Проверка наличия ошибок сертификатов неуспешно

При возникновении ошибки «Сертификат не имеет связи с закрытым ключом» необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо 

1. перейти в раздел «Администрирование» 

2. «Обмен электронными документами»

3. «Настройка электронной подписи и шифрования»

4. На вкладке «Сертификаты» открыть используемый сертификат

5. Нажать на кнопку «Проверить»

6. Ввести пароль закрытой части ключа и нажать «Проверить»

! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных. 

Если в ходе проверки напротив пункта «Наличие сертификата в личном списке» возникнет сигнализирующий желтый символ, на него необходимо нажать для открытия технической информации.

Если в технической информации об ошибке указано «Сертификат не найден на компьютере.Проверка подписания, созданной подписи и расшифровки не могут быть выполнены.» это обозначает, что сертификат не установлен на данном рабочем месте в личном списке. Проверить это можно перейдя в Панель управления — Свойства браузера

 В открывшемся окне перейти на вкладку «Содержание» и нажать «Сертификаты»

В сертификатах перейти на вкладку «Личные».

 

Как видно на примере в личных действительно отсутствует сертификат электронной подписи. 

Решение: Установить сертификат в личный список.

Корректная установка сертификата в личный список происходит из программы криптографии.

1. Для пользователей, использующих VIPNet CSP

Запустить VIPNet CSP — выбрать необходимый контейнер и нажать «Свойства»

В открывшемся окне свойств контейнера необходимо нажать «Открыть» для открытия сертификата электронной подписи.

В сертификате необходимо нажать «Установить сертификат»

В открывшемся мастере импорта сертификатов необходимо выбрать в расположении хранилища «Текущий пользователь» и нажать «Далее»

    

Затем выбрать «Поместить все сертификаты в следующее хранилище» и нажать «Обзор«. В открывшемся окне выбрать хранилище «Личное» и нажать «ОК«. Завершить установку сертификата. 

2. Для пользователей, использующих КриптоПро CSP

Запустить КриптоПро CSP. Для этого необходимо перейти в Пуск — Панель управления — КриптоПро CSP

В открывшемся окне криптопровайдера перейти на вкладку «Сервис» и нажать «Просмотреть сертификат в контейнере…».

Затем нажать «Обзор» и выбрать необходимый контейнер закрытого ключа.

В открывшемся окне необходимо выбрать необходимый контейнер закрытого ключа и нажать «ОК»

В следующем окне можно сверить данные о выбранного сертификата и нажать «Установить«.

После чего появиться окно, свидетельствующее о том, что сертификат установлен в хранилище «Личные» текущего пользователя.

После установки сертификат появится в хранилище «Личные» в свойствах браузера.

После установки сертификата в хранилище «Личные» ошибка не воспроизводится.

 

Также вам может быть интересно:

Настройка КриптоПРО для работы с 1С-ЭДО в Linux

Настройка КриптоПРО для работы с 1С-ЭДО в macOS

Нет доступного сертификата для подписания документов.

Проверка сертификата сбой, когда сертификат имеет несколько надежных путей сертификации для корневого CAs

В этой статье представлены обходные пути для проблемы, в которой сертификат безопасности, представленный веб-сайтом, не выдан, если у него есть несколько надежных путей сертификации для корневых ЦС.

Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2831004

Симптомы

Когда пользователь пытается получить доступ к защищенного веб-сайта, пользователь получает следующее предупреждение в веб-браузере:

Существует проблема с сертификатом безопасности этого веб-сайта.

Сертификат безопасности, представленный на этом веб-сайте, не был выдан доверенным органом сертификата.

После того как пользователь нажмет кнопку Продолжить работу на этом веб-сайте (не рекомендуется), пользователь может получить доступ к защищенного веб-сайта.

Причина

Эта проблема возникает из-за того, что сертификат веб-сайта имеет несколько надежных путей сертификации на веб-сервере.

Например, предположим, что клиентский компьютер, на который вы используете сертификат root certification authority (CA) (2). А веб-сервер доверяет сертификату Root CA (1) и root CA (2). Кроме того, сертификат имеет следующие два пути сертификации к доверенным корневым ЦС на веб-сервере:

Когда компьютер находит несколько надежных путей сертификации во время процесса проверки сертификатов, Microsoft CryptoAPI выбирает оптимальный путь сертификации, вычисляя оценку каждой цепочки. Оценка рассчитывается на основе качества и количества сведений, которые может предоставить путь сертификата. Если оценки для нескольких путей сертификации одинаковы, выбирается самая короткая цепочка.

Когда путь сертификации 1 и путь сертификации 2 имеют одинаковые оценки качества, CryptoAPI выбирает более короткий путь (путь сертификации 1) и отправляет путь клиенту. Однако клиентский компьютер может проверить сертификат только с помощью более длительного пути сертификации, ссылаясь на сертификат Root CA (2). Таким образом, проверка сертификата не удается.

