Ошибка построения пути сертификации криптопро арм как исправить
Перейти к содержимому

Ошибка построения пути сертификации криптопро арм как исправить

  • автор:

Ошибка построения пути сертификации криптопро арм как исправить

Ошибка: «Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)» часто возникает в различных приложениях при создании/проверке подписи. Она означает, что у Вас на машине не установлены необходимые промежуточные/корневые сертификаты для проверкисоздания подписи.

Для решения проблемы необходимо скачать с сайта Удостоверяющего центра, выдавшего Вам сертификат, промежуточные и корневой сертификаты и установить их в соответствующие хранилища.

Мы проанализировали наиболее частые обращения к нам и пострались собрать сертификаты самых популярных издателей в один файл, на примере которого ниже показано, как решать ошибку из данной статьи:

Шаг 1

Скачайте этот файл. Файл содержит корневые сертификаты всех основных УЦ. Подробный список дан ниже.

Шаг 2

Если у Вас на компьютере установлен КриптоПро CSP 5.0

Для ОС Windows: Зайдите Пуск-Все программы-КРИПТО-ПРО- Инструменты КриптоПро

Для MAC OS: Зайдите Finder-Программы-Инструменты

Перейдите на вкладку Сертификаты и выберите вверху раздел «Доверенные корневые центры сертификации»

Выберите кнопку «Установить сертификаты», выберите скачанный ранее файл и нажмите «Открыть»

Если у Вас на компьютере установлен КриптоПро CSP версии ниже 5.0 или Вы не используете графический интерфейс:

Для Windows: выполните в командной строке:

«C:\Program Files\Crypto Pro\CSP\certmgr.exe» -install -cert -store uRoot -file -all

Для Linux/macOS: выполните в командной строке:

/opt/cprocsp/bin/amd64/certmgr -install -cert -store uRoot -file -all

В редких случаях для построения цепочки данных сертфикатов будет недостаточно, тогда рекомендуем установить промежуточные сертификаты.

Скачайте этот файл. Файл содержит промежуточные сертификаты рекомендуемых УЦ.

Если Вы используете CSP 5.0 с графическим интерфейсом, то выполните Шаг 2, выбрав хранилище «Промежуточные центры сертификации», используя файл CA.p7s

Если Вы используете КриптоПро CSP версии ниже 5.0 или Вы не используете графический интерфейс, то используйте данные команды:

Для Windows: выполните в командной строке:

«C:\Program Files\Crypto Pro\CSP\certmgr.exe» -install -cert -store uCA -file -all

Для Linux выполните в командной строке:

/opt/cprocsp/bin/amd64/certmgr -install -cert -store uCA -file -all

Для MACOS выполните в командной строке:

/opt/cprocsp/bin/certmgr -install -cert -store uCA -file -all

Списки сертфикатов, содержащихся в файлах root.p7b, ca.p7b:

Root

Наименование Действителен с Действителен по Отпечаток
CryptoPro GOST Root CA 15.11.2018 15.11.2033 34e21fc04d3576b0ada81fd081955e2778291cc5
Russian Trusted Root CA 02.03.2022 28.02.2032 8ff915ccab7bc16f8c5c8099d53e0e115b3aec2f
Головной удостоверяющий центр 20.07.2012 17.07.2027 8cae88bbfd404a7a53630864f9033606e1dc45e2
Минкомсвязь России 02.07.2021 02.07.2039 aff05c9e2464941e7ec2ab15c91539360b79aa9d
Минкомсвязь России 06.07.2018 01.07.2036 4bc6dc14d97010c41a26e058ad851f81c842415a
Минцифры России 08.01.2022 08.01.2040 2f0cb09be3550ef17ec4f29c90abd18bfcaad63a
НУЦ России 01.03.2022 25.02.2037 0884889d00f1ff2c773bc5dfb42f41ddddeed492

CA

Наименование Действителен с Действителен по Отпечаток
CryptoPro TLS CA 16.11.2018 16.11.2028 f6b88598ff04d18c8132cfb074d9fb051cec8a82
Russian Trusted Sub CA 02.03.2022 06.03.2027 335d43f53451b781535ff3882df713d3c14f8a01
АО «»ГНИВЦ»» 21.01.2020 21.01.2035 9ffa4e5649ff21b471aed34fbe0eec0c235283ca
АО

