Технические требования для работы с электронными подписями и алгоритм выбора электронных подписей в ЕИАС Web описаны в знании 122.
При получении/отправке отчётных форм, сообщений или другой информации, данные поступают/передаются в зашифрованном виде. Для их расшифровки/шифрования системы криптографии, установленные на компьютере пользователя, обращаются к электронной подписи, используемой пользователем для ФГИС ЕИАС.
При возникновении проблем шифрования/расшифровки пользователю следует убедиться в корректности установки/настройки средств криптографии и сертификатов электронных подписей.
Пожалуйста, проверьте корректность установки плагина создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in» на странице проверки плагина.
I. Отсутствие сертификата для выбора/ Ошибки вида «Ошибка при инициализации модуля для работы с Cades plugin» и «Нет доступных сертификатов»
Ошибки означают, что на ПК не установлена сама квалифицированная электронная подпись (установлена некорректно), либо плагин создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in», либо расширение для данного плагина в используемом браузере.
Удостоверьтесь, пожалуйста, в том что:
— нужная электронная подпись корректно установлена на ПК
— на ПК установлен плагин создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in»
— в используемом браузере установлено расширение «КриптоПро ЭЦП Browser plug-in».
Установка электронной подписи описана в знании 31.
Установка плагина и расширения для браузера КриптоПро ЭЦП Browser plug-in в Windows описана в знании по ссылке.
II. Ошибки работы систем криптографии и сертификатов электронных подписей
Если ЕИАС Web выдает сообщение «Не найден сертификат для расшифровки полученных данных», «Неправильный параметр набора ключей», «Произошла внутренняя ошибка в цепочке сертификатов», «Не удается построить цепочку сертификатов для доверенного корневого центра» и т.п., это говорит о том, что на локальном месте пользователя произведена некорректная установка ЭП, либо отсутствуют необходимые корневые сертификаты, либо имеется ограничение на уровне системы криптографии.
Пример:
Для исправления ошибки необходимо проверить следующее:
1). На компьютере пользователя должен быть установлен только один криптопровайдер (CSP)! Использование разных криптопровайдеров на одном рабочем месте приводит к конфликту механизмов шифрования и ошибкам при подписании!
2). Сертификат должен быть установлен для Пользователя, а не для локального компьютера.
При использовании КриптоПро CSP перейдите в оснастку «Сертификаты»: Пуск -> Все программы -> Крипто-Про -> Сертификаты».
Здесь необходимо проверить, не добавлен ли Ваш личный сертификат в хранилище сертификатов для локального компьютера.
Разверните список «Сертификаты (локальный компьютер) -> Личное -> Реестр -> Сертификаты». Если в данном списке присутствует личный сертификат пользователя Вашей организации — его необходимо удалить.
Личный сертификат должен храниться только в «Сертификаты — текущий пользователь -> Личное -> Реестр -> Сертификаты».
Также проверьте хранилища «Другие пользователи» для локального компьютера и текущего пользователя. Личного сертификата там также быть не должно, если он есть — удалить.
3). Убедитесь, что на локальном компьютере установлены корневые сертификаты издателя.
Для этого откройте личный сертификат пользователя и переключитесь на вкладку «Путь сертификации». В цепочке сертификации не должно быть никаких крестиков и восклицательных знаков.
Наличие «крестиков» и/или восклицательных знаков говорит о том, что данные корневые сертификаты не установлены!
Для устранения этой ситуации необходимо отметить требуемый сертификат и нажать кнопку «Просмотр сертификата». В открывшемся окне на вкладке «Общие» нажать на кнопку «Установить сертификат» и поместить данный сертификат в хранилище «Доверенные корневые центры сертификации». В случае отсутствия кнопки установки, переключиться на вкладку «Состав» и экспортировать корневой сертификат себе на компьютер по кнопке «Копировать в файл», затем установить полученный сертификат в хранилище «Доверенные корневые центры сертификации».
Если в цепочке сертификации не указан корневой сертификат издателя или у вас возникают трудности с его получением, то вам необходимо обратиться в Удостоверяющий центр, где вами была приобретена электронная подпись.
Установка набора корневых сертификатов производится в полуавтоматическом режиме — для этого следует перейти в указанную выше оснастку «Сертификаты»: Пуск -> Все программы -> Крипто-Про -> Сертификаты» и перейти в хранилище «Доверенные корневые центры сертификации».
Для корректной работы ФГИС ЕИАС так же требуется установка корневых сертификатов издателя электронной подписи, в частности УЦ СКБ Контур.
4). Переустановите электронную подпись на локальном компьютере через используемый криптопровайдер.
Инструкция по установке ЭП с примером приведена в знании #31.
5). Убедитесь, что номер лицензии на право инспользования крипровайдера введён корректно (знание #37).
III. Алгоритм шифрования/ Ошибка вида «Указан неправильный алгоритм»
1). Практически всегда проблема связана с самим личным сертификатом, которым происходит попытка подписания или с установкой на один ПК нескольких криптопровайдеров.
Скорее всего, сам сертификат повреждён (содержит повреждённый открытый ключ).
В первую очередь именно с представителем Удостоверяющего центра, где была приобретена ЭП, должна осуществляться проверка сертификата на валидность:
- проверка целостности сертификата ключа подписи (файл не должен быть повреждён)
- проверка срока действия сертификата ключа подписи (сертификат не должен быть просроченным)
- проверка действительности корневых сертификатов издателя (сертификаты должны быть корректными)
Если действительно неисправен сам сертификат, то восстановить его или получить новый Вы сможете только в Удостоверяющем центре, где была приобретена ЭП!
Второй важный фактор для проверки: не установлено ли на ПК больше одного СКЗИ (КриптоПро, Лисси, VipNet и др.).
Допустимо наличие только одного криптопровайдера на рабочем месте, информация указана выше (раздел III п. 1)!
2). Дополнительно, с представителем Удостоверяющего центра, где приобреталась электронная подпись можно проверить следующие настройки:
— Имеется ли закрытый ключ, вставлен ли ключевой носитель в ПК, имеется ли корректная привязка закрытого ключа к открытому (сертификату). Убедитесь, что вставлен именно тот ключевой носитель, к которому привязан был ключ (используемый личный сертификат для сервера ФАС России) при установке средствами криптографии.
— При необходимости произведите переустановку электронной подписи на рабочем месте пользователя.
— Верно ли установлен сертификат для пользователя операционной системы, от имени которого которого запускается подписание документов (если для повышения прав вводится логин админа отличный от текущего, то могут быть проблемы).
— Нет ли проблем в пути сертификации используемого личного сертификата. Как проверить корректность вывода сертификата указано выше (раздел III п. 3).
— Соответствует ли алгоритм подписи и хеширования сертификата используемому алгоритму в СКЗИ (криптопровайдере).
Дополнительно отметим, что за помощью в подобных ситуациях Вы должны обратиться в Удостоверяющий центр, где Вы получали сертификат, так как установка ЭП на Ваше рабочее место и её техническое сопровождение — их область ответственности.
За получением дополнительных разъяснений и консультаций по работе ЭП, пожалуйста, обратитесь в Удостоверяющий центр, где была приобретена ЭП.
IV. Ошибка вида «Параметр задан неверно»
1). Данная ошибка означает, что на ПК пользователя установлено более одного криптопровайдера, что приводит к конфликту механизмов шифрования при подписании.
Согласно техническим требованиям по использованию ЕИАС Web, для корректной работы на ПК должен быть установлен только один криптопровайдер.
Практика одновременной установки и использования нескольких криптопровайдеров на одном ПК приводит к конфликту механизмов шифрования и не рекомендуется к применению.
Для корректной работы с ЭП рекомендуем оставить один криптопровайдер, а остальные удалить с устройства.
2). Возможный, но не гарантированный вариант решения ошибки подписания, при дополнительной установке криптопровадера ViPNet.
— Открываете ViPNet клиент
— Выбираете раздел “Дополнительно”
— Снимаете галочку с опции «Поддержка работы ViPNet CSP через MS Cripto API»:
— Нажимаете “Применить” и “ОК”:
— Для принятия настроек нужно обязательно перезагрузить ПК.
— Попробуйте вновь подписать документ в ЕИАС Web.
Ещё раз уточним, что корректное подписание документов ЭП при использовании нескольких криптопровадеров на одном ПК не гарантировано!
V. Ошибка вида «Ошибка исполнения функции»
Ошибка сообщает о недействующей лицензии на криптопровайдер, необходимо проверить актуальность действия лицензии.
По вопросу получения/продления лицензии на право использования криптопровайдера необходимо обратиться в Удостоверяющий центр, где приобреталась электронная подпись, так как установка ЭП и криптопровайдера на Ваше рабочее место и их техническое сопровождение — область ответственности Удостоверяющего центра.
После получения номера лицензии следует активировать ее на компьютере. Подробнее в знании 37.
VI. Ошибка вида «Подписание не удалось. Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции»
Данная ошибка возникает, если Вы используете стороннюю усовершенствованную электронную подпись, но при этом у Вас не введены лицензии OCSP и TSP.
Для устранения ошибки требуется выполнить следующие шаги:
— Проверьте наличие лицензий служб времени OCSP и TSP (Пуск -> Крипто-Про -> Управление лицензиями КриптоПро PKI)
— Если лицензии отсутствуют или истекли, то их необходимо ввести. Ссылка на инструкцию для ввода лицензии службы TSP и OCS.
Приобрести данные лицензии Вы можете в Удостоверяющем центре. Установка ЭП/криптопровайдера/лицензии на них — область ответственности Удостоверяющего центра.
VII. Ошибка вида «Библиотека поставщика проинициирована неправильно».
Для устранения ошибки нужно:
— переустановить СКЗИ
— переустановить корневые сертификаты
— переустановить используемый сертификат
Дополнительно отметим, что за помощью в подобных ситуациях Вы должны обратиться в Удостоверяющий центр, где Вы получали сертификат, так как установка ЭП на Ваше рабочее место и её техническое сопровождение — их область ответственности.
За получением дополнительных разъяснений и консультаций по работе ЭП, пожалуйста, обратитесь в Удостоверяющий центр, где была приобретена ЭП.
Детали знания
ID знания: | 121 |
Категория: | Web.ЕИАС |
Дата добавления: | 23.07.2021 10:52:19 |
Просмотры: | 17969 |
<<
Назад
1) Необходимо проверить наличие корневых сертификатов для личного сертификата пользователя.
Убедитесь, что на локальном компьютере установлены корневые сертификаты издателя.