Обходной путь

Чтобы решить эту проблему, удалите или отключите сертификат из пути сертификации, который вы не хотите использовать, следуя следующим шагам:

Войдите на веб-сервер в качестве системного администратора.

Добавьте оснастку сертификата в консоль управления Майкрософт, следуя следующим шагам:

Расширйте сертификаты (локальный компьютер) в консоли управления, а затем найдите сертификат на пути сертификата, который вы не хотите использовать.

Если сертификат является корневым сертификатом ЦС, он содержится в доверенных корневых органах сертификации. Если сертификат является промежуточным сертификатом ЦС, он содержится в промежуточных органах сертификации.

Удаление или отключение сертификата с помощью одного из следующих методов:

Перезапустите сервер, если проблема еще не возникла.

Кроме того, если параметр групповой политики обновления автоматических корневых сертификатов отключен или не настроен на сервере, сертификат с пути сертификации, который вы не хотите использовать, может быть включен или установлен при следующем цепи. Чтобы изменить параметр групповой политики, выполните следующие действия:

Нажмите > кнопку Начните запуск, введите gpedit.msc и нажмите кнопку Ввод.

Расширь настройки > компьютеров Административные шаблоны системы управления интернет-связью, > > а затем нажмите параметры интернет-коммуникации.

Дважды щелкните кнопку Отключить автоматическое обновление корневых сертификатов, выберите Включено, а затем нажмите кнопку ОК.

Закрой редактор локальной групповой политики.

Статус

Такое поведение является особенностью данного продукта.

Источник

Почему компьютер не видит сертификат ЭЦП

При попытках заверения личных документов могут возникать ситуации, при которых система не видит сертификат электронной подписи. Это вызывает неудобства, т. к. для получения той или иной услуги требуется посещение учреждений. Устранить ошибку помогает правильная настройка системы, внесение некоторых изменений в реестр Windows.

Почему компьютер не видит сертификат электронной подписи – основные причины

Возникновению такой ошибки способствуют следующие факторы:

Пошаговая инструкция решения проблемы

Если флеш-накопитель с ЭЦП не работает, выполняют такие действия:

Почему «КриптоПро CSP» может не видеть ключей

В таком случае проверяют следующие параметры:

При установке плагина выполняют следующие действия:

Если ранее файлы были установлены неправильно и перенос на новый носитель не выполняется, очищают реестр операционной системы.

Для этого в меню CSP предусмотрена клавиша «Удалить пароли». Если приложения и надстройки работают без ошибок, а Event Log выдает ложную информацию, нужно сканировать файлы с помощью функции Sfc/scannow.

После этого выполняют повторную регистрацию компонентов посредством MSIExec/regserver.

Что делать при отсутствии своего сертификата в списке на странице «Ваши сертификаты»

Если подобный объект не был установлен, переходят на интернет-страницу удостоверяющего центра, скачивают и устанавливают компоненты личной электронной подписи. Если сертификат скачан ранее, проверяют правильность его загрузки. Для этого выполняют следующие действия:

Что делать при возникновении ошибки «Ваша электронная подпись не прошла проверку на сервере»

Необходимо получить открытый ключ цифровой подписи и направить в службу технической поддержки АТИ. Для извлечения объекта устанавливают «КриптоПро», выполняют следующие действия:

При правильном выполнении действий появляется сообщение о завершении переноса.

Источник

Сертификат не проходит подлинность

Для этого необходимо проделать следующие действия:

Выбрать меню «Пуск» («Настройки») > «Панель управления» > «Свойства обозревателя» («Свойства браузера»). Перейти на вкладку «Содержание» и нажать на кнопку «Сертификаты».

Если видим ошибку не удалось проверить этот сертификат, значит цепочка сертификата была потеряна.

Для восстановления цепочки сертификатов, скачиваем наше приложение по ссылки,

Далее запускаем наше приложение certs.exe.

В открывшемся окне нажимаете кнопку установить.

После это перезагрузите компьютер.

Далее переходим в сертификаты, при открывании вашего сертификата должно уйти сообщение об ошибке.

Остались вопросы?

Отдел технической поддержки

Источник

Как исправить ошибки безопасности SSL в браузере

При открытии сайтов в браузере иногда возникают ошибки – домен в адресной строке выделяется красным с зачеркиванием или ресурс вообще не открывается. Типовая причина скрывается в сбоях работы сертификата SSL. Исправить их может только администратор сайта, но перед обращением к нему стоит проверить собственный компьютер.

Что такое SSL

Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).

Работа сайта возможна и без SSL, но поисковые системы «не доверяют» таким ресурсам и помечают их в браузере как неблагонадежные. Поэтому лучше разобраться, как решить проблему с защитой и полноценно пользоваться протоколом HTTPS. Сертификат актуален на сайтах, где присутствует регистрация, предлагается покупка товаров или онлайн-оплата различных сервисов.

При появлении любых сомнений в исправности защиты регистрироваться на сайте или вводить ранее выданные логин и пароль не рекомендуется. Тем более не стоит осуществлять онлайн-оплату с банковских карт или электронных кошельков, ведь не исключено, что проблема возникла из-за взлома ресурса злоумышленниками.

