Ошибка эдо подпись неверна

В подсистеме 1С-ЭДО типовых конфигураций, таких как 1С:Бухгалтерия, 1С:Управление торговлей, 1С:Управление небольшой фирмой, 1С:ERP реализован механизм для отправки и подписания входящих и исходящих документов. Иногда в работе пользователя может возникнуть ошибка с подписью контрагента. Это связано с тем, что на компьютере не установлен корневой сертификат Удостоверяющего Центра. Причин может быть две:

1. Не установлен корневой сертификат Головного удостоверяющего центра (ГУЦ) Минкомсвязи, уполномоченного федерального органа по аккредитации удостоверяющих центров.
2. Не установлен корневой сертификат Удостоверяющего Центра, выпустившего сертификат ключа электронной подписи Вашего контрагента или Оператора ЭДО.

При подписании документа у пользователя может возникнуть ошибка подписи «Подпись неверна» со стороны контрагента (рис. 1).

Для того чтобы исправить данную ошибку, нужно повторно переустановить сертификат. Для этого в открытом окне с ошибкой двойным кликом открываем сертификат который светится красным. Далее сохраняем сертификат по кнопке «Сохранить в файл» (рис. 2).

После того, как сертификат сохранился, его нужно повторно переустановить. Для этого откройте его двойным кликом мыши и далее в открывшемся окне сертификата нажмите кнопку «Установить сертификат» (рис. 3).

Откроется окошко «Мастер импорта сертификатов» (рис. 4). На этапе импорта необходимо указать хранилище сертификатов, для этого нужно выбрать «Доверенные корневые центры сертификации» и нажать «Далее» (рис. 4).

При появлении окна «Предупреждение системы безопасности», необходимо нажать кнопку «Да» для установки сертификата в системное хранилище Windows (рис. 5).

После успешного импорта сертификата необходимо завершить установку нажав на кнопку «Готово».

Далее необходимо повторно проверить данную подпись. В программе нужно нажать правой кнопкой мыши на КРАСНУЮ надпись у подписи «Подпись не верна» и выбрать «Проверить электронные подписи» (рис. 6).

После данной манипуляции статус подписи изменит свой цвет с красного на черный, дата изменится на текущую и формулировка изменится на «Верна» (рис. 7).

Возникновение ошибки «Документ … содержит невалидные подписи», вероятнее всего связано с тем, что на компьютере не установлен корневой сертификат Удостоверяющего Центра. Причин может быть две: 

1) Не установлен корневой сертификат Головного удостоверяющего центра (ГУЦ) Минкомсвязи, уполномоченного федерального органа по аккредитации удостоверяющих центров.  

2) Не установлен корневой сертификат Удостоверяющего Центра, выпустившего сертификат ключа электронной подписи Вашего контрагента или Оператора ЭДО. 

Рекомендуется сначала воспользоваться инструкцией для установки корневого сертификата ГУЦ. После установки проверьте электронную подпись так, как написано здесь. Если это не помогло решить проблему, следуйте рекомендациям из данного раздела.  

Открываем сам электронный документ, по которому выдается ошибка, на вкладке «Подписи» , содержится 1 или 2 подписи, статус одной из них, или обеих, выделен красным курсивом и статусом «Не верна».

Необходимо двойным кликом открыть данный сертификат(ы) и сохранить на рабочий стол или в любую другую папку на диске:

Затем нужно открыть сохраненный файл и перейти на закладку «Путь сертификации»:

Мы видим, что корневой сертификат (сертификат Удостоверяющего Центра) действительно не установлен. Для его установки достаточно открыть корневой сертификат двойным кликом и установить (см. ниже).