Для этого откройте личный сертификат пользователя и переключитесь на вкладку «Путь сертификации«. В цепочке сертификации не должно быть никаких крестиков и восклицательных знаков.
Наличие крестиков и восклицательных знаков говорит о том, что данные корневые сертификаты не установлены.
2) Нужно проверить актуальность действия лицензии на КриптоПро.
Пуск — Все программы — Крипто-Про — КриптоПро PKI — Управление лицензиями — КриптоПро CSP.
3) Обновить модуль ЕИАС Мониторинг до версии 1.13.403.0 (модуль данной версии можно скачать тут)
Для сертификата ГОСТ Р 34.11-2012/34.10-2012 (для 256-битных ключей) должен быть установлен модуль версии 1.13.403.0
1. Вопрос: Куда обращаться в случае возникновения проблем при работе с программой «ЕИАС Мониторинг»?
Ответ:
1) Если проблемы имеют технический характер (например, не отправляются шаблоны, программа выдает ошибку сервера, при входе в программу появляется ошибка, связанная с сертификатом), то Вам необходимо обратиться в службу технической поддержки ЕИАС. Контакты указаны в разделе «Техническая поддержка».
2) Если проблемы связаны с заполнением шаблонов, вопросами в области регулируемой деятельности, то необходимо обращаться к уполномоченным соответствующих отделов РЭК Свердловской области.
3) При отсутствии Вашей организации в общем списке шаблона, при отсутствии подключения к региональному серверу (сервер «Свердловская область»), при появлении сообщения об ошибке при входе в программу «ЕИАС Мониторинг» — следует обращаться к специалистам РЭК Свердловской области, ответственным за Региональный сегмент системы ЕИАС по телефону (343) 312-00-30 (доб. 86).
4) При возникновении проблем с регистрацией организации на портале регионального сегмента http://tariff.egov66.ru/, следует обращаться в Службу поддержки пользователей регионального сегмента ЕИАС по адресу http://tariff.expert или по телефону (343) 384-56-91.
2. Вопрос: Как проверить настройки программы «ЕИАС Мониторинг» для работы с регионом Свердловская область?
Ответ:
После входа в программу «ЕИАС Мониторинг» необходимо переместить указатель мыши к нижнему правому углу окна программы (где указано название сервера). Появится всплывающее окно «Текущие серверы», в котором будут указаны серверы, выбранные для работы в системе, а также их статус. Рабочее состояние серверов отображается зеленым круглым индикатором. В случае, если цвет подключенного сервера имеет цвет, отличный от зеленого (желтый или красный), необходимо обратиться к разделу по настройке и работе с программой (находится в разделе «Инструкции»). Если решить проблему самостоятельно не удается, необходимо обратиться в службу технической поддержки ЕИАС (см. раздел сайта «Техническая поддержка».
3. Вопрос: Почему при заполнении шаблонов ЕИАС не обновляется реестр организаций или муниципальных образований?
Ответ:
Для того, чтобы данные в шаблоне успешно обновились, необходимо наличие подключение компьютера с заполняемыми шаблонами к сети Интернет. Также обновлению шаблонов может препятствовать установленное программное обеспечение – попробуйте запустить программу «ЕИАС Мониторинг» на другом компьютере, имеющем доступ в сеть Интернет. В ряде случаев обновлению шаблонов может препятствовать работа компьютера через прокси-сервер.
4. Вопрос: После настройки региона «Свердловская область» и попытки входа в программу «ЕИАС Мониторинг» возникает ошибка сертификата. Почему?
Ответ:
В большинстве случаев эта проблема решается через удаление и повторную загрузку сертификата в личном кабинете регионального портала ЕИАС. Для этого необходимо зайти на сайт регионального портала ЕИАС по адресу: http://tariff.egov66.ru/ (логин и пароль те же, что используются в программе «ЕИАС Мониторинг»), войти в раздел «Личный кабинет/Сертификаты», удалить существующий сертификат пользователя и снова загрузить его в систему. Для получения более детальной информации по осуществлению этой операции можно обратиться к специалистам РЭК Свердловской области, ответственным за Региональный сегмент программы «ЕИАС Мониторинг» по телефону (343) 312-00-30 (доб. 86).
5. Вопрос: Как узнать причину отклонения шаблона ЕИАС?
Ответ:
Для просмотра причины отклонения необходимо зайти в раздел «Узнать результат рассмотрения» программы «ЕИАС Мониторинг», найти и открыть нужный запрос, затем двойным щелчком выделить строку с названием отправленного шаблона. Далее ещё раз выделить строку с названием отправленного файла. В результате станут доступны две кнопки «История ответов по этому файлу» (многоточие) и «Комментарий по файлу ответа» (знак вопроса). Причину отклонения можно узнать, нажав знак вопроса.
6. Вопрос: Как выгрузить шаблон и ответить на запрос, срок которого истёк?
Ответ:
Находясь в программе «ЕИАС Мониторинг», нужно зайти в раздел «Запросы регулятора» и нажать на кнопку «В архиве Х запросов с истекшим сроком. Нажмите, чтобы перейти в архив». В архиве запросов необходимо выбрать требуемый запрос, двойным щелчком мыши зайти в него и действовать так же, как и при работе с действующими запросами раздела «Запросы регулятора» (сохранить шаблон на компьютер или отправить уже заполненный шаблон).
ВАЖНО! Выгрузить шаблон запроса с истекшим сроком можно ТОЛЬКО через подраздел «Архив запросов» раздела «Запросы регулятора»! В случае, если Вы зашли в раздел «Посмотреть архив запросов» из главного меню программы, то сможете только ответить на данный запрос, без выгрузки прикрепленного к нему шаблона!
7. Вопрос: Что делать, если при регистрации организации на портале ЕИАС отсутствует организация, за которую необходимо отчитываться?
Ответ:
Данная ситуация означает, что организация отсутствует в Реестре ФАС. В случае, если заявку на регистрацию формирует администрация муниципального образования, либо Вы планируете заполнить это поле позднее, Вы можете выбрать на текущей странице только регион и нажать кнопку «Далее». Для уточнения данных и добавления организации в Реестр ФАС необходимо связаться со специалистами РЭК Свердловской области по телефону (343) 312-00-30 (доб. 86) или с помощью письма, отправленного на электронную почту rek-eias@egov66.ru.
8. Вопрос: Какой срок предоставления отчетности является приоритетным – указанный в сопроводительном письме, либо указанный в запросе к шаблону?
Ответ:
Необходимо ориентироваться на сроки, указанные в официальном письме к шаблону, так как в программе «ЕИАС Мониторинг» по техническим причинам не всегда есть возможность указать точный срок предоставления отчетности.
9. Вопрос: Как обновить файл базы данных «ЕИАС Мониторинг»?
Ответ:
1. Закрыть программу «ЕИАС Мониторинг».
2. Удалить файл базы данных пользователя — ххххх.MDB (где ххххх — логин пользователя в ЕИАС), который может храниться по следующим адресам:
Windows 7:
c:\Users\»Пользователь»\AppData\Roaming\ФАС России\ЕИАС Мониторинг — АРМ Специалиста\
C:\Users\Все пользователи\ФАС России\ЕИАС Мониторинг — АРМ Специалиста\
Windows XP:
C:\Documents and Settings\»Пользователь»\Application data\ФАС России\ЕИАС Мониторинг — АРМ Специалиста\
где «Пользователь» — имя пользователя компьютера.
3. Удалить файлы настроек — ххххх_SETTINGS.MDB (где ххххх — логин пользователя в ЕИАС) и SETTINGS.MDB, которые хранятся в папке по адресу:
Windows 7
c:\Users\»Пользователь»\AppData\Roaming\ ФАС России\ЕИАС Мониторинг — АРМ Специалиста\Settings\
C:\Users\Все пользователи\ ФАС России\ЕИАС Мониторинг — АРМ Специалиста\ Settings\
Windows XP
C:\Documents and Settings\All users\Application data\ ФАС России\ЕИАС Мониторинг — АРМ Специалиста\Settings\
4. Запустить «ЕИАС Мониторинг», зайти в раздел «Настройки» и провести повторную настройку (адреса серверов отчетности, сертификаты и пр.).
10. Вопрос: Почему у запроса в программе «ЕИАС Мониторинг» долгое время не меняется статус «Отправлен» или «В обработке»?
Ответ:
По умолчанию статусы «Отправлен» и «В обработке» являются промежуточными и отображаются на короткий срок, после чего должны измениться на «Обработан, на рассмотрении». В том случае, если изменение статуса не происходит длительное время (несколько дней), необходимо:
1. Проверить актуальность версии программы «ЕИАС Мониторинг». Самые новые версии располагаются на официальном сайте ЕИАС по адресу: http://eias.ru/?page=show_distrs.
2. Возможен сбой в работе базы данных программы. Необходимо удалить файл базы данных ххххх.MDB, где ххххх — логин пользователя в ЕИАС (см. предыдущий пункт).
11. Вопрос: Какие действия необходимы при регистрации новой организации с видами деятельности «электроэнергетика» и/или «тепловая энергетика», с необходимостью заполнения форм статистической отчетности с кодами 46EE.2011, 46TE.2011, 46EP.2011?
Ответ:
Необходимым и достаточным условием сдачи отчетности вышеуказанной организацией является подключение её к системе ЕИАС и наличие организации в Реестре ФАС. Алгоритм подключения указан в разделе «Инструкции» по адресу: http://rek.midural.ru/article/show/id/107. По вопросам наличия организации в Реестре ФАС необходимо обратиться к специалистам РЭК Свердловской области по телефону (343) 312-00-30 (доб. 86) или по электронной почте rek-eias@egov66.ru.
12. Вопрос: Каким документом подтверждается подключение к системе ЕИАС?
Ответ:
Основным способом является представление копии электронного письма, полученного на официальный почтовый ящик регулируемой организации, которое содержит подтверждение принятия заявки на подключение к ЕИАС. Также можно представить скриншот с официальной страницы статистики регионального сегмента ЕИАС, находящейся по следующей ссылке: http://tariff.egov66.ru/Portal3/EiasConnect/RegionReg?reg=RU.5.66.
После перехода по вышеуказанной ссылке необходимо отфильтровать список организаций, указав часть названия организации или её ИНН в поле фильтрации, сделать снимок экрана (скриншот), и распечатать его из любого графического или текстового редактора.
13. Вопрос: В программе ЕИАС Мониторинг не отображается список региональных серверов
Ответ:
Для получения регионального списка серверов необходимо выполнить несколько действий:
1. Загрузите файл alternate_server.reg и запустите, после этого система попросит внести изменения в реестр, подтвердите это нажатием на кнопку «Да»;
2. Запустите модуль ЕИАС Мониторинг и в настройках обновите список серверов, нажатием на соответствующую кнопку .
После выполненных действий в списке серверов появится полный перечень регионов.
ВАЖНО! Во время запуска файла alternate_server.reg модуль ЕИАС Мониторинг должен быть закрыт на рабочем месте пользователя.
1) Необходимо проверить наличие корневых сертификатов для личного сертификата пользователя.
Убедитесь, что на локальном компьютере установлены корневые сертификаты издателя.
Для этого откройте личный сертификат пользователя и переключитесь на вкладку “Путь сертификации“. В цепочке сертификации не должно быть никаких крестиков и восклицательных знаков.
Наличие крестиков и восклицательных знаков говорит о том, что данные корневые сертификаты не установлены.
2) Нужно проверить актуальность действия лицензии на КриптоПро.
Пуск – Все программы – Крипто-Про – КриптоПро PKI – Управление лицензиями – КриптоПро CSP.
3) Обновить модуль ЕИАС Мониторинг до версии 1.13.403.0 (модуль данной версии можно скачать тут)
Для сертификата ГОСТ Р 34.11-2012/34.10-2012 (для 256-битных ключей) должен быть установлен модуль версии 1.13.403.0
Технические требования для работы с электронными подписями и алгоритм выбора электронных подписей в ЕИАС Web описаны в знании 122.
При получении/отправке отчётных форм, сообщений или другой информации, данные поступают/передаются в зашифрованном виде. Для их расшифровки/шифрования системы криптографии, установленные на компьютере пользователя, обращаются к электронной подписи, используемой пользователем для ФГИС ЕИАС.
При возникновении проблем шифрования/расшифровки пользователю следует убедиться в корректности установки/настройки средств криптографии и сертификатов электронных подписей.
Пожалуйста, проверьте корректность установки плагина создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in» на странице проверки плагина.
I. Отсутствие сертификата для выбора/ Ошибки вида «Ошибка при инициализации модуля для работы с Cades plugin» и «Нет доступных сертификатов»
Ошибки означают, что на ПК не установлена сама квалифицированная электронная подпись (установлена некорректно), либо плагин создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in», либо расширение для данного плагина в используемом браузере.
Удостоверьтесь, пожалуйста, в том что:
— нужная электронная подпись корректно установлена на ПК
— на ПК установлен плагин создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in»
— в используемом браузере установлено расширение «КриптоПро ЭЦП Browser plug-in».
Установка электронной подписи описана в знании 31.
Установка плагина и расширения для браузера КриптоПро ЭЦП Browser plug-in в Windows описана в знании по ссылке.
II. Ошибки работы систем криптографии и сертификатов электронных подписей
Если ЕИАС Web выдает сообщение «Не найден сертификат для расшифровки полученных данных», «Неправильный параметр набора ключей», «Произошла внутренняя ошибка в цепочке сертификатов», «Не удается построить цепочку сертификатов для доверенного корневого центра» и т.п., это говорит о том, что на локальном месте пользователя произведена некорректная установка ЭП, либо отсутствуют необходимые корневые сертификаты, либо имеется ограничение на уровне системы криптографии.
Пример:
Для исправления ошибки необходимо проверить следующее:
1). На компьютере пользователя должен быть установлен только один криптопровайдер (CSP)! Использование разных криптопровайдеров на одном рабочем месте приводит к конфликту механизмов шифрования и ошибкам при подписании!
2). Сертификат должен быть установлен для Пользователя, а не для локального компьютера.
При использовании КриптоПро CSP перейдите в оснастку «Сертификаты»: Пуск -> Все программы -> Крипто-Про -> Сертификаты».
Здесь необходимо проверить, не добавлен ли Ваш личный сертификат в хранилище сертификатов для локального компьютера.
Разверните список «Сертификаты (локальный компьютер) -> Личное -> Реестр -> Сертификаты». Если в данном списке присутствует личный сертификат пользователя Вашей организации — его необходимо удалить.
Личный сертификат должен храниться только в «Сертификаты — текущий пользователь -> Личное -> Реестр -> Сертификаты».
Также проверьте хранилища «Другие пользователи» для локального компьютера и текущего пользователя. Личного сертификата там также быть не должно, если он есть — удалить.
3). Убедитесь, что на локальном компьютере установлены корневые сертификаты издателя.
Для этого откройте личный сертификат пользователя и переключитесь на вкладку «Путь сертификации». В цепочке сертификации не должно быть никаких крестиков и восклицательных знаков.
Наличие «крестиков» и/или восклицательных знаков говорит о том, что данные корневые сертификаты не установлены!
Для устранения этой ситуации необходимо отметить требуемый сертификат и нажать кнопку «Просмотр сертификата». В открывшемся окне на вкладке «Общие» нажать на кнопку «Установить сертификат» и поместить данный сертификат в хранилище «Доверенные корневые центры сертификации». В случае отсутствия кнопки установки, переключиться на вкладку «Состав» и экспортировать корневой сертификат себе на компьютер по кнопке «Копировать в файл», затем установить полученный сертификат в хранилище «Доверенные корневые центры сертификации».
Если в цепочке сертификации не указан корневой сертификат издателя или у вас возникают трудности с его получением, то вам необходимо обратиться в Удостоверяющий центр, где вами была приобретена электронная подпись.
Установка набора корневых сертификатов производится в полуавтоматическом режиме — для этого следует перейти в указанную выше оснастку «Сертификаты»: Пуск -> Все программы -> Крипто-Про -> Сертификаты» и перейти в хранилище «Доверенные корневые центры сертификации».
Для корректной работы ФГИС ЕИАС так же требуется установка корневых сертификатов издателя электронной подписи, в частности УЦ СКБ Контур.
4). Переустановите электронную подпись на локальном компьютере через используемый криптопровайдер.
Инструкция по установке ЭП с примером приведена в знании #31.
5). Убедитесь, что номер лицензии на право инспользования крипровайдера введён корректно (знание #37).
III. Алгоритм шифрования/ Ошибка вида «Указан неправильный алгоритм»
1). Практически всегда проблема связана с самим личным сертификатом, которым происходит попытка подписания или с установкой на один ПК нескольких криптопровайдеров.
Скорее всего, сам сертификат повреждён (содержит повреждённый открытый ключ).
В первую очередь именно с представителем Удостоверяющего центра, где была приобретена ЭП, должна осуществляться проверка сертификата на валидность:
- проверка целостности сертификата ключа подписи (файл не должен быть повреждён)
- проверка срока действия сертификата ключа подписи (сертификат не должен быть просроченным)
- проверка действительности корневых сертификатов издателя (сертификаты должны быть корректными)
Если действительно неисправен сам сертификат, то восстановить его или получить новый Вы сможете только в Удостоверяющем центре, где была приобретена ЭП!
Второй важный фактор для проверки: не установлено ли на ПК больше одного СКЗИ (КриптоПро, Лисси, VipNet и др.).
Допустимо наличие только одного криптопровайдера на рабочем месте, информация указана выше (раздел III п. 1)!
2). Дополнительно, с представителем Удостоверяющего центра, где приобреталась электронная подпись можно проверить следующие настройки:
— Имеется ли закрытый ключ, вставлен ли ключевой носитель в ПК, имеется ли корректная привязка закрытого ключа к открытому (сертификату). Убедитесь, что вставлен именно тот ключевой носитель, к которому привязан был ключ (используемый личный сертификат для сервера ФАС России) при установке средствами криптографии.
— При необходимости произведите переустановку электронной подписи на рабочем месте пользователя.
— Верно ли установлен сертификат для пользователя операционной системы, от имени которого которого запускается подписание документов (если для повышения прав вводится логин админа отличный от текущего, то могут быть проблемы).
— Нет ли проблем в пути сертификации используемого личного сертификата. Как проверить корректность вывода сертификата указано выше (раздел III п. 3).
— Соответствует ли алгоритм подписи и хеширования сертификата используемому алгоритму в СКЗИ (криптопровайдере).
Дополнительно отметим, что за помощью в подобных ситуациях Вы должны обратиться в Удостоверяющий центр, где Вы получали сертификат, так как установка ЭП на Ваше рабочее место и её техническое сопровождение — их область ответственности.
За получением дополнительных разъяснений и консультаций по работе ЭП, пожалуйста, обратитесь в Удостоверяющий центр, где была приобретена ЭП.
IV. Ошибка вида «Параметр задан неверно»
1). Данная ошибка означает, что на ПК пользователя установлено более одного криптопровайдера, что приводит к конфликту механизмов шифрования при подписании.
Согласно техническим требованиям по использованию ЕИАС Web, для корректной работы на ПК должен быть установлен только один криптопровайдер.
Практика одновременной установки и использования нескольких криптопровайдеров на одном ПК приводит к конфликту механизмов шифрования и не рекомендуется к применению.
Для корректной работы с ЭП рекомендуем оставить один криптопровайдер, а остальные удалить с устройства.
2). Возможный, но не гарантированный вариант решения ошибки подписания, при дополнительной установке криптопровадера ViPNet.
— Открываете ViPNet клиент
— Выбираете раздел “Дополнительно”
— Снимаете галочку с опции «Поддержка работы ViPNet CSP через MS Cripto API»:
— Нажимаете “Применить” и “ОК”:
— Для принятия настроек нужно обязательно перезагрузить ПК.
— Попробуйте вновь подписать документ в ЕИАС Web.
Ещё раз уточним, что корректное подписание документов ЭП при использовании нескольких криптопровадеров на одном ПК не гарантировано!
V. Ошибка вида «Ошибка исполнения функции»
Ошибка сообщает о недействующей лицензии на криптопровайдер, необходимо проверить актуальность действия лицензии.
По вопросу получения/продления лицензии на право использования криптопровайдера необходимо обратиться в Удостоверяющий центр, где приобреталась электронная подпись, так как установка ЭП и криптопровайдера на Ваше рабочее место и их техническое сопровождение — область ответственности Удостоверяющего центра.
После получения номера лицензии следует активировать ее на компьютере. Подробнее в знании 37.
VI. Ошибка вида «Подписание не удалось. Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции»
Данная ошибка возникает, если Вы используете стороннюю усовершенствованную электронную подпись, но при этом у Вас не введены лицензии OCSP и TSP.
Для устранения ошибки требуется выполнить следующие шаги:
— Проверьте наличие лицензий служб времени OCSP и TSP (Пуск -> Крипто-Про -> Управление лицензиями КриптоПро PKI)
— Если лицензии отсутствуют или истекли, то их необходимо ввести. Ссылка на инструкцию для ввода лицензии службы TSP и OCS.
Приобрести данные лицензии Вы можете в Удостоверяющем центре. Установка ЭП/криптопровайдера/лицензии на них — область ответственности Удостоверяющего центра.
VII. Ошибка вида «Библиотека поставщика проинициирована неправильно».
Для устранения ошибки нужно:
— переустановить СКЗИ
— переустановить корневые сертификаты
— переустановить используемый сертификат
Дополнительно отметим, что за помощью в подобных ситуациях Вы должны обратиться в Удостоверяющий центр, где Вы получали сертификат, так как установка ЭП на Ваше рабочее место и её техническое сопровождение — их область ответственности.
За получением дополнительных разъяснений и консультаций по работе ЭП, пожалуйста, обратитесь в Удостоверяющий центр, где была приобретена ЭП.
Детали знания
ID знания: | 121 |
Категория: | Web.ЕИАС |
Дата добавления: | 23.07.2021 10:52:19 |
Просмотры: | 15047 |
<<
Назад
Использование ЭЦП открывает для владельца подписи дополнительные возможности. Но вместе с этим, иногда сопровождается небольшими техническими проблемами, связанными с необходимостью чёткого выполнения действий, связанных с загрузкой сертификатов, авторизацией, установкой необходимого программного обеспечения, а также системных требований к компьютеру.
Важно отметить, что большинство ошибок при работе с ЭЦП можно устранить в домашних условиях, без необходимости привлечения специалистов со стороны.
Содержание
- Какие виды ошибок ЭЦП бывают
- Проблема с подписанием ЭПЦ
- Как проявляется данная ошибка и что сделать, чтобы исправить
- Проблема с сертификатом
- Что делать если не найден сертификат или не верен
- Проблемы при авторизации
Какие виды ошибок ЭЦП бывают
Среди наиболее часто встречающихся ошибок в процессе подписания электронных документов электронной подписью выделяют три ключевых блока:
Проблема с подписанием ЭПЦ. Возникает в момент, когда владелец подписи желает использовать ее при подписании электронного документа.
Проблема с сертификатом. Здесь система информирует пользователя об отсутствии (не действительности), либо использовании незарегистрированного сертификата удостоверяющего центра, необходимого для внешней проверки ЭП.
Проблемы при авторизации. Появляется при проверке пользователя, когда владелец электронной подписи впервые пытается зайти на электронную площадку с подтверждением личности через ЭЦП.
Проблема с подписанием ЭПЦ
Причины, вызывающие подобную ошибку весьма разнообразны. Тут можно выделить такие основные направления:
- Закрытый ключ со съемного носителя (диска, флешки, Токена), не соответствует имеющемуся ключу открытого сертификата. Банальный человеческий фактор выбора не того носителя информации с ЭЦП. Если же «правильный» ключ утерян, придется обращаться в Удостоверяющий центр для перевыпуска.
- Недействительный сертификат. Чтобы устранить подобную ошибку потребуется переустановить открытый сертификат. Важно учитывать требования криптопровайдера (инструкции по необходимым действиям) для установки открытых сертификатов.
- Сертификат подписи определяется как не проверенный. Потребуется выполнить переустановку корневого сертификата, сформировавшего ЭП Удостоверяющего центра.
- Закончился срок действия криптопровайдера. Необходимо получить новый лицензионный ключ, позволяющий работать с программным обеспечением криптопровайдера. Информация запрашивается через УЦ, либо владельца ПО.
- Не виден сертификат на носителе. Помогает простая перезагрузка компьютера для устранения ошибка генерации.
- Алгоритм сертификата ЭЦП не поддерживается. Подобная ошибка может возникать при подписании электронной отчетности в налоговую. Потребуется переустановить КриптоПро CSP и проверить его на совместительство с имеющейся у вас на компьютере операционной системой.
Как проявляется данная ошибка и что сделать, чтобы исправить
Ошибка исполнения функции с информированием о невозможности подписать документ ЭЦП обычно появляется в момент подписания документа.
Система сразу выводит на экран уведомление о непредвиденной ошибке с кратким указанием причины ее возникновения.
Обычно для ее исправления требуются такие действия:
- проверка наличия, срока действия, подлинности сертификатов и выполнение их замены;
- выполнение проверки корректной работы операционной системы компьютера, ее обновление до минимальных допустимых параметров;
- проверка состояния съемного носителя закрытого ключа;
- выявление и устранение ошибок работы криптопровайдера.
Важно. Причина, из-за которой владелец ЭЦП не может нею воспользоваться, может быть комплексной. Поэтому, если не сработал один из предложенных вариантов, проверьте по другим направлениям.
Проблема с сертификатом
Распространенным явлением во время подписания электронных документов ЭЦП является получение уведомления, что системе не удалось получить доступ к сертификатам, пригодным для формирования подписи.
Здесь причины возникновения неисправности могут быть такими:
- Пользователь не установил на свой ПК корневые сертификаты УЦ, осуществлявшего формирование и выдачу ЭЦП. Для устранения – скачать и установить на компьютер такой сертификат, либо прописать доступ к нему.
- Система не видит личных сертификатов владельца ЭЦП. Выдаются одновременно с оформлением ЭП. Их необходимо загрузить на ваш ПК, и подтянуть в криптопровайдер. В дальнейшем можно загрузить через сайт УЦ. Устанавливаются и прописываются на рабочем месте, предназначенном для работы с ЭЦП. С незарегистрированным сертификатом вы не сможете осуществлять подписание электронных документов.
- Информирование о невалидности сертификатов. Обычно такое возможно в случае, когда заканчивается срок действия сертификата, либо их отзывают. Потребуется обращаться в УЦ, выдавший ЭЦП, для уточнения статуса сертификатов подписи. В некоторых случаях помогает обновление сертификатов на компьютере пользователя. Сделать это можно вручную.
Мнение эксперта
Владимир Аникеев
Специалист отдела технической поддержки УЦ
Внимательно читайте природу ошибки, что выдает система. Обычно это ключ к дальнейшему направлению поиска источника проблемы и ее устранению.
Что делать если не найден сертификат или не верен
Когда сертификат отсутствует в списке «Ваши Сертификаты», проблема может оказаться в отсутствии коренного сертификата УЦ.
Для устранения этой проблемы необходимо:
- проверить наличие такого сертификата на вашем ПК по пути: «Пуск» — дальше «Все программы» — после этого плагин «КриптоПро» — а уже там «Сертификаты»;
- дальше находим вкладку «Личное», выбираем «Сертификаты»;
- потребуется открыть не отображенный во вкладке сертификат и просмотреть его «Путь сертификации»;
- тут отображаются все цепочки сертификатов в порядке ранжирования. Важно чтобы напротив какого-то из них не стоял желтый, либо красный значок предупреждения. Если подобное присутствует – нажмите на сам сертификат и ознакомьтесь с ошибкой, что выдаст система;
- в зависимости от причины (обычно это окончание действия сертификата, либо не верифицирован) выполните ее устранение.
Чтобы устранить ошибку и перезагрузить отозванный сертификат потребуется выполнить несколько не сложных действий:
- в окне «Свойства браузера» откройте личный сертификат. Попасть туда можно через «Поиск» меню «Пуск». В открытом окошке ищите вкладку «Содержание», дальше вкладку «Сертификаты»;
- после этого во вкладке «Состав» потребуется выбрать позицию «Точки распространения списков отзывов»;
- в следующем блоке под названием «Имя точки распространения» необходимо выполнить копирование ссылки загрузки файла списка отзывов;
- переходя по указанной ссылке необходимо скачать и установить файл списка отзывов (CRL);
- дальше переходим по подсказкам «Мастера импорта сертификатов».
Следующей распространенной проблемой, когда компьютер не видит сертификат на носителе, является сбой в работе программных продуктов компьютера либо Токена (флешки). Обычно помогает простая перезагрузка ПК. Среди прочих популярных проблем этого направления можно выделить такие:
- На носителе отсутствует драйвер, либо он установлен не корректно. Необходимо скачать последнюю версию драйвера с официального источника и установите его. Можно проверить работоспособность съемного носителя на другом ПК. В этом случае, если другой ПК нормально работает с носителем ЭЦП, переустановите драйверы на первом компьютере.
- Система долго распознает носитель ЭЦП. Тут проблема в операционной системе. Ее потребуется обновить до минимального уровня, требуемого для работы с ЭЦП.
- USB-порт работает не корректно. Попробуйте подсоединить Токен (флешку) через другой порт, либо на другом ПК, чтобы убедиться, что проблема не в носителе. Выполните перезагрузку компьютера.
- Если Токин (флешка) не открывается ни на одном компьютере, значит проблема в носителе. Когда ключ был записан в единственном экземпляре на этот носитель – потребуется обращаться в УЦ для перевыпуска ЭЦП.
Важно. Перед вынесением «окончательного вердикта» касательно работоспособности носителя и сертификата, не поленитесь выполнить их проверку через несколько различных источников.
Проблемы при авторизации
Часто с подобными неприятностями сталкиваются владельцы ЭЦП, пытающиеся пройти регистрацию, либо авторизацию на различных электронных торговых площадках. Пользователю появляется уведомление, что его подпись не авторизирована.
Обычно проблема кроется:
- Отсутствие регистрации. Потребуется попросту зарегистрироваться на избранном вами ресурсе.
- Не зарегистрирован сертификат. Возникает после обновления ключа ЭЦП. Устраняется путем регистрации нового сертификата ключа ЭЦП.
Мнение эксперта
Владимир Аникеев
Специалист отдела технической поддержки УЦ
На различных ресурсах процесс регистрации (авторизации) может существенно отличаться, иметь определенные ограничения, а также блокироваться защитным ПО. Поэтому перед началом процедуры не поленитесь ознакомиться с соответствующей инструкцией и правилами.
В дальнейшем, при работе на самой электронной площадке и попытке подписать электронные документы, могут возникать дополнительные трудности, связанные с такими моментами:
- Необходимости присоединиться к регламенту. Система не даст возможность полноценно работать, если вы не согласитесь с ее условиями.
- Невозможность загрузить файл (файлы). Обычно это ошибка превышения размера информации, что допустима для загрузки. Просто смените формат разрешения файла, чтобы уменьшить его размер.
- Требование использовать определенный браузер (определенную версию браузера). Это системные требования владельца площадки, которые необходимо соблюдать.
- Проблемы со считыванием сертификатов. Потребуется проверить не просрочены ли ваши сертификаты, а также все ли они установлены на ПК.
Что значит er 10002 неопределенная ошибка при проверке ЭЦП, что делать?
Возможно не прошла расшифровка файла ключа. Перезагрузите компьютер. Проверьте, отображается ли съемный носитель ключа ЭЦП, наличие и корректность отображения сертификатов, а также соответствие их (должен быть одинаковый владелец).
Ошибка 52 цифровая подпись
Связана с повреждением, либо отсутствием необходимых драйверов на носителе, либо ПК. Потребуется скачать с официального источника недостающий драйвер и переустановить его.
Почему компьютер не видит ЭЦП?
Несоответствие программного продукта операционной системы и съемного носителя (флешки), либо повреждение флешки. Устраняется путем обновления операционной системы до минимально необходимой версии. В случае обнаружения повреждения флешки – может потребоваться перевыпуск ЭЦП удостоверяющим центром.
Почему КриптоПро не отображает ЭЦП?
Потребуется выполнить определенные настройки вашего браузера и добавить программу в меню веб-обозревателя, а также загрузить недостающие сертификаты ЭЦП.
Где на компьютере искать сертификаты ЭЦП?
Хранение сертификатов в Windows (от 7 версии) осуществляется по адресу: C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates
где вместо «ПОЛЬЗОВАТЕЛЬ» должно стоять наименование вашего ПК
Signhash error ошибка формирования подписанных данных ошибка исполнения функции
Проблема: при работе КриптоПро CSP возникает ошибка с текстом/кодом из списка (возможны сочетания текста/кода):
Ошибка исполнения функции
Function failed during execution
0x8007065B
0x65b
1627
Причина возникновения подобной ошибки — истекшая лицензия КриптоПро CSP.
Решение: приобрести и активировать лицензию КриптоПро CSP (рекомендуется сразу приобретать лицензию и переходить на версию 5.0).
Проверить статус лицензии КриптоПро CSP можно следующим образом:
1) В Windows:
- во вкладке Общие в панели КриптоПро CSP,
- в оснастке Управление лицензиями КриптоПро PKI,
- в разделе Общее в панели Инструменты КриптоПро (только для CSP 5.0)
2) В macOS:
- в разделе Общее в панели Инструменты КриптоПро (только для CSP 5.0)
- если установлен КриптоПро CSP 4.0, то только с помощью выполнения команды в Терминале (Finder-Программы-Утилиты-Терминал):
3) В Linux:
- в разделе Общее в панели Инструменты КриптоПро (только для CSP 5.0)
- если установлен КриптоПро CSP 4.0 или нет GUI, то только с помощью выполнения команды в консоли:
В команде под подразумевается один из следующих идентификаторов платформы:
ia32 — для 32-разрядных систем; amd64 — для 64-разрядных систем.
Активировать лицензию КриптоПро CSP можно следующим образом:
1) В Windows:
- кнопка Ввод лицензии во вкладке Общие в панели КриптоПро CSP,
- в оснастке Управление лицензиями КриптоПро PKI (КриптоПро CSP / контекстное меню / Все задачи / Ввести серийный номер),
- кнопка Ввести лицензию в разделе Общее в панели Инструменты КриптоПро (только для CSP 5.0 R2 и новее)
Источник
Ошибка формирования запроса в КриптоПро Browser plug-in
При подписании каких-либо документов в системе удалённого финансового документооборота мы можем столкнуться с уведомлением об ошибке создания подписи в виде « Ошибка формирования запроса в КриптоПро ЭЦП Browser plugin ». Причиной проблемы обычно является сбой в работе ПО, устаревшая версия системы, а также комплекс других смежных факторов. Ниже разберём суть возникшей проблемы, а также наметим пути её решения.
Суть и причины ошибки формирования запроса
Рассматриваемая ошибка появляется во время подписи СУФД, и может быть вызвана следующими причинами:
- Нестабильное сетевое соединение;
- Не инсталлирован или вовсе не доступен КриптоПро CSP;
- Не инсталлирован или вовсе не доступен CAdESBrowserPlug-in;
- Ваш браузер работает некорректно.
Наиболее часто ошибка появляется после обновления КриптоПРО CSP до какой-либо из более современных версий (к примеру, после обновления до версии 4.0.9842 ).
Давайте разберём способы, позволяющие исправить ошибку формирования запроса в программе КриптоПро Browser plug-in.
Изменение значения системного реестра
Хорошей эффективностью является изменение значений параметров системного реестра. Разберём соответствующие способы для 32 и 64-битных систем. Если же вы не знаете, какая у вас стоит система, нажмите комбинацию клавиш Win+Pause и просмотрите данные в появившемся окне.
Для Виндовс 32 бита:
- Нажмите на Win+R, введите в появившемся окне regedit и нажмите Энтер. Перейдите по пути:
Для Виндовс 64 бита:
- Нажмите на Win+R, введите в появившемся окне regedit и нажмите Энтер. Перейдите по пути:
Установка новой версии КриптоПро при ошибке создания подписи
В некоторых случаях устаревшая версия ПО может вызывать ошибку формирования запроса в КриптоПро Browser plug-in. Рекомендуем удалить старую версию с помощью утилиты CSPClean, перезагрузить ПК, и установить последнюю версию КриптоПро CSP.
Также обратите ваше внимания, что функция Secure Boot в вашем БИОСе должна быть отключена.
Отключите Secure Boot в БИОСе
Удаление ряда корневых и промежуточных сертификатов
Хорошей эффективностью обладает способ с удалением двух корневых и промежуточных сертификатов Федерального казначейства с установкой их новых аналогов для решения ошибки с КриптоПро Browser plug-in.
Это следующие сертификаты:
Сертификаты: | Особенности |
---|---|
Корневой сертификат ГУЦ.crt
Корневой сертификат ГУЦ ГОСТ 2012.crt |
Данные два первых сертификата устанавливаются в «Сертификаты», и далее «Текущий пользователь», затем «Доверенные корневые центры сертификации» — «Локальный компьютер» – «Сертификаты». Не забудьте перед этим поставить галочку в меню «Вид» — «Параметры» рядом с опцией «Показывать физические хранилища». |
Подчиненный сертификат УЦ ФК от 04.07.2017.crt
Подчиненный сертификат УЦ ФК ГОСТ 2012.crt |
Последние два сертификата необходимо установить в «Сертификаты», далее «Текущий пользователь», затем «Промежуточные центры сертификации» — «Локальный компьютер» — «Сертификаты». Не забудьте поставить галочку в меню «Вид» — «Параметры», рядом с опцией «Показывать физические хранилища». |
Деактивация системы сторонних криптопровайдеров
Если в вашей системе кроме КриптоПро установлены сторонние криптопровайдеры (например, « Securitycode » или « Infocrypt »), рекомендуем их удалить. Это может помочь устранить ошибку формирования запроса в КриптоПро Browser plug-in.
Установка плагина заново при ошибке создания подписи
Если КриптоПро Browser plug-in не работает, хорошим решением будет скачать и установить его заново.
- Перейдите на ресурс cryptopro.ru;
- Щёлкните справа на опции «Скачать плагин», скачайте и запустите данный файл на выполнение;
Использование Java
Если КриптоПро ЭЦП Browser plugin работает нестабильно, стоит отключить данный плагин. Вместо него используйте более стабильную Java.
Заключение
В нашей работе мы разобрали факторы появления ошибки при создании подписи и формировании запроса в КриптоПро Browser plug-in, а также наметили пути устранения проблемы. Используйте перечисленные нами способы для решения возникшей дисфункции.
Источник
Проблемы с электронной подписью и способы их решения
Использование ЭЦП открывает для владельца подписи дополнительные возможности. Но вместе с этим, иногда сопровождается небольшими техническими проблемами, связанными с необходимостью чёткого выполнения действий, связанных с загрузкой сертификатов, авторизацией, установкой необходимого программного обеспечения, а также системных требований к компьютеру.
Важно отметить, что большинство ошибок при работе с ЭЦП можно устранить в домашних условиях, без необходимости привлечения специалистов со стороны.
Какие виды ошибок ЭЦП бывают
Среди наиболее часто встречающихся ошибок в процессе подписания электронных документов электронной подписью выделяют три ключевых блока:
Проблема с подписанием ЭПЦ
Причины, вызывающие подобную ошибку весьма разнообразны. Тут можно выделить такие основные направления:
- Закрытый ключ со съемного носителя (диска, флешки, Токена), не соответствует имеющемуся ключу открытого сертификата. Банальный человеческий фактор выбора не того носителя информации с ЭЦП. Если же «правильный» ключ утерян, придется обращаться в Удостоверяющий центр для перевыпуска.
- Недействительный сертификат. Чтобы устранить подобную ошибку потребуется переустановить открытый сертификат. Важно учитывать требования криптопровайдера (инструкции по необходимым действиям) для установки открытых сертификатов.
- Сертификат подписи определяется как не проверенный. Потребуется выполнить переустановку корневого сертификата, сформировавшего ЭП Удостоверяющего центра.
- Закончился срок действия криптопровайдера. Необходимо получить новый лицензионный ключ, позволяющий работать с программным обеспечением криптопровайдера. Информация запрашивается через УЦ, либо владельца ПО.
- Не виден сертификат на носителе. Помогает простая перезагрузка компьютера для устранения ошибка генерации.
- Алгоритм сертификата ЭЦП не поддерживается. Подобная ошибка может возникать при подписании электронной отчетности в налоговую. Потребуется переустановить КриптоПро CSP и проверить его на совместительство с имеющейся у вас на компьютере операционной системой.
Как проявляется данная ошибка и что сделать, чтобы исправить
Ошибка исполнения функции с информированием о невозможности подписать документ ЭЦП обычно появляется в момент подписания документа.
Система сразу выводит на экран уведомление о непредвиденной ошибке с кратким указанием причины ее возникновения.
Обычно для ее исправления требуются такие действия:
- проверка наличия, срока действия, подлинности сертификатов и выполнение их замены;
- выполнение проверки корректной работы операционной системы компьютера, ее обновление до минимальных допустимых параметров;
- проверка состояния съемного носителя закрытого ключа;
- выявление и устранение ошибок работы криптопровайдера.
Важно. Причина, из-за которой владелец ЭЦП не может нею воспользоваться, может быть комплексной. Поэтому, если не сработал один из предложенных вариантов, проверьте по другим направлениям.
Проблема с сертификатом
Распространенным явлением во время подписания электронных документов ЭЦП является получение уведомления, что системе не удалось получить доступ к сертификатам, пригодным для формирования подписи.
Здесь причины возникновения неисправности могут быть такими:
- Пользователь не установил на свой ПК корневые сертификаты УЦ, осуществлявшего формирование и выдачу ЭЦП. Для устранения – скачать и установить на компьютер такой сертификат, либо прописать доступ к нему.
- Система не видит личных сертификатов владельца ЭЦП. Выдаются одновременно с оформлением ЭП. Их необходимо загрузить на ваш ПК, и подтянуть в криптопровайдер. В дальнейшем можно загрузить через сайт УЦ. Устанавливаются и прописываются на рабочем месте, предназначенном для работы с ЭЦП. С незарегистрированным сертификатом вы не сможете осуществлять подписание электронных документов.
- Информирование о невалидности сертификатов. Обычно такое возможно в случае, когда заканчивается срок действия сертификата, либо их отзывают. Потребуется обращаться в УЦ, выдавший ЭЦП, для уточнения статуса сертификатов подписи. В некоторых случаях помогает обновление сертификатов на компьютере пользователя. Сделать это можно вручную.
Что делать если не найден сертификат или не верен
Когда сертификат отсутствует в списке «Ваши Сертификаты», проблема может оказаться в отсутствии коренного сертификата УЦ.
Для устранения этой проблемы необходимо:
- проверить наличие такого сертификата на вашем ПК по пути: «Пуск» — дальше «Все программы» — после этого плагин «КриптоПро» — а уже там «Сертификаты»;
- дальше находим вкладку «Личное», выбираем «Сертификаты»;
- потребуется открыть не отображенный во вкладке сертификат и просмотреть его «Путь сертификации»;
- тут отображаются все цепочки сертификатов в порядке ранжирования. Важно чтобы напротив какого-то из них не стоял желтый, либо красный значок предупреждения. Если подобное присутствует – нажмите на сам сертификат и ознакомьтесь с ошибкой, что выдаст система;
- в зависимости от причины (обычно это окончание действия сертификата, либо не верифицирован) выполните ее устранение.
Чтобы устранить ошибку и перезагрузить отозванный сертификат потребуется выполнить несколько не сложных действий:
- в окне «Свойства браузера» откройте личный сертификат. Попасть туда можно через «Поиск» меню «Пуск». В открытом окошке ищите вкладку «Содержание», дальше вкладку «Сертификаты»;
- после этого во вкладке «Состав» потребуется выбрать позицию «Точки распространения списков отзывов»;
- в следующем блоке под названием «Имя точки распространения» необходимо выполнить копирование ссылки загрузки файла списка отзывов;
- переходя по указанной ссылке необходимо скачать и установить файл списка отзывов (CRL);
- дальше переходим по подсказкам «Мастера импорта сертификатов».
Следующей распространенной проблемой, когда компьютер не видит сертификат на носителе, является сбой в работе программных продуктов компьютера либо Токена (флешки). Обычно помогает простая перезагрузка ПК. Среди прочих популярных проблем этого направления можно выделить такие:
- На носителе отсутствует драйвер, либо он установлен не корректно. Необходимо скачать последнюю версию драйвера с официального источника и установите его. Можно проверить работоспособность съемного носителя на другом ПК. В этом случае, если другой ПК нормально работает с носителем ЭЦП, переустановите драйверы на первом компьютере.
- Система долго распознает носитель ЭЦП. Тут проблема в операционной системе. Ее потребуется обновить до минимального уровня, требуемого для работы с ЭЦП.
- USB-порт работает не корректно. Попробуйте подсоединить Токен (флешку) через другой порт, либо на другом ПК, чтобы убедиться, что проблема не в носителе. Выполните перезагрузку компьютера.
- Если Токин (флешка) не открывается ни на одном компьютере, значит проблема в носителе. Когда ключ был записан в единственном экземпляре на этот носитель – потребуется обращаться в УЦ для перевыпуска ЭЦП.
Важно. Перед вынесением «окончательного вердикта» касательно работоспособности носителя и сертификата, не поленитесь выполнить их проверку через несколько различных источников.
Проблемы при авторизации
Часто с подобными неприятностями сталкиваются владельцы ЭЦП, пытающиеся пройти регистрацию, либо авторизацию на различных электронных торговых площадках. Пользователю появляется уведомление, что его подпись не авторизирована.
Обычно проблема кроется:
- Отсутствие регистрации. Потребуется попросту зарегистрироваться на избранном вами ресурсе.
- Не зарегистрирован сертификат. Возникает после обновления ключа ЭЦП. Устраняется путем регистрации нового сертификата ключа ЭЦП.
В дальнейшем, при работе на самой электронной площадке и попытке подписать электронные документы, могут возникать дополнительные трудности, связанные с такими моментами:
- Необходимости присоединиться к регламенту. Система не даст возможность полноценно работать, если вы не согласитесь с ее условиями.
- Невозможность загрузить файл (файлы). Обычно это ошибка превышения размера информации, что допустима для загрузки. Просто смените формат разрешения файла, чтобы уменьшить его размер.
- Требование использовать определенный браузер (определенную версию браузера). Это системные требования владельца площадки, которые необходимо соблюдать.
- Проблемы со считыванием сертификатов. Потребуется проверить не просрочены ли ваши сертификаты, а также все ли они установлены на ПК.
Возможно не прошла расшифровка файла ключа. Перезагрузите компьютер. Проверьте, отображается ли съемный носитель ключа ЭЦП, наличие и корректность отображения сертификатов, а также соответствие их (должен быть одинаковый владелец).
Связана с повреждением, либо отсутствием необходимых драйверов на носителе, либо ПК. Потребуется скачать с официального источника недостающий драйвер и переустановить его.
Несоответствие программного продукта операционной системы и съемного носителя (флешки), либо повреждение флешки. Устраняется путем обновления операционной системы до минимально необходимой версии. В случае обнаружения повреждения флешки – может потребоваться перевыпуск ЭЦП удостоверяющим центром.
Потребуется выполнить определенные настройки вашего браузера и добавить программу в меню веб-обозревателя, а также загрузить недостающие сертификаты ЭЦП.
Хранение сертификатов в Windows (от 7 версии) осуществляется по адресу: C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates
где вместо «ПОЛЬЗОВАТЕЛЬ» должно стоять наименование вашего ПК
Источник
Технические требования для работы с электронными подписями и алгоритм выбора электронных подписей в ЕИАС Web описаны в знании 122.
При получении/отправке отчётных форм, сообщений или другой информации, данные поступают/передаются в зашифрованном виде. Для их расшифровки/шифрования системы криптографии, установленные на компьютере пользователя, обращаются к электронной подписи, используемой пользователем для ФГИС ЕИАС.
При возникновении проблем шифрования/расшифровки пользователю следует убедиться в корректности установки/настройки средств криптографии и сертификатов электронных подписей.
Пожалуйста, проверьте корректность установки плагина создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in» на странице проверки плагина.
I. Отсутствие сертификата для выбора/ Ошибки вида «Ошибка при инициализации модуля для работы с Cades plugin» и «Нет доступных сертификатов»
Ошибки означают, что на ПК не установлена сама квалифицированная электронная подпись (установлена некорректно), либо плагин создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in», либо расширение для данного плагина в используемом браузере.
Удостоверьтесь, пожалуйста, в том что:
— нужная электронная подпись корректно установлена на ПК
— на ПК установлен плагин создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in»
— в используемом браузере установлено расширение «КриптоПро ЭЦП Browser plug-in».
Установка электронной подписи описана в знании 31.
Установка плагина и расширения для браузера КриптоПро ЭЦП Browser plug-in в Windows описана в знании по ссылке.
II. Ошибки работы систем криптографии и сертификатов электронных подписей
Если ЕИАС Web выдает сообщение «Не найден сертификат для расшифровки полученных данных», «Неправильный параметр набора ключей», «Произошла внутренняя ошибка в цепочке сертификатов», «Не удается построить цепочку сертификатов для доверенного корневого центра» и т.п., это говорит о том, что на локальном месте пользователя произведена некорректная установка ЭП, либо отсутствуют необходимые корневые сертификаты, либо имеется ограничение на уровне системы криптографии.
Пример:
Для исправления ошибки необходимо проверить следующее:
1). На компьютере пользователя должен быть установлен только один криптопровайдер (CSP)! Использование разных криптопровайдеров на одном рабочем месте приводит к конфликту механизмов шифрования и ошибкам при подписании!
2). Сертификат должен быть установлен для Пользователя, а не для локального компьютера.
При использовании КриптоПро CSP перейдите в оснастку «Сертификаты»: Пуск -> Все программы -> Крипто-Про -> Сертификаты».
Здесь необходимо проверить, не добавлен ли Ваш личный сертификат в хранилище сертификатов для локального компьютера.
Разверните список «Сертификаты (локальный компьютер) -> Личное -> Реестр -> Сертификаты». Если в данном списке присутствует личный сертификат пользователя Вашей организации — его необходимо удалить.
Личный сертификат должен храниться только в «Сертификаты — текущий пользователь -> Личное -> Реестр -> Сертификаты».
Также проверьте хранилища «Другие пользователи» для локального компьютера и текущего пользователя. Личного сертификата там также быть не должно, если он есть — удалить.
3). Убедитесь, что на локальном компьютере установлены корневые сертификаты издателя.
Для этого откройте личный сертификат пользователя и переключитесь на вкладку «Путь сертификации». В цепочке сертификации не должно быть никаких крестиков и восклицательных знаков.
Наличие «крестиков» и/или восклицательных знаков говорит о том, что данные корневые сертификаты не установлены!
Для устранения этой ситуации необходимо отметить требуемый сертификат и нажать кнопку «Просмотр сертификата». В открывшемся окне на вкладке «Общие» нажать на кнопку «Установить сертификат» и поместить данный сертификат в хранилище «Доверенные корневые центры сертификации». В случае отсутствия кнопки установки, переключиться на вкладку «Состав» и экспортировать корневой сертификат себе на компьютер по кнопке «Копировать в файл», затем установить полученный сертификат в хранилище «Доверенные корневые центры сертификации».
Если в цепочке сертификации не указан корневой сертификат издателя или у вас возникают трудности с его получением, то вам необходимо обратиться в Удостоверяющий центр, где вами была приобретена электронная подпись.
Установка набора корневых сертификатов производится в полуавтоматическом режиме — для этого следует перейти в указанную выше оснастку «Сертификаты»: Пуск -> Все программы -> Крипто-Про -> Сертификаты» и перейти в хранилище «Доверенные корневые центры сертификации».
Для корректной работы ФГИС ЕИАС так же требуется установка корневых сертификатов издателя электронной подписи, в частности УЦ СКБ Контур.
4). Переустановите электронную подпись на локальном компьютере через используемый криптопровайдер.
Инструкция по установке ЭП с примером приведена в знании #31.
5). Убедитесь, что номер лицензии на право инспользования крипровайдера введён корректно (знание #37).
III. Алгоритм шифрования/ Ошибка вида «Указан неправильный алгоритм»
1). Практически всегда проблема связана с самим личным сертификатом, которым происходит попытка подписания или с установкой на один ПК нескольких криптопровайдеров.
Скорее всего, сам сертификат повреждён (содержит повреждённый открытый ключ).
В первую очередь именно с представителем Удостоверяющего центра, где была приобретена ЭП, должна осуществляться проверка сертификата на валидность:
- проверка целостности сертификата ключа подписи (файл не должен быть повреждён)
- проверка срока действия сертификата ключа подписи (сертификат не должен быть просроченным)
- проверка действительности корневых сертификатов издателя (сертификаты должны быть корректными)
Если действительно неисправен сам сертификат, то восстановить его или получить новый Вы сможете только в Удостоверяющем центре, где была приобретена ЭП!
Второй важный фактор для проверки: не установлено ли на ПК больше одного СКЗИ (КриптоПро, Лисси, VipNet и др.).
Допустимо наличие только одного криптопровайдера на рабочем месте, информация указана выше (раздел III п. 1)!
2). Дополнительно, с представителем Удостоверяющего центра, где приобреталась электронная подпись можно проверить следующие настройки:
— Имеется ли закрытый ключ, вставлен ли ключевой носитель в ПК, имеется ли корректная привязка закрытого ключа к открытому (сертификату). Убедитесь, что вставлен именно тот ключевой носитель, к которому привязан был ключ (используемый личный сертификат для сервера ФАС России) при установке средствами криптографии.
— При необходимости произведите переустановку электронной подписи на рабочем месте пользователя.
— Верно ли установлен сертификат для пользователя операционной системы, от имени которого которого запускается подписание документов (если для повышения прав вводится логин админа отличный от текущего, то могут быть проблемы).
— Нет ли проблем в пути сертификации используемого личного сертификата. Как проверить корректность вывода сертификата указано выше (раздел III п. 3).
— Соответствует ли алгоритм подписи и хеширования сертификата используемому алгоритму в СКЗИ (криптопровайдере).
Дополнительно отметим, что за помощью в подобных ситуациях Вы должны обратиться в Удостоверяющий центр, где Вы получали сертификат, так как установка ЭП на Ваше рабочее место и её техническое сопровождение — их область ответственности.
За получением дополнительных разъяснений и консультаций по работе ЭП, пожалуйста, обратитесь в Удостоверяющий центр, где была приобретена ЭП.
IV. Ошибка вида «Параметр задан неверно»
1). Данная ошибка означает, что на ПК пользователя установлено более одного криптопровайдера, что приводит к конфликту механизмов шифрования при подписании.
Согласно техническим требованиям по использованию ЕИАС Web, для корректной работы на ПК должен быть установлен только один криптопровайдер.
Практика одновременной установки и использования нескольких криптопровайдеров на одном ПК приводит к конфликту механизмов шифрования и не рекомендуется к применению.
Для корректной работы с ЭП рекомендуем оставить один криптопровайдер, а остальные удалить с устройства.
2). Возможный, но не гарантированный вариант решения ошибки подписания, при дополнительной установке криптопровадера ViPNet.
— Открываете ViPNet клиент
— Выбираете раздел “Дополнительно”
— Снимаете галочку с опции «Поддержка работы ViPNet CSP через MS Cripto API»:
— Нажимаете “Применить” и “ОК”:
— Для принятия настроек нужно обязательно перезагрузить ПК.
— Попробуйте вновь подписать документ в ЕИАС Web.
Ещё раз уточним, что корректное подписание документов ЭП при использовании нескольких криптопровадеров на одном ПК не гарантировано!
V. Ошибка вида «Ошибка исполнения функции»
Ошибка сообщает о недействующей лицензии на криптопровайдер, необходимо проверить актуальность действия лицензии.
По вопросу получения/продления лицензии на право использования криптопровайдера необходимо обратиться в Удостоверяющий центр, где приобреталась электронная подпись, так как установка ЭП и криптопровайдера на Ваше рабочее место и их техническое сопровождение — область ответственности Удостоверяющего центра.
После получения номера лицензии следует активировать ее на компьютере. Подробнее в знании 37.
VI. Ошибка вида «Подписание не удалось. Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции»
Данная ошибка возникает, если Вы используете стороннюю усовершенствованную электронную подпись, но при этом у Вас не введены лицензии OCSP и TSP.
Для устранения ошибки требуется выполнить следующие шаги:
— Проверьте наличие лицензий служб времени OCSP и TSP (Пуск -> Крипто-Про -> Управление лицензиями КриптоПро PKI)
— Если лицензии отсутствуют или истекли, то их необходимо ввести. Ссылка на инструкцию для ввода лицензии службы TSP и OCS.
Приобрести данные лицензии Вы можете в Удостоверяющем центре. Установка ЭП/криптопровайдера/лицензии на них — область ответственности Удостоверяющего центра.
VII. Ошибка вида «Библиотека поставщика проинициирована неправильно».
Для устранения ошибки нужно:
— переустановить СКЗИ
— переустановить корневые сертификаты
— переустановить используемый сертификат
Дополнительно отметим, что за помощью в подобных ситуациях Вы должны обратиться в Удостоверяющий центр, где Вы получали сертификат, так как установка ЭП на Ваше рабочее место и её техническое сопровождение — их область ответственности.
За получением дополнительных разъяснений и консультаций по работе ЭП, пожалуйста, обратитесь в Удостоверяющий центр, где была приобретена ЭП.
Детали знания
ID знания: | 121 |
Категория: | Web.ЕИАС |
Дата добавления: | 23.07.2021 10:52:19 |
Просмотры: | 17059 |
<<
Назад
В процессе подписания файла для отправки на сервер или получения файла с сервера в модуле «ЕИАС Мониторинг» появляется уведомление «Ошибка при подписании файла. Ошибка исполнения функции».
Ошибка говорит о недействующей лицензии на криптопровайдер, необходимо проверить актуальность действия лицензии.
По вопросу получения лицензии на право использования применяемой в организации системы криптографии необходимо обратиться в Удостоверяющий центр, где приобреталась электронная подпись и лицензия на криптопровайдер. После получения номера лицензии следует активировать ее на компьютере.
Ниже приведёна последовательность действий при активации лицензии на примере КриптоПро CSP.
Пуск — Все программы — Крипто-Про — КриптоПро PKI — Управление лицензиями — кликнуть правой кнопкой мыши на КриптоПро CSP — Все задачи — Ввести серийный номер (подробнее в знании #37).
Данная ошибка может возникать при работе с сертификатом на торговых площадках или информационных системах. Ошибка связана с отсутствием лицензии на программу Крипто Про CSP.
Если ваш сертификат со встроенной лицензией* — убедитесь, что используется КриптоПро не ниже 3.6 R2 (3.6.6497) и сертификат электронной подписи установлен. Как установить сертификат см. инструкцию https://ca.kontur.ru/faq/teh/34.
Если сертификат без встроенной лицензии* — убедитесь, что на компьютере лицензия введена и действует (срок действия можно посмотреть на вкладке «Общее» запущенной программы Крипто Про CSP) лицензия на КриптоПро CSP на рабочее место.
32928 просмотра
8 ответа
156 Репутация автора
Я пытаюсь прочитать закрытый ключ сертификата, который был предоставлен мне сторонним поставщиком услуг, поэтому я могу использовать его для шифрования некоторого XML-кода перед его отправкой по беспроводной сети. Я делаю это программно в C #, но я думаю, что это проблема с разрешениями или неправильной настройкой, поэтому я сосредоточусь на фактах, которые кажутся наиболее актуальными:
- Я не думаю, что эта проблема связана с кодом; мой код работает на других компьютерах, и проблема затрагивает пример кода от Microsoft.
- Сертификат был предоставлен в виде файла PFX и предназначен только для целей тестирования, поэтому он также включает в себя фиктивный центр сертификации.
- Используя MMC.exe, я могу импортировать сертификат в персональное хранилище для локального компьютера, прежде чем предоставлять разрешения на закрытый ключ всем соответствующим учетным записям и перетаскивать центр сертификации в доверенные корневые центры сертификации.
- Используя C #, я могу загрузить сертификат (идентифицированный по его отпечатку) и убедиться, что у него есть закрытый ключ X509Certificate2.HasPrivateKey . Однако попытка прочитать ключ вызывает ошибку. В .NET a CryptographicException появляется сообщение «Указан неверный тип поставщика» при попытке доступа к свойству X509Certificate2.PrivateKey . В Win32, вызывая метод CryptAcquireCertificatePrivateKey возвращает эквивалентный HRESULT, NTE_BAD_PROV_TYPE .
- Это то же исключение, которое также возникает при использовании двух собственных примеров кода Microsoft для чтения закрытого ключа сертификата.
- Установка того же сертификата в эквивалентное хранилище для текущего пользователя вместо локального компьютера позволяет успешно загрузить закрытый ключ.
- Я на Windows 8.1 с правами локального администратора, и я попытался запустить мой код в обычном и повышенном режимах. Коллеги в Windows 7 и Windows 8 смогли загрузить ключ из локального хранилища компьютеров для того же сертификата.
- Я могу успешно прочитать закрытый ключ самозаверяющего сертификата IIS, который находится в том же хранилище.
- Я уже нацеливаюсь на .NET 4.5 (об этой ошибке сообщалось в некоторых старых версиях фреймворка).
- Я не думаю, что это проблема с шаблонами сертификатов, потому что я ожидаю, что это повлияет как на локальный компьютер, так и на хранилища текущего пользователя?
В отличие от моих коллег, я несколько раз пытался удалить и переустановить сертификат различными способами, в том числе с помощью диспетчера IIS, а также с использованием более старого сертификата того же эмитента. Я не вижу следов старых или дублирующих сертификатов в MMC. Однако у меня есть много файлов с закрытым ключом одинакового размера, которые, исходя из времени последней записи, должны были остаться после моих различных попыток установки. Они находятся в следующих местах для локального компьютера и текущего хранилища пользователей соответственно:
C: ProgramData Microsoft Crypto RSA MachineKeys
c: Users AppData Roaming Microsoft Crypto RSA S-1-5-21- [оставшийся идентификатор пользователя]
Итак, кто-нибудь может посоветовать, пожалуйста:
- Рекомендуется удалить сертификат с помощью MMC, удалить все файлы, которые выглядят как потерянные закрытые ключи, а затем переустановить сертификат и повторить попытку?
- Есть ли другие файлы, которые я должен попытаться удалить вручную?
- Есть что-нибудь еще, что я должен попробовать?
ОБНОВЛЕНИЕ — Добавлен пример кода, показывающий попытку чтения закрытого ключа:
Ответы (8)
9 плюса
1026 Репутация автора
Ссылка на блог Алехандро является ключевой.
Я считаю, что это потому, что сертификат хранится на вашем компьютере с API CNG («Crypto Next-Generation»). Старый API .NET не совместим с ним, поэтому он не работает.
Вы можете использовать оболочку Security.Cryptography для этого API ( доступно в Codeplex ). Это добавляет методы расширения X509Certificate/X509Certificate2 , поэтому ваш код будет выглядеть примерно так:
К сожалению, объектная модель для закрытых ключей CNG несколько отличается. Я не уверен, что вы можете экспортировать их в XML, как в исходном примере кода . в моем случае мне просто нужно было подписать некоторые данные с помощью закрытого ключа.
26 плюса
934 Репутация автора
У меня была такая же проблема на Windows 8 и Server 2012/2012 R2 с двумя новыми сертификатами, которые я недавно получил. В Windows 10 проблема больше не возникает (но это не помогает мне, поскольку код, управляющий сертификатом, используется на сервере). Хотя решение Джо Строммена в принципе работает, другая модель закрытого ключа потребует значительных изменений в коде с использованием сертификатов. Я считаю, что лучшим решением является преобразование закрытого ключа из CNG в RSA, как объяснил Реми Блок здесь .
Реми использует OpenSSL и два более старых инструмента для выполнения преобразования закрытого ключа, мы хотели автоматизировать его и разработали решение только для OpenSSL. Учитывая MYCERT.pfx пароль с закрытым ключом MYPWD в формате CNG, это шаги для получения нового CONVERTED.pfx с закрытым ключом в формате RSA и тем же паролем:
- Извлечение открытых ключей, полная цепочка сертификатов:
OpenSSL pkcs12 -in «MYCERT.pfx» -nokeys -out «MYCERT.cer» -passin «pass:MYPWD»
OpenSSL pkcs12 -in «MYCERT.pfx» -nocerts –out “MYCERT.pem» -passin «pass:MYPWD» -passout «pass:MYPWD»
- Преобразовать закрытый ключ в формат RSA:
OpenSSL rsa -inform PEM -in «MYCERT.pem» -out «MYCERT.rsa» -passin «pass:MYPWD» -passout «pass:MYPWD»
- Объединить открытые ключи с закрытым ключом RSA в новый PFX:
OpenSSL pkcs12 -export -in «MYCERT.cer» -inkey «MYCERT.rsa» -out «CONVERTED.pfx» -passin «pass:MYPWD» -passout «pass:MYPWD»
Если вы загрузите преобразованный файл pfx или импортируете его в хранилище сертификатов Windows вместо формата pgx CNG, проблема исчезнет, и код C # не нужно менять.
Одна дополнительная ошибка, с которой я столкнулся при автоматизации: мы используем длинные сгенерированные пароли для закрытого ключа, и пароль может содержать «. Для командной строки OpenSSL« символы внутри пароля должны быть экранированы как «».
5 плюса
4796 Репутация автора
Вот еще одна причина, по которой это может произойти, это была странная проблема, и после одного дня борьбы я решил ее. В качестве эксперимента я изменил разрешение для папки «C: ProgramData Microsoft Crypto RSA MachineKeys», в которой хранятся данные закрытого ключа для сертификатов, использующих хранилище ключей компьютеров. При изменении разрешения для этой папки все частные ключи отображаются как «Поставщик Microsoft Software KSP», который не является поставщиком (в моем случае они должны быть «Поставщиком криптографии Schannel Microsoft RSA»).
Решение: сбросьте разрешения для папки Machinekeys
Оригинальное разрешение для этой папки можно найти здесь . В моем случае я изменил разрешение для «Все», дал разрешения на чтение, где он снял галочку «Специальные разрешения». Поэтому я проверил с одним из членов моей команды (щелкните правой кнопкой мыши по папке> Свойства> Безопасность> Дополнительно> выберите «Все»> Изменить> Нажмите «Дополнительные параметры» в списке разрешений флажок
Надеюсь, это спасет чей-то день!
Здесь, где я нашел источник ответа , ему за это отдают должное.
плюса
1 Репутация автора
У меня тоже была эта проблема и после попытки внесения предложений в этот пост безуспешно. Я смог решить свою проблему, перезагрузив сертификат с помощью утилиты сертификатов Digicert https://www.digicert.com/util/ . Это позволяет выбрать провайдера для загрузки сертификата. В моем случае загрузка сертификата в провайдера криптографического провайдера Microsoft RSA Schannel , где я ожидал, что он будет в первую очередь, решает проблему.
Автор: Hugh Размещён: 25.09.2017 03:14
плюса
9675 Репутация автора
Версия ответа Powershell от @ berend-engelbrecht, при условии, что он openssl установлен через chocolatey
Автор: fiat Размещён: 08.03.2018 10:02
2 плюса
14361 Репутация автора
Как указывалось во многих других ответах, эта проблема возникает, когда закрытым ключом является ключ Windows Cryptography: Next Generation (CNG) вместо «классического» ключа Windows Cryptographic API (CAPI).
Начиная с .NET Framework 4.6 закрытого ключа (при условии , что ключ RSA) можно получить с помощью метода расширения на X509Certificate2: cert.GetRSAPrivateKey() .
Когда CNG хранит закрытый ключ, GetRSAPrivateKey метод расширения возвращает RSACng объект (новый для платформы в 4.6). Поскольку CNG имеет проход для чтения старых программных ключей CAPI, GetRSAPrivateKey он обычно возвращает RSACng четное значение для ключа CAPI; но если CNG не может загрузить его (например, это ключ HSM без драйвера CNG), то GetRSAPrivateKey вернется RSACryptoServiceProvider .
Обратите внимание , что тип возвращаемого значения для GetRSAPrivateKey это RSA . Начиная с .NET Framework v4.6 вам не нужно выходить за рамки RSA стандартных операций; единственная причина использования RSACng или RSACryptoServiceProvider это когда вам нужно взаимодействовать с программами или библиотеками, которые используют NCRYPT_KEY_HANDLE или ключ или идентификатор (или открытие постоянного ключа по имени). (В .NET Framework v4.6 было много мест, где все еще приводился входной объект RSACryptoServiceProvider , но все они были устранены с помощью 4.6.2 (конечно, это более 2 лет назад)).
Поддержка сертификата ECDSA была добавлена в 4.6.1 через GetECDsaPrivateKey метод расширения, а DSA была обновлена в 4.6.2 через GetDSAPrivateKey .
На .NET Core возвращаемое значение Get[Algorithm]PrivateKey изменяется в зависимости от ОС. Для RSA это RSACng / RSACryptoServiceProvider в Windows, RSAOpenSsl в Linux (или любой UNIX-подобной ОС, кроме macOS), и непубличный тип в macOS (то есть вы не можете использовать его дальше RSA ).
плюса
2949 Репутация автора
В моем случае следующий код работал локально (как NET 3.5, так и NET 4.7):
Но это не удалось при развертывании в веб-приложении Azure на certificate.PrivateKey
Это сработало, изменив код следующим образом:
Целый день работы, потерянной благодаря Microsoft Azure, снова в моей жизни.
Автор: sports Размещён: 25.03.2019 09:42
плюса
543 Репутация автора
В моем случае я пытался использовать самозаверяющий сертификат с командой PowerShell New-SelfSignedCertificate. По умолчанию он генерирует сертификат с использованием API CNG (Crypto-Next Generation) вместо старого / классического крипто-CAPI. Некоторые старые части кода будут иметь проблемы с этим; в моем случае это была более старая версия поставщика IdentityServer STS.
Добавив это в конце моей команды New-SelfSignedCertificate, я решил эту проблему:
KeyExchange
Ссылка на переключатель для команды powershell:
База знаний — это совокупность распределенных по категориям ответов на часто задаваемые вопросы (FAQ) и статей. Вы можете прочесть знания в этой категории или выбрать интересующую вас подкатегорию.
#20
Схема подключения к ФГИС ЕИАС
Шаг 1. Получить квалифицированную электронную подпись (КЭП) и лицензию на соответствующий криптопров…
#19
Порядок подачи обращений в службу поддержки пользователей ФГИС ЕИАС
Все обращения пользователей ФГИС ЕИАС службой поддержки принимаются на сайте http://sp.eias.ru (supp…
#11
Удаленная (дистанционная) поддержка пользователей
Для рассмотрения ряда вопросов/проблем по обращению службой поддержки пользователей ФГИС ЕИАС может …
Ошибка 0х8007065B или «Ошибка исполнения функции» может возникать при работе с сертификатом на торговых площадках или информационных системах из-за отсутствия лицензии на программу Крипто Про CSP.
- Если Ваш сертификат без встроенной лицензии:
Убедитесь, что лицензия на КриптоПро CSP введена и действует.
Для этого найдите «КриптоПро CSP» в программах в меню «Пуск». Во вкладке «Общие» будет указан «Срок действия».
Если лицензия «Истекла» и у Вас есть бланк с актуальной лицензией, введите серийный номер из бланка нажав на кнопку «Ввод лицензии». Подробнее — Как ввести лицензию КриптоПро CSP.
Если лицензии на КриптоПро CSP у Вас нет, Вы можете приобрести её у нас. Для этого позвоните по бесплатному номеру 8 (800) 550-87-19 доб. 2500.
2. Если ваш сертификат со встроенной лицензией:
Убедитесь, что используется КриптоПро не ниже версии 4.0 и сертификат электронной подписи установлен.
В сертификате есть встроенная лицензия, если в открытом ключе сертификата на вкладке «Состав» присутствует поле «Ограниченная лицензия Крипто-Про».
Остались вопросы? Как мы можем помочь?
Как мы можем помочь?
Невозможно создание объекта сервером программирования объектовОтсутствуют разрешения на использование ActiveX объектов