Ошибка преобразования данных ответа есиа

Ошибка авторизации в ЕСИА [solved]

Ок, берем корректные сертификаты отсюда e-trust.gosuslugi.ru/MainCA и заменяем ручками. Ноль эффекта.
Местные казначеи сами в растерянности, в область не дозвониться.
Как думаете, уважаемые знатоки, это факап федерального масштаба, регионального или есть костыли и подорожник?

Ок, берем корректные сертификаты отсюда e-trust.gosuslugi.ru/MainCA и заменяем ручками. Ноль эффекта.
Местные казначеи сами в растерянности, в область не дозвониться.
Как думаете, уважаемые знатоки, это факап федерального масштаба, регионального или есть костыли и подорожник?

MotoArhangel пишет: который нежданно аннулировали 22.07.2017

P.S. Привет соседям-сибирякам!

MotoArhangel пишет: Проблема с корневым УЦ ФК. Т.е. все сертификаты выданные УЦ с использованием старого корневого сертификата (который нежданно аннулировали 22.07.2017) по факту являются не действительными.

MotoArhangel пишет: Проблема с корневым УЦ ФК. Т.е. все сертификаты выданные УЦ с использованием старого корневого сертификата (который нежданно аннулировали 22.07.2017) по факту являются не действительными.

О каком именно корневом серте УЦ ФК речь? На картинке, приведенной SibUrsus, не вижу ссылок на корневой серт старого УЦ ФК с датами действия с 28.06.2013 по 28.06.2018, под которым и создавались все казначейские серты пользователей, в т.ч. и для госуслуг. Вероятно для ЕСИА и ГУ дополнительно используются еще и другие корневые УЦ ФК. Тогда кому и главное ЗАЧЕМ взбрело в голову досрочно прихлопывать? (проблемы с ЭП возникли и в ЭБ судя по форуму).

А кому и зачем, это уже вопрос к Москве.

Перед отправкой документа выполняется проверка подписей на доведение до УЭП, а также проверка на полноту набора подписей. Если подписи документа не удовлетворяют требованиям, то документ не будет отправлен (статус передачи при этом не изменяется). Пользователю выводится сообщение о том, что «Подпись не доведена до УЭП»

Основная структура реализации:
Передается XML-документ, подписанный ЭП, возвращается XML-документ с УЭП или сообщение об ошибке. Для организации данной идеи используется так называемый ПКВС(Криптографический веб-сервис доведения ЭП до УЭП )

Вот на этом то этапе и возникает проблема, т.к. старый сертификат проверить нет возможности по причине наличию у ФК головного УЦ в виде Минкомсвязи. Еще раз изменена цепочка сертификатов(Цепочка доверия ). Из вышеизложенного не сложно догадаться как решился вопрос с подписью в ЭБ.

Если локально установить самоподписанный вариант, то локальная цепочка доверия восстановится. Проблема в том, что ГАС/ГИС/ЕИС проверяют цепочку от ГУЦ в рамках единого пространства доверия, а нет от самоподписанного сертификата УЦ ФК. У меня установлен самоподписанный вариант, но ГАС «Управление» отклоняет сертификат. Однако ЕСИА принимает.

В целом, ситуацию можно оценить так: когда сертификат УЦ ФК перевыпускался на УЦ2, срок действия ограничили по сроку действия сертификата УЦ2, но об этом факте все как-то забыли. Сейчас получается ничего не аннулировали, просто штатно закончился срок действия УЦ2 и с ним кросс УЦ ФК. Соответственно, сертификат УЦФК 2013 года выпал из единого пространства доверия. Вопрос «кому и зачем» отпадает.

Источник

Что Значит Произошла Ошибка При Проверке Кода Доступа После Авторизации на Есиа

Самая первая ошибка, с которой может столкнуться пользователь — вход в Единую информационную систему.

Ошибки в ЕИС: самые распространенные проблемы и их решение

При работе в Единой информационной системе проблемы могут возникнуть на любом этапе: начиная с регистрации на портале, заканчивая нерабочим поиском госзакупок.

Самая первая ошибка, с которой может столкнуться пользователь вход в Единую информационную систему.

Далее будут рассмотрены проблемы, причинами которых являются проблемы с ПК пользователей. Проблема: ЕИС не работает

Произошла Ошибка При Проверке Кода Доступа После Авторизации Есиа|произошла Ошибка При Проверке Кода Доступа После Авторизации|произошла Ошибка При Проверке Кода Доступа Есиа

Проблема: ЕИС не удается безопасно подключиться к этой странице

Программы и компоненты КриптоПро CSP Изменить Служба хранения ключей. Проблема: хранилище сертификатов недоступно в ЕИС

Ошибки в ЕИС: самые распространенные проблемы и их решение

Установка займет какое-то время. Если КриптоПро у вас подходящей версии, то автоматически должен произойти вход в Единую информационную систему при помощи электронной цифровой подписи.
Чтобы решить проблему, связанную с некорректной работой поисковика в Единой информационной системе нужно:

Подтверждение электронного документа — это проверка подлинности файла, отправленного с использованием электронной подписи. Здесь доступны три варианта проверки: ЭП — в формате PKCS#7, ЭП — отсоединенная, в формате PKCS#7 и ЭП — отсоединенная, в формате PKCS#7 по значению хэш-функции.

Сайт госуслуг не видит ЭЦП

Если по-прежнему не работает электронная подпись на Госуслугах, переустановите плагин.
В случае если портал Госуслуги не видит электронную подпись и не разрешает вход, следует обратиться в удостоверяющий центр, в котором была приобретена ЭЦП, либо к сотрудникам сайта Госуслуг. Однако ряд действий можно произвести самостоятельно. налоговой отчетности и уплаты налогов.

Если программа при проверке выдает ошибку, то ее причина может быть в изначально неправильной первичной регистрации. Даже один неверно введенный символ может стать предпосылкой того, что система отказывается принять введенную информацию. Исходя из этого, нужно правильно делать учетную запись.