В случае если не отображается цепочка сертификатов (на закладке «Путь сертификации» есть только сертификат пользователя), перейдите на вкладку «Состав» , найдите раздел, «Доступ к информации о центре сертификации»:

Далее нужно выделить и скопировать в буфер обмена одну из ссылок, заканчивающуюся на .cer или .crt,.вставить ссылку в адресную строку браузера и скачать корневой сертификат,

Открыв корневой сертификат (из пути сертификации в сертификате пользователя или скачанный файл) нажмите кнопку «Установить сертификат…»:

В качестве хранилища корневого сертификата необходимо выбрать «Доверенные корневые центры сертификации»:

Далее нужно подтвердить установку корневого сертификата:

Переключившись в окно 1С, правой кнопкой мыши нажимаем на подпись со статусом «Не верна» и в контекстном меню выбираем команду «Проверить электронные подписи»:

Статус меняется на «Верна»

Подпись не верна

Данная инструкция родилась при работе с конфигурацией «Бухгалтерия государственного учреждения 2.0» возможны расхождения в наименованиях объектов в других конфигурациях, но суть будет та же.

Иногда в процессе взаимодействия с контрагентами посредством электронного документооборота при помощи сервиса 1С-ЭДО возникает неприятная ситуация — необходима замена электронно-цифровой подписи (ЭЦП) на вашей стороне (окончен срок действия ЭЦП, ЭЦП утеряна и тп), причем происходит это в момент уже запущенного процесса обмена ЭДО, что приводит к возникновению ошибки в статусе подписи «подпись не верна».

Что же можно сделать в такой ситуации? Ниже мы приведем один из способов устранения данной проблемы:

1. Заходим в рабочее место «Текущие дела ЭДО» и находим там наш «проблемный» электронный документ:

   

2. Помечаем его на удаление:

   
3. Далее нам необходимо удалить все «служебные документы» из ветки ЭДО подраздела «Информация Получателя»:

   

   Для этого запускаем типовую обработку «Удаление помеченных объектов». В списке помеченных на удаление объектов находим ветку «Сообщения ЭДО»:

   

   Здесь самый важный момент: главное выбрать именно те объекты, которые необходимо удалить, а называться они будут «Информация получателя» и «Извещение о получении подтверждения даты получения информации получателя». Обязательно смотрим на соответсвие реквизитов этих объектов «дата документа» и «статус».
   Дата документа должна совпадать с датой отображаемого документа в рабочем месте Текущие дела ЭДО, который мы пометили на удаление, статус должен быть «отправлен получателю».

   

   

   Пометили их на удаление, нажимаем удалить, но программа их не удаляет потому что есть ссылки на эти объекты.

   

   Программа предлагает указать вручную способы удаления «удалить» или «заменить», мы выбираем способ удалить, но и тут нас ждет «сюрприз», у объекта «присоединенный файл» способ «удалить» выбирается без проблем, а объект «транспортный контейнер» так просто не удаляется. Что мы делаем: двойным кликом открываем этот контейнер, открывается форма элемента «Объекты транспортных контейнеров» далее жмем «Все дейсвия» — «Удалить». Все все ссылки тоже помечены на удаление. Жмем повторить удаление. Все объекты удалены из базы.

   

   Если Вы все сделали правильно, то в рабочем месте «Текущие дела ЭДО» в выбранном документе в ветке ЭДО полностью исчезнет подраздел «Информация получателя».

   

   И на этом еще не все. «Информация получателя» удалилась, а вот реквизит «Состояние ЭДО», находится в статусе «Завершен». Меняем его на статус «Требуется подписать». Заходим в «Режим технического специалиста» Или «Все функции»,

   

   находим там объект метаданных Регистр сведений «Состояние документов ЭДО»,

   

   отбираем запись по регистратору «электронный документ» это наш электронный документ, который мы изначально с Вами пометили на удаление,

   

   двойным кликом открываем форму Регистра сведений и меняем статус на «Требуется подписать»

   

   Заходим в рабочее место «Текущие дела ЭДО», снимаем наш электронный документ с пометки на удаление и видим, что статус подписи «не верна» сменился на «верна» и появилась возможность подписать и отправить электронный документ заново.

   

   

   Рады помочь Вам, команда ITsale.

Воспользуйтесь выгодными предложениями по тарифам 1С:ИТС и получите максимальную отдачу от своей компании.

