Статус отзыва невозможно проверить для функции отзыва, так как сервер обновления сертификата недоступен

Не запускается Crypto+ DE

24 августа 202124 августа 2021

Crypto+ DE — программное обеспечение управления электронной подписью и шифрованием. И вот, однажды летом, это приложение перестало запускаться. В трее появляется серый кружок (вместо зелёного), а при наведении мыши — пропадает. Переустановка приложения не помогла.

Решение проблемы следующее:

• Переименовываем xml файл. Например, подставляем к имени «_backup» или что-либо ещё. Можно также просто переместить этот файл в другое место (чтобы если что, можно было вернуть).
• Теперь запускаем Crypto+ DE. Должно запуститься.
• Все настройки будут сброшены. Поэтому выбираем заново сертификат и настраиваем:«Условия проверки отзыва сертификатов» = «Всю цепочку сертификатов»«Режим проверки отзыва сертификатов» = «С помощью списка отзыва сертификатов с подключением к сети»«Проверка квалифицированной ЭП» = «Требования ФЗ с учётом требований ФСБ и рекомендаций МинСвязи»
• «Условия проверки отзыва сертификатов» = «Всю цепочку сертификатов»
• «Режим проверки отзыва сертификатов» = «С помощью списка отзыва сертификатов с подключением к сети»
• «Проверка квалифицированной ЭП» = «Требования ФЗ с учётом требований ФСБ и рекомендаций МинСвязи»

Ошибка центра сертификации

Эта ошибка возникает из-за невозможности проверки путей AIA или CDP. То есть подчиненный центр не смог их найти, пути можно увидеть как часть сертификата подчиненного ЦС. Размещение файлов CRL и корневого сертификата по этим путям устранит эту ошибку.До сих пор нет правильного способа полностью отключить проверку отзыва сертификатов. Это также исправит вашу ошибку. Откройте командную строку и введитеcertutil -setreg ca CRLFlags + CRLF_REVCHECK_IGNORE_OFFLINE

Алексей Игнатьев/ автор статьиСпециалист и эксперт zhivye-oboi-windows.ru — профессиональный консультант, системный администратор. Опыт работы в этой сфере 7 лет.

Произошла небольшая неприятность на работе. Ноутбук, на котором настроено рабочее место для ЕГИССО срочно понадобилось отдать на время другому пользователю. «Ничего страшного» — подумал я, — «настрою портал на другом компьютере, благо как настраивать давно уже известно».

Но после того как все необходимые компоненты были установлены, средство для работы с электронной подписью CryptoDE начало капризничать и никак не хотело подписывать документы. Постоянно выскакивающее окно сообщало: «Ни один из сертификатов в хранилище не прошел проверку на квалифицированность в соответствии с настройками». Чтобы избавиться от этой ошибки, понадобилось немного поковыряться в настройках программы. В данной статье речь пойдет о том, как провести настройку CryptoDE для ЕГИССО.

На днях попытался подключиться к своему домашнему серверу через VPN SSTP, подключение всегда работало идеально, но тут не смог подключиться и получил ошибку: «Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен».

«Админы делятся на тех, кто не делает бэкапы, и тех, кто уже делает». Народная мудрость.

при попытке подключения к серверу Windows 2008 R2 по SSTP постоянная ошибка“Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .”
По умолчанию для VPN-подключений по протоколу SSTP клиенты должны проверить, что сертификат не отозван.
Для этого проверяется сервер, указанный в сертификате как сервер, на котором размещается список отзыва сертификатов (CRL).
Если с сервером, на котором размещается список отзыва сертификатов, не удается связаться, проверка завершается с ошибкой,
а VPN-подключение отбрасывается. Чтобы предотвратить это, следует опубликовать список отзыва сертификатов на сервере,
доступном через Интернет, или отменить обязательную проверку этого списка на клиенте. Чтобы отменить проверку списка отзыва сертификатов,
удалите параметр реестра в следующем расположении:Этот параметр имеет значение типа DWORD с именем NoCertRevocationCheck. Присвойте параметру значение 1.файлик можно взять у метя тут sstp_no_CRLпосле изменения реестра компьютер нужно перезагрузить, ошибка исчезнет.