21.01.2020 21.01.2035 67b311afb1a8006a20cb1d50dc27afa6bd396658
Казначейство России 10.01.2022 10.01.2037 0b48b8d07d142a5b45e9b0e8c52186687d75e58e
ООО «»КРИПТО-ПРО»» 10.05.2016 10.05.2026 d24b37fcfbb979d2d4a5d1549ec4e2029d15d8a2
ООО «»КРИПТО-ПРО»» 24.10.2016 24.10.2026 1b4158b9a7399fd8b90ae8a06fc676fb0624f97e
УЦ 1 ИС ГУЦ 07.12.2016 07.12.2026 0932e483c4420e668f64d360006d0beb0bfacca7
УЦ 1 ИС ГУЦ 20.07.2012 17.07.2027 9e78a331020e528c046ffd57704a21b7d2241cb3
УЦ 1 ИС ГУЦ 07.12.2016 12.07.2027 0932e483c4420e668f64d360006d0beb0bfacca7
Федеральная налоговая служба 15.11.2022 15.11.2037 08a4c134ffe120d8572df0cb8465e6c3a77e7727
Федеральная налоговая служба 21.07.2023 21.07.2038 24a2cd23cc4e75ec695031b18054f7683fdf1e86
Федеральная налоговая служба 19.04.2022 19.04.2037 e5aa1938ed28e003b7fefef4eaae4ce7a979a479
Федеральная налоговая служба 26.12.2019 26.12.2034 a495d499551de7f995c27a60426d38688ec75e89
Федеральная налоговая служба 26.12.2019 26.12.2034 7aa38b02798153f66a339e108d83d9d3a5a2bd6a
Федеральное казначейство 13.04.2021 13.04.2036 63c41988b32303d6ecf9915699fc34d07d155b01
Федеральное казначейство 05.02.2020 05.02.2035 34d46afd0cb2a6530926ba5f5e6a058365f09969
УЦ 1 ИС ГУЦ 08.02.2017 07.12.2026 13877a8bd34589567f9b9aff6498026c0c29c617

КриптоАРМ: статус сертификата: недействителен, ошибка построения пути сертификации

КриптоАРМ: статус сертификата: недействителен, ошибка построения пути сертификации:

криптоарм 3

Для исправления данной проблемы потребуется выполнить следующие действия:

1. Открыть программу «Internet Explorer»/«Сервис»/«Свойства»/«Содержание»/«Сертификаты»,или же через меню кнопки Пуск – все программы – Крипто про — сертификаты.

2. Выбираем необходимый сертификат, переходим на вкладку Путь сертификации, далее копировать в файл.

серт и путь

Оставляем всё по умолчанию, нажимаем «Далее».

мастер экспорта сертификата

Сохраняем файл в произвольном месте.

произвольная форма

3. Далее открываем программу Крипто АРМ либо по ярлыку с рабочего стола, или через меню пуск – все программы.

крипто арм главная

Нажать на сохраненном списке правой кнопкой мыши для выбора режима установки.

арм мастер установки сертификата

4. Следовать инструкции «Мастера импорта сертификатов».

АРМ выбор сертификата

Выбираем файл, который сохраняли на пункте 2 и нажимаем далее.

Остались вопросы?

Отдел технической поддержки

тел.: 8 (800) 333-91-03, доб. 2400
email: otp@itcomgk.ru

Ошибка построения пути сертификации криптопро арм как исправить

Текст ошибки:

Сертификат не действителен. Ошибка построения пути сертификации.

Как выглядит ошибка:

серт.JPG2022-05-06_11-18-09.png

Описанные ниже действия в видео файле разместили на Яндекс диске.

Сообщение Статус сертификата: недействителен, ошибка построения пути сертификации говорит о том, что нужно на рабочем месте установить корневой сертификат удостоверяющего центра, чтобы цепочка доверия могла быть построена и проверена программой.

Корневой сертификат УЦ, как правило, можно загрузить с сайта удостоверяющего центра. Также его можно скачать по ссылке, указанной в сертификате.

Для сертификатов полученных в ФНС от 6.05.2022г скачать корневой сертификат УЦ ФНС можно здесь. Корневой сертификат Минцифры скачайте здесь .

Для получивших квалифицированные сертификаты в Удостоверяющем центре ФНС России после 18.03.2023: скачать корневой сертификат УЦ ФНС можно здесь.

Установить оба сертификата нужно в хранилище текущего пользователя. Сертификат ФНС — в папку «промежуточные центры сертификации», сертификат Минцифры — в «доверенные корневые центры сертификации».

Для остальных сертификатов нужно:

1. В личном хранилище сертификатов в КриптоАРМ выбрать сертификат и двойным кликом левой клавиши мыши открыть его.

2. Нажать на кнопку Просмотреть .

3. Выбрать вкладку Состав.

4. Выбрать в составе строку Доступ к информации о центрах сертификации.

5. Скопировать ссылку для скачивания корневого сертификата, расположенную в нижней части окна (это ссылка с окончанием crt или cer). Копирование правой клавишей мышки здесь не работает. После того как выделили ссылку, нажмите Ctrl C.

2022-05-06_11-22-44.png

6. Вставить ссылку в адресную строку браузера нажав сочетание клавиш Ctrl V и нажать Enter.