Что делать, если СНИЛС не проходит проверку на сайте; Госуслуги: почему пишет, что свидетельство уже зарегистрировано

Когда на сайте Госуслуги не проходит СНИЛС, то все эти возможности оказываются недоступными.
Портал «Госуслуги» является крупнейшим в стране электронным ресурсом, содержащим все существующие в ней учетные данные относительно кадастров, реестров и справочной информации. Чтобы начать работу, нужно ввести номер СНИЛС и подтвердить его, используя свой персональный пароль.

Измените уровень вашей учетной записи ЕСИА на «Подтвержденная».
Подробнее — https://www.gosuslugi.ru/help/faq/c-1/2

Если это не помогло свяжитесь со службой технической поддержки через форму обратной связи и сообщите свой email. По возможности опишите последовательность действий, вызвавших проблему. Приложите скриншот страницы личного профиля по ссылке — https://esia.gosuslugi.ru/profile/user/personal

Произошла ошибка при проверке кода доступа после авторизации на есиа что делать

Убедитесь, что в вашем профиле ЕСИА на портале www.gosuslugi.ru указан корректный СНИЛС, а учетная запись имеет статус «Подтвержденная».
Обращаем ваше внимание, что обновление данных может занять время: от нескольких минут до пяти суток. Попробуйте авторизоваться позже.

Измените уровень вашей учетной записи ЕСИА на Подтвержденная.

Некорректная информация о СНИЛС

Если это не помогло свяжитесь со службой технической поддержки через форму обратной связи и сообщите свой email. По возможности опишите последовательность действий, вызвавших проблему. Приложите скриншот страницы личного профиля по ссылке — https://esia.gosuslugi.ru/profile/user/personal Как исправить

Обращаем ваше внимание, что обновление данных может занять время от нескольких минут до пяти суток.

Источник

Ошибка внешней информационной системы в электронном дневнике

Поскольку многие ученики занимаются удаленно, родители и учащиеся начали переходить на электронные форматы обучения. Многие столкнулись проблемой: ошибка внешней информационной системы в электронном дневнике. Помимо этого часто вы можете увидеть такое уведомление: К сожалению, Вас не удалось корректно определить в системе «Электронный дневник». Сегодня, разберём почему ошибка может появляться на ваших устройствах и расскажем как исправить проблему самостоятельно.

Причины ошибок при работе с электронным журналом и дневником

С октября электронный журнал и дневник работают со сбоями, условно есть две основные причины сбоев:

В первом случае мы должны подождать, если до этого всё работало нормально и ошибка появилась спонтанно. Во втором случае рассмотрим официальный ответ разработчика uslugi_mos.

Как исправить проблемы с доступом к ЭД

В первую очередь заходим под своим логином паролем в учетную запись и проверяем как заполнены поля в графах личного кабинета:

Если какие-то поля оказались незаполненными – добавьте и по необходимости обновите информацию. Вводить нужно действительный электронный адрес и номер телефона. Они должны полностью СОВПАДАТЬ с данными, которые вы указывали в школе. После проделанных действий, залогиньтесь в дневнике еще раз.

Если войти не получается

Если войти под своим логином, паролем не получилось, следует связаться со своим классным руководителем, любым удобным способом. Быстрее всего сделать это по телефону и если он на рабочем месте передать ему данные: номер телефона и адрес e-mail.

Если вы хотите, что бы ваш ребёнок самостоятельно пользовался электронным дневником – нужно создать ему собственную учетную запись на сайте mos.ru. В этом случае вы должны использовать его данные: почту и номер мобильного.

Эти данные можно передать в письменном варианте классному руководителю, что бы он внёс данные в систему электронного дневника. После регистрации и проверки доступ будет активирован и ученик сможет воспользоваться услугой самостоятельно.

Ученик осваивает электронный дневник самостоятельно

Выводы

Как видим для решения ошибки внешней информационной системы в электронном дневнике достаточно проверить все вводимые данные. Используйте свою учетную запись или создайте отдельную для ребенка. Возможно при регистрации в дневнике вы указывали номер телефона ребёнка, а при создании учетной записи на сайте Мос.ру указали свои данные. В обоих случаях информация должна совпадать, а поля в личном кабинете заполнены. Если после описанных действий выше ничего не заработало – обращайтесь к классному руководителю. Дополнительно уточните у знакомых родителей работает ли приложение или сайт, возможно проблема массовая или произошел технический сбой, который скоро исправят.

Источник

Неподтвержденная учетная запись в ЕСАИ что это значит

При регистрации на порталах при помощи ЕСАИ открывается уведомлением «Неподтверждённая учётная запись». Что это значит и почему запись неподтверждённая – предстоит разобраться в этом вопросе далее.

Что такое ЕСАИ?

Единая Система Идентификации – это цифровой аккаунт каждого российского гражданина. При посещении различных сайтов госучреждений он необходим для быстрого входа и определения паспортных данных посетителя. Создаётся она после того, как пользователь регистрируется на Госуслуги. Единая база данных граждан формируется автоматически и в дальнейшем может стать полноценным виртуальным паспортом.

Сайт Госуслуги является удобным видом создания записи в реестре ЕСИА. После регистрации некоторые данные требуют подтверждения. В Интернете есть много полезных и полных инструкций, описывающих процесс полностью.

Как подтвердить учётную запись ЕСИА

Существует несколько способов как можно подтвердить свой аккаунт, не выходя из дома. Среди них является самым простым – через Сбербанк онлайн. Так как его карта есть практически у каждого. Понадобится выполнить вход в Сбер и запросить подтверждение данных. Банку уже были предоставлены копии необходимых документов – паспорта и СНИЛС. И сайт банка будет вынужден поделиться ими с порталом Госуслуги. А нам не придётся посещать одно из рекомендуемых учреждения для предоставления копий или оригинала документов.

Следует внимательно отнестись к информации в ваших документах. Если какие-то данные были изменены после регистрации на Госуслуги, выберите пункт в форме «Изменить данные». Иначе после подтверждения при использовании учётной записи государственного портала могут возникнуть проблемы.

Что делать, если учётная запись подтверждена

Иногда от граждан, которые уже зарегистрировались и подтвердили свои данные, при входе система утверждает, что учётная запись в ЕСАИ не подтверждена. В таких ситуациях непонятно, что делать дальше. Если у вас случилась подобная ситуация, необходимо обратиться в центр поддержки портала Госуслуги https://www.gosuslugi.ru/help/faq/lichnyy_kabinet.

Эта страница открывает быстрые ответы на вопросы, а также возможность написать свой вопрос.

В обращении напишите о том, когда и как вы делали подтверждение свои документов на Госуслугах или прочих сайтах. Попросите проверить этот факт. Если с вашим аккаунтом на портале возникли какие-либо сложности, оператор подскажет дальнейшие действия, чтобы решить эту проблему. Есть другие виды контактов. На странице поддержки найдите кнопку «Другие способы связи». Разверните список и найдите номера телефонов и страницы в социальных сетях.

Какая разница между подтверждённой и не подтверждённой учётной записью

На портале Госуслуги существует три вида аккаунта – стандартный, подтверждённый и упрощённый. Каждому доступны свои наборы услуг и возможностей. Сразу же после простой регистрации пользователю доступна статистическая информация и прочие сведения. Здесь можно лишь ознакомиться с некоторыми разделами сайта. После предоставления стандартного пакета документов владельцу аккаунта открываются другие возможности:

После того, как пользователь подтвердит свою персону и соответствие указанных документов, у него появляется полный список возможностей. Среди них: подача заявок на смену документов, регистрация авто, отслеживание счёта в Пенсионном фонде и многие другие. Полный перечень доступен в личном кабинете Госуслуг.

Другие способы подтверждения данных для ЕСИА

Процесс подтверждения является значимы для граждан, которые ведут собственные дела, часто обращаются в госорганы за различного рода бумагами. Подтвердить свою учётную запись есть возможность при помощи цифровой подписи. Открыть её можно через сайт Почта России заказным письмом или заполнением бланка, взятого в отделении. Другой способ предполагает личное посещение одного из отделений МФЦ вашего города. Все эти способы едины как для физического лица, так и для юридического.

Видеоинструкция

В этом видео продемонстрировано, что необходимо делать в случае, если ваша учётная запись ЕСИА не подтверждена.

Источник

Что делать, если возникли проблемы с входом в электронный дневник школьника в подсистеме «Электронная школа»?

Ответы 2

Добавление ответа

Ответы

С 1 сентября 2018 года в подсистеме «Электронная школа» отключена возможность авторизации пользователей через логин и пароль, которые выдавались ранее через внутренний интерфейс «Электронной школы».

Теперь пользователи с ролью Сотрудник, Родитель, Ученик (старше 14 лет) смогут войти в подсистему только через учетные данные портала Госуслуг.

Для этого необходимо:

Если Вы зарегистрированы в ЕСИА, то выполните авторизацию через ваши учетные данные в ЕСИА:

Откроется Рабочий стол Системы.

Если Вы не зарегистрированы в ЕСИА, нажмите на кнопку «Зарегистрируйтесь». Заполните необходимые данные и нажмите на кнопку «Зарегистрироваться». После создания учетной записи обратитесь в удобный Вам Центр обслуживания для подтверждения личности. (Полная инструкция по регистрации пользователей в ЕСИА расположена по адресу).

Внимание! У каждого пользователя в подсистеме «Электронная школа» должен быть указан СНИЛС. Если у пользователя в учетной записи подсистемы «Электронная школа» не введен СНИЛС, войти через ЕСИА в подсистему «Электронная школа» он не сможет. Необходимо сообщить СНИЛС в образовательную организацию.

Если пользователь имеет несколько ролей (например, Вы являетесь сотрудником образовательной организации и родителем школьника), подсистема «Электронная школа» выдаст для выбора список ролей.

*Пользователи с ролью Ученик младше 14 лет смогут войти в подсистему по-старому, через внутренний логин и пароль.

Источник

Предисловие

Передо мной стояла задача по интеграции нашего сервиса с госуслугами. Казалось ничего сложного не предстоит, но учитывая что наш сервис базируется на технологии ASP.NET всё было не так оптимистично. В начале были поиски.. много поисков, которые привели к множеству разрозненной и чаще всего неактуальной информации. Так же были найдены уже готовые решения, но как заявляли некоторые товарищи на форумах за такое могут и по головке погладить. Поэтому было решено писать самому.

Эта статья скорее больше актуализация и дополнение информации из этой статьи.

Введение

На сайте Минцифр есть методичка максимально раздутая и очень запутанная, но пользоваться ею нам всё равно придётся. Мы будем работать с ЕСИА версии 3.11 (актуальная на момент написания статьи). Кратко наши действия заключаются вот в чем:

1. Регистрация ИС в регистре информационных систем ЕСИА

2. Регистрация ИС в тестовой среде

3. Выполнение доработки системы для взаимодействия с ЕСИА

Звучит довольно просто, но каждый шаг целая отдельная история приключений. Регистрация ИС в ЕСИА приключение для бюрократа. Поэтому в этой статье мы немного посмотрим на второй шаг, и детально распишем реализацию.

Содержание

• Настройка ИС

• Сертификаты ИС

• Получаем client_certificate_hash

• Формирование client_secret

• Собираем ссылку для авторизации в Госуслугах

• Получение токена доступа

• Проверка токена

• Получение данных пользователя из ЕСИА

Всё необходимое

Минцифры требуют использование сертифицированного ПО для криптографии. Поэтому мы будем использовать КриптоПРО CSP + КриптоПРО .Net + КриптоПРО .NetSDK. Всё это можно скачать с офф. сайта КриптоПРО. На время разработки лучше использовать триал версию.