Ситуация следующая. Имеются два центра сертификации (Certification Authority, CA) — Offline Root CA (корневой) и Enterprise Subordinate CA (подчиненный). Схема стандартная, подчиненный CA занимается выпуском сертификатов, корневой стоит в выключенном состоянии и включается только для обновления своего сертификата, сертификата подчиненного CA и списка отзыва (Certificate Revocation List, CRL).

И вот, после очередного обновления сертификата подчиненного CA он отказался включаться и выдал ошибку 0x80092013 (CRYPT_E_REVOCATION_OFFLINE). В сообщении об ошибке сказано, что функция отзыва не может проверить список отзыва, поскольку сервер отзыва недоступен. Эта ошибка возникает в следующих ситуациях:

• Недоступен список отзыва (CRL);
• Не опубликовано местоположение CRL;
• Истек срок действия CRL.

Порывшись в системном журнале, нашел ошибку с Event ID 48. Из сообщения видно, что для сертификата 5 не удается проверить цепочку доверия.

Для того, чтобы посмотреть на этот сертификат, нам надо запустить CA. Поэтому временно отключим проверку CRL командой:

certutil –setreg caCRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

Теперь запускаем CA, кликаем правой клавишей на сервере и выбираем пункт меню «Properties».

Открывается окно свойств CA. На вкладке «General» находим список сертификатов, выбираем нужный и жмем «View Certificate».

В свойствах сертификата находим строчку «CRL Distribution Points» с адресами, по которым должен находится список отзыва. Адресов два — файловая шара на корневом CA и веб-сайт на подчиненном CA. И как и следовало ожидать, ни по одному из адресов CRL не доступен.

Для нормальной работы нам нужно найти актуальный CRL. Идем на корневой CA, открываем оснастку «Certification Authority» — «Properties», переходим на вкладку «Extensions» и выбираем из списка расширение «CRL Distribution Point (CDP)». В нем находится список мест, в которых публикуется список отзыва. Что интересно, в списке есть и подчиненный CA, но по какой то причине CRL на него не попал.

В данной ситуации самое простое, что можно сделать — это вручную разместить CRL в указанном месте. Находим на корневом CA файл CRL, проверяем его актуальность и копируем на подчиненный.

Затем включаем обратно проверку:

certutil –setreg caCRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE

и рестартуем сервис:

Restart-Service certsvc -force

Сервис стартует успешно, значит все сделано правильно.

Но лучше всего использовать для проверки контейнера закрытого ключа ЭЦП специально предназначенный для этого способ в программе КриптоПро, о котором мы сегодня расскажем.

Как открыть “Инструменты КриптоПро” на компьютере c Windows?

Воспользуйтесь этой инструкцией, если возникли проблемы с запуском программы.

• Перейдите во вкладку «Контейнеры».
• Затем в окне выберите контейнер закрытого ключа ЭЦП, который необходимо проверить.
• Нажмите кнопку «Протестировать контейнер».

Окно программы «Инструменты КриптоПро» с открытой вкладкой «Контейнеры»

После этого в течение 1 минуты откроется окно с информацией о результатах тестирования контейнера ЭЦП. Если ошибок в контейнере закрытого ключа ЭЦП не будет обнаружено, то в заголовке окна будет написано «Тестирование контейнера завершилось успехом», как на скриншоте ниже.

Окно программы «Инструменты КриптоПро» с успешными результатами тестирования контейнера ЭЦП

Если же при тестировании ЭЦП возникли ошибки, то появится информация об ошибках, которая будет подсвечена красным цветом, как например, на скриншоте ниже. В этом случае появление окна с результатами тестирования может занять больше времени.

Ошибка “Сертификат не действителен. Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия.”

Как исправить ошибку “0x800B010E: Процесс отмены не может быть продолжен – проверка сертификатов недоступна”?

Окно программы «Инструменты КриптоПро» с ошибкой при тестировании контейнера ЭЦП

В нашем случае возникла ошибка при проверке цепочки сертификатов «0x80092013: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен.» Такая ошибка часто встречается при высокой нагрузке на сервера удостоверяющих центров, которые присутствуют в цепочке сертификатов ЭЦП. Поэтому спустя 15 секунд после неудачного тестирования, при повторном запуске теста ошибок обнаружено не было.