7. Выбрать в КриптоАРМ папку Промежуточные центры сертификации, нажать Импорт на панели инструментов и установить загруженный сертификат. В мастере импорта НЕ СТАВИТЬ галочки «установить личный сертификат», «поместить сертификат в контейнер».

Как исправить ошибку «Этот сертификат содержит недействительную цифровую подпись»

Как исправить ошибку «Этот сертификат содержит недействительную цифровую подпись»

В данной статье мы расскажем о путях решения ошибки «Этот сертификат содержит недействительную цифровую подпись» на примере «Тензор» и Казначейства. Вы узнаете, что такое цепочка доверия¸ как её настроить и многое другое.

Для возможности использования квалифицированной электронно-цифровой подписи (далее — КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:

  • Сертификат ключа проверки ЭП (далее — СКПЭП).
  • Промежуточный сертификат (далее — ПС).
  • Корневой сертификат (далее — KC).

Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.

Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы ее исправить.

В сертификате содержится недействительная цифровая подпись разбор ситуации, на примере Тензор.jpg

В сертификате содержится недействительная цифровая подпись: разбор ситуации, на примере «Тензор»

О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.

Для того, чтобы узнать о состоянии ключа, следует:

  1. Войти в меню «Пуск».
  2. Открыть раздел «Все программы» и перейти в «КриптоПро».
  3. После этого нужно нажать л.к.м. на «Сертификаты».
  4. В строке хранилище, отметить нужное.
  5. Кликнуть на выбранный сертификат.
  6. Открыть раздел «Путь сертификации».

В строке «Состояние» будет отражён статус неактивного сертификата.

Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Сообщение об ошибке может отображаться по следующим причинам:

  • Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).
  • Некорректно инсталлирован криптопровайдер КриптоПро.
  • Алгоритмы шифрования СКЗИ не работают, или работают некорректно.
  • Нет доступа к реестровым документам.
  • Версия браузера устарела.
  • На компьютере выставлены неправильные хронометрические данные.

Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.

Цепочка доверия, от министерства цифрового развития и связи до пользователя.jpg

Цепочка доверия, от министерства цифрового развития и связи до пользователя

До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, — ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.

Принцип построения ЦДС

Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.

КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.

Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:

  • Данные об УЦ и срок действия ключа.
  • Электронный адрес для связи с реестром организации.

Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП.

В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами.

СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП.

СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу.

КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.

Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.

Пути решения ошибки

Для начала необходимо убедиться в том, что КС активен и верно инсталлирован. Для этого применяется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В появившемся перечне должен находиться файл от ПАК «Минкомсвязь России». Если сертификата нет, или он не активен, требуется его инсталлировать:

  • Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».
  • Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».
  • Укажите хранилище «Доверенные корневые центры сертификации».
  • Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.

После инсталляции сертификата, перезагрузите ПК.

Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.

Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно).

Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным.

Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам.

Исправление ошибки, на примере казначейства.jpg

Исправление ошибки, на примере казначейства

Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП.

Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).

Изменение или повреждение файла УФК

Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК.

В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:

  • Зайти в раздел «Личное».
  • Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.
  • Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.
  • Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.
  • После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до . ».
  • На сайте УФК войти во вкладку «Корневые сертификаты».
  • Загрузить «Сертификат УЦ Федерального казначейства».
  • Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».
  • Выключите и включите ПК.

На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации.

Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.

Истечение срока

Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.

Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть.

Ошибка с отображением в КриптоПро

Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная.

В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера.

Неправильная работа КриптоПро

Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:

Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки.

Сервисы инициализации

СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP.

Для того, чтобы проверить активность службы:

  • Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.
  • После чего вбейте в командной строке services.msc.
  • В перечне служб, укажите «Службы инициализации».
  • Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.

Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.

Что делать, если ошибка вызвана сбоем браузера

Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.

Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.

Вход под администраторскими правами

Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.

Что нужно сделать:

  • Правой кнопкой мыши нажмите на значок браузера.
  • Выберите строку «Запуск от имени администратора».

После того, как ошибка исчезнет:

  • Правой кнопкой мыши нажмите на значок браузера.
  • Кликните на «Дополнительно»
  • И выберите «Запуск от имени администратора».

Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.

Выключение антивирусника

Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого:

  • Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».
  • После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.

Когда электронный документ будет подписан, активируйте антивирусную программу обратно.

Настройка хронометрических данных

Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:

  • Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.
  • Выберите «Настройка даты и времени».
  • Выставьте нужный часовой пояс и правильные значения.
  • Сохраните изменения.

По окончанию настроек выключите, а потом включите ваш ПК.

Нужна ЭЦП? Подберем подходящий вариант электронной подписи для вашего бизнеса.

Оставьте заявку и получите бесплатную консультацию специалиста.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *