Ошибка целостности сертификата

mihmig1	#1 Оставлено : 21 апреля 2020 г. 11:54:09(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.04.2020(UTC) Сообщений: 8	При проверке сертификатов в остнастке Криптопро на все сертификаты ГОСТ 2012 (и на флешках, и в реестре) выдаётся предупреждение: Целостность этого сертификата не гарантирована. Возможно он повреждён или изменён. Сертификат во вложении Windows 7 x64 Обновление криптопро с версии 4.0.9971 до 5.0.11732 (с чисткой утилитой cspclean.exe и неоднократной перезагрузкой компьютера) не помогло Сторонних СКЗИ на компьютере нет и не устанавливалось. При переустановке криптопро корневые сертификаты устанавливались Ветки форума https://www.cryptopro.ru….aspx?g=posts&t=3470 https://www.cryptopro.ru…aspx?g=posts&m=98886 читал, рекомендации не помогли (таких ключей в реестре Windows 7 нет) Вопрос сотрудникам компании: 1. Что конкретно означает данное сообщение? 2. Какова причина возникновения данного сообщения? 3. Как устранить причину?

two_oceans	#2 Оставлено : 21 апреля 2020 г. 12:06:44(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,599 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 389 раз в 364 постах	Попробую, ответить: 1) сообщение означает, что либо сертификат и правда поврежден либо алгоритм сертификата (гост-2012) неизвестен либо система не находит криптопровайдер, который привязан к алгоритму гост-2012 (удален или не установлен полностью или не установлен соответствующий компонент криптопровайдера). 2) как правило это возникает когда другой криптопровайдер был установлен ранее, а потом удален. Реже конфликт при одновременной эксплуатации криптопровайдера (проверка неудачна когда часть функций в одном криптопровайдере, а часть в другом, так как «внутри» у них может быть несовместимый формат промежуточных данных). Еще реже могут быть сторонние программы блокирующие функции криптопровайдера или удаляющие компоненты. 3) если та тема из второй ссылки не помогла (она помогает когда на компьютере Континент-АП, для випнет клиента или тумара не поможет) — нужно больше данных (там темах должны быть описания какие ключи реестра экспортировать и прикрепить к сообщению). Отредактировано пользователем 21 апреля 2020 г. 12:21:56(UTC)  | Причина: Не указана

mihmig1	#3 Оставлено : 21 апреля 2020 г. 15:49:43(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.04.2020(UTC) Сообщений: 8	Повторюсь — криптопровайдер КриптоПро CSP установлен (и переустановлен) не единожды. разве при установке КриптоПро он не «прописывает» себя как надо в настройках системы? Других криптопровайдеров на данной машине не устанавливалось. На других компьютерах сертификаты отображаются корректно. Есть ли возможность исправить ситуацию без переустановки операционной системы?

Максим Коллегин	#4 Оставлено : 21 апреля 2020 г. 16:01:56(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,332 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 682 раз в 601 постах	Приложите сертификат и цепочку. Выведите лог проверки с certutil -verify Проверьте корневой сертификат в хранилище root.
Знания в базе знаний, поддержка в техподдержке
	WWW

mihmig1	#5 Оставлено : 21 апреля 2020 г. 17:50:31(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.04.2020(UTC) Сообщений: 8	certs2020-04-21.zip (5kb) загружен 5 раз(а). verify.txt (6kb) загружен 7 раз(а). Есть подозрение, что причина в том, что сертификат подписан УЦ по ГОСТ 2001…

Максим Коллегин	#6 Оставлено : 21 апреля 2020 г. 18:08:59(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,332 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 682 раз в 601 постах	Этот сертификат выдан не тем УЦ (tenzor.cer), что в архиве. Посмотрите внимательно на цепочку на той машине, где проверяется. Ссылки в AIA уже недействительны, как я понимаю. Отредактировано пользователем 21 апреля 2020 г. 18:09:50(UTC)  | Причина: Не указана
Знания в базе знаний, поддержка в техподдержке
	WWW

mihmig1	#7 Оставлено : 21 апреля 2020 г. 18:17:10(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.04.2020(UTC) Сообщений: 8	Подождите: Сертификат УЦ извлечён из цепочки на вкладке «Путь сертификации» Как именно проставляется ссылка на издателя в сертификате — по серийному номеру, SHA-отпечатку или как-то иначе? Что конкретно означает строка в файле verify.txt CertUtil: Нельзя проверить подпись сертификата. ?

mihmig1	#8 Оставлено : 21 апреля 2020 г. 18:25:41(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.04.2020(UTC) Сообщений: 8	Вот то что отображает криптопро: image1.png (24kb) загружен 11 раз(а). Что такое «Ссылки в AIA» и почему они могут быть недействительны?

Максим Коллегин	#9 Оставлено : 21 апреля 2020 г. 18:33:46(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,332 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 682 раз в 601 постах	То, что ОС рисует цепочку не означает, что это сертификат издателя, возможно не нашлось более подходящего. http://www.pkiglobe.org/auth_info_access.html
Знания в базе знаний, поддержка в техподдержке
	WWW

mihmig1	#10 Оставлено : 21 апреля 2020 г. 18:51:29(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 21.04.2020(UTC) Сообщений: 8	Максим, спасибо! Проблема заключалась в том, что среди кучи импортированных сертификатов Тензора не было того, которым был подписан наш сертификат. Для меня стало открытием, что в сертификате явно не указывается ссылка на сертификат издателя… Скажите а фраза «Целостность этого сертификата не гарантирована. Возможно он повреждён или изменён.» исходит от Windows или от Криптопровайдера? Если от криптопровайдера — то можно ли её расширить фразой » или не удалось найти сертификат издателя»?

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Доброго времени суток, уважаемые читатели. Сегодня речь пойдет не совсем об 1С, или вернее не только об 1С. Речь сегодня пойдет о сертификатах «Крипто-ПРО». На днях несколько клиентов обратились ко мне с проблемой — заключалась она в том, что пользователи не могли установить новый личный сертификат в Крипто-ПРО. Конечно, они обратились с проблемой, не связанной напрямую с 1С — сертификат был для сервиса СУФД-онлайн. Однако, проанализировав ситуацию я пришел к выводу что во-первых такая-же проблема может возникнуть у любого пользователя при обновлении личного сертификата при использовании сервиса «1С:Отчетность» (а это уже проблема напрямую связанная с программами 1С). А во-вторых думаю что даже если вы и не используете «1С:Отчетность», то наверняка пользуетесь другими сервисами, использующими сертификаты Крипто-ПРО — это могут быть прогараммы для отправки отчетности — «СБИС-документооборот» или «Контур-Экстерн», например, либо же сервисы для отправки платежей — например тот-же СУФД-Онлайн.

Изначально проблема заключалась в том, что при установке личного сертификата через интерфейс «Крипто-ПРО» (Закладка «Сервис» — Установить личный сертификат) выходила ошибка — «Не найден контейнер соответствующий открытому ключу сертификата».

Хотя, попробовав проделать эти же операции на другом компьютере я убедился что сертификат успешно устанавливается в контейнер. 

Поискав информацию по данной ошибке были предприняты тестирование системных файлов на наличие ошибок, полная проверка компьютера при помощи антивируса и еще куча оказавшихся бесполезными в данном случае операций. Примечательно, что открыв личный сертификат мы видим следующую запись — «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен». 

Подумал, что возможно не установлены корневые центры сертификации для этого сертификата. Установил — тоже не помогло. Итак, возник вопрос — как победить ошибку «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен»?

Выяснилось, что проблема оказалась в реестре операционной системы «Windows». Конкретная версия роли не играет — ошибка проявлялась как на Windows 7, так и Windows 10.

Для устранения ошибки «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен» нам необходимо использовать специальную программу — редактор реестра Windows — «REGEDIT». Для ее открытия нам нужно вызвать окно запуска служебных программ (Пуск — «Выполнить», или же нажав комбинацию клавиш на клавиатуре «Win+R»). В поле «Открыть» вводим команду «regedit» и нажимаем ОК.

Должно открыться окно «Редактор реестра». Это служебная программа для редактирования некоторых параметров операционной системы Windows. 

В левой части открывшегося окна мы видим дерево реестра — папки «HKEY_CLASSES_ROOT», «HKEY_CURRENT_USER» и т.д. Слева от каждой папки есть значок треугольника, кликнув на который откроются подразделы (ветки реестра), стоящие ниже. Нам нужно найти два подраздела:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

И удалить их, кликнув правой кнопкой мыши на конечной папке (в нашем случае это папка «1.2.643.7.1.1.1.1«) и выбрав «Удалить». Возможно, второго пути вы не найдете (если у вас 32-разрядная система Windows), в таком случае удаляем только первый.

Перед удалением я бы рекомендовал создать копию выбранного раздела. Это нужно для того. чтоб в случае сбоев в работе системы можно было без последствий восстановить удаленную ветку реестра. Сделать это можно, кликнув правой кнопкой мыши на выбранном разделе, выбрать пункт «Экспортировать…», и в открывшемся окне указать путь для сохранения файла с копией ветки реестра. В дальнейшем всегда можно вернуть удаленный раздел реестра двойным щелчком по сохраненному файлу. 

После удаления ветки реестра необходимо перезагрузить компьютер. 

Думаю что после проделанных вышеуказанных манипуляций вы сможете установить личный сертификат в контейнер и ошибка «Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен» больше не будет вас беспокоить. 

P.S.: Надеюсь, что вы не устали читать эту статью, как всегда хотел написать кратко, но получилось не очень.

Спасибо, что откликнулись!

Благодарим за интерес, проявленный к нашей компании.
Мы свяжемся с вами в ближайшее время.

Спасибо, что подписались!

Теперь вы будете получать письма от Такснета

Спасибо, что оставили отзыв!

Мы уже читаем его, чтобы стать еще лучше.

На днях случилась странная ситуация. На одном из компьютеров под Windows 10 никак не работал корректно ни один из корневых сертификатов для 1С Отчетности. Во всех ветках и по всем корневым сертификатам в описании валилась одна и та же ошибка “Целостность этого сертификата не гарантирована. Возможно он изменен или поврежден“. Я грешил на сертификат Минкомсвязи России, но как оказалось дело было совсем не в нем.

Потратив несколько часов на попытки установки различных корневых сертификатов и переустановку самого корневого сертификата Минкомсвязи России наткнулся на пост с подобной проблемой со следующими ошибками:

• “При проверке отношений доверия произошла системная ошибка” при начале установке сертификата
• “Целостность этого сертификата не гарантирована. Возможно он изменен или поврежден”

Решение данной проблемы кроется в правке реестра.

1. Запускаем regedit
2. Ищем и удаляем ветки реестра из строк ниже
3. Ребутим компьютер и радуемся

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1

Не забываем сделать копию реестра перед всеми манипуляциями.