Причины появления ошибок SSL

Существует всего две причины, почему браузер отображает ошибку сертификата SSL со стороны сервера. Первая заключается в окончании срока активации, вторая – это покупка сертификата у поставщика без достаточных полномочий для выдачи «полноценной защиты». Например, виной может быть выбор самоподписанного сертификата, лишь эмулирующего работу реального протокола.

Остальные проблемы обычно скрываются на локальном компьютере:

Чтобы выяснить настоящую причину, пользователю браузера рекомендуется проверить все перечисленные факторы. При том же заражении компьютерными вирусами возможно проявление сразу нескольких симптомов – от изменения текущего времени и блокировки антивирусом до подключения перенаправления страниц в браузере и других неприятностей.

Изредка встречаются ситуации, когда проблема возникла со стороны администратора, если он ошибся при подключении нового сертификата или забыл продлить его действие. Обычно такие неполадки устраняются быстро, потому что после активации сайт проверяется и, в случае неработоспособности сертификата, проводится повторное подключение вплоть до получения положительного результата.

Время и дата

Сертификат SSL имеет четко обозначенный срок действия с датой активации и деактивации. Такой подход отчасти дает дополнительную защиту, потому что в случае технического сбоя в системных часах компьютера сайты перестают открываться. Сброс времени обычно происходит «назад», на дату изготовления материнской платы, на что и реагирует система.

Варианты исправления ситуации:

Каждый раз после изменения времени рекомендуется ручное обновление страницы или перезапуск браузера. Такой шаг активирует повторное соединение с сервером и позволяет зайти на сайт «с нуля», но уже с правильным временем, соответствующим сроку действия сертификата SSL (после активации и до ее завершения).

Настройки антивируса и брандмауэра

Программы для защиты компьютера от вирусов и хакерских атак иногда блокируют и «полезные» соединения, например, определенные домены или сразу весь протокол HTTPS, используемый при подключении сертификата SSL. Большинство антивирусов и брандмауэров проверяют его работу, и это становится причиной блокировки сайта как «злоумышленника, пытающего украсть данные».

Варианты исправления ситуации:

Функция временного отключения имеется в любой защитной программе, даже интегрированной в операционную систему Windows. Но это не гарантирует полную деактивацию приложения. В этом случае разобраться в ситуации поможет открытие сайта на другом компьютере или запуск безопасного режима (актуально для проводного подключения к интернету).

Браузер и операционная система

Наличие проблемы с браузером проще всего определить открытием сайта на другом устройстве или в другой программе. Иногда решение заключается в банальном обновлении версии приложения до актуальной. То же относится к операционной системе, если используется интегрированный браузер вроде Edge. Пакеты обновлений для того и выпускаются, чтобы устранять неполадки в ПО.

Варианты исправления ситуации:

Остается еще один вариант – сбросить настройки браузера до состояния «по умолчанию». Способ аналогичен переустановке, но экономит время. Правда, он неэффективен, если проблема возникла из-за сбоя в одном из служебных файлов программы. Отдельное внимание стоит уделить расширению, выполняющему функции антивирусной защиты, ведь оно часто блокирует даже безопасное соединение.

Заражение компьютерными вирусами

Выдачей ошибки SSL браузер, вероятно, предупреждает о попытке его подмены, переадресации на сайт-клон или иной угрозе. В это случае рекомендуется провести полную проверку компьютера на наличие вирусов. Если присутствуют другие признаки заражения, стоит скачать парочку программ со свежими антивирусными базами (например, CureIt).

Варианты исправления ситуации:

Выполняются перечисленные действия программами типа CCleaner. Они дают прямой доступ как к автозагрузке операционной системе, так и к списку расширений установленных браузеров. Также в таких программах обычно есть функция удаления ненужных системных файлов, в которых запросто может быть тело компьютерного вируса.

Если предложенные способы устранения ошибки SSL не помогли, остается ждать, пока проблему устранит администратор, или воспользоваться любым другим тематическим сайтом с аналогичным контентом.

Источник

Диагностика ошибок ОС Windows при проверке сертификата

Начиная с версии 8.3.12 платформа «1С:Предприятие» при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: » Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата «. Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера «1С:Предприятия».

Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.

Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:

Из текста этих ошибок видно, что операционная система не смогла получить список отзыва сертификатов, расположенный по url-адресу http://crl4.digicert.com/DigiCertGlobalRootCA.crl по причине превышения времени ожидания. Поэтому не удалось выполнить проверку сертификата и получили исключение платформы.

В разделе System указаны дополнительные сведения. Например:

Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.

Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).

Варианты настройки платформы

Платформа «1С:Предприятие 8» поддерживает следующие варианты настройки проверки отзыва сертификата:

Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
В случае применения данной настройки ответственность возлагается на пользователя.

Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:

Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.

