Загруженный файл tsl не прошел проверку эп

Обновлено: 09.01.2025

КриптоАРМ, проблему решил.
Всё оказалось проще и проблема решилась.
Я не понимаю, почему вдруг CRL должен иметь текущее время, у него время выпуска и периодичность.
Но в настройках OCSP есть такой пункт

Substitute CRL last update time for current time
(Заменить время последнего обновления СОС на текущее).
Эта настройка помогла, но почему у CRL должно быть текущее время? Это против любой логики.
С такой настройкой, однако, усовершенствованная подпись в КриптоАРМ работает.
С режимом работы БД ЦР - усовершенствованная подпись также работает нормально.
Режим БД ЦС в OCSP не настраивается никак вообще, более того, в документации по OCSP у КриптоПро нет описания этого режима вообще.

Добрый день. На Win7 удается получить список TSL через интерфейс КриптоАРМа, после обновления меняет дату и номер списка. Но это не помогает.
Дополнительно скачивал сам список и загружал его двумя способами через кнопку в программе (загрузить из файла) или через копирование файла в папку tsl.xml (с заменой имеющегося). После каждого варианта пробовал проверить, ситуация не изменилась.

Были попытки удаления сертификатов по всей цепочке, из корневых, промежуточных и личных. После этого вновь установка с ручным указанием в корневые, промежуточные, личные через интерфейс программы - импорт сертификатов. Дохожу до личного - опять проблема.

Пытался устанавливать сертификат через КриптоПро, вручную из контейнера. Результат тот же.

Доступ к адресам УЦ из цепочки перепроверил, с адресов без проблем скачиваются crt и crl файлы.

Спасибо.
Да вот и получается проблема, обновиться не можем из-за привязки к сертифицированной версии. Может быть есть подробнее совет по кроссертификатам? Готов провести опытно-исследовательскую работу )
Есть такой же ПК с Win7, там все работает без проблем. Пытался переносить сертификаты из корневых, промежуточных - не помогает.

Есть еще несколько машин с комплектом криптографии, там при попытке обновить TSL из КриптоАРМа (кнопками загрузить или ) выдает критическую ошибку и закрытие программы

Денис, У вас задача какая первичнее ? Чтобы цепочки сертификации строились или желтые статусы сертификатов напрягают ?

Основная задача включить режим квал. сертификатов для формируемых протоколов.

Сейчас, если режим включен - протоколы не подтверждают корректность ЭП. При подписании сертификаты не выбираются, а если указать заранее, то ругается что пытаемся подписать неквалифицированным с вытекающими.
Для подписания включил использование усовершенствованной подписи, т.к. нужен штамп времени.

Денис, Сборка 5.4.1.93 хотя и является сертифицированной, на данный момент является устаревшей. Из-за ошибок, которые были исправлены в последующих версиях, режим квалифицированной подписи в старой версии не всегда работает правильно (например с сертификатами ГОСТ 2012). Выпускать новую сертифицированную версию КриптоАРМ 5 не планируется.

Добрый вечер столкнулся с такой проблемой при подготовке файлов для отчета в фсрар:

thread:10656:error:8001C8C6:Vendor defined:getSlotForMechanism:Token not found
thread:10656:error:8106F086:lib(129):func(111):reason(134)
thread:10656:error:0607C085:digital envelope routines:EVP_CIPHER_CTX_ctrl:ctrl operation not implemented
thread:10656:error:0D0D3041:asn1 encoding routines:i2d_ASN1_bio_stream:malloc failure

Программа «КриптоАРМ» сегодня входит в число стандартного ПО для простановки электронной цифровой подписи. Она постоянно совершенствуется, дорабатывается для предотвращения сбоев при использовании.

В большинстве случаев проблем при работе с «КриптоАРМ» не возникает, так как интерфейс программы интуитивно понятен, а алгоритмы безопасности полностью соответствуют актуальным стандартам. Одновременно пользователи периодически жалуются на наличие ошибки в виде отсутствия полного доверия к сертификату цифровой подписи. Выглядит ошибка так:

Особенности ошибки

Подобная проблема со стороны операционной системы ПК или ноутбука свидетельствует о невозможности определить уровень доверия к удостоверяющему центру, который оформил данный сертификат для ЭЦП. Это автоматически сказывается на уровне доверия к самой цифровой подписи.

Решение проблемы

Шаг № 1. Переводим программу в экспертный режим, который предоставляет доступ к полному перечню функций.

подключаем носитель с цифровой подписью к вашему компьютеру;

Шаг № 3. Добавляем проблемный сертификат в перечень доверенных (именно отсутствие в последнем служит причиной появления ошибки). Для этого:

1. перейдите в меню программы «КриптоАРМ»;
2. войдите во вкладку «Свойства» конкретного проблемного сертификата (ее можно найти в подразделе «Личное хранилище» раздела «Сертификаты»);

Сам процесс занимает несколько секунд и требует последующей перезагрузки системы.

Шаг № 4. Финальным этапом остается проверка сертификата по перечню отозванных. Для этого:

1. выберите нужный сертификат во вкладке «Свойства сертификата»;
2. выберите пункт «По CRL, полученному в УЦ»;
3. кликните по кнопке «Проверить».

Теперь можно перейти в личное хранилище, где должна быть обновлена вся информация. Если появилась зеленая галочка, то это признак устранения проблемы и наличия полного доверия со стороны операционной системы к данной ЭЦП.

Как установить отозванные

В отдельных случаях понадобится установка списка отозванных сертификатов (СОС) в дополнительном порядке. Для этого выполните следующие действия:

1. откройте Internet Explorer;
2. перейдите в разделе «Сервис» по пути «Свойства» — «Содержание» — «Сертификаты»;
3. в подразделе «Имя точки» скопируйте в файл имеющуюся ссылку на список;

Иногда в перечне списка СОС может быть две ссылки. В этом случае понадобится повторить данный шаг.

После завершения всех действий перезагрузите ваш компьютер. Если все прошло корректно и действия были правильными, то проблем с исправлением ошибок, установкой СОС не возникает. Проблемой здесь может стать только нестабильность сетевого соединения с интернетом.

Если вам понадобилась дополнительная техническая консультация или появилась необходимость оформить ЭЦП любого типа, сделать это можно в УЦ «Астрал-М». Компания имеет аккредитацию Минкомсвязи и предлагает клиентам возможность открытия цифровых подписей любого типа. Обращаясь к нам, вы получаете:

• доступную цену на услуги;
• оперативность оформления ЭЦП;
• консультации по вопросам сбора пакета документов.

Получить дополнительную информацию можно по телефону, либо оставив запрос на сайте. Мы в течение 5 минут после получения заявки свяжемся с вами для уточнения вопросов. Мы расскажем, как получить электронную подпись и какие документы потребуются для этого.

Использование ЭЦП открывает для владельца подписи дополнительные возможности. Но вместе с этим, иногда сопровождается небольшими техническими проблемами, связанными с необходимостью чёткого выполнения действий, связанных с загрузкой сертификатов, авторизацией, установкой необходимого программного обеспечения, а также системных требований к компьютеру.

Важно отметить, что большинство ошибок при работе с ЭЦП можно устранить в домашних условиях, без необходимости привлечения специалистов со стороны.

Какие виды ошибок ЭЦП бывают

Среди наиболее часто встречающихся ошибок в процессе подписания электронных документов электронной подписью выделяют три ключевых блока:

Проблема с подписанием ЭПЦ. Возникает в момент, когда владелец подписи желает использовать ее при подписании электронного документа. Проблемы при авторизации. Появляется при проверке пользователя, когда владелец электронной подписи впервые пытается зайти на электронную площадку с подтверждением личности через ЭЦП.

Проблема с подписанием ЭПЦ

Причины, вызывающие подобную ошибку весьма разнообразны. Тут можно выделить такие основные направления:

• Закрытый ключ со съемного носителя (диска, флешки, Токена), не соответствует имеющемуся ключу открытого сертификата. Банальный человеческий фактор выбора не того носителя информации с ЭЦП. Если же «правильный» ключ утерян, придется обращаться в Удостоверяющий центр для перевыпуска.
• Недействительный сертификат. Чтобы устранить подобную ошибку потребуется переустановить открытый сертификат. Важно учитывать требования криптопровайдера (инструкции по необходимым действиям) для установки открытых сертификатов.
• Сертификат подписи определяется как не проверенный. Потребуется выполнить переустановку корневого сертификата, сформировавшего ЭП Удостоверяющего центра.

• Закончился срок действия криптопровайдера. Необходимо получить новый лицензионный ключ, позволяющий работать с программным обеспечением криптопровайдера. Информация запрашивается через УЦ, либо владельца ПО.
• Не виден сертификат на носителе. Помогает простая перезагрузка компьютера для устранения ошибка генерации.
• Алгоритм сертификата ЭЦП не поддерживается. Подобная ошибка может возникать при подписании электронной отчетности в налоговую. Потребуется переустановить КриптоПро CSP и проверить его на совместительство с имеющейся у вас на компьютере операционной системой.

Ошибка исполнения функции с информированием о невозможности подписать документ ЭЦП обычно появляется в момент подписания документа.

Система сразу выводит на экран уведомление о непредвиденной ошибке с кратким указанием причины ее возникновения.

Обычно для ее исправления требуются такие действия:

• проверка наличия, срока действия, подлинности сертификатов и выполнение их замены;
• выполнение проверки корректной работы операционной системы компьютера, ее обновление до минимальных допустимых параметров;

• проверка состояния съемного носителя закрытого ключа;
• выявление и устранение ошибок работы криптопровайдера.

Важно. Причина, из-за которой владелец ЭЦП не может нею воспользоваться, может быть комплексной. Поэтому, если не сработал один из предложенных вариантов, проверьте по другим направлениям.

Проблема с сертификатом

Распространенным явлением во время подписания электронных документов ЭЦП является получение уведомления, что системе не удалось получить доступ к сертификатам, пригодным для формирования подписи.

Здесь причины возникновения неисправности могут быть такими:

Внимательно читайте природу ошибки, что выдает система. Обычно это ключ к дальнейшему направлению поиска источника проблемы и ее устранению.

Что делать если не найден сертификат или не верен

Когда сертификат отсутствует в списке «Ваши Сертификаты», проблема может оказаться в отсутствии коренного сертификата УЦ.

Для устранения этой проблемы необходимо:

• потребуется открыть не отображенный во вкладке сертификат и просмотреть его «Путь сертификации»;
• тут отображаются все цепочки сертификатов в порядке ранжирования. Важно чтобы напротив какого-то из них не стоял желтый, либо красный значок предупреждения. Если подобное присутствует – нажмите на сам сертификат и ознакомьтесь с ошибкой, что выдаст система;
• в зависимости от причины (обычно это окончание действия сертификата, либо не верифицирован) выполните ее устранение.

Чтобы устранить ошибку и перезагрузить отозванный сертификат потребуется выполнить несколько не сложных действий:

• в окне «Свойства браузера» откройте личный сертификат. Попасть туда можно через «Поиск» меню «Пуск». В открытом окошке ищите вкладку «Содержание», дальше вкладку «Сертификаты»;
• после этого во вкладке «Состав» потребуется выбрать позицию «Точки распространения списков отзывов»;
• в следующем блоке под названием «Имя точки распространения» необходимо выполнить копирование ссылки загрузки файла списка отзывов;
• переходя по указанной ссылке необходимо скачать и установить файл списка отзывов (CRL);
• дальше переходим по подсказкам «Мастера импорта сертификатов».

Следующей распространенной проблемой, когда компьютер не видит сертификат на носителе, является сбой в работе программных продуктов компьютера либо Токена (флешки). Обычно помогает простая перезагрузка ПК. Среди прочих популярных проблем этого направления можно выделить такие:

1. На носителе отсутствует драйвер, либо он установлен не корректно. Необходимо скачать последнюю версию драйвера с официального источника и установите его. Можно проверить работоспособность съемного носителя на другом ПК. В этом случае, если другой ПК нормально работает с носителем ЭЦП, переустановите драйверы на первом компьютере.
2. Система долго распознает носитель ЭЦП. Тут проблема в операционной системе. Ее потребуется обновить до минимального уровня, требуемого для работы с ЭЦП.
3. USB-порт работает не корректно. Попробуйте подсоединить Токен (флешку) через другой порт, либо на другом ПК, чтобы убедиться, что проблема не в носителе. Выполните перезагрузку компьютера.
4. Если Токин (флешка) не открывается ни на одном компьютере, значит проблема в носителе. Когда ключ был записан в единственном экземпляре на этот носитель – потребуется обращаться в УЦ для перевыпуска ЭЦП.