Оставить заявку на бесплатную консультацию прямо сейчас!

Ошибка возникает в разделе Текущих делах ЭДО при нажатии кнопки Отправить и получить, если в папке Распаковать имеются пакеты электронных документов, которые не были распакованы из-за того, что настройка получения электронных документов находится не в состоянии Присоединен или отсутствует:

Откройте пакет электронных документов и убедитесь, что отсутствуют обязательные поля, необходимые для распаковки пакета и последующего корректного принятия к учету (идентификатор получателя, идентификатор отправителя, контрагент). Для заполнения этих полей в некоторых случаях необходимо наличие в информационной базе приглашения между участниками ЭДО по данному документу в статусе Присоединен:

Решение:

Дождитесь перевода приглашения в статус Присоединен. После этого необходимые для распаковки данные автоматически будут заполнены, и пакет будет успешно распакован.

Отслеживать статус приглашения можно либо в настройке получения электронных документов по этому контрагенту, либо на вкладке Приглашения Архива ЭДО.

Если статус не меняется длительное время, это может быть вызвано наличием проблем при настройке роуминговой связи. Для решения вопроса обратитесь в техническую поддержку 1С-ЭДО.

Если ошибка распаковки сопровождается сообщением о неполученных приглашениях, ограниченных датой запроса необходимо выполнить их загрузку.

Перейдите в раздел Организации, нажмите кнопку ЭДО → Учетные записи:

Откройте учетную запись двойным нажатием:

В открывшемся окне нажмите кнопку Еще и выберите Начальная дата запроса данных у оператора ЭДО:

Очистите поле Начальная дата запроса данных у оператора ЭДО, после нажмите кнопку Записать и закрыть:

Вернитесь в раздел Текущие дела ЭДО и нажмите кнопку Отправить и получить. С сервера оператора ЭДО в информационную базу будут загружены отсутствующие настройки, и документ успешно распакуется:

Чтобы воспользоваться квалифицированной электронно-цифровой подписью (далее — КЭЦП, КЭП, ЭЦП), криптопровайдер должен признать сертификат пользователя доверенным, то есть надежным. Это возможно, если правильно выстроена цепочка доверия сертификации, которая состоит из трех звеньев:

• сертификат ключа проверки электронной подписи (далее — СЭП, СКПЭП, СКЭП);
• промежуточный сертификат (ПС) удостоверяющего центра;
• корневой сертификат (КС) от головного центра, то есть от Минкомсвязи.

Искажение хотя бы одного файла приводит к недействительности сертификата, и он не может быть использован для визирования документации. Среди других причин сбоя выделяют неправильную работу криптопровайдера (средства криптозащиты или СКЗИ), несовместимость с браузером и др.

Почему возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать для решения этой проблемы, рассмотрим детально.

Этот сертификат содержит недействительную цифровую подпись : на примере « Тензор»

О содержании недействительной цифровой подписи в сертификате пользователь узнает при попытке подписать документы с помощью КЭЦП. В этом случае на экране появляется сообщение: «При проверке отношений доверия произошла системная ошибка» или «Не удается построить цепочку доверия для доверенного корневого центра». Чтобы увидеть состояние ключа, необходимо:

1. Открыть меню «Пуск».
2. Перейти во вкладку «Все программы» → «КриптоПро».
3. Кликнуть на кнопку «Сертификаты».
4. Выбрать хранилище: «Личное», «Доверенные корневые центры» или «Промежуточные доверенные центры».
5. Нажать на выбранный сертификат.
6. Перейти во вкладку «Путь сертификации».

В поле «Состояние» отображается статус недействительного сертификата , на примере с УЦ «Тензор» это выглядит так:

При корректно настроенном пути сертификации состояние было бы таким:

В разделе «Общие» отображается причина, например, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Системное оповещение о сбое может возникать по ряду причин:

• нарушена цепочка доверия (неверный путь сертификации), поврежден один из сертификатов или все три (шифрованное соединение между браузером клиента и сервером будет недоверенным или вовсе не будет работать);
• неправильно установлен криптопровайдер КриптоПро;
• неактивны алгоритмы шифрования СКЗИ;
• заблокирован доступ к файлам из реестра;
• старые версии браузеров;
• на ПК установлены неактуальные дата и время и т. д.

