Чтобы воспользоваться квалифицированной электронно-цифровой подписью (далее — КЭЦП, КЭП, ЭЦП), криптопровайдер должен признать сертификат пользователя доверенным, то есть надежным. Это возможно, если правильно выстроена цепочка доверия сертификации, которая состоит из трех звеньев:
- сертификат ключа проверки электронной подписи (далее — СЭП, СКПЭП, СКЭП);
- промежуточный сертификат (ПС) удостоверяющего центра;
- корневой сертификат (КС) от головного центра, то есть от Минкомсвязи.
Искажение хотя бы одного файла приводит к недействительности сертификата, и он не может быть использован для визирования документации. Среди других причин сбоя выделяют неправильную работу криптопровайдера (средства криптозащиты или СКЗИ), несовместимость с браузером и др.
Почему возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать для решения этой проблемы, рассмотрим детально.
Закажите электронную подпись у нас!
Оставьте заявку и получите консультацию в течение 5 минут.
Этот сертификат содержит недействительную цифровую подпись : на примере « Тензор»
О содержании недействительной цифровой подписи в сертификате пользователь узнает при попытке подписать документы с помощью КЭЦП. В этом случае на экране появляется сообщение: «При проверке отношений доверия произошла системная ошибка» или «Не удается построить цепочку доверия для доверенного корневого центра». Чтобы увидеть состояние ключа, необходимо:
- Открыть меню «Пуск».
- Перейти во вкладку «Все программы» → «КриптоПро».
- Кликнуть на кнопку «Сертификаты».
- Выбрать хранилище: «Личное», «Доверенные корневые центры» или «Промежуточные доверенные центры».
- Нажать на выбранный сертификат.
- Перейти во вкладку «Путь сертификации».
В поле «Состояние» отображается статус недействительного сертификата , на примере с УЦ «Тензор» это выглядит так:
При корректно настроенном пути сертификации состояние было бы таким:
В разделе «Общие» отображается причина, например, «Этот сертификат не удалось проверить, проследив его до доверенного центра».
Системное оповещение о сбое может возникать по ряду причин:
- нарушена цепочка доверия (неверный путь сертификации), поврежден один из сертификатов или все три (шифрованное соединение между браузером клиента и сервером будет недоверенным или вовсе не будет работать);
- неправильно установлен криптопровайдер КриптоПро;
- неактивны алгоритмы шифрования СКЗИ;
- заблокирован доступ к файлам из реестра;
- старые версии браузеров;
- на ПК установлены неактуальные дата и время и т. д.
Таким образом, ошибка может быть связана непосредственно с сертификатами, криптопровайдером или настройками ПК. Для каждого варианта придется пробовать разные способы решения.
Этот сертификат содержит недействительную цифровую подпись : цепочка доверия от Минкомсвязи до пользователя
Прежде чем разбираться в причинах ошибки, следует понять алгоритм построения цепочки доверия сертификатов (ЦДС) — она обязательна для корректной работы ЭЦП на любых информационных ресурсах.
Как строится путь доверия
Первое звено в иерархической цепочке — корневой сертификат ключа проверки ЭЦП ПАК «Минкомсвязь России». Именно этот госорган, согласно ст. 16 ФЗ № 63 «Об электронной подписи», осуществляет аккредитацию удостоверяющих центров, то есть дает им официальное право заниматься выпуском ЭЦП. Полный перечень таких организаций можно уточнить на официальном портале Минкомсвязи.
КС предоставляется клиенту поставщиком при выдаче КЭП, также его можно скачать на сайте roskazna.ru или самого УЦ. В цепочке доверия он играет первостепенную роль — подтверждает, что КЭЦП была выпущена УЦ, аккредитованным Минкомсвязи.
Следующее звено — КС удостоверяющего центра (промежуточный). Файл выдается в комплекте с ключами и содержит в себе:
- сведения об УЦ с указанием даты его действия;
- сервисный интернет-адрес (через который можно связаться с реестром компании).
Эти данные предоставляются в зашифрованном виде и используются криптопровайдером (на ПК пользователя) для проверки подлинности открытого ключа КЭЦП. Теоретически цифровую подпись можно украсть, но применить ее без установленного сертификата УЦ не получится. То есть вся ЦДС построена таким образом, чтобы предотвратить риски использования чужой подписи мошенниками.
СКПЭП — конечное звено в этой цепи. Его выдает удостоверяющий центр вместе с открытым и закрытым ключами. Сертификат предоставляется на бумажном или цифровом носителе и содержит основную информацию о держателе. Он связывает последовательность символов открытого ключа с конкретным лицом. Другими словами, СКПЭП подтверждает тот факт, что открытый ключ ЭП принадлежит определенному человеку.
Головной КС Минкомсвязи действует до 2036 года, а ПС удостоверяющих центров ликвидны в течение 12 месяцев, после чего необходимо скачать (или получить в УЦ) новый и переустановить его на свой ПК. Сертификат КЭЦП тоже действует не более 1 года, по истечении этого срока клиенту требуется получить новый.
Если возникает ошибка «Этот сертификат содержит недействительную цифровую подпись» , причина может быть в повреждении ЦДС от Минкомсвязи России до пользователя. То есть один из элементов в этой цепи искажен или изменен.
Мы готовы помочь!
Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям
Как решить проблему
В первую очередь стоит удостовериться, что КС корректно установлен и действителен. Для этого используется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В открывшемся списке должен быть документ от ПАК «Минкомсвязь России». Если сертификат отсутствует или он недействителен, его нужно установить, следуя алгоритму:
- Открыть загруженный файл на ПК.
- Во вкладке «Общие» кликнуть «Установить».
- Поставить флажок напротив строчки «Поместить в следующее хранилище».
- Выбрать хранилище «Доверенные корневые центры сертификации».
- Продолжить установку кнопкой «ОК» и подтвердить согласие в окне «Предупреждение о безопасности».
После установки появится сообщение, что импорт успешно завершен. Далее рекомендуется перезагрузить компьютер.
Файл выдается удостоверяющим центром вместе с другими средствами для формирования ЭЦП. Если он утерян или удален, следует обратиться в УЦ, в котором был получен СКПЭП.
Если КС Минкомсвязи на месте, но в статусе по-прежнему сказано, что он недействителен, удалите его (выбрать файл и нажать «Удалить») и установите заново.