Важно. Перед вынесением «окончательного вердикта» касательно работоспособности носителя и сертификата, не поленитесь выполнить их проверку через несколько различных источников.

Проблемы при авторизации

Часто с подобными неприятностями сталкиваются владельцы ЭЦП, пытающиеся пройти регистрацию, либо авторизацию на различных электронных торговых площадках. Пользователю появляется уведомление, что его подпись не авторизирована.

Обычно проблема кроется:

На различных ресурсах процесс регистрации (авторизации) может существенно отличаться, иметь определенные ограничения, а также блокироваться защитным ПО. Поэтому перед началом процедуры не поленитесь ознакомиться с соответствующей инструкцией и правилами.

В дальнейшем, при работе на самой электронной площадке и попытке подписать электронные документы, могут возникать дополнительные трудности, связанные с такими моментами:

1. Необходимости присоединиться к регламенту. Система не даст возможность полноценно работать, если вы не согласитесь с ее условиями.
2. Невозможность загрузить файл (файлы). Обычно это ошибка превышения размера информации, что допустима для загрузки. Просто смените формат разрешения файла, чтобы уменьшить его размер.
3. Требование использовать определенный браузер (определенную версию браузера). Это системные требования владельца площадки, которые необходимо соблюдать.
4. Проблемы со считыванием сертификатов. Потребуется проверить не просрочены ли ваши сертификаты, а также все ли они установлены на ПК.

Что значит er 10002 неопределенная ошибка при проверке ЭЦП, что делать?

Возможно не прошла расшифровка файла ключа. Перезагрузите компьютер. Проверьте, отображается ли съемный носитель ключа ЭЦП, наличие и корректность отображения сертификатов, а также соответствие их (должен быть одинаковый владелец).

Связана с повреждением, либо отсутствием необходимых драйверов на носителе, либо ПК. Потребуется скачать с официального источника недостающий драйвер и переустановить его.

Несоответствие программного продукта операционной системы и съемного носителя (флешки), либо повреждение флешки. Устраняется путем обновления операционной системы до минимально необходимой версии. В случае обнаружения повреждения флешки – может потребоваться перевыпуск ЭЦП удостоверяющим центром.

Потребуется выполнить определенные настройки вашего браузера и добавить программу в меню веб-обозревателя, а также загрузить недостающие сертификаты ЭЦП.

Хранение сертификатов в Windows (от 7 версии) осуществляется по адресу: C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates

Лечится довольно просто, перезапуском службы Континент ТЛСа.

Перезапускаем службу, перезаходим в ЭБ, выбираем нужный сертификат для входа и работаем дальше.

Государственная интегрированная информационная система управления
общественными финансами «Электронный бюджет»

Подсистема обеспечения информационной безопасности подсистем

Инструкция по обновлению сертификата сервера TLS на автоматизированном рабочем месте пользователя системы «Электронный бюджет»

Содержание

СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ

В документе используются следующие термины и сокращения:

ОПИСАНИЕ ОПЕРАЦИЙ

Копирование нового сертификата сервера TLS на АРМ пользователя

Для копирования файла сертификата сервера TLS в локальную директорию АРМ пользователя необходимо:

Замена сертификата сервера TLS в ПО «Континент TLS Клиент»

Внимание: Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.

Для замены сертификата сервера TLS в ПО «Континент TLS Клиент» на АРМ пользователя необходимо:
1. Выполнить запуск диалога «Континент TLS Клиент: настройка сервиса». Для этого в меню «Пуск» ввести «Континент TLS клиент» и щелкнуть по найденному элементу.
2. В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, скопированный в локальную директорию в п.4 раздела 2.1 настоящего Руководства.

Решение проблемы CRL не прошел проверку в Электронном бюджете состоит в том, что не установлены новые корневые сертификаты.

Устанавливаем скаченные корневые сертификаты в Доверенные корневые центры сертификации.

Читайте также:

  
• Qt ошибка необходимо выбрать исполняемый файл в особой конфигурации запуска
  
• Как на рено дастер посмотреть расход топлива на бортовом компьютере
  
• Путь к кэшу пакетов не может пересекаться с общим путем установки
  
• Как открыть слот для карты памяти
  
• Dirt 3 можно играть вдвоем xbox 360