Таким образом, ошибка может быть связана непосредственно с сертификатами, криптопровайдером или настройками ПК. Для каждого варианта придется пробовать разные способы решения.

Этот сертификат содержит недействительную цифровую подпись : цепочка доверия от Минкомсвязи до пользователя

Прежде чем разбираться в причинах ошибки, следует понять алгоритм построения цепочки доверия сертификатов (ЦДС) — она обязательна для корректной работы ЭЦП на любых информационных ресурсах.

Как строится путь доверия

Первое звено в иерархической цепочке — корневой сертификат ключа проверки ЭЦП ПАК «Минкомсвязь России». Именно этот госорган, согласно ст. 16 ФЗ № 63 «Об электронной подписи», осуществляет аккредитацию удостоверяющих центров, то есть дает им официальное право заниматься выпуском ЭЦП. Полный перечень таких организаций можно уточнить на официальном портале Минкомсвязи.

КС предоставляется клиенту поставщиком при выдаче КЭП, также его можно скачать на сайте roskazna.ru или самого УЦ. В цепочке доверия он играет первостепенную роль — подтверждает, что КЭЦП была выпущена УЦ, аккредитованным Минкомсвязи.

Следующее звено — КС удостоверяющего центра (промежуточный). Файл выдается в комплекте с ключами и содержит в себе:

• сведения об УЦ с указанием даты его действия;
• сервисный интернет-адрес (через который можно связаться с реестром компании).

Эти данные предоставляются в зашифрованном виде и используются криптопровайдером (на ПК пользователя) для проверки подлинности открытого ключа КЭЦП. Теоретически цифровую подпись можно украсть, но применить ее без установленного сертификата УЦ не получится. То есть вся ЦДС построена таким образом, чтобы предотвратить риски использования чужой подписи мошенниками.

СКПЭП — конечное звено в этой цепи. Его выдает удостоверяющий центр вместе с открытым и закрытым ключами. Сертификат предоставляется на бумажном или цифровом носителе и содержит основную информацию о держателе. Он связывает последовательность символов открытого ключа с конкретным лицом. Другими словами, СКПЭП подтверждает тот факт, что открытый ключ ЭП принадлежит определенному человеку.

Головной КС Минкомсвязи действует до 2036 года, а ПС удостоверяющих центров ликвидны в течение 12 месяцев, после чего необходимо скачать (или получить в УЦ) новый и переустановить его на свой ПК. Сертификат КЭЦП тоже действует не более 1 года, по истечении этого срока клиенту требуется получить новый.

Если возникает ошибка «Этот сертификат содержит недействительную цифровую подпись» , причина может быть в повреждении ЦДС от Минкомсвязи России до пользователя. То есть один из элементов в этой цепи искажен или изменен.

Как решить проблему

В первую очередь стоит удостовериться, что КС корректно установлен и действителен. Для этого используется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В открывшемся списке должен быть документ от ПАК «Минкомсвязь России». Если сертификат отсутствует или он недействителен, его нужно установить, следуя алгоритму:

1. Открыть загруженный файл на ПК.
2. Во вкладке «Общие» кликнуть «Установить».
3. Поставить флажок напротив строчки «Поместить в следующее хранилище».
   
4. Выбрать хранилище «Доверенные корневые центры сертификации».
   
5. Продолжить установку кнопкой «ОК» и подтвердить согласие в окне «Предупреждение о безопасности».

После установки появится сообщение, что импорт успешно завершен. Далее рекомендуется перезагрузить компьютер.

Файл выдается удостоверяющим центром вместе с другими средствами для формирования ЭЦП. Если он утерян или удален, следует обратиться в УЦ, в котором был получен СКПЭП.

