В сертификате отсутствует поле sn что делать

27.05.2004 16:22:56 Создание сертификата пользователя   Ответов: 5
В сертификате отсутствует поле sn что делать Газенкампф Александр

Ответы:

27.05.2004 17:55:01 Василий
01.03.2007 18:22:24 Константин
01.03.2007 22:37:55 Василий

02.03.2007 12:01:17 Константин


Offline

mgn-doctor

 

Оставлено
:

14 марта 2018 г. 15:19:41(UTC)

Здравствуйте!
Ситуация такова: для выдачи и прочих действий с эл.больничными, заказали ЭЦП для врачей. Но после установки первых же сертификатов и контейнеров, при попытке подписания пробных больничных, столкнулся с проблемой — список сертификатов представлен перечнем внешне идентичных наименований — будь то подпись организации, терапевта Иванова или офтальмолога Петрова. В свойствах сертификатов врачей добавил понятное имя и описание, но толку нет. После различных танцев с бубном, так и не нашел действенного решения. В тех.поддержке ФСС мне сказали, что с самими сертификатами проблем нет — они выданы по всем стандартам, и что загвоздка кроется в самой Windows, а именно, в поле, которое принимается в качестве имени сертификата. Сказали, что программа ФСС по выдаче больничных берет в качестве имени сертификата именно то поле, которое по дефолту подхватывает ОС и что средствами Windows нужно как-то подменить выборку исходного поля на нужное. Какой-либо конкретики дать, к сожалению, не смогли, ссылаясь на уникальность каждого конкретного случая, зависимого от выбранного криптопровайдера и версии ОС. Подскажите, пожалуйста, как заставить Windows в качестве имени сертификата подхватывать вместо поля CN (или O, т.к. они идентичны), нужные нам SN и G (фамилия и имя_отчество врача, соответственно).
Используемая ОС — Windows XP.
В свойствах контейнера так и прописано:
имя сертификата ООО «СЕМЕЙНЫЙ ДОКТОР»
Пару скриншотов для наглядности прилагаю.


Offline

Андрей Писарев

 

Оставлено
:

14 марта 2018 г. 15:26:38(UTC)

Здравствуйте.

В Windows — отображается владелец сертификата.
ФИО\должность и прочее — должно прикладное ПО показывать, в данном случае оно этого не делает.


Offline

Андрей Писарев

 

Оставлено
:

14 марта 2018 г. 15:33:23(UTC)

Цитата:

В тех.поддержке ФСС мне сказали, что с самими сертификатами проблем нет — они выданы по всем стандартам, и что загвоздка кроется в самой Windows, а именно, в поле, которое принимается в качестве имени сертификата. Сказали, что программа ФСС по выдаче больничных берет в качестве имени сертификата именно то поле, которое по дефолту подхватывает ОС и что средствами Windows нужно как-то подменить выборку

Сообщите тех.поддержке, что программисты ФСС должны использовать помимо commonName — CN (Общее имя\Владелец\Кому выдан), еще и предусмотренные 795 приказом ФСБ атрибуты: SN (surname) и G(givenName). Тогда проблем не будет в этом ПО.


Offline

mgn-doctor

 

Оставлено
:

14 марта 2018 г. 15:42:45(UTC)

Автор: Андрей Писарев Перейти к цитате

Здравствуйте.

В Windows — отображается владелец сертификата.
ФИО\должность и прочее — должно прикладное ПО показывать, в данном случае оно этого не делает.

Тех.поддержка ФСС говорит, что ПО настроено на отображении того же имени, которое выбирается ОС и что операционку можно как-то заставить считывать нужные нам поля. Но единственный конкретный озвученный вариант с заполнением понятного имени сертификата не сработал. Компания, выпустившая для нас ЭЦП сообщила, что в качестве имени сертификата на этапе создания ЭЦП автоматически подхватывается либо ФИО врача, либо название организации и в данном случае нам «не повезло», т.е. от удостоверяющего центра этот процесс не зависит и к ним претензий быть не может. В чем же истина и можно ли как-нибудь решить сложившуюся проблему?