На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:
Не все ветки могут быть в наличии. Удалите те, что есть, предварительно сохранив их резервные копии в отдельный файл. Перезагрузите ПК и проверьте статус СКЭП — он должен стать действительным.
Важно! Удаление и редактирование ключей реестра может нарушить работоспособность системы, поэтому процедуру лучше доверить техническому специалисту.
Оформим ЭЦП для вашего бизнеса. Поможем установить и настроить в день подачи заявки!
Оставьте заявку и получите консультацию.
Этот сертификат содержит недействительную цифровую подпись : устранение ошибки на примере казначейства
Самая распространенная причина недействительности сертификата заключается в нарушенных путях сертификации. Причем проблема может быть не только в файле Минкомсвязи, о котором было сказано ранее, но также в промежуточных и личных СКЭП. Рассмотрим эту причину на примере Управления Федерального казначейства (УФК), которое, среди прочего, тоже занимается выдачей КЭЦП.
Этот сертификат содержит недействительную цифровую подпись: изменение, повреждение файла УФК
Функции УЦ выполняются в территориальных органах Росказны по всей России. Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики должны заверять отчеты ЭП, полученной в УФК.
Если не удается заверить документ ЭП казначейства , и появляется отметка « Этот сертификат содержит недействительную цифровую подпись », предлагается следующий алгоритм действий:
- Перейти в папку «Личное».
- Выбрать СКЭП, который не работает, и перейти во вкладку «Путь сертификации». В качестве головного УЦ будет указан Минкомсвязи РФ, а промежуточного (подчиненного) — Федеральное казначейство. Нижним звеном в этой цепи будет личный СКЭП держателя.
- Если в поле состояния стоит статус недействительности документа, необходимо отследить всю цепочку и выявить «слабое звено».
- Вернуться в раздел «Общие», чтобы убедиться, верно ли указаны сведения о компании, выпустившей СКЭП.
- Выйти из папки «Личное» и перейти в хранилище «Промежуточные центры сертификации».
Если причина именно в этом звене, на вкладке «Общие» отобразятся сведения: «Этот сертификат не удалось проверить, проследив его до …». Значит на этом участке обрывается путь.
- Зайти в раздел «Корневые сертификаты» на веб-ресурсе УФК.
- Скачать файл «Сертификат УЦ Федерального казначейства ГОСТ Р 34.10-2012».
- Импортировать файл на ПК. Процесс импорта аналогичен описанной выше процедуре для головного центра, только в качестве хранилища необходимо выбрать «Промежуточные центры сертификации».
- Перезагрузить компьютер.
На завершающем этапе необходимо перейти в папку «Личное», выбрать нужный СЭП и проверить путь сертификации. Если проблема с промежуточным звеном решена, в графе состояния будет стоять «Этот сертификат действителен». Это означает, что система проверила ЦДС для этого ключа и не выявила никаких ошибок.
Истечение срока
При наступлении нового календарного года пользователь должен установить обновленный промежуточный ключ УЦ на каждый компьютер, где используется КЭП. Операционная система выдаст соответствующее упоминание при запуске. Если не выполнить обновление вовремя, при заверке документов тоже будет возникать уведомление о недействительности ключа. Процедура установки аналогична рассмотренной ранее. Предыдущий ПС удалять необязательно, система все равно будет отмечать его как недействительный.
Для импорта обновленных ключей действующий интернет не нужен, файл автоматически проверяется при первом подключении к сети. Такая проверка производится всего один раз за все время действия ключа.
Этот сертификат содержит недействительную цифровую подпись: проблема с отображением в КриптоПро
При такой ошибке одни ресурсы отклоняют СЭП, а другие без проблем взаимодействуют с ним. Возможно, во втором случае информационный ресурс, на котором пользователь подписывает документ, не проверяет путь до головного УЦ. Устранение проблемы в подобном случае осложняется тем, что весь путь доверия построен без нарушений, а ключ значится как действительный. Можно предположить, что сбой связан с криптопровайдером или браузером.
Некорректная работа КриптоПро
Для проверки необходимо открыть КриптоПро CSP и перейти во вкладку «Алгоритмы». Если параметры алгоритмов пустые, значит софт функционирует некорректно, и его требуется переустановить:
Для переустановки нужно специальное ПО — утилита очистки следов КриптоПро, которую можно скачать на сайте разработчика. Она предназначена для аварийного удаления криптопровайдера. Такой способ позволяет полностью очистить ПК от следов CryptoPro и выполнить корректную переустановку.
Службы инициализации
СЭП может отражаться как недействительный, если не запущена служба инициализации КриптоПро CSP. Это можно проверить следующим образом:
- Запустить системное окно «Выполнить» комбинацией клавиш Win+R.
- Ввести команду services.msc.
- В списке служб выбрать «Службы инициализации».
- Кликнуть правой кнопкой мыши (ПКМ) и выбрать пункт «Свойства».
- Если по каким-то причинам служба отключена, активировать ее и сохранить изменения.
Если все выполнено верно, после перезагрузки компьютера КЭЦП снова будет работать корректно.
Права доступа к реестру
Сбой возможен при отсутствии прав на некоторые файлы в реестре Windows. Для проверки необходимо открыть строку ввода комбинацией Win+R, ввести команду regedit, нажать Enter и перейти по пути для настройки прав в реестре Windows:
У пользователя должны быть права на конечные папки этих веток. Проверить это можно следующим образом:
- Выбрать папку правой кнопкой мыши и нажать на пункт «Разрешения».
- Кликнуть по кнопке «Администраторы» → «Дополнительно».
- Открыть страницу «Владелец».
- Указать значение «Полный доступ».
Эта же проблема решается переустановкой криптопровайдера с помощью описанной выше утилиты для очистки следов.
После обновления Windows до более поздней версии пользователь может видеть уведомление «При проверке отношений доверия произошла системная ошибка». Это тоже связано с недействительностью КЭЦП и нарушением внутренних файлов КриптоПро. Переустановка СКЗИ поможет решить эту проблему.
Сертификат содержит недействительную цифровую подпись : что делать , если сбой связан с браузером
Если пользователь настроил путь доверия и устранил неполадки криптопровайдера, но проблема не решилась, есть вероятность, что она кроется в браузере. В первую очередь это касается подписания документов непосредственно на сайтах государственных систем и контролирующих органов (ЕГАИС, ПФР, ФНС и др.).
Разработчик CryptoPro рекомендует использовать для работы с КЭП только Internet Explorer, так как он встроен в Windows. Но и с этим веб-обозревателем случаются сбои.
Вход под ролью администратора
Обычно после входа под правами администратора все становится на свои места, и ключи работают в привычном режиме. Что предпринять:
- Кликнуть ПКМ по иконке браузера.
- Выбрать пункт «Запуск от имени администратора».
Если ошибка устранена, рекомендуется:
- Снова выбрать ярлык браузера.
- Нажать кнопку «Дополнительно».
- Выбрать «Запуск от имени администратора».
Теперь при каждом запуске права администратора будут автоматически вступать в силу, и пользователю не придется каждый раз менять настройки.
Если используется старая версия веб-обозревателя, рекомендуется обновить ее до последнего релиза.
Отключение антивирусной программы
Некоторые «антивирусники», например, Symantec или AVG, воспринимают КриптоПро как вирусную угрозу, поэтому отдельные процессы криптопровайдера могут быть заблокированы. В результате этого всплывают различные ошибки с СКПЭП. Если нужно срочно заверить электронный документ, рекомендуется на время деактивировать антивирус:
- Кликнуть ПКМ на иконку «антивирусника».
- Нажать «Сетевые экраны» или «Управление экранами».
- Выбрать время, на которое планируется отключить утилиту.
После заверки документов снова запустите программу.
Настройка даты и времени
Также следует проверить актуальность даты ПК. Для этого необходимо:
- Навести мышкой на часы внизу экрана.
- Выбрать «Настройка даты и времени».
- Указать свой часовой пояс, выставить правильные значения и сохранить обновление.
После всех действий рекомендуется перезагрузить компьютер.
За 30 минут настроим ЭЦП Рутокен для работы под ключ.
Оставьте заявку и получите консультацию в течение 5 минут.
Оцените, насколько полезна была информация в статье?
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.
Посмотреть весь каталог
15.06.2020
Этот сертификат содержит недействительную цифровую подпись: как исправить ошибку
Этот сертификат содержит…
Появление данной надписи обозначает ошибку, делающую невозможным использование сертификата для удостоверения информации. По сути, это является проблемой, требующей оперативного исправления. Понятно, что для этого нужно разобраться, что именно послужило причиной сбоя. Например, ей могут стать неправильные действия криптопровайдера.
Сама надпись появляется при попытке завизировать документацию с помощью квалифицированной электронной подписи. Она дает понять, что сама подпись на данный момент является недействительной. И нужно четко свои действия на этот случай. Их алгоритм и приводится в статье на примере конкретного удостоверяющего центра. Следуя этому алгоритму, вы обнаружите причину сбоя. А дальнейшая информация, помещенная в данном материале, поможет найти и способы решения обнаруженной проблемы. Если есть несколько вариантов решения, то они приводятся полностью. Если вам не подойдет один из них, вы сможете воспользоваться альтернативным способом. Читайте эту статью полностью и узнавайте, как решить данную проблему.
Чтобы воспользоваться квалифицированной электронно-цифровой подписью (далее — КЭЦП, КЭП, ЭЦП), криптопровайдер должен признать сертификат пользователя доверенным, то есть надежным. Это возможно, если правильно выстроена цепочка доверия сертификации, которая состоит из трех звеньев:
- сертификат ключа проверки электронной подписи (далее — СЭП, СКПЭП, СКЭП);
- промежуточный сертификат (ПС) удостоверяющего центра;
- корневой сертификат (КС) от головного центра, то есть от Минкомсвязи.
Искажение хотя бы одного файла приводит к недействительности сертификата, и он не может быть использован для визирования документации. Среди других причин сбоя выделяют неправильную работу криптопровайдера (средства криптозащиты или СКЗИ), несовместимость с браузером и др.
Почему возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать для решения этой проблемы, рассмотрим детально.
Этот сертификат содержит недействительную цифровую подпись : на примере « Тензор»
О содержании недействительной цифровой подписи в сертификате пользователь узнает при попытке подписать документы с помощью КЭЦП. В этом случае на экране появляется сообщение: «При проверке отношений доверия произошла системная ошибка» или «Не удается построить цепочку доверия для доверенного корневого центра». Чтобы увидеть состояние ключа, необходимо:
- Открыть меню «Пуск».
- Перейти во вкладку «Все программы» → «КриптоПро».
- Кликнуть на кнопку «Сертификаты».
- Выбрать хранилище: «Личное», «Доверенные корневые центры» или «Промежуточные доверенные центры».
- Нажать на выбранный сертификат.
- Перейти во вкладку «Путь сертификации».
В поле «Состояние» отображается статус недействительного сертификата , на примере с УЦ «Тензор» это выглядит так:
При корректно настроенном пути сертификации состояние было бы таким:
В разделе «Общие» отображается причина, например, «Этот сертификат не удалось проверить, проследив его до доверенного центра».
Системное оповещение о сбое может возникать по ряду причин:
- нарушена цепочка доверия (неверный путь сертификации), поврежден один из сертификатов или все три (шифрованное соединение между браузером клиента и сервером будет недоверенным или вовсе не будет работать);
- неправильно установлен криптопровайдер КриптоПро;
- неактивны алгоритмы шифрования СКЗИ;
- заблокирован доступ к файлам из реестра;
- старые версии браузеров;
- на ПК установлены неактуальные дата и время и т. д.
Таким образом, ошибка может быть связана непосредственно с сертификатами, криптопровайдером или настройками ПК. Для каждого варианта придется пробовать разные способы решения.
Этот сертификат содержит недействительную цифровую подпись : цепочка доверия от Минкомсвязи до пользователя
Прежде чем разбираться в причинах ошибки, следует понять алгоритм построения цепочки доверия сертификатов (ЦДС) — она обязательна для корректной работы ЭЦП на любых информационных ресурсах.
Как строится путь доверия
Первое звено в иерархической цепочке — корневой сертификат ключа проверки ЭЦП ПАК «Минкомсвязь России». Именно этот госорган, согласно ст. 16 ФЗ № 63 «Об электронной подписи», осуществляет аккредитацию удостоверяющих центров, то есть дает им официальное право заниматься выпуском ЭЦП. Полный перечень таких организаций можно уточнить на официальном портале Минкомсвязи.
