Всем привет на fst-wolker.ru! Тема сегодняшнего выпуска — установка доверенных корневых сертификатов на компьютер Windows если возникает ошибка при подписи электронных документов.
Мы уже установили Крипто Про, установили из контейнера личные сертификаты на компьютер. Но этого бывает недостаточно, потому как нужны корневые сертификаты удостоверяющих центров, подтверждающие доверие к выданной Вам электронно-цифровой подписи. Они тоже должны быть установлены на компьютере все.
Ошибка проверки установленного сертификата
При попытке подписать документ система сначала проверяет — можно ли установленному сертификату доверять? Электронную подпись изготавливают различные уполномоченные организации. Каждая из них использует свой корневой сертификат который выдан вышестоящим удостоверяющим центром.
Которому в свою очередь сертификаты выдает головной удостоверяющий центр РФ.
Таким образом, при создании электронно — цифровой подписи создается так называемая цепочка доверия. В этой цепочке (в порядке подчинения) сначала идут доверенные корневые сертификаты УЦ, промежуточные сертификаты, затем личные сертификаты. Если у вас не установлен хотя бы один сертификат из цепочки -возникаеют ошибки проверки:
У всех сертификатов имеется срок действия. Возможно, доверенный корневой сертификат УЦ просрочен и необходимо установить свежий.
Перехожу к исправлению ситуации.
Как проверить установленные личные сертификаты в Windows?
На компьютере так же есть хранилища для установки сертификатов:
Просмотреть хранилища (и находящиеся сертификаты в них) мы можем вызвав сочетанием клавиш Win+R меню «Выполнить» и введя туда команду:
Зайдя в папку «Сертификаты» нужного хранилища (слева) мы увидим установленные сертификаты (справа) кто их выдал, их сроки действия. Но как определить сертификат какого УЦ нам нужен конкретно для нашей подписи? Для этого нужно открыть личный сертификат и посмотреть там всю цепочку доверия.
Как установить личный сертификат госуслуги в хранилище?
Предположим, что мы будем использовать выданную нам электронную цифровую подпись для входа на госуслуги. Можно установить личный сертификат через крипто про и там же просмотреть.
Но я открою свой сертификат прямо в хранилище личные (у меня он уже был установлен через крипто про):
Если цепочка доверия нарушена наш личный сертификат выглядит так:
Указываем, что сертификат будет доступен только текущему пользователю компьютера:
Указываем автоматическую установку, на основе типа сертификата.
Но, можно выбрать вручную хранилище «Личные» поместив «все сертификаты в следующее хранилище» если есть сомнения в том, что система все сделала правильно. Установленный сертификат в оснастке появится в хранилище «Личные».
Как установить корневой сертификат Минцифры?
Личный сертификат установлен. Но, мы должны еще установить какой-то корневой сертификат(ы). Как определить какому корневому сертификату подчинена наша подпись? Для этого переходим во вкладку «Путь сертификации»:
Видим, что наша подпись выдана Калуга — Астрал, это промежуточный сертификат. Если прямо здесь его открыть (кликнув по нему) мы увидим, что у него та же проблема потому что не установлен корневой сертификат Минцифры (на его значке мы видим крест). Кликаем по значку сертификата Минцифры:
Промежуточные сертификаты обычно ставить руками не надо, они устанавливаются автоматически в нужное хранилище
При нажатии на файл доверенного корневого сертификата УЦ появится запрос на его установку. Все делаем так же как и при установке личного сертификата. Только корневые сертификаты устанавливаются в хранилище «Доверенные корневые центры сертификации».
Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.
Вы можете установить личный сертификат двумя способами:
1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
2. Через меню КриптоПро CSP «Установить личный сертификат»
Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.
Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»
Чтобы установить сертификат:
2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.
3. В следующем окне нажмите “Далее”.
Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.
4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.
Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.
6. В окне “Мастер импорта сертификатов” выберите “Далее”.
7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.
8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.
Вариант 2. Устанавливаем через меню «Установить личный сертификат»
Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.
2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.
3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.
4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.
5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.
6. Выбрав контейнер, нажмите “Далее”.
7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.
Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.
8. Выберите хранилище “Личные” и нажмите ОК.
9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:
В этом случае нажмите “Да”.
10. Дождитесь сообщения об успешной установке личного сертификата на компьютер.
Все, можно подписывать документы, используя новый сертификат.
В вашем браузере отключен JavaScript, поэтому некоторое содержимое портала может отображаться некорректно.
Для правильной работы всех функций портала включите, пожалуйста, JavaScript в настройках вашего браузера.