Автор: Андрей Писарев Перейти к цитате

Цитата:

Сообщите тех.поддержке, что программисты ФСС должны использовать помимо commonName — CN (Общее имя\Владелец\Кому выдан), еще и предусмотренные 795 приказом ФСБ атрибуты: SN (surname) и G(givenName). Тогда проблем не будет в этом ПО.

Поля G и SN заполнены. На конкретном примере:
субъект …., C=RU, G=Римма Амирхановна, SN=Фаттахова, CN=»ООО «»СЕМЕЙНЫЙ ДОКТОР»»», T=врач-оториноларинголог, OU=0, O=»ООО «»СЕМЕЙНЫЙ ДОКТОР»»»

Upd. Или вы имеете в виду, что недочет нужно устранить в самой программе по выдаче эл.больничных?

Отредактировано пользователем 14 марта 2018 г. 15:44:52(UTC)
 | Причина: Не указана


Offline

Андрей Писарев

 

Оставлено
:

14 марта 2018 г. 15:51:53(UTC)

Автор: mgn-doctor Перейти к цитате

Поля G и SN заполнены. На конкретном примере:
субъект …., C=RU, G=Римма Амирхановна, SN=Фаттахова, CN=»ООО «»СЕМЕЙНЫЙ ДОКТОР»»», T=врач-оториноларинголог, OU=0, O=»ООО «»СЕМЕЙНЫЙ ДОКТОР»»»

Upd. Или вы имеете в виду, что недочет нужно устранить в самой программе по выдаче эл.больничных?

Это и имелось ввиду.
ПО, которое работает с квалифицированными сертификатами должно читать не только общее имя, но и, к примеру, ФИО\должность\СНИЛС.
Иначе будут проблемы с корректным выбором из списка.

Представьте большее количество сертификатов, например, 20, с одинаковым названием (организация) — удобно?


Offline

Андрей Писарев

 

Оставлено
:

14 марта 2018 г. 15:58:04(UTC)

Как пример, с отображением ФИО\Должности, срока действия:

В сертификате отсутствует поле sn что делать test.png (20kb) загружен 62 раз(а).


Offline

BDmV

 

Оставлено
:

28 октября 2019 г. 16:32:54(UTC)

тот-же вопрос.
Как заставить Windows в списке сертификатов отражать SN вместо CN?

Уточню свою проблему:
На одном компе несколько пользователей подписывают документы, все сертификаты в поле СN имеют «Название организации» и IE при запросе закрытого ключа выводит список из 5и «Названий организации», а пользователи в шоке пытаются понять какая строка их. Жать на кнопку с информацией об сертификате, что бы увидеть значение поля SN достаточно неудобно. 🙁


Offline

Андрей Писарев

 

Оставлено
:

28 октября 2019 г. 17:13:35(UTC)

Здравствуйте.

Необходимо отказаться от выбора сертификата из хранилища и выводить список программно, соответственно, никаких тогда проблем не будет (ФИО, Организация, ИНН, период действия — вывести рядом).

Если это не Ваш сайт — то рекомендовать такую доработку.


Offline

BDmV

 

Оставлено
:

28 октября 2019 г. 17:44:23(UTC)

К сожалению я не могу позвонить в Microsoft и попросить их доработать IE, нак не могу попросить переработать свои программы Федеральным порталам, да и всем сторонним программам, которыми мы пользуемся. Везде автоматом при запросе ЭЦП выскакивает окно со списком CommonName.


Offline

Андрей Писарев

 

Оставлено
:

28 октября 2019 г. 17:57:57(UTC)

Автор: BDmV Перейти к цитате

К сожалению я не могу позвонить в Microsoft и попросить их доработать IE, нак не могу попросить переработать свои программы Федеральным порталам, да и всем сторонним программам, которыми мы пользуемся. Везде автоматом при запросе ЭЦП выскакивает окно со списком CommonName.