КС предоставляется клиенту поставщиком при выдаче КЭП, также его можно скачать на сайте roskazna.ru или самого УЦ. В цепочке доверия он играет первостепенную роль — подтверждает, что КЭЦП была выпущена УЦ, аккредитованным Минкомсвязи.
Следующее звено — КС удостоверяющего центра (промежуточный). Файл выдается в комплекте с ключами и содержит в себе:
- сведения об УЦ с указанием даты его действия;
- сервисный интернет-адрес (через который можно связаться с реестром компании).
Эти данные предоставляются в зашифрованном виде и используются криптопровайдером (на ПК пользователя) для проверки подлинности открытого ключа КЭЦП. Теоретически цифровую подпись можно украсть, но применить ее без установленного сертификата УЦ не получится. То есть вся ЦДС построена таким образом, чтобы предотвратить риски использования чужой подписи мошенниками.
СКПЭП — конечное звено в этой цепи. Его выдает удостоверяющий центр вместе с открытым и закрытым ключами. Сертификат предоставляется на бумажном или цифровом носителе и содержит основную информацию о держателе. Он связывает последовательность символов открытого ключа с конкретным лицом. Другими словами, СКПЭП подтверждает тот факт, что открытый ключ ЭП принадлежит определенному человеку.
Головной КС Минкомсвязи действует до 2036 года, а ПС удостоверяющих центров ликвидны в течение 12 месяцев, после чего необходимо скачать (или получить в УЦ) новый и переустановить его на свой ПК. Сертификат КЭЦП тоже действует не более 1 года, по истечении этого срока клиенту требуется получить новый.
Если возникает ошибка «Этот сертификат содержит недействительную цифровую подпись» , причина может быть в повреждении ЦДС от Минкомсвязи России до пользователя. То есть один из элементов в этой цепи искажен или изменен.
Как решить проблему
В первую очередь стоит удостовериться, что КС корректно установлен и действителен. Для этого используется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В открывшемся списке должен быть документ от ПАК «Минкомсвязь России». Если сертификат отсутствует или он недействителен, его нужно установить, следуя алгоритму:
- Открыть загруженный файл на ПК.
- Во вкладке «Общие» кликнуть «Установить».
- Поставить флажок напротив строчки «Поместить в следующее хранилище».
Выбрать хранилище «Доверенные корневые центры сертификации».
- Продолжить установку кнопкой «ОК» и подтвердить согласие в окне «Предупреждение о безопасности».
После установки появится сообщение, что импорт успешно завершен. Далее рекомендуется перезагрузить компьютер.
Файл выдается удостоверяющим центром вместе с другими средствами для формирования ЭЦП. Если он утерян или удален, следует обратиться в УЦ, в котором был получен СКПЭП.
Если КС Минкомсвязи на месте, но в статусе по-прежнему сказано, что он недействителен, удалите его (выбрать файл и нажать «Удалить») и установите заново.
На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:
Не все ветки могут быть в наличии. Удалите те, что есть, предварительно сохранив их резервные копии в отдельный файл. Перезагрузите ПК и проверьте статус СКЭП — он должен стать действительным.
Этот сертификат содержит недействительную цифровую подпись : устранение ошибки на примере казначейства
Самая распространенная причина недействительности сертификата заключается в нарушенных путях сертификации. Причем проблема может быть не только в файле Минкомсвязи, о котором было сказано ранее, но также в промежуточных и личных СКЭП. Рассмотрим эту причину на примере Управления Федерального казначейства (УФК), которое, среди прочего, тоже занимается выдачей КЭЦП.
Этот сертификат содержит недействительную цифровую подпись: изменение, повреждение файла УФК
Функции УЦ выполняются в территориальных органах Росказны по всей России. Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики должны заверять отчеты ЭП, полученной в УФК.
Если не удается заверить документ ЭП казначейства , и появляется отметка « Этот сертификат содержит недействительную цифровую подпись », предлагается следующий алгоритм действий:
- Перейти в папку «Личное».
- Выбрать СКЭП, который не работает, и перейти во вкладку «Путь сертификации». В качестве головного УЦ будет указан Минкомсвязи РФ, а промежуточного (подчиненного) — Федеральное казначейство. Нижним звеном в этой цепи будет личный СКЭП держателя.
- Если в поле состояния стоит статус недействительности документа, необходимо отследить всю цепочку и выявить «слабое звено».
- Вернуться в раздел «Общие», чтобы убедиться, верно ли указаны сведения о компании, выпустившей СКЭП.
- Выйти из папки «Личное» и перейти в хранилище «Промежуточные центры сертификации».
Если причина именно в этом звене, на вкладке «Общие» отобразятся сведения: «Этот сертификат не удалось проверить, проследив его до …». Значит на этом участке обрывается путь.
- Зайти в раздел «Корневые сертификаты» на веб-ресурсе УФК.
- Скачать файл «Сертификат УЦ Федерального казначейства ГОСТ Р 34.10-2012».
- Импортировать файл на ПК. Процесс импорта аналогичен описанной выше процедуре для головного центра, только в качестве хранилища необходимо выбрать «Промежуточные центры сертификации».
- Перезагрузить компьютер.
На завершающем этапе необходимо перейти в папку «Личное», выбрать нужный СЭП и проверить путь сертификации. Если проблема с промежуточным звеном решена, в графе состояния будет стоять «Этот сертификат действителен». Это означает, что система проверила ЦДС для этого ключа и не выявила никаких ошибок.
Истечение срока
При наступлении нового календарного года пользователь должен установить обновленный промежуточный ключ УЦ на каждый компьютер, где используется КЭП. Операционная система выдаст соответствующее упоминание при запуске. Если не выполнить обновление вовремя, при заверке документов тоже будет возникать уведомление о недействительности ключа. Процедура установки аналогична рассмотренной ранее. Предыдущий ПС удалять необязательно, система все равно будет отмечать его как недействительный.
Для импорта обновленных ключей действующий интернет не нужен, файл автоматически проверяется при первом подключении к сети. Такая проверка производится всего один раз за все время действия ключа.
Этот сертификат содержит недействительную цифровую подпись: проблема с отображением в КриптоПро
При такой ошибке одни ресурсы отклоняют СЭП, а другие без проблем взаимодействуют с ним. Возможно, во втором случае информационный ресурс, на котором пользователь подписывает документ, не проверяет путь до головного УЦ. Устранение проблемы в подобном случае осложняется тем, что весь путь доверия построен без нарушений, а ключ значится как действительный. Можно предположить, что сбой связан с криптопровайдером или браузером.
Некорректная работа КриптоПро
Для проверки необходимо открыть КриптоПро CSP и перейти во вкладку «Алгоритмы». Если параметры алгоритмов пустые, значит софт функционирует некорректно, и его требуется переустановить:
Для переустановки нужно специальное ПО — утилита очистки следов КриптоПро, которую можно скачать на сайте разработчика . Она предназначена для аварийного удаления криптопровайдера. Такой способ позволяет полностью очистить ПК от следов CryptoPro и выполнить корректную переустановку.
Службы инициализации
СЭП может отражаться как недействительный, если не запущена служба инициализации КриптоПро CSP. Это можно проверить следующим образом:
- Запустить системное окно «Выполнить» комбинацией клавиш Win+R.
- Ввести команду services.msc.
- В списке служб выбрать «Службы инициализации».
- Кликнуть правой кнопкой мыши (ПКМ) и выбрать пункт «Свойства».
- Если по каким-то причинам служба отключена, активировать ее и сохранить изменения.
Если все выполнено верно, после перезагрузки компьютера КЭЦП снова будет работать корректно.
Права доступа к реестру
Сбой возможен при отсутствии прав на некоторые файлы в реестре Windows. Для проверки необходимо открыть строку ввода комбинацией Win+R, ввести команду regedit, нажать Enter и перейти по пути для настройки прав в реестре Windows:
У пользователя должны быть права на конечные папки этих веток. Проверить это можно следующим образом:
- Выбрать папку правой кнопкой мыши и нажать на пункт «Разрешения».
- Кликнуть по кнопке «Администраторы» → «Дополнительно».
- Открыть страницу «Владелец».
- Указать значение «Полный доступ».
Эта же проблема решается переустановкой криптопровайдера с помощью описанной выше утилиты для очистки следов.
После обновления Windows до более поздней версии пользователь может видеть уведомление «При проверке отношений доверия произошла системная ошибка». Это тоже связано с недействительностью КЭЦП и нарушением внутренних файлов КриптоПро. Переустановка СКЗИ поможет решить эту проблему.
Сертификат содержит недействительную цифровую подпись : что делать , если сбой связан с браузером
Если пользователь настроил путь доверия и устранил неполадки криптопровайдера, но проблема не решилась, есть вероятность, что она кроется в браузере. В первую очередь это касается подписания документов непосредственно на сайтах государственных систем и контролирующих органов (ЕГАИС, ПФР, ФНС и др.).
Разработчик CryptoPro рекомендует использовать для работы с КЭП только Internet Explorer, так как он встроен в Windows. Но и с этим веб-обозревателем случаются сбои.
Вход под ролью администратора
Обычно после входа под правами администратора все становится на свои места, и ключи работают в привычном режиме. Что предпринять:
- Кликнуть ПКМ по иконке браузера.
- Выбрать пункт «Запуск от имени администратора».
Если ошибка устранена, рекомендуется:
- Снова выбрать ярлык браузера.
- Нажать кнопку «Дополнительно».
- Выбрать «Запуск от имени администратора».
Теперь при каждом запуске права администратора будут автоматически вступать в силу, и пользователю не придется каждый раз менять настройки.
Если используется старая версия веб-обозревателя, рекомендуется обновить ее до последнего релиза.
Отключение антивирусной программы
Некоторые «антивирусники», например, Symantec или AVG, воспринимают КриптоПро как вирусную угрозу, поэтому отдельные процессы криптопровайдера могут быть заблокированы. В результате этого всплывают различные ошибки с СКПЭП. Если нужно срочно заверить электронный документ, рекомендуется на время деактивировать антивирус:
- Кликнуть ПКМ на иконку «антивирусника».
- Нажать «Сетевые экраны» или «Управление экранами».
- Выбрать время, на которое планируется отключить утилиту.
После заверки документов снова запустите программу.
Настройка даты и времени
Также следует проверить актуальность даты ПК. Для этого необходимо:
- Навести мышкой на часы внизу экрана.
- Выбрать «Настройка даты и времени».
- Указать свой часовой пояс, выставить правильные значения и сохранить обновление.
После всех действий рекомендуется перезагрузить компьютер.
Для возможности использования квалифицированной электронно-цифровой подписи (далее — КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:
-
Сертификат ключа проверки ЭП (далее — СКПЭП).
-
Промежуточный сертификат (далее — ПС).
-
Корневой сертификат (далее — KC).
Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.
Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы ее исправить.
В сертификате содержится недействительная цифровая подпись: разбор ситуации, на примере «Тензор»
О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.
Для того, чтобы узнать о состоянии ключа, следует:
-
Войти в меню «Пуск».
-
Открыть раздел «Все программы» и перейти в «КриптоПро».
-
После этого нужно нажать л.к.м. на «Сертификаты».
-
В строке хранилище, отметить нужное.
-
Кликнуть на выбранный сертификат.
-
Открыть раздел «Путь сертификации».
В строке «Состояние» будет отражён статус неактивного сертификата.
Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».
Сообщение об ошибке может отображаться по следующим причинам:
-
Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).
-
Некорректно инсталлирован криптопровайдер КриптоПро.
-
Алгоритмы шифрования СКЗИ не работают, или работают некорректно.
-
Нет доступа к реестровым документам.
-
Версия браузера устарела.
-
На компьютере выставлены неправильные хронометрические данные.
Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.
Цепочка доверия, от министерства цифрового развития и связи до пользователя
До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, — ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.
Принцип построения ЦДС
Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.
КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.
Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:
-
Данные об УЦ и срок действия ключа.
-
Электронный адрес для связи с реестром организации.
Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП.
В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами.
СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП.
СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу.
КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.
Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.
Пути решения ошибки
Для начала необходимо убедиться в том, что КС активен и верно инсталлирован. Для этого применяется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В появившемся перечне должен находиться файл от ПАК «Минкомсвязь России». Если сертификата нет, или он не активен, требуется его инсталлировать:
-
Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».
-
Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».
-
Укажите хранилище «Доверенные корневые центры сертификации».
-
Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.
После инсталляции сертификата, перезагрузите ПК.
Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.
Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно).
Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.
На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:
Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным.
Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам.
Исправление ошибки, на примере казначейства
Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП.
Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).
Изменение или повреждение файла УФК
Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК.
В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:
-
Зайти в раздел «Личное».
-
Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.
-
Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.
-
Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.
-
После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до …».
-
На сайте УФК войти во вкладку «Корневые сертификаты».
-
Загрузить «Сертификат УЦ Федерального казначейства».
-
Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».
-
Выключите и включите ПК.
На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации.
Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.
Истечение срока
Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.
Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть.
Ошибка с отображением в КриптоПро
Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная.
В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера.
Неправильная работа КриптоПро
Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:
Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки.
Сервисы инициализации
СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP.
Для того, чтобы проверить активность службы:
-
Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.
-
После чего вбейте в командной строке services.msc.
-
В перечне служб, укажите «Службы инициализации».
-
Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.
Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.
Что делать, если ошибка вызвана сбоем браузера
Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.
Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.
Вход под администраторскими правами
Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.
Что нужно сделать:
-
Правой кнопкой мыши нажмите на значок браузера.
-
Выберите строку «Запуск от имени администратора».
После того, как ошибка исчезнет:
-
Правой кнопкой мыши нажмите на значок браузера.
-
Кликните на «Дополнительно»
-
И выберите «Запуск от имени администратора».
Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.
Выключение антивирусника
Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого:
-
Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».
-
После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.
Когда электронный документ будет подписан, активируйте антивирусную программу обратно.
Настройка хронометрических данных
Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:
-
Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.
-
Выберите «Настройка даты и времени».
-
Выставьте нужный часовой пояс и правильные значения.
-
Сохраните изменения.
По окончанию настроек выключите, а потом включите ваш ПК.
Наш каталог продукции
У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования
Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.
Какие бывают ошибки
Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:
- Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
- Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
- Проблема при авторизации на торговых площадках.
Рассмотрим неполадки подробнее и разберёмся, как их решать.
Сертификат не найден
Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».
У подобных ошибок могут быть следующие причины:
- На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
- На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
- Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.
Для установки списка отозванных сертификатов:
- Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».
- Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».
- В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.
- Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».
- Следуйте указаниям «Мастера импорта сертификатов».
Не виден сертификат на носителе
Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.
К наиболее распространённым причинам такой проблемы относятся следующие случаи:
- Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
- Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
- Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
- Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.
ЭП не подписывает документ
Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:
- Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
- Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
- Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
- Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
- Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
- Скачайте файл архива.
- Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
- Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.
- Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.
Выбранная подпись не авторизована
Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».
Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.
Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.
Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.
Часто задаваемые вопросы
Почему компьютер не видит ЭЦП?
Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.
О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.
Почему КриптоПро не отображает ЭЦП?
Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.
Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.
Где на компьютере искать сертификаты ЭЦП?
Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:
C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Вместо ПОЛЬЗОВАТЕЛЬ требуется указать наименование используемого компьютера.
Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 4.0
»
Ошибка при установке сертификата «Этот сертификат содержит недействительную цифровую подпись.»
vasik77 |
|
Статус: Новичок Группы: Участники
|
Ошибка при установке сертификата «Этот сертификат содержит недействительную цифровую подпись.» Тот же самый сертификат устанавливается на другие ПК нормально. |
|
|
Андрей * |
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Здравствуйте. Установите новый сертификат УЦ ФК в промежуточные ЦС. или с портала: https://e-trust.gosuslug…o-certificate-card/34590 |
Техническую поддержку оказываем тут |
|
|
WWW |
vasik77 |
|
Статус: Новичок Группы: Участники
|
Автор: Андрей * Здравствуйте. Установите новый сертификат УЦ ФК в промежуточные ЦС. или с портала: https://e-trust.gosuslug…o-certificate-card/34590 Установил сертификат в Промежутоныу УЦ, без результата. Личный сертификат выдает ошибку. Sertifikat3.JPG (94kb) загружен 9 раз(а). Отредактировано пользователем 21 января 2022 г. 19:51:37(UTC) |
|
|
nickm |
|
Статус: Активный участник Группы: Участники Сказал(а) «Спасибо»: 239 раз |
Автор: vasik77 Установил сертификат в промежуточные УЦ, без результата. Личный сертификат выдает ошибку. Проверьте, чтобы его в хранилище «Доверенные корневые центры сертификации» не оказалось — если найдётся, удалите. А также — «Континент TLS» от «Код Безопасности» на АРМ не установлен ли? |
|
|
two_oceans |
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 110 раз |
Добрый день. Цитата: Проверьте, чтобы его в хранилище «Доверенные корневые центры сертификации» не оказалось Цепочка же строится из 3 пунктов, так что мимо. Цитата: А также — «Континент TLS» от «Код Безопасности» на АРМ не установлен ли? Континент нарушает сертификат Минкомсвязи тоже, а тут он в порядке, так что мимо. Да все проще: у ФК сейчас 3 сертификата гост-2012: 2018, 2020, 2021 года. Еще есть на «Казначейство России» от 10 января 2022 года, но им скорее всего за 12 дней пока ничего не подписано. Судя по снимку экрана установлены 2018 года и 2021 года. Желательно установить все, чтобы работал любой из сертификатов, выданных ФК. Андрей дал ссылку на сертификат 2021 года, а конечный сертификат выпущен 24 декабря 2020 года, то есть для него нужен как раз отсутствующий сертификат ФК 2020 года. К слову, проверил на своем сертификате от 23 декабря 2020 года, на вкладке «состав» нет расширения «Доступ к информации о центрах сертификации» со ссылкой на сертификат УЦ, только расширение со адресами списков отзыва. Поэтому либо идете на сайт ФК и скачиваете там, либо на e-trust. https://roskazna.gov.ru/…tr/kornevye-sertifikaty/ — федеральный сайт ФК, выбираете год! https://e-trust.gosuslug…o-certificate-card/23754 ноябрь 2018 года Отредактировано пользователем 22 января 2022 г. 15:52:03(UTC) |
|
|
vasik77 |
|
Статус: Новичок Группы: Участники
|
Автор: two_oceans Добрый день. Цитата: Проверьте, чтобы его в хранилище «Доверенные корневые центры сертификации» не оказалось Цепочка же строится из 3 пунктов, так что мимо. Цитата: А также — «Континент TLS» от «Код Безопасности» на АРМ не установлен ли? Континент нарушает сертификат Минкомсвязи тоже, а тут он в порядке, так что мимо. Да все проще: у ФК сейчас 3 сертификата гост-2012: 2018, 2020, 2021 года. Еще есть на «Казначейство России» от 10 января 2022 года, но им скорее всего за 12 дней пока ничего не подписано. Судя по снимку экрана установлены 2018 года и 2021 года. Желательно установить все, чтобы работал любой из сертификатов, выданных ФК. Андрей дал ссылку на сертификат 2021 года, а конечный сертификат выпущен 24 декабря 2020 года, то есть для него нужен как раз отсутствующий сертификат ФК 2020 года. К слову, проверил на своем сертификате от 23 декабря 2020 года, на вкладке «состав» нет расширения «Доступ к информации о центрах сертификации» со ссылкой на сертификат УЦ, только расширение со адресами списков отзыва. Поэтому либо идете на сайт ФК и скачиваете там, либо на e-trust. https://roskazna.gov.ru/…tr/kornevye-sertifikaty/ — федеральный сайт ФК, выбираете год! https://e-trust.gosuslug…o-certificate-card/23754 ноябрь 2018 года Дичайше благодарен за столь подробное м крайне нужное объяснение!!!! |
|
|
Андрей * |
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 451 раз |
Автор: vasik77 И можно на будущее мирни ликбез по этому поводу, чтобы на эти грабли не вставать далее. в идеале — в сертификате пользователя есть ссылка на сертификат УЦ, Snimok ehkrana ot 2022-01-24 18-33-00.png (60kb) загружен 7 раз(а). |
Техническую поддержку оказываем тут |
|
|
WWW |
Пользователи, просматривающие эту тему |
Guest |
Форум КриптоПро
»
Средства криптографической защиты информации
»
КриптоПро CSP 4.0
»
Ошибка при установке сертификата «Этот сертификат содержит недействительную цифровую подпись.»
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Обычно работа с электронной цифровой подписью не вызывает сложностей, но иногда при подписании документа возникает ошибка о содержании в сертификате недействительной цифровой подписи. Решение ошибки зависит от причины и момента возникновения и обычно ограничивается переустановкой программного обеспечения.
Содержание
- 1 Причина: переустановка OS Windows
- 2 Причина: не запущена служба инициализации
- 3 Ошибка при работе в СУФД
- 4 Ошибка сертификата при работе в ЕГАИС
- 5 Ошибка при работе в КриптоАрм
Причина: переустановка OS Windows
После переустановки Windows или установки обновлений сертификаты, имеющие ключи менее 1024 битов, становятся недействительными и блокируются. Для снижения риска компрометации ключей электронной подписи было выпущено специальное обновление, блокирующее ненадежные ключи RSA (криптографический алгоритм, сокращение от Rivest, Shamir и Adleman).
frustrated office worker
Решение
Проблему можно решить несколькими командами, которые задаются через командную строку (комбинация клавиш Win+R и введение в поисковом окне cmd).
Чтобы разрешить использование корневого сертификата (КС) с длиной менее 1024 бит, нужно использовать команду certutil: certutil -setreg chainEnableWeakSignatureFlags. Для разрешения регистрации и блокировки закрытых ключей ЭЦП используют команду certutil -setreg chainEnableWeakSignatureFlags. Для включения регистрации сертификатов RSA ниже КС используют certutil: certutil -setreg chainEnableWeakSignatureFlags. Для регистрации без блокировки ключей электронной подписи длиной менее 1024 бит задают команду certutil: certutil -setreg chainEnableWeakSignatureFlags.
Причина: не запущена служба инициализации
Иногда ошибка недействительности подписи связана со сбоем в службе инициализации. Обнаружить это можно, если попробовать посмотреть любой из закрытых ключей электронной подписи в хранилище.
Решение
Чтобы устранить ошибку нужно:
- Открыть командную строку (Win+R) и ввести в строке поиска cmd.
- Выполнить команду certmgr.msc.
- Открыть «Доверенные КС» и проверить статус интересующего закрытого ключа.
- Выполнить команду services.msc.
- Посмотреть состояние «Службы инициализации КриптоПро».
- Открыть через «Свойства» КриптоПро вкладку «Алгоритмы».
Обычно причина ошибки в том, что не все поля заполнены. После введения недостающей информации и перезагрузки программы ошибка исчезает.
Ошибка при работе в СУФД
Иногда при работе системы удаленного финансового документооборота также выходит ошибка о недействительности электронной подписи. Причин может быть несколько — это и отсутствие личных сертификатов, и устаревшая версия Java и даже неправильно выбранный пользователь.
Решение
Для проверки наличия личных сертификатов нужно перейти: «Панель управления»/«Свойства обозревателя»/«Содержание»/папка «Сертификаты». Если они личные, то необходима установка КриптоПро.
Для корректной работы подписи необходима версия Java 6 update 17 и выше. Также важно проверить, включены ли в используемом браузере плагины Java. Сделать это можно так:
- для IE: «Сервис»/«Надстройки»/«Панель инструментов». В открывшемся меню все пункты, относящиеся к Java, должны быть активны.
- для Firefox: «Инструменты»/«Дополнение»/«Расширения»/«Плагины». Также в новом окне должны быть активны все пункты, связанные с Java.
Также нужно проверить «Документарный контроль» и очередность подписей, используемый ключевой носитель и соответствие учетной записи.
Ошибка сертификата при работе в ЕГАИС
Во время работы в Единой Государственной Автоматизированной Информационной Системе (ЕГАИС) проблема с недействительной подписью возникает реже и обычно из-за отсутствия личного сертификата или повреждения ключевого носителя.
Как устранить
Для устранения ошибки нужно:
- Проверить действительность личного сертификата.
- Проверить наличие контейнера на носителе ЭЦП и файла с расширением .cer.
- При помощи КриптоПро сделать копию и установить с копии новый личный сертификат.
- Переместить содержимое ключевого носителя в любое место на ПК, а если данные повреждены и копирование не удается, восстановить при помощи специальной программы (badcopy).
- Переустановить КриптоПро.
Обычно после переустановки программы и повторной загрузки КС проблема исчезает. При повторном появлении ошибки лучше обратиться в техническую поддержку.
Ошибка при работе в КриптоАрм
Проблема с недействительной подписью при работе в КриптоАрм может быть вызвана и истекшим сроком сертификата, и тем, что ключ ЭЦП попал в список отозванных сертификатов, и в невозможности построить цепочку сертификатов.
Как устранить
Чтобы устранить ошибку, нужно проверить адрес OCSP службы в сертификате. В поле «Доступ к информации о центрах сертификации» обычно не ставится пункт «Метод доступа». Сделать это можно так:
- «Пуск»/«Все программы»/«Сертификаты»/«Пользователь»/«Личное»/«Сертификаты».
- В правой части рабочего окна открыть нужный сертификат.
- Открыть вкладку «Состав»/«Доступ к информации…».
Если данное условие нарушено, то необходимо обратиться в удостоверяющий центр, выдавший электронную подпись, и попросить изготовить новую ЭЦП в формате CAdeS XLONG.
Если создание ЭЦП требует использования штампа времени, то построение цепочки без подписи данного формата невозможно. Для устранения ошибки понадобится установка сертификата тестовой службы штампа времени с официальной страницы удостоверяющего центра, изготовившего ЭЦП в хранилище доверенных центров сертификации. После этого рекомендуется выполнить проверку на тестовой странице удостоверяющего центра и, если ошибка повторяется, еще раз обратиться в УЦ для проверки корректности работы ЭЦП.
Если не удается построить цепочку сертификатов, то нужно убедиться в отсутствии проблем с интернетом. Ошибка может возникать при нестабильном сигнале сети. Затем нужно проверить наличие КС удостоверяющего центра. Сделать это просто:
- Открыть КриптоПро и вкладку «Сертификаты».
https://rusadmin.biz/files/2018/10/step03que02pic01.png
- Выбрать необходимый центр.
- Выбрать «Доверенные сертификаты».
- Перейти в «Реестр» и «Сертификаты».
- Выбрать в списке КС нужного удостоверяющего центра.
При отсутствии сертификата его скачивают с официального сайта удостоверяющего центра, но обычно он находится в папке с КС и его нужно только установить. Для корректной работы в дальнейшем лучше пользоваться браузером Internet Explorer, т.к. в других браузерах возможны ошибки и сбои из-за некорректной работы плагинов.
Установка КС происходит автоматически при нажатии кнопки «Установить» и занимает несколько секунд. После этого браузер и ПК нужно перезагрузить.
https://rusadmin.biz/files/2018/10/uc.jpg
Обычно проблему с недействительной подписью в сертификате можно решить собственными силами. Помогает как переустановка криптопровайдера со всеми сертификатами, так и проверка на срок действия и даже соответствие носителя ЭЦП используемой подписи. Если после всех действий ошибка повторяется, то лучше обратиться в службу технической поддержки удостоверяющего центра, изготовившего ЭЦП.
Ошибка «Этот сертификат содержит недействительную подпись» возникает при работе с личными сертификатами, которые используются для подписи электронных документов с использованием КриптоПРО. На разных форумах предлагают разные решения и судя по отзывам многие из них действительно помогают. Один из таких советов меня подтолкнул к решению проблемы. Я хочу поделиться всеми способами решения, которые я узнал, потому-что причины появления этой ошибки могут быть разными.
Наиболее частая причина появления ошибки «Этот сертификат содержит недействительную подпись» кроется в некорректных путях сертификации от личного сертификата до головного удостоверяющего центра, поэтому ее рассмотрим в первую очередь.
Другие причины появления ошибки: неисправность алгоритмов шифрования КриптоПРО CSP и нарушение прав доступа к ветке реестра.
Некорректный путь сертификации
Эта та самая проблема, с которой пришлось столкнуться мне.
Удивительно, но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.
Чтобы устранить ошибку «Этот сертификат содержит недействительную подпись» необходимо восстановить всю цепочку сертификации, установив в хранилище сертификаты всех промежуточных УЦ и Головного удостоверяющего центра.
Открываем хранилище сертификатов при помощью консоли certmgr.msc
Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.
Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».
В поле состояние сертификата наблюдаем ошибку: «Этот сертификат содержит недействительную подпись».
Теперь нам надо отследить всю цепочку сертификатов, которая содержит промежуточные сертификаты и сертификат головного удостоверяющего центра.
Вернемся на вкладку «Общие», чтобы проверить кем выдан личный сертификат. Сертификат выдан той же организацией, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.
Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.
Переходим по ссылке http://e-trust.gosuslugi.ru/CA и находим свой удостоверяющий центр.
Находим в списке сертификат, который соответствует условиям.
Средства УЦ: КриптоПРО УЦ 2.0
Кем выдан: CN=Головной удостоверяющий центр
Действует: текущая дата входит в указанный промежуток дат.
Щелкаем по ссылке в поле «Отпечаток» и скачиваем сертификат.
Этот сертификат необходимо установить в промежуточные центры сертификации.
Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.
В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.
Не работают алгоритмы шифрования КриптоПРО CSP
Открываем КриптоПРО CSP и переходим на вкладку «Алгоритмы».
Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.
Для переустановки КриптоПРО CSP может потребоваться инструмент «Утилита очистки следов установки КриптоПРО» для полного удаления программы из операционной системы. Скачать его можно отсюда.
Нарушение прав доступа к ветке реестра.
Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.
Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.
Любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков
Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.
Какие бывают ошибки
Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:
- Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
- Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
- Проблема при авторизации на торговых площадках.
Рассмотрим неполадки подробнее и разберёмся, как их решать.
Сертификат не найден
Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».
У подобных ошибок могут быть следующие причины:
- На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
- На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
- Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.
Для установки списка отозванных сертификатов:
Не виден сертификат на носителе
Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.
К наиболее распространённым причинам такой проблемы относятся следующие случаи:
- Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
- Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
- Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
- Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.
ЭП не подписывает документ
Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:
- Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
- Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
- Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
- Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
- Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
- Скачайте файл архива.
- Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
- Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.
- Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.
Выбранная подпись не авторизована
Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».
Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.
Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически. Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.
Часто задаваемые вопросы
Почему компьютер не видит ЭЦП?
Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.
О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.
Почему КриптоПро не отображает ЭЦП?
Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.
Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.
Где на компьютере искать сертификаты ЭЦП?
Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:
C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Вместо ПОЛЬЗОВАТЕЛЬ требуется указать наименование используемого компьютера.
Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.