Если КС Минкомсвязи на месте, но в статусе по-прежнему сказано, что он недействителен, удалите его (выбрать файл и нажать «Удалить») и установите заново.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

Не все ветки могут быть в наличии. Удалите те, что есть, предварительно сохранив их резервные копии в отдельный файл. Перезагрузите ПК и проверьте статус СКЭП — он должен стать действительным.

Важно! Удаление и редактирование ключей реестра может нарушить работоспособность системы, поэтому процедуру лучше доверить техническому специалисту.

Этот сертификат содержит недействительную цифровую подпись : устранение ошибки на примере казначейства

Самая распространенная причина недействительности сертификата заключается в нарушенных путях сертификации. Причем проблема может быть не только в файле Минкомсвязи, о котором было сказано ранее, но также в промежуточных и личных СКЭП. Рассмотрим эту причину на примере Управления Федерального казначейства (УФК), которое, среди прочего, тоже занимается выдачей КЭЦП.

Этот сертификат содержит недействительную цифровую подпись: изменение, повреждение файла УФК

Функции УЦ выполняются в территориальных органах Росказны по всей России. Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики должны заверять отчеты ЭП, полученной в УФК.

Если не удается заверить документ ЭП казначейства , и появляется отметка « Этот сертификат содержит недействительную цифровую подпись », предлагается следующий алгоритм действий:

1. Перейти в папку «Личное».
2. Выбрать СКЭП, который не работает, и перейти во вкладку «Путь сертификации». В качестве головного УЦ будет указан Минкомсвязи РФ, а промежуточного (подчиненного) — Федеральное казначейство. Нижним звеном в этой цепи будет личный СКЭП держателя.
3. Если в поле состояния стоит статус недействительности документа, необходимо отследить всю цепочку и выявить «слабое звено».
4. Вернуться в раздел «Общие», чтобы убедиться, верно ли указаны сведения о компании, выпустившей СКЭП.
5. Выйти из папки «Личное» и перейти в хранилище «Промежуточные центры сертификации».

Если причина именно в этом звене, на вкладке «Общие» отобразятся сведения: «Этот сертификат не удалось проверить, проследив его до …». Значит на этом участке обрывается путь.

1. Зайти в раздел «Корневые сертификаты» на веб-ресурсе УФК.
2. Скачать файл «Сертификат УЦ Федерального казначейства ГОСТ Р 34.10-2012».
3. Импортировать файл на ПК. Процесс импорта аналогичен описанной выше процедуре для головного центра, только в качестве хранилища необходимо выбрать «Промежуточные центры сертификации».
4. Перезагрузить компьютер.

На завершающем этапе необходимо перейти в папку «Личное», выбрать нужный СЭП и проверить путь сертификации. Если проблема с промежуточным звеном решена, в графе состояния будет стоять «Этот сертификат действителен». Это означает, что система проверила ЦДС для этого ключа и не выявила никаких ошибок.

Истечение срока

При наступлении нового календарного года пользователь должен установить обновленный промежуточный ключ УЦ на каждый компьютер, где используется КЭП. Операционная система выдаст соответствующее упоминание при запуске. Если не выполнить обновление вовремя, при заверке документов тоже будет возникать уведомление о недействительности ключа. Процедура установки аналогична рассмотренной ранее. Предыдущий ПС удалять необязательно, система все равно будет отмечать его как недействительный.

Для импорта обновленных ключей действующий интернет не нужен, файл автоматически проверяется при первом подключении к сети. Такая проверка производится всего один раз за все время действия ключа.

Этот сертификат содержит недействительную цифровую подпись: проблема с отображением в КриптоПро

При такой ошибке одни ресурсы отклоняют СЭП, а другие без проблем взаимодействуют с ним. Возможно, во втором случае информационный ресурс, на котором пользователь подписывает документ, не проверяет путь до головного УЦ. Устранение проблемы в подобном случае осложняется тем, что весь путь доверия построен без нарушений, а ключ значится как действительный. Можно предположить, что сбой связан с криптопровайдером или браузером.