Не во всех программах и сайтах так.
Автоматом, потому что используют самый простой вариант выбора сертификата.

Если федеральные порталы не будут получать такие вопросы, так и будет, как сейчас.

Настройка проверки формата сертификатов

Сервис Проверки Подписи «КриптоПро SVS» позволяет настроить дополнительную проверку
соответствия полей сертификата установленной форме.

Проверка происходит на основании структуры полей, представленных в следующих правилах.

  • Версия (version). Версия сертификата должна быть не ниже 3.
  • Серийный номер (serial number). Проверяется наличие номера и отсутствие в нем недопустимых символов.
  • Алгоритм подписи (signature). В поле algorithm, входящем в состав поля signature, должен содержаться идентификатор используемого алгоритма подписи:
    • ГОСТ Р 34.10–2012 с ключом длиной 256 бит: «1.2.643.7.1.1.3.2», szOID_CP_GOST_R3411_12_256_R3410
    • ГОСТ Р 34.10–2012 с ключом длиной 512 бит: «1.2.643.7.1.1.3.3», szOID_CP_GOST_R3411_12_512_R3410
    • (для архивного хранения и проверки подписи) ГОСТ Р 34.10-2001: «1.2.643.2.2.3», szOID_CP_GOST_R3411_R3410EL
  • Имя издателя (issuer) — проверяется только наличие его в сертификате.
  • Дата и время начала действия сертификата (notBefore).
  • Дата и время окончания действия сертификата (notAfter).
  • Имя владельца сертификата (subject).
    Возможна проверка следующих компонентов имени владельца сертификата (компоненты имени проверяются на допустимые символы, длину, если такие требования имеются):

    • ФИО или наименование владельца (и другие сведения, если требуется) (commonName, title, surname, givenName)
    • Местонахождение (countryName, stateOrProvinceName, localityName, streetAddress)
    • СНИЛС (SNILS)
    • ОГРН (OGRN)
    • ОГРНИП (OGRNIP)
    • ИНН (INN)
    • ИНН юридического лица (ЮЛ) (INNLE)
    • совпадение общего имени и наименования организации (CN=O)
    • тип идентификации заявителя (identificationKind)
  • Открытый ключ (subjectPublicKeyInfo). Проверяется только наличие его в сертификате.
  • Дополнения (расширения) сертификата (Extensions). Проверяется только наличие следующих расширений в сертификате.
    • Authority Key Identifier, OID.2.5.29.35, идентификатор ключа УЦ.
    • Key Usage, OID.2.5.29.15, область использования ключа.
    • Certificate Policies, OID.2.5.29.32, политики сертификата. Для данного расширения проверяется содержимое в соответствии с требованиями, указанными в Приказе ФСБ РФ от 27 декабря 2011 г. N 795.
    • Subject Sign Tool, OID.1.2.643.100.111, сведения о средстве ЭП владельца сертификата.
    • Issuer Sign Tool, OID.1.2.643.100.112, сведения о средствах ЭП УЦ и средствах УЦ.
    • ExtendedKeyUsage, OID.2.5.29.37, расширенное использование ключа. Состав дополнения (расширения) зависит от информационной системы, в которой используется сертификат.
    • CDP, OID.2.5.29.31, точки распространения списков сертификатов, досрочно прекративших действие (CRL).
    • IdentificationKind, OID.1.2.643.100.114, идентификация заявителя.

Проверка сертификата выполняется при помощи специального плагина. Для активации проверки
сертификатов необходимо зарегистрировать плагин с помощью Windows PowerShell. После
установки КриптоПро SVS плагин находится в директории <Путь установки>\Plugins\certverifiers\
и называется SVS.CertificateVerifier.Qualified.dll.

Для регистрации и настройки плагина проверки формата сертификатов используются командлеты
Add-VsCertificateVerifierPlugin, Get-VsCertificateVerifierPlugin,
Remove-VsCertificateVerifierPlugin.