Получилось ли у вас протестировать контейнер ЭЦП? С какими ошибками вы столкнулись при тестировании?

Расскажите в комментариях 😉

Каждый орган местного самоуправления и подведомственные им организации, которые осуществляют назначение мер социальной защиты должны предоставлять информацию о мерах социальной поддержки. В связи с этим вопрос как произвести настройку рабочего места ЕГИССО становиться всё более актуальным. В этой статье мы разберем какое ПО нужно использовать для организации защищенного соединения и как настроить компьютер под ЕГИССО

Программы для ЕГИССО

Начнем с загрузки всего необходимого нам для настройки рабочего места, чтобы потом на это не отвлекаться. И так, для работы с порталом ЕГИССО нам понадобятся:

• В первую очередь операционная система Windows 7 или Windows 10. В случае с Windows 7 возможно ещё понадобиться дополнительно обновить браузер Internet Explorer до 11 версии;
• Плагин для браузера КриптоПро ЭЦП Browser plug-in версии 2.0;
• Плагин для работы с порталом государственных услуг IFCPlugin;
• Корневой сертификат ЕГИССО;
• Сертификат безопасности выданный на юридическое лицо. Его можно получить в авторизованном удостоверяющем центре.

На этом перечень нужных нам программ для работы с ЕГИССО окончен.

Настройка рабочего места ЕГИССО

Приступаем к установке и настройке программного обеспечения для организации работы в кабинете поставщика информации (КПИ).

Первым делом, должна быть произведена настройка КриптоПро для ЕГИССО. Скачиваем и устанавливаем КриптоПро CSP 4.0 R3. Хотелось бы подчеркнуть, рекомендуемая версия программы КриптоПро CSP 4.0.9944. С этой сборкой проблем во время работы обнаружено не было. Запускаем установочный файл и нажимаем «Установить (рекомендуется)», при этом пункт «Установить корневые сертификаты» должен быть отмечен.

В предоставленном списке выбираем «Доверенные корневые центры сертификации» и нажимаем «ОК».

Далее, если всё сделано верно, на экране появится окно с предупреждением о безопасности. Это окно носит уведомительных характер, подтверждаем установку сертификата ЕГИССО нажатием на кнопку «Да».

После подтверждения вы увидите сообщение о том, что импорт успешно выполнен. Установка сертификата ЕГИССО завершена.

Следующим шагом копируем контейнер закрытого ключа и устанавливаем сертификат организации выданный авторизованным удостоверяющим центром. Перед началом копирования подключите устройство на котором храниться контейнер с сертификатом.

Вводим пароль от контейнера (пароль по умолчанию обычно 12345678) и жмем «ОК». Ставить галочку «Запомнить пароль» не нужно, так как обращаться к данному контейнеры с этого компьютера вы больше не будете.

В следующем окне выбираем пункт «Реестр».

Устанавливаем пароль на создаваемый контейнер и опять жмем «ОК».

Следующее сообщение которое вы увидите, уведомляет об успешном копировании контейнера.

Вводим пароль от контейнера и нажимаем «ОК». В этот раз лучше отметить поле «Запомнить пароль», чтоб не пришлось его больше заполнять при обращении к контейнеру через КриптоПро.

Проверяем данные по сертификату, что бы не ошибиться с выбором контейнера если их у вас несколько. И кликаем по кнопке «Установить».

После этого появиться сообщение в котором сказано, что сертификат установлен в хранилище.

Контейнер не содержит сертификата

Часть работы по настройке рабочего места ЕГИССО касающаяся КриптоПро CSP 4.0 R3 и установки сертификатов выполнена. Переходим к этапу установки плагина пользователя системы электронного правительства. Для этого запускаем установочный файл IFCPlugin и нажимаем «Далее».

Дожидаемся окончания процесса и переходим к установке КриптоПро ЭЦП Browser plug-in версии 2.0. Для этого запускаем файл cadesplugin и нажимаем «Да». После установки рекомендовано перезапустить браузер.

Приступаем к установке УЭПШ Crypto+DE.

Во время установки Crypto+DE скачивает с интернета недостающие для работы компоненты. По этому процесс установки может занять от пары минут до получаса, возможно и больше (в зависимости от скорости вашего интернета). Терпеливо ждем и ни в коем случае не прерываем процесс установки. По окончанию процесса установки будет предложено запустить программу.