Наш инвентарь для путешествия:

• КриптоПРО CSP

• КриптоПРО .Net

• КриптоПРО .NetSDK

• Контейнер закрытого ключа с сертификатом нашей организации

• Много терпения

Немного о КриптоПРО CSP + .Net Core 5+

Вот тут и начинаются первые проблемы. На момент написания статьи у КриптоПРО .Net нет поддержки .Net Core 5 и выше. Есть сборка под .Net Core 3.1 но и она выглядит сомнительно. Поэтому было решено поднять сервис для .Net Framework 4.8 который будет использовать средства КриптоПРО CSP для подписания с использованием ЭЦП, а так же проверки ответов от ЕСИА.

Немного о контейнере закрытого ключа и сертификата

Когда мы начинали делать эту задачу у нас была КЭП на токене, но как оказалось на нём был неэкспортируемый контейнер. Скажу сразу, что экспортировать контейнер с такого токена запрещено ФНС. Поэтому необходимо заранее получить токен на имя сотрудника с экспортируемым контейнером. Так как его необходимо будет скопировать на сервер.

Приступаем

Начнём с того, что вы уже отправили заявку регистрации ИС в ЕСИА и её приняли. А так же отправили заявка на тестовую среду. Приступим к этапу настройки ИС в тестовом кабинете электронного правительства. Вот ссылка на тестовую страницу. Логинимся под тестовой учетной записью тестового пользователя 006(все данные лежат в приложении к работе с тестовой средой), так как он имеет доступ к управлением ИС.

Здесь ищем нашу систему по Мнемонике или полному названию, если таковой нет то создаём. Напротив нашей системы есть две кнопки:
Первая кнопка — изменить нашу ИС (информация о ИС, редиректы и тд)
Вторая кнопка — наши сертификаты с помощью которых мы подписываем сообщения в ЕСИА

Настройка ИС

Есть важный момент в настройки ИС. Это URL системы. Тут мы указываем ссылки куда ЕСИА может делать переадресацию при запросе от нашей ИС. На эти точки будет приходить авторизационный код (Если он указан в запросе).

Сертификаты ИС

Здесь мы можем загрузить наш сертификаты или же удалить их. Есть один важный момент, каждая ИС может иметь только один уникальный сертификат. А связи с тем, что на тестовой среде все системы регистрируются под одним пользователем и сертификаты тестовые одни на всех часта такая ситуация, что кто-то удаляет у вас сертификат и загружает к себе. А ваши запросы теперь падают с ошибкой) Но если у вас уже готов ЭЦП на сотудника, то лучше используйте её.

Реализуем

Мы закончили с настройки нашей ИС и можем приступить к реализации. Надеюсь вы уже установили КриптоПРО и всё необходимое для него. Если нет, я подожду…

Устанавливаем сертификаты

Такс~ Всё готово. Качаем сертификаты по ссылке из методички. Специально не буду вставлять, так как может измениться.

Здесь нам интересен сертификат ТЕСИА ГОСТ 2012.cer — это сертификат с помощью которого ЕСИА подписывает сообщения отправляя в нашу ИС. (Соответственно для продуктовой среды свой сертификат). Устанавливаем сертификат как доверенный. Здесь ничего сложного думаю разберётесь.

Теперь устанавливаем тестовый контейнер и сертификат. Для примера будем использовать предоставленные ЕСИА контейнеры, но вы можете использовать свои. Всё это лежит внутри архива.

В архиве лежит папка d1f73ca5.000 — это контейнер нам необходимо его переместить по пути C:UsersUserAppDataLocalCrypto Pro

Теперь открываем КриптоПРО CSP. Выбираем установить личный сертификат и указываем Тестовое ведомство Фамилия006 ИО.cer и нажимаем найти автоматически. Выполняем оставшиеся шаги сами.

Механизм подписания

Пожалуй начинается самая важная и самая запутанная часть всего пути. Здесь мы реализуем сервис для работы с подписью. И так делаю выжимку из методических материалов, чтобы Вам не пришлось читать много текста.

Для получения авторизационный ссылки — ссылка на которую мы будем переадресовывать пользователя для авторизации в ЕСИА. Нам необходимо собрать ссылку из параметров.

1. client_id — наша Мнемоника

2. client_secret — Отсоединённая подпись от параметров запроса в кодировке UTF-8

3. redirect_uri — ссылка на которую ЕСИА будет переадресовывать пользователя вместе с авторизационным кодом

4. scope — перечень запрашиваемой информации. Например fullname birthdate gender

5. response_type — тип ответа от ЕСИА, в нашем случае это просто строчка code

6. state — Идентификатор текущего запроса. Генерируется таким образом Guid.NewGuid().ToString("D");

7. timestamp — время запроса авторизационного кода в формате yyyy.MM.dd HH:mm:ss Z. Генерируется таким образом DateTime.UtcNow.ToString("yyyy.MM.dd HH:mm:ss +0000");

8. client_certificate_hash — это fingerprint сертификата в HEX-формате.

Обозначили наш зоопарк. Самый важный зверь здесь client_secret

Получаем client_certificate_hash

В методическом указании от Минцифр есть ссылка на специальную утилиту с помощью которой мы можем получить этот хэш. Разархивировали архив и видим перед нами sh. Windows пользователи не пугаемся, на самом деле тут же лежит .exe файл. Чтобы вычислить хэш нашего сертификат просто необходимо из cmd запустить вот такой скрипт:

cpverify.exe test.cer -mk -alg GR3411_2012_256 -inverted_halfbytes 0

Формирование client_secret

Такс перед тем как просто получит client_secret нам необходимо сделать:

• ASP.Net Framework 4.8 WebAPI — тот самый сервис который будет работать с КриптоПРО CSP

Пропустим множество шагов создания этого сервиса и перейдём сразу к его настройки для работы с КриптоПРО CSP.

Настройка сервиса для работы с КриптоПРО CSP

Теперь создаём контроллер:

Код контроллера

const string CertSerialNumber = "01f290e7008caed0904b967783fd0e4ad6";
const string EsiaCertSerialNumber = "0125657e00a1ae59804d92116214e53466";

[HttpGet]
public string Get(string msg)
{
    msg = Base64UrlEncoder.Decode(msg);

    var data = Encoding.UTF8.GetBytes(msg);

    var client_secret = Sign(data);

    return client_secret;
}

string Sign(byte[] data)
{
    var gost3411 = new Gost3411_2012_256CryptoServiceProvider();
    var hashValue = gost3411.ComputeHash(data);
    gost3411.Clear();
    var signerCert = GetSignerCert();
    var SignedHashValue = GostSignHash(hashValue,
        signerCert.PrivateKey as Gost3410_2012_256CryptoServiceProvider, "Gost3411_2012_256");
    var client_secret = Base64UrlEncoder.Encode(SignedHashValue);

    return client_secret;
}

X509Certificate2 GetSignerCert()
{
    var store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
    store.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadOnly);
    var certificates = store.Certificates.Find(X509FindType.FindBySerialNumber, CertSerialNumber, false);

    if (certificates.Count != 1)
    {
        return null;
    }

    var certificate = certificates[0];

    if (certificate.PrivateKey == null)
    {
        return null;
    }

    return certificate;
}

byte[] GostSignHash(byte[] HashToSign, Gost3410_2012_256CryptoServiceProvider key, string HashAlg)
{
    try
    {
        //Создаем форматтер подписи с закрытым ключом из переданного 
        //функции криптопровайдера.
        var Formatter = new Gost2012_256SignatureFormatter(
            (Gost3410_2012_256CryptoServiceProvider) key);

        //Устанавливаем хэш-алгоритм.
        Formatter.SetHashAlgorithm(HashAlg);

        //Создаем подпись для HashValue и возвращаем ее.
        return Formatter.CreateSignature(HashToSign);
    }
    catch (CryptographicException e)
    {
        Console.WriteLine(e.Message);
        return null;
    }
}

Создаём строку подписания. Просто выполняем конкатенацию параметры без разделителей. Здесь я использую IOptions чтобы брать параметры из appsettings.json.

var msg = $"{esiaSettings.Value.ClientId}{esiaSettings.Value.Scope}{timestamp}{state}{redirectUri}";

Мы получил строку для подписания. Теперь нам необходимо эту строку закодировать в Base64Url и отправляем её на подписание в написанный нами заранее сервис

private string GetClientSecret(string msg){
  var client = new HttpClient();

  var msgBase64 = Base64UrlEncoder.Encode(msg);
  
  var response = await client.GetAsync($"{cryptoProSettings.Value.BaseUrl}/Get?msg={msgBase64}");
  
  var clientSecret = await response.Content.ReadAsStringAsync();
  
  clientSecret = JsonConvert.DeserializeObject<string>(clientSecret);
  
  return clientSecret;
}

Собираем ссылку для авторизации в Госуслугах

Наконец-то мы получили этот долгожданный секрет. Но вы могли бы подумать это всё, дальше всё просто и ясно. Не тут то было! Дело в том, что ЕСИА требует Base64 Url Safe кодироку. И она немного отличается от Base64Url кодировки доступной из коробки .Net
Итак дело за малым, собираем нашего гомункула из секрета и параметров.

Класс помощник для сборки ссылки

public class RequestBuilder
{
    List<RequesItemClass> items = new List<RequesItemClass>();
    public void AddParam(string name, string value)
    {
        items.Add(new RequesItemClass { name = name, value = value });
    }
    public override string ToString()
    {
        return string.Join("&", items.Select(a => a.name + "=" + a.value));
    }
}

public class RequesItemClass
{
    public string name;
    public string value;
}

Код сборки ссылки

async Task<string> UrlBuild(string redirectUri)
{
    using var client = new HttpClient();

    var timestamp = DateTime.UtcNow.ToString("yyyy.MM.dd HH:mm:ss +0000");
    var state = Guid.NewGuid().ToString("D");

    var msg = $"{esiaSettings.Value.ClientId}{esiaSettings.Value.Scope}{timestamp}{state}{redirectUri}";

    var clientSecret = await GetClientSecret(msg);

    var builder = new RequestBuilder();
    builder.AddParam("client_secret", clientSecret);
    builder.AddParam("client_id", esiaSettings.Value.ClientId);
    builder.AddParam("scope", esiaSettings.Value.Scope);
    builder.AddParam("timestamp", timestamp);
    builder.AddParam("state", state);
    builder.AddParam("redirect_uri", redirectUri);
    builder.AddParam("client_certificate_hash", esiaSettings.Value.ClientCertificateHash);
    builder.AddParam("response_type", "code");
    builder.AddParam("access_type", "online");

    //Вот тут самый важный момент на который было потрачено множество времени. Просто заменяем символы на безопасные
    var url = esiaSettings.Value.EsiaAuthUrl + "?" + builder.ToString().Replace("+", "%2B")
        .Replace(":", "%3A")
        .Replace(" ", "+");

    return url;
}

Получаем ссылку на подобии вот такой:
Здесь https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac ссылка на конечную точку получения авторизационно кода, указана в методическом материале.

https://esia-portal1.test.gosuslugi.ru/aas/oauth2/v2/ac?client_secret=v_c33_-LpkyKJbopTEYqBMbGZrBy9r9u1pzbRmMLNlJPcBnPTJj6Xx5DuxXba3EZZoXdMsb0YIwPDCoF0dfYjQ&client_id=MEMONIKA&scope=fullname+birthdate+gender&timestamp=2022.12.23+16%3A37%3A45+%2B0000&state=3a19c4d7-594b-496f-aa6e-970c75a925a4&redirect_uri=https%3A//api.site/users/esia&client_certificate_hash=EED1079A4FF154E117EAA196DCB551930807825DE1DE15EAF7607F354BA47423&response_type=code&access_type=online

Теперь перенаправляем пользователя по этой ссылке и ожидаем пока он авторизуется. После авторизации ЕСИА переадресует его на нашу ссылку и отправит туда в виде аргументов авторизационный код и state.

Получение токена доступа

Теперь время получить токен взамен на авторизационный код.

Метод для получение токена

public async Task<EsiaAuthToken> GetToken(string authorizationCode, string redirectUrl)
{
    var timestamp = DateTime.UtcNow.ToString("yyyy.MM.dd HH:mm:ss +0000");
    var state = Guid.NewGuid().ToString("D");

    var msg =
        $"{esiaSettings.Value.ClientId}{esiaSettings.Value.Scope}{timestamp}{state}{redirectUrl}{authorizationCode}";

    var clientSecret = await GetClientSecret(msg);

    var requestParams = new List<KeyValuePair<string, string>>
    {
        new KeyValuePair<string, string>("client_id", esiaSettings.Value.ClientId),
        new KeyValuePair<string, string>("code", authorizationCode), //Здесь мы передаём полученный код
        new KeyValuePair<string, string>("grant_type", "authorization_code"),  //Просто указываем тип
        new KeyValuePair<string, string>("state", state),
        new KeyValuePair<string, string>("scope", esiaSettings.Value.Scope),
        new KeyValuePair<string, string>("timestamp", timestamp),
        new KeyValuePair<string, string>("token_type", "Bearer"),  //Какой токен мы хотим получить
        new KeyValuePair<string, string>("client_secret", clientSecret),
        new KeyValuePair<string, string>("redirect_uri", redirectUrl),
        new KeyValuePair<string, string>("client_certificate_hash", esiaSettings.Value.ClientCertificateHash)
    };

    using var client = new HttpClient();
    using var response = await client.PostAsync(esiaSettings.Value.EsiaTokenUrl,
        new FormUrlEncodedContent(requestParams));
    response.EnsureSuccessStatusCode();
    var tokenResponse = await response.Content.ReadAsStringAsync();

    var token = JsonConvert.DeserializeObject<EsiaAuthToken>(tokenResponse);

    if (!await ValidatingAccessToken(token))
    {
        throw new Exception("Ошибка проверки маркера индентификации");
    }

    return token;
}

Класс токена

public class EsiaAuthToken
{
    /// <summary>
    /// Токен доступа
    /// </summary>
    [JsonProperty("access_token")]
    public string AccessToken { get; set; }

    /// <summary>
    /// Идентификатор запроса
    /// </summary>
    public string State { get; set; }

    string[] parts => AccessToken.Split('.');

    /// <summary>
    /// Хранилище данных в токене
    /// </summary>
    public EsiaAuthTokenPayload Payload
    {
        get
        {
            if (string.IsNullOrEmpty(AccessToken))
            {
                return null;
            }

            if (parts.Length < 2)
            {
                throw new Exception($"При расшифровке токена доступа произошла ошибка. Токен: {AccessToken}");
            }

            var payload = Encoding.UTF8.GetString(Base64UrlEncoder.DecodeBytes(parts[1]));
            return JsonConvert.DeserializeObject<EsiaAuthTokenPayload>(payload);
        }
    }

    /// <summary>
    /// Сообщение для проверки подписи
    /// </summary>
    [Newtonsoft.Json.JsonIgnore]
    public string Message
    {
        get
        {
            if (string.IsNullOrEmpty(AccessToken))
            {
                return null;
            }

            if (parts.Length < 2)
            {
                throw new Exception($"При расшифровке токена доступа произошла ошибка. Токен: {AccessToken}");
            }

            return parts[0] + "." + parts[1];
        }
    }

    /// <summary>
    /// Сигнатура подписи
    /// </summary>
    [Newtonsoft.Json.JsonIgnore]
    public string Signature
    {
        get
        {
            if (string.IsNullOrEmpty(AccessToken))
            {
                return null;
            }

            if (parts.Length < 2)
            {
                throw new Exception($"При расшифровке токена доступа произошла ошибка. Токен: {AccessToken}");
            }

            return parts[2];
        }
    }

    public class EsiaAuthTokenPayload
    {
        [JsonConstructor]
        public EsiaAuthTokenPayload(string tokenId, string userId, string nbf, string exp, string iat, string iss,
            string client_id)
        {
            TokenId = tokenId;
            UserId = userId;
            BeginDate = EsiaHelper.DateFromUnixSeconds(double.Parse(nbf));
            ExpireDate = EsiaHelper.DateFromUnixSeconds(double.Parse(exp));
            CreateDate = EsiaHelper.DateFromUnixSeconds(double.Parse(iat));
            Iss = iss;
            ClientId = client_id;
        }

        /// <summary>
        /// Идентификатор токена
        /// </summary>
        [JsonProperty("urn:esia:sid")]
        public string TokenId { get; private set; }

        /// <summary>
        /// Идентификатор пользователя
        /// </summary>
        [JsonProperty("urn:esia:sbj_id")]
        public string UserId { get; private set; }

        /// <summary>
        /// Время начала действия токена
        /// </summary>
        [JsonPropertyName("nbf")]
        public DateTime BeginDate { get; private set; }

        /// <summary>
        /// Время окончания действия токена
        /// </summary>
        [JsonPropertyName("exp")]
        public DateTime ExpireDate { get; private set; }

        /// <summary>
        /// Время выпуска токена
        /// </summary>
        [JsonPropertyName("iat")]
        public DateTime CreateDate { get; private set; }

        /// <summary>
        /// Организация, выпустившая маркер
        /// </summary>
        [JsonPropertyName("iss")]
        public string Iss { get; private set; }

        /// <summary>
        /// Адресат маркера
        /// </summary>
        [JsonPropertyName("client_id")]
        public string ClientId { get; private set; }
    }
  }

  public static class EsiaHelper
  {
      public static DateTime DateFromUnixSeconds(double seconds)
      {
          var date = new DateTime(1970, 1, 1, 0, 0, 0, 0, DateTimeKind.Utc);

          return date.AddSeconds(seconds).ToLocalTime();
      }
  }

Проверка токена

Итак помимо того, что нам нужно получить токен, нам так же необходимо проверить его.

Сам токен состоит из 3 частей.
1 часть — заголовок JWT токена
2 часть — payload токена, там вся основная информация о токене
3 часть — RAW подпись в формате UTF-8

Код конечной точки для проверки подписи

[HttpPost]
public bool Verify(VerifyMessage message)
{
    try
    {
        return VerifyRawSignString(message.Message, message.Signature);
    }
    catch (Exception ex)
    {
        return false;
    }
}

public class VerifyMessage
{
    public string Signature { get; set; }
    public string Message { get; set; }
}

Код проверки подписи на нашем сервисе

/// <summary>
/// Проверка подписи JWT в формате HEADER.PAYLOAD.SIGNATURE.
/// </summary>
/// <param name="message">HEADER.PAYLOAD в формате Base64url</param>
/// <param name="signature">SIGNATURE в формате Base64url</param>
bool VerifyRawSignString(string message, string signature)
{
    var signerCert = GetEsiaSignerCert();

    var messageBytes = Encoding.UTF8.GetBytes(message);
    var signatureBytes = Base64UrlEncoder.DecodeBytes(signature);
    //Переварачиваем байты, так как используется RAW подпись
    Array.Reverse(signatureBytes, 0, signatureBytes.Length);

    using (var GostHash = new Gost3411_2012_256CryptoServiceProvider())
    {
        var csp = (Gost3410_2012_256CryptoServiceProvider) signerCert.PublicKey.Key;
        //Используем публичный ключ сертификата для проверки  
        return csp.VerifyData(messageBytes, GostHash, signatureBytes);
    }
}

Код получения сертификата ЕСИА

X509Certificate2 GetEsiaSignerCert()
{
    var store = new X509Store(StoreName.AddressBook, StoreLocation.CurrentUser);
    store.Open(OpenFlags.OpenExistingOnly | OpenFlags.ReadOnly);
    var certificates = store.Certificates.Find(X509FindType.FindBySerialNumber, EsiaCertSerialNumber, false);

    var certificate = certificates[0];

    return certificate;
}

Отправка токена на проверку

public async Task<bool> ValidatingAccessToken(EsiaAuthToken token)
{
    if (token.Payload.ExpireDate <= DateTime.Now ||
        token.Payload.BeginDate >= DateTime.Now ||
        token.Payload.CreateDate >= DateTime.Now ||
        token.Payload.ExpireDate <= token.Payload.BeginDate ||
        token.Payload.CreateDate > token.Payload.BeginDate ||
        token.Payload.CreateDate > token.Payload.ExpireDate ||
        token.Payload.Iss != esiaSettings.Value.ISS ||
        token.Payload.ClientId != esiaSettings.Value.ClientId)
    {
        return false;
    }

    var client = new HttpClient();

    var requestParams = new List<KeyValuePair<string, string>>
    {
        new KeyValuePair<string, string>("signature", token.Signature),
        new KeyValuePair<string, string>("message", token.Message)
    };

    var response = await client.PostAsync($"{cryptoProSettings.Value.BaseUrl}/Verify",
        new FormUrlEncodedContent(requestParams));

    response.EnsureSuccessStatusCode();
    var resultResponse = await response.Content.ReadAsStringAsync();

    var result = JsonConvert.DeserializeObject<bool>(resultResponse);

    return result;
}

Получение данных пользователя из ЕСИА

Имея токен мы может отправить запрос на получение данных о пользователе указанных в scope токена. Пример кода, где мы получаем данные пользователя. Здесь esiaUserId содержится в самом токене, это уникальный идентификатор пользователя ЕСИА. Наш токен указываем в заголовке авторизации.

public async Task<EsiaUser> ExecuteAsync(string esiaUserId, string accessToken)
{
    using (var client = new HttpClient())
    {
        client.DefaultRequestHeaders.Clear();
        client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);

        var response = await client.GetStringAsync($"{esiaSettings.Value.EsiaRestUrl}/prns/{esiaUserId}");
        var user = JsonConvert.DeserializeObject<EsiaUser>(response);
        user.Id = user.Id ?? esiaUserId;

        return user;
    }
}

Код класса EsiaUser

public class EsiaUser
{
    /// <summary>
    /// Идентификатор
    /// </summary>
    [JsonProperty("oid")]
    public string Id { get; set; }

    /// <summary>
    /// Фамилия
    /// </summary>
    [JsonProperty("firstName")]
    public string FirstName { get; set; }

    /// <summary>
    /// Имя
    /// </summary>
    [JsonProperty("lastName")]
    public string LastName { get; set; }

    /// <summary>
    /// Отчество
    /// </summary>
    [JsonProperty("middleName")]
    public string MiddleName { get; set; }

    /// <summary>
    /// Дата рождения
    /// </summary>
    [JsonProperty("birthdate")]
    public string Birthdate { get; set; }

    /// <summary>
    /// Пол
    /// </summary>
    [JsonProperty("gender")]
    public string Gender { get; set; }

    /// <summary>
    /// Подтвержден ли пользователь
    /// </summary>
    [JsonProperty("trusted")]
    public bool Trusted { get; set; }
}

Заключение

Наконец мы закончили интеграцию с ЕСИА. Это был длинный путь полный странных вещей. Неясных решений и множество потраченного времени. Надеюсь этой статьёй я помог Вам реализовать задачу интеграции гораздо быстрее и легче. Спасибо за потраченное время.

• Главная
• →

Ошибка авторизации

Ситуация: проблемы при регистрации поставщика — архив 2

Вернуться в Единая информационная система (ЕИС)

Кто сейчас на форуме

Зарегистрированные пользователи: ASGOR, Google [Bot]

Самая первая ошибка, с которой может столкнуться пользователь — вход в Единую информационную систему.

1. «Программы и компоненты» — «КриптоПро CSP» — «Изменить» — «Служба хранения ключей».
2. Включить в панели КриптоПро CSP использование службы хранение ключей — запустите панель КриптоПро с правами администратора: «Безопасность» — «Использовать службу хранения ключей» — «Применить».
3. После этого перезагрузить компьютер и начать процедуру с ЕИС заново.

Ошибки в ЕИС: самые распространенные проблемы и их решение

При работе в Единой информационной системе проблемы могут возникнуть на любом этапе: начиная с регистрации на портале, заканчивая нерабочим поиском госзакупок.

1. Зайти в настройки.
2. «Сеть» – «Проверка незащищенных соединений» – «Отключить».

Самая первая ошибка, с которой может столкнуться пользователь вход в Единую информационную систему.

Ошибка: «возможно на сайте используются устаревшие или ненадежные параметры безопасности протокола tls»

Далее будут рассмотрены проблемы, причинами которых являются проблемы с ПК пользователей. Проблема: ЕИС не работает

Произошла Ошибка При Проверке Кода Доступа После Авторизации Есиа|произошла Ошибка При Проверке Кода Доступа После Авторизации|произошла Ошибка При Проверке Кода Доступа Есиа

1. Войдите в меню «Свойства браузера – «Безопасность» — «Надежные узлы»- «Сайты».
2. В выделенное поле введите два домена: *.gosuslugi.ru *.zakupki.gov.ru – «Добавить» – «Закрыть».
3. Подтвердите действие кнопкой «ОК».

Проблема: ЕИС не удается безопасно подключиться к этой странице

Программы и компоненты КриптоПро CSP Изменить Служба хранения ключей.

Проблема: хранилище сертификатов недоступно в ЕИС

• проводится (или недавно проводилась) профилактика или обновление системы;
• чрезмерная нагрузка на реестр;
• выходной или праздничный день (исправить проблему просто некому, сотрудники техподдержки не работают);
• проблема вызвана внутренними неполадками с ПК пользователя.

1. Зайти в настройки.
2. «Сеть» – «Проверка незащищенных соединений» – «Отключить».

Ошибки в ЕИС: самые распространенные проблемы и их решение

Установка займет какое-то время. Если КриптоПро у вас подходящей версии, то автоматически должен произойти вход в Единую информационную систему при помощи электронной цифровой подписи.
Чтобы решить проблему, связанную с некорректной работой поисковика в Единой информационной системе нужно:

Подтверждение электронного документа — это проверка подлинности файла, отправленного с использованием электронной подписи. Здесь доступны три варианта проверки: ЭП — в формате PKCS#7, ЭП — отсоединенная, в формате PKCS#7 и ЭП — отсоединенная, в формате PKCS#7 по значению хэш-функции.

Сайт госуслуг не видит ЭЦП

Если по-прежнему не работает электронная подпись на Госуслугах, переустановите плагин.
В случае если портал Госуслуги не видит электронную подпись и не разрешает вход, следует обратиться в удостоверяющий центр, в котором была приобретена ЭЦП, либо к сотрудникам сайта Госуслуг. Однако ряд действий можно произвести самостоятельно. налоговой отчетности и уплаты налогов.

Если программа при проверке выдает ошибку, то ее причина может быть в изначально неправильной первичной регистрации. Даже один неверно введенный символ может стать предпосылкой того, что система отказывается принять введенную информацию. Исходя из этого, нужно правильно делать учетную запись.

Что делать, если СНИЛС не проходит проверку на сайте; Госуслуги: почему пишет, что свидетельство уже зарегистрировано

Когда на сайте Госуслуги не проходит СНИЛС, то все эти возможности оказываются недоступными.
Портал «Госуслуги» является крупнейшим в стране электронным ресурсом, содержащим все существующие в ней учетные данные относительно кадастров, реестров и справочной информации. Чтобы начать работу, нужно ввести номер СНИЛС и подтвердить его, используя свой персональный пароль.

Измените уровень вашей учетной записи ЕСИА на «Подтвержденная».
Подробнее — https://www.gosuslugi.ru/help/faq/c-1/2

Если это не помогло свяжитесь со службой технической поддержки через форму обратной связи и сообщите свой email. По возможности опишите последовательность действий, вызвавших проблему. Приложите скриншот страницы личного профиля по ссылке — https://esia.gosuslugi.ru/profile/user/personal

Произошла ошибка при проверке кода доступа после авторизации на есиа что делать

Убедитесь, что в вашем профиле ЕСИА на портале www.gosuslugi.ru указан корректный СНИЛС, а учетная запись имеет статус «Подтвержденная».
Обращаем ваше внимание, что обновление данных может занять время: от нескольких минут до пяти суток. Попробуйте авторизоваться позже.

Измените уровень вашей учетной записи ЕСИА на Подтвержденная.

Некорректная информация о СНИЛС

Если это не помогло свяжитесь со службой технической поддержки через форму обратной связи и сообщите свой email. По возможности опишите последовательность действий, вызвавших проблему. Приложите скриншот страницы личного профиля по ссылке — https://esia.gosuslugi.ru/profile/user/personal Как исправить

Обращаем ваше внимание, что обновление данных может занять время от нескольких минут до пяти суток.