Для настройки проверки того, что сертификаты выданы определенным УЦ, необходимо выполнение следующих действий:

  • зарегистрировать отпечатки корневых сертификатов в КриптоПро SVS. Работа с отпечатками производится при помощи командлетов
    Add-VsQualifiedCAThumbprints, Get-VsQualifiedCAThumbprints
    и Remove-VsQualifiedCAThumbprints. Если отпечатки не заданы, данная проверка сертификатов проводиться не будет.

  • установить корневые сертификаты УЦ в выделенное хранилище КриптоПро SVS. Хранилище создается автоматически при установке
    КриптоПро SVS и имеет название вида <Имя веб-приложения SVS>-TSL.

Пример настройки плагина

# Регистрация плагина и настройка пути к файлу TSL (Windows)
Add-VsCertificateVerifierPlugin -Assembly SVS.CertificateVerifier.Qualified.dll -PluginDescription "Проверка сертификата на соответствие установленной форме" -Parameters @{'TSLPath'='C:\TSL.xml'}
# Регистрация плагина и настройка пути к файлу TSL (*nix)
Add-VsCertificateVerifierPlugin -Assembly CryptoPro.Plugins.VerificationService.CertificateVerifier.Qualified.dll -PluginDescription "Проверка сертификата на соответствие установленной форме" -Parameters @{'TSLPath'='/path_to/TSL.xml'}



# Добавление отпечатков корневых сертификатов Минцифры РФ
Add-VsQualifiedCAThumbprints -Thumbprint 4bc6dc14d97010c41a26e058ad851f81c842415a
Add-VsQualifiedCAThumbprints -Thumbprint aff05c9e2464941e7ec2ab15c91539360b79aa9d
Add-VsQualifiedCAThumbprints -Thumbprint 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a

Если плагин зарегистрирован и настроен, в веб-интерфейсе КриптоПро SVS при проверке
сертификата будет выводиться дополнительная информация о соответствии его заданным правилам.
При проверке ЭП также будет осуществляться проверка данного сертификата.

Дополнительные параметры плагина:

  • LocationCheck – требовать обязательного наличия компонентов местонахождения. Возможные значения: true, false. Значение по умолчанию false;
  • OrganizationNameStrictCheck – требовать совпадения значений компонентов имени CN и O в сертификате. Возможные значения: true, false. Значение по умолчанию false;
  • INNforLECheckMode – режим проверки ИНН ЮЛ. Возможные значения: Any, Soft, Strict. Значение по умолчанию Soft.
    • Any – требуется присутствие INN и/или INNLE;
    • Soft – требуется присутствие INNLE; присутствие INN докускается;
    • Strict – требуется присутствие только INNLE.
  • TSLPath — полный путь к файлу TSL.

Для проверки УЦ на принадлежность к заданному списку УЦ необходимо указать путь к файлу со списком
УЦ Tsl.xml в параметре TSLPath.

Файл Tsl.xml публикуется по адресу https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/getxml.

Загрузка файла Tsl.xml возможна следующими способами:

  • при помощи утилиты Dss.TslTool.exe
DSS.TslTool.exe --skipcrl --skipcerts --skiproot

Файл TSL будет загружен в папку tmp в каталоге утилиты Dss.TslTool.exe.

  • при помощи команды wget в консоли Powershell
wget https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/getxml -OutFile E:\tmp\tsl.xml

SVS автоматически отслеживает изменения файла TSL, путь к которому указан в параметре TSLPath.
Скопировать актуальный файл TSL можно с помощью Powershell-скрипта, приведенного ниже.
Данный скрипт возможно добавить в планировщик задач и выполнять раз в сутки (или чаще).

