, проблема, связанная с сообщением в конфигурации о том, что удаленный узел не прошел проверку связано с тем, что доступ в Интернет ограничен в общем или в частности только у пользователя, под которым запускается конфигурация и работает служба агент сервера 1С.
Наиболее распространенные причины:
Рис.23 Причины возникновения ошибки
Сертификат не действителен. Не удалось проверить сертификат в списке отозванных т. соответствующий сервер в состоянии offline (код ошибки 103,104).
Дата обновления: 28.06.2022
Ошибка связана с тем, что на компьютере не установлен актуальный список отозванных сертификатов Удостоверяющего Центра.
1. В программе 1С пройти по пути: Сервис — Обмен электронными документами — Профили настроек ЭДО (зайти в профиль) — закладка «Сертификаты организации» (открыть сертификат) — Все действия — Сохранить сертификат в файл.
2. Открыть файл сертификата и перейти на закладку «Состав». Найти поле «Точки распространения списков отзыва (CRL)» и скопировать ссылку на список отзыва Удостоверяющего Центра (ссылка должна заканчиваться на .crl):
4. Навести курсор на скаченный файл, нажать правую клавишу мыши и выбрать пункт «Установить список отзыва (CRL)». В «Мастере импорта сертификатов» на этапе определения хранилища необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».
Установка этого списка отзыва проводится тем же способом, что описан выше.
Пути решения
Рис.24 Настройки прокси
Хост файл (host)
Расположен обычно по такому пути:
Рис.25 Путь расположения файла host
Доступ к сайтам может также быть ограничен параметрами, прописанными в данном файле. Пример блокировки выглядит так:
Рис.26 Пример заблокированного сайта в файле host
Постарались максимально доступно рассказать о наиболее частых ошибках, с которыми пользователи 1С могут столкнуться при работе в ЭДО, в т.ч. с применением сертификатов ключа проверки электронной подписи.
Принципы работы списков отозванных сертификатов
Актуализирует и публикует списки отозванных сертификатов САС Certificate Authority (CA — центр сертификации), который данный сертификат и выпустил.
Предпосылки для отзыва сертификата
Причины, по которым требуется аннулировать сертификат:
Рис.1 Почему аннулирован сертификат ключа проверки ЭП
Отправляет запрос на аннулирование/отзыв сертификат:
- Владелец.
- Директор компании.
- ФНС может послать запрос, если обнаружит компрометацию ключа.
Ошибка работы с ЭДО в 1С. Сертификат не прошел проверку или отозван
Пользователи онлайн-сервисов 1С нередко спрашивают: почему только недавно все работало, а теперь программа пишет, что сертификат недействительный или не удалось проверить сертификат в списке отозванных. Почему же этот сертификат не удалось проверить? Ответ прост: потому что на ПК нет установленных актуальных СRL-сертификатов от удостоверяющих центров, которые бы «сказали», что сертификат все еще действителен.
Для того, чтобы установить списки отозванных необходимо выполнить следующие шаги:
- Перейдите в папку, куда скопировали открытую часть ключа из ПО 1С и откройте файл (он должен быть с расширением .cer).
- Если по крайней не скачивается, проверьте весь ли путь скопировали.
- Если после установки сертификата ничего не изменилось, попробуйте следующую ссылку (снизу вверх).
- Ошибка воспроизвелась опять? Установите СОС по всей цепочке сертификации.
- Все еще сертификат недействителен? Проверьте валидность ключа на сайте госуслуг или иным способом. Обратитесь в УЦ за проверкой ключа.
- Находим наш скачанный файл и правой кнопкой мыши выбираем команду Установить списки отозванных.Рис.14 Устанавливаем СОС
Откроется мастер импорта сертификатов, так называемый, помощник в установке сертификатов на компьютер.Рис.15 Автоматическая установка списков отозванных сертификатов на персональный компьютерРис.16 Автоматическая установка списков отозванных сертификатов на персональный компьютерРис.17 Автоматическая установка списков отозванных сертификатов на персональный компьютерЕсли выбирать пункт Поместить все сертификаты в следующие хранилища важно выбрать правильное хранилище, а именно: Промежуточные центры сертификации. И если активирована функция Показать физические хранилища указать Реестр (в зависимости от политики безопасности компании).Рис.18 Установка отозванных списков в Промежуточные центры сертификации Рис.19 Установка отозванных списков в Промежуточные центры сертификации
Если установка списков отозванных для личного сертификата не помогла, установите списки отзывов от других сертификатов из цепочки сертификации.
Рис.20 Цепочка сертификатов в открытой части электронной подписи
Варианты настройки платформы
Платформа «1С:Предприятие 8» поддерживает следующие варианты настройки проверки отзыва сертификата:
- По умолчанию. – С получением исключений «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата».
- Настройка, позволяющая игнорировать ошибки проверки отзыва сертификата и не вызывать на них исключения.
Внимание! Такая настройка снижает уровень доверия к внешним ресурсам! В случае применения данной настройки ответственность возлагается на пользователя.
Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:
Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.
Диагностика ошибок ОС Windows при проверке сертификата
Методика выявления причины исключения
Варианты настройки платформы
Начиная с версии 8.3.12 платформа «1С:Предприятие» при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата». Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера «1С:Предприятия».
Частые Ошибки
Ошибка проверки ЭЦП: ЭЦП проставлено сертификатом на который нет заключенного соглашения.
После отправки в ПФР отчета или письма в ответ приходит ошибка: «Ошибка проверки ЭЦП: ЭЦП проставлено сертификатом на который нет заключенного соглашения. Пакет доставлен в ПФР. Криптографические проверки по обработке пакета выполнены успешно. На текущий момент времени выполняется проверка наличия у страхователя Соглашения, заключенного с УПФР по месту регистрации. По срокам проверки наличия соглашения необходимо обращаться в УПФР по месту регистрации.»
Такая ошибка возникает при первой отправке любой отчетности в УПФР после смены электронной подписи руководителя. Необходимо просто дождаться обработки вашей отчетности и получить протокол. Для ускорения процесса Вы можете обратиться в ПФР, чтобы они прикрепили к Вашему сертификату номер соглашения.
Ошибка при проверке сертификата: Не удалось проверить этот сертификат
После отправки в ПФР отчета или письма в ответ приходит ошибка: «Ошибка при проверке сертификата: Не удалось проверить этот сертификат, поскольку не получен правильный список отзыва сертификатов от центра сертификации, выпустившего этот сертификат.»
Такая ошибка возникает при обновлении списка отзывов сертификатов в ПФР. Данная ошибка не влияет на сдачу. Необходимо просто дождаться обработки вашей отчетности и получить протокол.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Что вообще такое списки отзывов сертификатов
Certificate Revocation List или список отозванных сертификатов – это информация, предоставляемая удостоверяющими центрами о недействительных сертификатах, о тех, чей срок действия уже либо закончился, либо был прерван по различным обстоятельствам.
Ключи могут отзываться по различным причинам. Самые распространенные:
- компрометация ключа или истечение срока годности ЭП;
- неверно заполненные реквизиты в составе ключа;
- поменялся владелец компании или ресурса;
- если речь идет про ключи сайтов, сайт более недоступен, перестал работать.
Список отозванных сертификатов ключей электронных подписей имеет расширение CRL. Сокращенное наименование СОС. В некоторых кругах можно услышать также понятие — Список аннулированных сертификатов (САС).
В настоящий момент (процесс был запущен еще в далеком 2017 г.) все чаще прибегают к отказу от СОС в сторону Online Certificate Status Protocol (OCSP, Онлайн Протокол Состояния Сертификата).