После нажатия «Готово» будет предложено установить сертификат, обязательно нажимаем «Да».

Затем программа предложит установить ещё один сертификат, тоже обязательно соглашаемся.

Осталось выполнить еще пару шагов. После загрузки компьютера нажимаем правой кнопкой мыши по зеленому значку только что установленной программы в трее возле часов. И выбираем пункт «Настройки».

Первым делом переходим во вкладку «Криптосервер 3» и изменяем параметр режима проверки на пункт «с помощью списка отзыва сертификатов с подключением к сети». В параметре «Сертификат по умолчанию» должен отображаться сертификат юридического лица, который устанавливали через КриптоПро.

Установка и настройка программ для рабочего места ЕГИССО был выполнена успешно!

Настройка браузера для ЕГИССО

Переходим к настройке браузера. Запускаем Internet Explorer 11, нажимаем шестеренку в правом верхнем углу и выбираем пункт «Свойства браузера».

В открывшимся окне переходим на вкладку «Безопасность». Выбираем зону «Надежные сайты» и нажимаем кнопку «Сайты».

После нажатия кнопки «Закрыть», переходим на вкладку «Дополнительно». В этой вкладке снимаем галочку с пункта SSL 3.0. Обязательно должны быть отмечены пункты:

На этом настройка браузера, ровно, как и настройка рабочего места ЕГИССО, завершена.

Для проверки доступа в кабинет поставщика информации заходим на сайт ЕГИССО и жмем на ссылку «Поставщик информации».

Если настройка была произведена правильно, то вы будите перенаправлены на форму авторизации через сайт госуслуги.

В заключение

В этой статье рассмотрена настройка КриптоПро для ЕГИССО, настройка Crypto+DE и браузера Internet Explorer. Как видите сам процесс настройки не сложный и сводиться к нескольким действиям. Скачиваете дистрибутивы по приведенным в статье ссылкам (все ссылки даны на официальные источники). Устанавливаете криптропровайдер КриптоПро CSP, перезагружаете компьютер. Настраиваете сертификат ЕГИССО и вашей организации. Устанавливаете плагины КриптоПро ЭЦП Browser plug-in и пользователя системы электронного правительства IFCPlugin. Затем устанавливаете Crypto+DE. Перезагружаете компьютер и настраиваете Crypto+DE. Последним шагом является настройка браузера Internet Explorer.

Где скачать Crypto+DE

• С официального сайта ПФР ()
• Яндекс Диск ()

Ошибка

Если правой кнопкой мыши нажать на значок Crypto+DE, а затем «Выбрать сертификат по умолчанию», то программа успешно предложит выбрать сертификат из установленных сертификатов. Но это действие ничего не решит, т.к. при подписании документа выскочило окно, которое оповещает о том, что сертификат по умолчанию не соответствует требованиям текущего режима КЭП.

Настройка CryptoDE для ЕГИССО

Итак, для решения данной проблемы необходимо немного поковыряться в настройках программы.

• Нажимаем правой кнопкой мыши на значок Crypto+DE в трее и переходим в раздел «Настройки»
• Во вкладке «Настройки клиента» все значения оставляем по умолчанию.
• Нас интересует вкладка «Криптосервер 3». «Какие сертификаты проверять» выставляем значение «Только конечный сертификат»«Режим проверки» выставляем значение «С помощью списка отзыва сертификатов с подключением к сети»«Режим проверки квалифицированной ЭП» ставим «Не проверять»
• «Какие сертификаты проверять» выставляем значение «Только конечный сертификат»
• «Режим проверки» выставляем значение «С помощью списка отзыва сертификатов с подключением к сети»
• «Режим проверки квалифицированной ЭП» ставим «Не проверять»
• Все остальные значения я оставил по умолчанию. Не забываем нажать «Ок», чтобы все изменения вступили в силу.

Итог

На этом настройка CryptoDE завершена. Все документы успешно подписываются и загружаются на портал в кабинете поставщика информации. Оставлю на всякий случай скриншот настроек, которые действуют у меня в данный момент. Если у Вас не заработало или что-то не получилось, можете смело написать в комментариях. Постараюсь всем помочь!

Остались вопросы? Помогу, чем смогу!