Пример скрипта копирования TSL:

$ErrorActionPreference = "Stop"

# Полный путь к загруженному файлу TSL
$sourceFile = "E:\tmp\tsl_source\tsl.xml"

# Полный путь к файлу TSL, используемому SVS
$destinationFile = "E:\tmp\tsl_target\tsl.xml"

# Загрузка файла TSL
wget https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ca/getxml -OutFile $sourceFile

if (!(Test-Path $sourceFile -PathType Leaf)) {
    # Загруженный файл TSL отсутствует
    Write-Host "Файл TSL отсутствует! " $sourceFile
    exit 2;
}

$targetFolder1 = Split-Path $destinationFile -Parent
if (!(Test-Path $targetFolder1 -PathType Container)) {
    # Не существует каталог, в который требуется скопировать файл TSL
    Write-Host "Каталог не существует! " $targetFolder1
    exit 2;
}

if (!(Test-Path $destinationFile -PathType Leaf)) {

 Write-Host "Копирование нового файла TSL..."

 # Целевой файл TSL отсутствует
 # Просто копируем файл TSL
 Copy-Item $sourceFile -Destination $destinationFile

} else {
 # Целевой файл TSL присутствует
 # Копируем файл TSL при помощи временного файла

 Write-Host "Замена существующего файла TSL... "

 $targetFolder = Split-Path $destinationFile -Parent
 $tmpTslPath = Join-Path -Path $targetFolder -ChildPath "temp_tsl.xml"

 if (Test-Path $tmpTslPath -PathType Leaf) {
    # Если временный файл существует, удалим его
    Remove-Item $tmpTslPath -Force
 }

 # Копируем TSL во временный файл
 Copy-Item $sourceFile -Destination $tmpTslPath

 # Перемещаем TSL в целевой файл
 Move-Item $tmpTslPath -Destination $destinationFile -Force
}

Настройка выполнения проверки полей сертификата по умолчанию

Проверка соответствия полей сертификата установленной форме при помощи описанного в данном разделе плагина
может применяться по умолчанию как в веб-интерфейсе SVS, так и при обращении к SVS с использованием REST API.
Для этого в настройках плагина необходимо указать флаг CheckByDefaultRequired.

Пример:

Set-VsCertificateVerifierPlugin -ID 1 -CheckByDefaultRequired 1

В зависимости от интерфейса SVS данная настройка будет применена следующим образом:

  • в веб-интерфейсе SVS — напротив пункта «Проверка сертификата на соответствие установленной форме» (или иной формулировке, если это было указано при настройке плагина) в разделе «Дополнительные проверки» по умолчанию будет активирован чекбокс. Пользователь может самостоятельно отключить проверку, деактивировав данный чекбокс перед отправкой сертификата на проверку.
  • при использовании REST API SVS — параметр зависит от переданного в запросе списка CertVerifiersPluginsIds:
    • если список передан — проверка не учитывается, будут применены плагины, указанные в списке;
    • если список передан со значением NULL — проверка не учитывается, никакие дополнительные проверки к сертификату применяться не будут;
    • если список НЕ передан (отсутствует в запросе) — проверка учитывается, сертификат будет проверен в соответствии с настройками плагина, описанного в данном разделе.

Для прикладных систем, взаимодействующих с КриптоПро SVS через REST API, но не умеющих обрабатывать результаты дополнительных
проверок сертификатов (параметр CertificateVerificationResult),
можно включить неуспешный результат проверки в основное сообщение об ошибке (параметр Message).
Данное поведение можно настроить при помощи следующей команды.

Set-VsProperties -IncludeCertPluginErrorInfoInMainError 1
Restart-VsInstance

Немного теории о цепочке сертификатов

Чтобы сертификат пользователя имел юридическую значимость он удостоверяется сертификатом удостоверяющего центра, а тот в свою очередь заверяется сертификатом Минкомсвязи России, который является корневым сертификатом. Это называется цепочкой сертификатов.

Чтобы программы «понимали» что сертификату пользователя можно доверять необходимо чтобы корневой сертификат был установлен в хранилище «Доверенные корневые центры сертификации».