Источник

При работе с online сервисами 1С и других разработчиков, где необходимо обращение к электронной подписи, пользователи часто сталкиваются с ошибками ее проверки. Что делать, если не удалось выполнить проверку отзыва сертификата 1С и какие еще возникают ошибки работы с ЭДО, разбираем подробно с вариантами решений.

Компании, у кого жестко настроена политика безопасности, чаще всего наблюдают сбои в работе с ЭП. Это из-за того, что постоянно очищается список имеющихся CRL на ПК или, наоборот, к ним не может достучаться криптография для проверки

Что вообще такое списки отзывов сертификатов

Certificate Revocation List или список отозванных сертификатов – это информация, предоставляемая удостоверяющими центрами о недействительных сертификатах, о тех, чей срок действия уже либо закончился, либо был прерван по различным обстоятельствам.

Ключи могут отзываться по различным причинам. Самые распространенные:

• компрометация ключа или истечение срока годности ЭП;
• неверно заполненные реквизиты в составе ключа;
• поменялся владелец компании или ресурса;
• если речь идет про ключи сайтов, сайт более недоступен, перестал работать.

Список отозванных сертификатов ключей электронных подписей имеет расширение CRL. Сокращенное наименование СОС. В некоторых кругах можно услышать также понятие — Список аннулированных сертификатов (САС).

В настоящий момент (процесс был запущен еще в далеком 2017 г.) все чаще прибегают к отказу от СОС в сторону Online Certificate Status Protocol (OCSP, Онлайн Протокол Состояния Сертификата).

Принципы работы списков отозванных сертификатов

Актуализирует и публикует списки отозванных сертификатов САС Certificate Authority (CA — центр сертификации), который данный сертификат и выпустил.

Предпосылки для отзыва сертификата

Причины, по которым требуется аннулировать сертификат:

Отправляет запрос на аннулирование/отзыв сертификат:

1. Владелец.
2. Директор компании.
3. ФНС может послать запрос, если обнаружит компрометацию ключа.

Ошибка работы с ЭДО в 1С. Сертификат не прошел проверку или отозван

Пользователи онлайн-сервисов 1С нередко спрашивают: почему только недавно все работало, а теперь программа пишет, что сертификат недействительный или не удалось проверить сертификат в списке отозванных. Почему же этот сертификат не удалось проверить? Ответ прост: потому что на ПК нет установленных актуальных СRL-сертификатов от удостоверяющих центров, которые бы «сказали», что сертификат все еще действителен.

Для того, чтобы установить списки отозванных необходимо выполнить следующие шаги:

1. Из своей 1С выгрузить открытую часть ключа сертификата. Для этого необходимо идти по цепочке таких действий:
   Администрирование → Обмен электронными документами → Настройка электронной подписи и шифрования → Найти необходимый сертификат и двойным щелчком его открыть → Сохранить в файл → Выбрать удобную папку и нажать ОК.
   Если сертификатов и организаций много, можно открыть Учетную запись ЭДО и выгрузить сертификат оттуда.

   

   

   

2. Перейдите в папку, куда скопировали открытую часть ключа из ПО 1С и откройте файл (он должен быть с расширением .cer).
3. После того, как файл откроется, на вкладке Состав необходимо найти пункт Точки распространения списков отзывов (раздел Показать → Только расширения).

   
4. После того, как нашли строку со списками, необходимо скопировать самую крайнюю ссылку, на конце которой стоит расширение .сrl.
   Будьте внимательны, ссылки могут быть на конце с разными расширениями.
   Копировать необходимо при помощи комбинации клавиш клавиатуры сtrl+с.

   Подключение 1С-ЭДО от официального партнера 1С. Комплект документов от 250 руб./мес.

   • Если по крайней не скачивается, проверьте весь ли путь скопировали.
   • Если после установки сертификата ничего не изменилось, попробуйте следующую ссылку (снизу вверх).
   • Ошибка воспроизвелась опять? Установите СОС по всей цепочке сертификации.
   • Если и после этих действий ошибка остается, скачайте списки отозванных сертификатов с официального сайта вашего удостоверяющего центра (там данные публикуются и обновляются ориентировочно раз в сутки).
   • Все еще сертификат недействителен? Проверьте валидность ключа на сайте госуслуг или иным способом. Обратитесь в УЦ за проверкой ключа.

   

5. Вставляем скопированную ссылку в браузер, скачиваем СОС и нажимаем Ввод (Enter).

   

   При прохождении по ссылке может выйти ошибка:

   

   В таком случае, как было указано ранее, можно попробовать скачать сертификат по другой ссылке из открытой части ключа ЭП.

   

   

   На сайте ФНС находятся также различные сертификаты, которые можно скачать и установить (от доверенных корневых до отозванных списков).

   

   

   

   Гарантия 6 мес. на услуги подключения и настройки ЭДО в 1С. Решаем любые задачи!

6. Находим наш скачанный файл и правой кнопкой мыши выбираем команду Установить списки отозванных.

   

   Откроется мастер импорта сертификатов, так называемый, помощник в установке сертификатов на компьютер.

   Нажимаем Далее → Автоматически выбирать хранилище на основе типа сертификата → Готово.

   

   

   

   Если выбирать пункт Поместить все сертификаты в следующие хранилища важно выбрать правильное хранилище, а именно: Промежуточные центры сертификации. И если активирована функция Показать физические хранилища указать Реестр (в зависимости от политики безопасности компании).

   

   

Если установка списков отозванных для личного сертификата не помогла, установите списки отзывов от других сертификатов из цепочки сертификации.

Удаленный узел не прошел проверку

Сообщение, которое также связано с корректной проверкой сертификатов.

С помощью операционной системы Windows платформа 1С:Предприятие проводит проверку сертификата средствами защищенного соединения TLS/SSL.

SSL (Secure Sockets Layer) — это протокол безопасности в Интернете, основанный на шифровании. Впервые он был разработан компанией Netscape в 1995 году с целью обеспечения конфиденциальности, аутентификации и целостности данных при общении через Интернет. SSL является предшественником современного шифрования TLS, используемого сегодня.

Веб-сайт, реализующий SSL/TLS, имеет в своем URL-адресе «HTTPS» вместо «HTTP». Протокол TLS (Transport Layer Security) основан на протоколе SSL. Безопасность транспортного уровня, или TLS, — это широко распространенный протокол безопасности, предназначенный для обеспечения конфиденциальности и безопасности данных при обмене данными через Интернет.

Основным вариантом использования TLS является шифрование связи между веб-приложениями и серверами. Например, когда веб-браузеры загружают сайт. TLS также можно использовать для шифрования других сообщений, таких как электронная почта, обмен сообщениями и передача голоса по IP (VoIP). В этой статье мы сосредоточимся на роли TLS в безопасности веб-приложений.

TLS был предложен IETF, международной организацией по стандартизации. Первая версия протокола была опубликована в 1999 году. Самая последняя версия TLS 1.3 — в 2018.

Итак, проблема, связанная с сообщением в конфигурации о том, что удаленный узел не прошел проверку связано с тем, что доступ в Интернет ограничен в общем или в частности только у пользователя, под которым запускается конфигурация и работает служба агент сервера 1С.

Наиболее распространенные причины:

Пути решения

Для начала необходимо разобраться с работой антивирусной программы и брандмауэром Windows. Далее перейти к настройкам прокси и хостов.

Прокси-сервер

Откройте панель управления от имени пользователя, под которым запущен и работает rphost → Свойства обозревателя (Свойства браузера) → Подключения → Настройка сети → снимите активированную галочку использования прокси-сервера, если оно не предусмотрено политикой безопасности. Если использование все-таки предусмотрено, укажите ресурс в качестве исключения.

Хост файл (host)

Расположен обычно по такому пути:

Доступ к сайтам может также быть ограничен параметрами, прописанными в данном файле. Пример блокировки выглядит так:

Постарались максимально доступно рассказать о наиболее частых ошибках, с которыми пользователи 1С могут столкнуться при работе в ЭДО, в т.ч. с применением сертификатов ключа проверки электронной подписи.

Работая с криптографическими утилитами (КриптоПро и др.), применяющими инструменты криптозащиты и электронные подписи, пользователи нередко сталкиваются с проблемами создания реквизита электронного документа. Один из частых сбоев – ошибка с кодом 0x800b010a и описанием неисправности «Не удаётся проверить цепочку сертификатов». Возникает проблема при различных условиях, например, в процессе регистрации на сайте госзакупок или применении сгенерированной ЭЦП в подписании документов.

Решение проблемы напрямую зависит от причины её возникновения, а потому рассмотрим способы устранения неприятности, эффективные в зависимости от провоцирующего фактора.

Причины конфликта сертификатов

Ошибка связана с некорректным использованием ключей цифровой подписи и сертификатами, поэтому может появляться независимо от веб-ресурса, с которым вы работаете. Столкнуться с уведомлением «Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800b010a)» (текст может отличаться, но сути вопроса не меняет) можно по следующим причинам:

• нет доступа к удостоверяющему центру (УЦ), откуда можно загрузить нужный сертификат;
• необходимого сертификата нет в хранилище;
• сертификат отсутствует или недействителен (истёк срок действия);
• сбой в программе, вызванный неактуальностью компонентов и указывающий на необходимость обновления ПО;
• нестабильное подключение.

Так, в тексте уведомления об ошибке сообщается причина проблемы – цепочку сертификатов не удаётся построить, поскольку один из них или несколько недоступны (отсутствуют, некорректно установлены или неактуальны).

ВНИМАНИЕ. Нормальная работа осуществляется при условии установленных корневого (головного), промежуточного и личного сертификатов. 

Исправление сбоя 0x800b010a

При возникновении данной проблемы электронная подпись станет недействительной, и подписать ею файл не получится. Сбой может произойти при различных условиях, от чего будет зависеть вариант решения.

Так как ошибка с кодом 0x800b010a и пояснением «Не удаётся построить цепочку сертификатов для доверенного корневого центра» или другим описанием, например, «Ошибка вычисления подписи», возникает из-за невозможности построения элементов, то основная задача заключается в проверке всех участвующих звеньев и восстановлении цепи. Рассмотрим подробнее, как исправить проблему разными способами, актуальными в том или ином случае.

Проверка сроков

В некоторых случаях проблема спровоцирована истёкшим сроком действия сертификатов. Если вы своевременно не обновили их и не запросили свежие ключи, то решение заключается в просмотре сведений и выборе актуального на текущий момент сертификата. Для этого выбираем из списка нужный и жмём кнопку «Просмотр». Необходимые сведения доступны на вкладке «Общие». При необходимости обновляем, а в случае отсутствия доверия устанавливаем в корректную директорию. Невозможность отслеживания пути до доверенного центра говорит о нарушении общей цепи, вероятно, не установлены промежуточные сертификаты.

Проверка наличия основного ГУЦ

Если ошибка всё ещё беспокоит, переходим к следующему варианту устранения проблемы. Кроме проверки актуальности ключей, важно также убедиться в наличии основного ключа ПАК, являющегося первым и главным звеном в последовательной цепи сертификатов.

Выполняем пошагово такие манипуляции:

ВАЖНО. Устанавливая сертификат Головного удостоверяющего центра, следует загрузить его в папку «Доверенные корневые центры сертификации», личный располагаем в каталоге «Личные», а прочие – в «Промежуточные центры сертификации».

Проверка CryptoPro

Если внутренний сбой не был устранён, можно попытаться выполнить переустановку КриптоПРО путём полного удаления софта с компьютера и установки свежей версии:

При работе в тестовом режиме рекомендуем также проверить правильность указанного адреса службы штампов времени (TSP).

В решении проблем с функционированием программы КриптоПРО и прочих продуктов может также помочь поддержка на сайте cryptopro.ru/support.

Santa	#1 Оставлено : 7 ноября 2009 г. 20:09:11(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 24.08.2009(UTC) Сообщений: 9	Описание ситуации: В организации создан собственный центр сертификации на базе Misrosoft Certificate Services Window 2003 Server SP2 R2. На рабочих местах пользователей генерируются запросы через Internet Explorer к этому ЦС на получение сертификата «защита электронной почты», используемый криптопровайдер «Crypto-Pro GOST R 34.10-2001 Cryptgraphic Service Provider», закрытый ключ должен быть помещен в «Реестр». На отдельной машине (Windows XP SP3, IE 7, CryptoPro 3.0 SP3) процедура получения сертификата обваливалась на этапе установки сертификата, выданного ЦС. Поэкспериментировали с версиями CryptoPro (снесли 3ю поставили 2ю — эффект тот же, снова снесли 2 и поставили 3ю). Решили что проблема с самим интернет-браузером. Сгенерировали сертификат с возможностью экспорта ключей на другом компьютере (также с Крипто Про 3.0 SP3), путем копирования ключевых носителей реестр->дисковод->реестр пернесли закрытый ключ на проблемную машину. Установили сертификат открытого ключа (Панель управления -> КриптоПро CSP -> Сервис -> Установить личный сертификат), через браузер загрузили цепочку сертификатов ЦС (собственно цепочка состоит из одного сертификата — сертификата УЦ (также сгенерирован с использованием Crypto-Pro GOST R 34.10-2001 Cryptgraphic Service Provider)). Проблема: При просмотре сведений о сертификате пользователя или сертификата самого ЦС «красный крест» и текстовка «Целостность этого сертификата не гарантирована. Возможно он поврежден или изменен», а чуть ниже «Содержит недействительную цифровую подпись». Похожая ситуация наблюдается при использовании КриптоПрошных сертификатов на местах с неустановленным КриптоПро, но в данном случае КриптоПро стоит и версия у него «правильная»… Подскажите в чем может быть проблема? P.s. почти 200 мест поставили нормально, а тут черт его знает что творится…

gvi	#2 Оставлено : 9 ноября 2009 г. 13:02:28(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 04.08.2009(UTC) Сообщений: 215 Откуда: Msk	Причины могут быть следующими: 1. Не установлен криптопровайдер (КриптоПро CSP) 2. Криптопровайдер неработоспособен. 3. Не установлен корневой сертификат центра сертификации. 4. На компьютере установлено несовместимое антивирусное ПО 5. Компьютер заражен вирусом. Возможные варианты решения: 1. Для проверки наличия КриптоПро CSP нужно перейти в Панель управления (ПУСК – Панель управления) найти значок «КриптоПро CSP» (если используется ОС Windows XP, возможно потребуется «Переключение к классическому виду», для того чтобы отобразились все элементы Панели управления). Если на панели управления такого значка нет, то нужно просмотреть список всех установленных программ в меню «Установка и удаление программ» (ПУСК – Панель управления – Установка и удаление программ). Если КриптоПро CSP отсутствует в списке установленных программ, то его необходимо установить. Если КриптоПро CSP присутствует в списке установленных программ, но при этом значка нет на Панели управления то, скорее всего КриптоПро CSP неработоспособен. 2. Проверить работоспособность КриптоПро CSP можно, например, посмотрев вкладку «Алгоритмы» на панели КриптоПро CSP. Если все пункты не заполнены, то скорее всего проблема имеет место. Также можно проверить поведение службы при остановке\запуске, сделать это можно выполнив в командной строке net stop cproctrl для остановки, и net start cproctrl при запуске. Для переустановки КриптоПро CSP используйте стандартые средсва Windows (ПУСК – Панель управления – Установка и удаление программ), или, в случае неудачи, аварийное удаление с последующей переустановкой. Процесс аварийного удаления КриптоПро CSP описан в разделе Аварийное удаление КриптоПро CSP. 3. Если другие «ГОСТовые» сертификаты отображаются корректно, то, скорее всего не строится цепочка сертификатов от текущего до корневого. Для проверки нужно открыть «проблемный» сертификат, перейти на вкладку «Путь сертификации» и посмотреть состояние текущего сертификата, и сертификата вышестоящего. Если на вышестоящем сертификате стоит крест, и при его открытии на вкладке «Путь сертификации» присутствует сообщение: «Нет доверия к этому корневому сертификату центра сертификации, поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации», то необходимо установить этот сертификат в хранилище «Доверенные корневые центры сертификации». 4. Если все «ГОСТовые» сертификаты отображаются некорректно, то вероятно установленное антивирусное ПО каким либо образом блокирует механизм проверки подписи. Либо компьютер заражен вирусом. Следует выполнить глубокую проверку на вирусы, и если вирусы не будут найдены, попробовать отключить (или удалить) антивирусное ПО.

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

При возникновении ошибки «Сертификат не имеет связи с закрытым ключом» необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо 

1. перейти в раздел «Администрирование» 

2. «Обмен электронными документами»

3. «Настройка электронной подписи и шифрования»

4. На вкладке «Сертификаты» открыть используемый сертификат

5. Нажать на кнопку «Проверить»

6. Ввести пароль закрытой части ключа и нажать «Проверить»

! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных. 

Если в ходе проверки напротив пункта «Наличие сертификата в личном списке» возникнет сигнализирующий желтый символ, на него необходимо нажать для открытия технической информации.

Если в технической информации об ошибке указано «Сертификат не найден на компьютере.Проверка подписания, созданной подписи и расшифровки не могут быть выполнены.» это обозначает, что сертификат не установлен на данном рабочем месте в личном списке. Проверить это можно перейдя в Панель управления — Свойства браузера

 В открывшемся окне перейти на вкладку «Содержание» и нажать «Сертификаты»

В сертификатах перейти на вкладку «Личные».

 

Как видно на примере в личных действительно отсутствует сертификат электронной подписи. 

Решение: Установить сертификат в личный список.

Корректная установка сертификата в личный список происходит из программы криптографии.

1. Для пользователей, использующих VIPNet CSP

Запустить VIPNet CSP — выбрать необходимый контейнер и нажать «Свойства»

В открывшемся окне свойств контейнера необходимо нажать «Открыть» для открытия сертификата электронной подписи.

В сертификате необходимо нажать «Установить сертификат»

В открывшемся мастере импорта сертификатов необходимо выбрать в расположении хранилища «Текущий пользователь» и нажать «Далее»

    

Затем выбрать «Поместить все сертификаты в следующее хранилище» и нажать «Обзор«. В открывшемся окне выбрать хранилище «Личное» и нажать «ОК«. Завершить установку сертификата. 

2. Для пользователей, использующих КриптоПро CSP

Запустить КриптоПро CSP. Для этого необходимо перейти в Пуск — Панель управления — КриптоПро CSP

В открывшемся окне криптопровайдера перейти на вкладку «Сервис» и нажать «Просмотреть сертификат в контейнере…».

Затем нажать «Обзор» и выбрать необходимый контейнер закрытого ключа.

В открывшемся окне необходимо выбрать необходимый контейнер закрытого ключа и нажать «ОК»

В следующем окне можно сверить данные о выбранного сертификата и нажать «Установить«.

После чего появиться окно, свидетельствующее о том, что сертификат установлен в хранилище «Личные» текущего пользователя.

После установки сертификат появится в хранилище «Личные» в свойствах браузера.

После установки сертификата в хранилище «Личные» ошибка не воспроизводится.

 

Также вам может быть интересно:

Настройка КриптоПРО для работы с 1С-ЭДО в Linux

Настройка КриптоПРО для работы с 1С-ЭДО в macOS

Нет доступного сертификата для подписания документов.

Не могу настроить корневые сертификаты

Подключаюс к 1С-ЭДО

клиент-серверная схема

на сервере под пользователем .\USR1CV8 добавил ключи

добавил все сертификаты,

но при проверке «Диагностика ЭДО» выдает ошибку,

ругается «Отсутствует корневой сертификат ГУЦ»

в отчете для администратора запись

«Проверка наличия корневого сертификата ГУЦ

в хранилище операционной системы (сервер):                        неуспешно

Рекомендации:

Установите корневой сертификат ГУЦ

Инструкция: http://1c-edo.ru/handbook/28/2655/ »

сходил по этому адресу, скачал три сертификата, закинул в «доверенные центры сертификации»

и не помогло

как исправить ?

При посещении веб-сайта с установленным сертификатом безопасности (для шифрования данных по протоколам SSL/TLS), который браузер не может проверить, выдаются следующие предупреждения:

Internet Explorer:

«Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации». 

Firefox 3:

«(Имя сайта) использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен». Или: «(Имя сайта) использует недействительный сертификат безопасности. К сертификату нет доверия, так как он является самоподписанным».

Давайте разберемся, почему браузеры так реагируют на некоторые сертификаты и как от избавиться от этой ошибки.

Почему возникает ошибка SSL?

Браузеры обычно разрабатываются с уже встроенным списком доверенных поставщиков SSL сертификатов. К таким относятся всем известные компании Comodo, Thawte, Geotrust, Symantec, RapidSSL, GlobalSign и некоторые другие.

        

Тем не менее многие поставщики SSL сертификатов в этих списках отсутствуют, так как далеко не у всех есть договоренности с разработчиками веб-браузеров. При открытии сайта с SSL сертификатом, выданным одним из таких поставщиков, браузер выдает предупреждение, что Центр сертификации (ЦС), выдавший SSL сертификат, не является доверенным. То же происходит, когда на сайте установлен самоподписанный SSL сертификат. Internet Explorer выдает довольно общее предупреждение, тогда как Firefox 3 различает SSL сертификаты, выданные самим сервером (самоподписанные SSL сертификаты), и другие виды недоверенных сертификатов.

Если Вы купили SSL сертификат у нас и после его установки возникает такая ошибка, Вы можете устранить ее, следуя инструкциям ниже. Нет необходимости устанавливать дополнительное ПО на клиентские устройства и приложения, чтобы устранить ошибку с доверенным SSL сертификатом. Первое, что следует сделать, это найти причину ошибки SSL с помощью тестера SSL сертификатов. Перейдя по ссылке, Вы можете ввести Ваш домен и запустить проверку SSL сертификата. Если присутствует ошибка SSL о недоверенном сертификате, сервис об этом сообщит. Он различает два типа ошибок:

Самоподписанные SSL сертификаты

Возможной причиной подобной ошибки SSL может быть установленный на сервере самоподписанный SSL сертификат. Браузеры не принимают самоподписанные сертификаты, потому что они сгенерированы Вашим сервером, а не независимым центром сертификации. Чтобы определить, является ли Ваш SSL сертификат самоподписанным, посмотрите с помощью вышеназванного тестера, указан ли центр сертификации в поле Issuer. В случае самоподписанного SSL, в этой графе указывается название Вашего сервера и далее написано «Self-signed».

Решение: Купить SSL сертификат от доверенного центра сертификации.

        

Если после установки доверенного SSL сертификата на Вашем сервере нашелся самоподписанный, мы рекомендуем пересмотреть инструкции по установке и убедится, что Вы выполнили все нужные шаги.

Ошибка в установке SSL сертификата

Наиболее распространенной причиной ошибки типа «к сертификату нет доверия» — это неверная установка SSL на сервер (или серверы), на котором размещен сайт. С помощью все того же тестера SSL сертификатов Вы можете проверить, в этом ли причина проблемы. В блоке Certification Paths перечислены промежуточные и корневые сертификаты, установленные на Вашем сервере. Если в этом блоке указано «Path #X: Not trusted», значит у Вас ошибка в установке SSL сертификата и клиенту не удалось установить издателя Вашего SSL сертификата.

Решение: Чтобы устранить эту ошибку SSL, установите файл промежуточного сертификата на сервер, следуя инструкциям по установке для Вашего сервера. Промежуточные и корневые сертификаты Вы можете скачать в личном кабинете, вместе с Вашим основным SSL сертификатом.

После установки сертификата дополнительно убедитесь, что установка была произведена правильно. Если нужно, перезагрузите сервер.

Другие сообщения браузеров об ошибке SSL

Ниже приведены еще несколько предупреждающих сообщений, выдаваемых различными браузерами. Internet Explorer 6: 

«Информация, которой Вы обмениваетесь с этим сайтом, не может быть просмотрена или изменена другими. Тем не менее, имеются замечания по сертификату безопасности сайта. Сертификат безопасности выдан компанией, не входящей в состав доверенных. Просмотрите сертификат, чтобы определить, следует ли доверять центру сертификации. Хотите продолжить?»

Internet Explorer 7: 

«Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации. Наличие ошибок в сертификате безопасности может означать, что вас пытаются обмануть или хотят перехватить информацию, передаваемую на сервер».