Некорректная работа КриптоПро

Для проверки необходимо открыть КриптоПро CSP и перейти во вкладку «Алгоритмы». Если параметры алгоритмов пустые, значит софт функционирует некорректно, и его требуется переустановить:

Для переустановки нужно специальное ПО — утилита очистки следов КриптоПро, которую можно скачать на сайте разработчика. Она предназначена для аварийного удаления криптопровайдера. Такой способ позволяет полностью очистить ПК от следов CryptoPro и выполнить корректную переустановку.

Службы инициализации

СЭП может отражаться как недействительный, если не запущена служба инициализации КриптоПро CSP. Это можно проверить следующим образом:

1. Запустить системное окно «Выполнить» комбинацией клавиш Win+R.
2. Ввести команду services.msc.
3. В списке служб выбрать «Службы инициализации».
4. Кликнуть правой кнопкой мыши (ПКМ) и выбрать пункт «Свойства».
5. Если по каким-то причинам служба отключена, активировать ее и сохранить изменения.

Если все выполнено верно, после перезагрузки компьютера КЭЦП снова будет работать корректно.

Права доступа к реестру

Сбой возможен при отсутствии прав на некоторые файлы в реестре Windows. Для проверки необходимо открыть строку ввода комбинацией Win+R, ввести команду regedit, нажать Enter и перейти по пути для настройки прав в реестре Windows:

У пользователя должны быть права на конечные папки этих веток. Проверить это можно следующим образом:

1. Выбрать папку правой кнопкой мыши и нажать на пункт «Разрешения».
2. Кликнуть по кнопке «Администраторы» → «Дополнительно».
3. Открыть страницу «Владелец».
4. Указать значение «Полный доступ».

Эта же проблема решается переустановкой криптопровайдера с помощью описанной выше утилиты для очистки следов.

После обновления Windows до более поздней версии пользователь может видеть уведомление «При проверке отношений доверия произошла системная ошибка». Это тоже связано с недействительностью КЭЦП и нарушением внутренних файлов КриптоПро. Переустановка СКЗИ поможет решить эту проблему.

Сертификат содержит недействительную цифровую подпись : что делать , если сбой связан с браузером

Если пользователь настроил путь доверия и устранил неполадки криптопровайдера, но проблема не решилась, есть вероятность, что она кроется в браузере. В первую очередь это касается подписания документов непосредственно на сайтах государственных систем и контролирующих органов (ЕГАИС, ПФР, ФНС и др.).

Разработчик CryptoPro рекомендует использовать для работы с КЭП только Internet Explorer, так как он встроен в Windows. Но и с этим веб-обозревателем случаются сбои.

Вход под ролью администратора

Обычно после входа под правами администратора все становится на свои места, и ключи работают в привычном режиме. Что предпринять:

1. Кликнуть ПКМ по иконке браузера.
2. Выбрать пункт «Запуск от имени администратора».

Если ошибка устранена, рекомендуется:

1. Снова выбрать ярлык браузера.
2. Нажать кнопку «Дополнительно».
3. Выбрать «Запуск от имени администратора».

Теперь при каждом запуске права администратора будут автоматически вступать в силу, и пользователю не придется каждый раз менять настройки.

Если используется старая версия веб-обозревателя, рекомендуется обновить ее до последнего релиза.

Отключение антивирусной программы

Некоторые «антивирусники», например, Symantec или AVG, воспринимают КриптоПро как вирусную угрозу, поэтому отдельные процессы криптопровайдера могут быть заблокированы. В результате этого всплывают различные ошибки с СКПЭП. Если нужно срочно заверить электронный документ, рекомендуется на время деактивировать антивирус:

1. Кликнуть ПКМ на иконку «антивирусника».
2. Нажать «Сетевые экраны» или «Управление экранами».
3. Выбрать время, на которое планируется отключить утилиту.

После заверки документов снова запустите программу.

Настройка даты и времени

Также следует проверить актуальность даты ПК. Для этого необходимо:

1. Навести мышкой на часы внизу экрана.
2. Выбрать «Настройка даты и времени».
3. Указать свой часовой пояс, выставить правильные значения и сохранить обновление.

После всех действий рекомендуется перезагрузить компьютер.

Оцените, насколько полезна была информация в статье?

Ваш первый пример файла

В этом разделе рассматривается исходный пример файла, документ — 2021-05-01T170114 .722.pdf.

В PDF-документе есть две очевидные проблемы. Поскольку вы не делитесь своим ключевым кодом, я могу только догадываться о причине.

Два PDF-файла в файле

Файл длиной 111794 байта, которым вы поделились, на самом деле представляет собой конкатенацию двух PDF-файлов: сначала PDF-файл, подготовленный для подписи с использованием только 00 в заполнителе контейнера подписи, а затем тот же файл с чем-то еще внутри. Каждый из двух PDF-файлов имеет длину ровно 55897 байт.

Типичной причиной этого является использование файлового потока для вывода, который был открыт в файловом режиме Append вместо Create, возможно, в сочетании с использованием того же файла в качестве ввода и вывода.

Неверный контейнер подписи

Вы создали подпись с подфильтром adbe.pkcs7.detached . Это означает, что данные для вставки в заполнитель подписи должны быть контейнером подписи CMS (CMS является преемником PKCS # 7). Однако в вашем подписанном файле есть только значение голой подписи, а не контейнер подписи.

Типичной причиной этого является использование реализации IExternalSignatureContainer во время подписи (обычно в контексте с PdfSigner.signDeferred или PdfSigner.signExternalContainer), чей метод sign неправильно возвращает значение чистой подписи, а не подпись контейнер.

В общем

Описанный вами вариант использования, то есть использование службы подписи, которая ожидает хэш и возвращает подписанный хеш, звучит так, как будто ваша служба действительно возвращает просто значение голой подписи, а не контейнер подписи.

В общем, это типичная ситуация, когда не используется отложенное подписание, а вместо этого используется PdfSigner.signDetached с реализацией IExternalSignature, метод sign сначала хэширует байт своего аргумента. array, затем передает значение хеш-функции службе и извлекает хеш-код со знаком, и, наконец, возвращает этот хеш-код со знаком.

Ваш второй файл примера

В этом разделе рассматривается пример файла из вашего первого обновления, документ — 2021- 05-03T200650.926.pdf.

Как вы сказали, вы внесли исправления, чтобы исправить проблемы, перечисленные выше для вашего первого файла. Подробнее о проблемах, которые можно найти во втором файле. Тем не менее, вы по-прежнему не делитесь своим основным кодом, поэтому я могу только догадываться о причинах проблем.

Неверное значение атрибута messageDigest

В своей подписи вы используете алгоритм хеширования SHA256.

Подписанный атрибут messageDigest имеет следующее значение:

80FE8AC2DE959A2C791A72A68176EB312D77BD201F8D07CD5A42CC9A4370AAFB

Но это не соответствует хешу подписанных байтов PDF, который

83134B9C1C7CAE9E4FB0A1FCB37A30A6783F81AF70F6EF4B68865E83C2E11717

По-видимому, у вас либо ошибка в вашей процедуре вычисления хэша, либо вы просто хешируете неправильные данные. Поскольку вы не показываете свой код, я не могу сказать, что вы делаете не так.

Неверное значение хэша со знаком

Байты вашей подписи подписывают значение хеш-функции

80FE8AC2DE959A2C791A72A68176EB312D77BD201F8D07CD5A42CC9A4370AAFB

Но это не соответствует хэшу подписанных атрибутов, который

9C0D3D2249E69AFA1078F03159332C439B8407A526CBA77C9E9B2701A7EE8131

По-видимому, у вас либо ошибка в вашей процедуре вычисления хэша, либо вы просто хешируете неправильные данные. Поскольку вы не показываете свой код, я не могу сказать, что вы делаете не так.

Единственное, что очевидно, это то, что вы заявляете одно и то же значение хеш-функции в обоих случаях. Но совпадение этих хэшей крайне маловероятно.