В сертификате отсутствует поле sn что делать

Если всё установлено правильно, то вкладка «Путь сертификации» сертификата пользователя выглядит так:

В сертификате отсутствует поле sn что делать

Ошибка проверки цепочки сертификатов

Если в цепочке не хватает корневых сертификатов для проверки доверия к пользовательскому сертификату, то тестовая страница выдаёт ошибку:

Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат

В сертификате отсутствует поле sn что делать

Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат



  • 7 февраля 2022




  • Обновлено 12 сентября 2022



Решение проблемы проверки цепочки сертификатов

Самый простой способ решения проблемы — запустить установщик корневых сертификатов. Он установит сертификаты в соответствующие хранилища в автоматическом режиме.

Этот установщик подходит для всех аккредитованных удостоверяющих центров (АУЦ), так как содержит главный сертификат Минкомсвязи России, которым в свою очередь заверяются сертификаты АУЦ.

А опытные пользователи, которые хотят установить сертификаты вручную, смогут без труда найти инструкции по установке корневых сертификатов.

Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат обновлено: 12 сентября, 2022 автором: ЭЦП SHOP

33 ответа

  1. все заработало! а я замучилась с этой подписью,спасибо большое,добрый человек!

  2. Добрый день, есть такая утилита на astra linux x64?

    1. Добрый день!
      Нет, но корневые сертификаты основных УЦ включены в последние дистрибутивы КриптоПро CSP. Обновите КриптоПро из последней сборки, должно помочь. Либо установка сертификатов вручную.

      1. Благодарю за информацию. Но увы ЕГАИС Федеральное Агентство Лесного Хозяйства использует плагин, который не работает с КриптоПро CSP 5 версии, поэтому пришлось поставить 4 версию, а она без графического интерфейса, а вот далее уже как раз проблема с цепочками остаётся…

  3. господи иисусе спасибо добрый человек я думала никогда уже не решу этот вопрос 😢😢😢

  4. Огромная благодарность! Все заработало!

    1. Спасибо за благодарность! 🙂

  5. Сколько я всего перелопатил в инете, этож надо каждые 3 месяца придумывают новые сложности, долбаный честный знак.
    Спасибо вам огромное, помогли

    1. Корневые сертификаты периодически обновляются так же как и сертификаты пользователей.
      Поэтому желательно обновлять ПО после каждого получения сертификата

  6. Спасибо, помогло. Сначала думал, что вирус.

    1. Спасибо за отзыв )

  7. Спасибо, что окончили мои мучения!!!!! Помогло

    1. 😁 Пожалуйста

  8. Помогло, спасибо вам большое!

  9. Спасибо! Помог установщик сертификатов!

  10. Огромное спасибо! Без вас подпись из ФНС не работала

    1. Да, без корневых сертификатов вообще никакие не будут работать 🙂

  11. Большое спасибо, помогло установить

  12. Спасибо большое , установщик сертификатов помог

    1. Рады за Вас )

  13. Просто лучшие, программа помогла !!!!

    1. Спасибо )

  14. Спасибо. Помогли решить проблему

  15. Спасибо огромное. Проблема устранена при помощи установщика сертификатов УЦ

    1. Спасибо за отзыв 👍

  16. Спасибо большое, заработало.

  17. Спасибо, помогло быстро решить эту проблему

  18. Добрый день!
    Нету у меня ЦЗИ«КРИПТОБИТ»

    1. Что Вы имеете в виду?

    2. Я долго думал и понял! Вы про скриншот «Путь сертификации»!
      ООО ЦЗИ«КРИПТОБИТ» — это наша организация. На этом месте будет наименование вашей организации или ФИО физлица. А выше наименование вашего УЦ!
      Главное чтобы в состоянии сертификата было указано, что он действителен!

  19. Не помогло

    1. Значит нужно копать глубже!
      Обратитесь в техническую поддержку УЦ, выдавшего сертификат

    2. Дай Бог тебе здоровья,счастья и любви Добрый Человек,помог на все 100%СПАСИБО👍👍👍👍👍👍👍👍👍👍👍👍👍👍👍

Добавить комментарий

Читать также:  Как создать самозаверяющий SSL-сертификат для Nginx в Ubuntu 18.04

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *