Ошибка при проверке цепочки сертификатов linux

thint1	#1 Оставлено : 8 августа 2018 г. 20:07:34(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.08.2018(UTC) Сообщений: 4	Здравствуйте! На ВМ с Ubuntu 18.04 установлена CryptoPro CSP 5, КриптоПро ЭЦП Browser plug-in, браузер Chrome. установил сертификат PFX командой /opt/cprocsp/bin/amd64/certmgr -install -pfx -file install.pfx -silent далее установил корневой сертификат командой /opt/cprocsp/bin/amd64/certmgr -install -store uRoot -file ca.cer и промежуточный сертификат командой /opt/cprocsp/bin/amd64/certmgr -install -store uCA -file intermediate.cer На странице проверки https://www.cryptopro.ru…ge/cades_bes_sample.html сертификат виден, но его статус — Ошибка при проверке цепочки сертификата. При попытке подписать падает ошибка 0x800B010A. Сертификат выдан GlobalSign В чем может быть дело?

thint1	#2 Оставлено : 10 августа 2018 г. 9:47:03(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.08.2018(UTC) Сообщений: 4	Может кто-нибудь помочь разобраться?

Максим Коллегин	#3 Оставлено : 10 августа 2018 г. 12:30:15(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,296 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 680 раз в 599 постах	А можете приложить сертификат?
Знания в базе знаний, поддержка в техподдержке
	WWW

thint1	#4 Оставлено : 10 августа 2018 г. 13:09:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.08.2018(UTC) Сообщений: 4	сертификат приложил cert.zip (2kb) загружен 7 раз(а).

thint1	#5 Оставлено : 14 августа 2018 г. 7:48:14(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.08.2018(UTC) Сообщений: 4	Так же пробовал ставить КриптоПро CSP 4. Результат такой же. На Windows пробовал ставить тот же сертификат — на странице проверки ошибка про цепочку такая же, но подписание почему то срабатывает

mxl	#6 Оставлено : 10 июля 2019 г. 9:33:43(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.07.2019(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах	Удалось разобраться? У меня аналогичная проблема на macOS.

Александр Лавник	#7 Оставлено : 10 июля 2019 г. 10:06:46(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,311 Сказал «Спасибо»: 53 раз Поблагодарили: 749 раз в 697 постах	Автор: mxl Удалось разобраться? У меня аналогичная проблема на macOS. Здравствуйте. Приложите, пожалуйста, скриншот с ошибкой.
Техническую поддержку оказываем тут Наша база знаний

mxl	#8 Оставлено : 10 июля 2019 г. 10:20:26(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.07.2019(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах	У меня сертификат, полученный здесь https://www.kartoteka.ru/uc/#carousel-ecp/4. Я следовал всем инструкциям по установке. И на странице выше подпись проходит проверку. Также прочитал статьи https://support.cryptopr…-s-kriptopro-csp-v-macos и https://habr.com/ru/post/450516/ Мне удается подписать файл, используя команду: Код: /opt/cprocsp/bin/csptestf -sfsign -sign -in cryptoprotest.txt -my 0edcdd23eb2a60e3469b9f69018b140b56ed3466 -detached -out cryptoprotest.txt.p7s Подпись этого файла проходит проверку на сайте госуслуг. Но я не могу подписать файл через КриптоПро CSP, выдает: Цитата: Процесс отмены не может быть продолжен — проверка сертификатов недоступна. Код ошибки: 0x800B010E (2148204814) Screenshot 2019-07-10 at 10.07.23.png (357kb) загружен 4,004 раз(а). Также подпись не проходит проверку на странице https://www.cryptopro.ru…e/cades_bes_sample.html. Screenshot 2019-07-10 at 10.08.06.png (1,074kb) загружен 3,986 раз(а). Отредактировано пользователем 10 июля 2019 г. 10:23:53(UTC)  | Причина: Не указана

Александр Лавник	#9 Оставлено : 10 июля 2019 г. 10:41:53(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,311 Сказал «Спасибо»: 53 раз Поблагодарили: 749 раз в 697 постах	Автор: mxl У меня сертификат, полученный здесь https://www.kartoteka.ru/uc/#carousel-ecp/4. Я следовал всем инструкциям по установке. И на странице выше подпись проходит проверку. Также прочитал статьи https://support.cryptopr…-s-kriptopro-csp-v-macos и https://habr.com/ru/post/450516/ Мне удается подписать файл, используя команду: Код: /opt/cprocsp/bin/csptestf -sfsign -sign -in cryptoprotest.txt -my 0edcdd23eb2a60e3469b9f69018b140b56ed3466 -detached -out cryptoprotest.txt.p7s Подпись этого файла проходит проверку на сайте госуслуг. Но я не могу подписать файл через КриптоПро CSP, выдает: Цитата: Процесс отмены не может быть продолжен — проверка сертификатов недоступна. Код ошибки: 0x800B010E (2148204814) Screenshot 2019-07-10 at 10.07.23.png (357kb) загружен 4,004 раз(а). Также подпись не проходит проверку на странице https://www.cryptopro.ru…e/cades_bes_sample.html. Screenshot 2019-07-10 at 10.08.06.png (1,074kb) загружен 3,986 раз(а). Выполните команды: Код: curl http://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=2E2BB96E3F68CF8736D0305AE726D65A6EE36568 -o /tmp/kartoteka.cer curl http://uc.kartoteka.ru/certs/kartotekaqv2.2.crl -o /tmp/kartoteka.crl /opt/cprocsp/bin/certmgr -inst -store ca -file /tmp/kartoteka.cer /opt/cprocsp/bin/certmgr -inst -store ca -file /tmp/kartoteka.crl -crl и проверьте создание подписи.
Техническую поддержку оказываем тут Наша база знаний

mxl	#10 Оставлено : 10 июля 2019 г. 10:53:03(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.07.2019(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах	Автор: Александр Лавник Выполните команды: Код: curl http://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=2E2BB96E3F68CF8736D0305AE726D65A6EE36568 -o /tmp/kartoteka.cer curl http://uc.kartoteka.ru/certs/kartotekaqv2.2.crl -o /tmp/kartoteka.crl /opt/cprocsp/bin/certmgr -inst -store ca -file /tmp/kartoteka.cer /opt/cprocsp/bin/certmgr -inst -store ca -file /tmp/kartoteka.crl -crl и проверьте создание подписи. Ничего не поменялось, те же ошибки. К слову, я уже импортировал данные сертификаты, но в хранилище mroot: Код: sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f kartoteka.cer sudo /opt/cprocsp/bin/certmgr -inst -store mroot -crl -f kartoteka.crl

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Максим2017_1	#1 Оставлено : 23 марта 2023 г. 5:49:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.11.2017(UTC) Сообщений: 59 Сказал(а) «Спасибо»: 3 раз	Здравствуйте, установил крипто про, эцп плагин и установил сертификаты. Но при проверке работоспособности плагина говорит , что Ошибка при проверке цепочки сертификатов возможно но комп. не установлены сертификатов УЦ. Выдавшего ваш сертификат. В Windows я делал след образом открывал личный сертификат переходил во вкладку пути сертификации, там видно что ему не нравилось и корневой можно прям от туда установить, а на линуксе как ?

nickm	#2 Оставлено : 23 марта 2023 г. 7:28:09(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,085 Сказал(а) «Спасибо»: 318 раз Поблагодарили: 171 раз в 158 постах	Попробуйте считать сам файл сертификата и увидеть URL сертификата УЦ, например так: Код: $ /opt/cprocsp/bin/amd64/certmgr --list -file "/путь_до_сертификата/сертификат.cer" Код: Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021. Программа для работы с сертификатами, CRL и хранилищами. ============================================================================= 1------- Издатель : E=uc_fk@roskazna.ru, S=77 Москва, INNLE=7710568760, OGRN=1047797019830, STREET="Большой Златоустинский переулок, д. 6, строение 1", L=г. Москва, C=RU, O=Казначейство России, CN=Казначейство России Субъект : Серийный номер : SHA1 отпечаток : Идентификатор ключа : Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 27/09/2022 12:25:00 UTC Истекает : 21/12/2023 12:25:00 UTC Ссылка на ключ : Нет Тип идентификации : Без личного присутствия по квалифицированной подписи URL сертификата УЦ : http://crl.roskazna.ru/crl/ucfk_2022.crt URL сертификата УЦ : http://crl.fk.local/crl/ucfk_2022.crt URL списка отзыва : http://crl.roskazna.ru/crl/ucfk_2022.crl URL списка отзыва : http://crl.fk.local/crl/ucfk_2022.crl Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента ============================================================================= [ErrorCode: 0x00000000] То же самое можно проделать в cptools.

Максим2017_1	#3 Оставлено : 23 марта 2023 г. 8:40:23(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.11.2017(UTC) Сообщений: 59 Сказал(а) «Спасибо»: 3 раз	Автор: nickm Попробуйте считать сам файл сертификата и увидеть URL сертификата УЦ, например так: Код: $ /opt/cprocsp/bin/amd64/certmgr --list -file "/путь_до_сертификата/сертификат.cer" Код: Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021. Программа для работы с сертификатами, CRL и хранилищами. ============================================================================= 1------- Издатель : E=uc_fk@roskazna.ru, S=77 Москва, INNLE=7710568760, OGRN=1047797019830, STREET="Большой Златоустинский переулок, д. 6, строение 1", L=г. Москва, C=RU, O=Казначейство России, CN=Казначейство России Субъект : Серийный номер : SHA1 отпечаток : Идентификатор ключа : Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 27/09/2022 12:25:00 UTC Истекает : 21/12/2023 12:25:00 UTC Ссылка на ключ : Нет Тип идентификации : Без личного присутствия по квалифицированной подписи URL сертификата УЦ : http://crl.roskazna.ru/crl/ucfk_2022.crt URL сертификата УЦ : http://crl.fk.local/crl/ucfk_2022.crt URL списка отзыва : http://crl.roskazna.ru/crl/ucfk_2022.crl URL списка отзыва : http://crl.fk.local/crl/ucfk_2022.crl Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента ============================================================================= [ErrorCode: 0x00000000] То же самое можно проделать в cptools. у меня вторая ссылка не открывается

nickm	#4 Оставлено : 23 марта 2023 г. 10:14:01(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,085 Сказал(а) «Спасибо»: 318 раз Поблагодарили: 171 раз в 158 постах	Автор: Максим2017_1 у меня вторая ссылка не открывается О какой ссылке идёт речь? Я Вам привел пример вывода, и в нём ни по каким ссылкам переходить и не следует. Покажите Свой результат исполнения предложенной команды.

Максим2017_1	#5 Оставлено : 23 марта 2023 г. 10:31:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.11.2017(UTC) Сообщений: 59 Сказал(а) «Спасибо»: 3 раз	Автор: nickm Автор: Максим2017_1 у меня вторая ссылка не открывается О какой ссылке идёт речь? Я Вам привел пример вывода, и в нём ни по каким ссылкам переходить и не следует. Покажите Свой результат исполнения предложенной команды. http://crl.fk.local/crl/ucfk_2022.crt

nickm	#6 Оставлено : 23 марта 2023 г. 10:34:19(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,085 Сказал(а) «Спасибо»: 318 раз Поблагодарили: 171 раз в 158 постах	Автор: Максим2017_1 Автор: nickm Автор: Максим2017_1 у меня вторая ссылка не открывается О какой ссылке идёт речь? Я Вам привел пример вывода, и в нём ни по каким ссылкам переходить и не следует. Покажите Свой результат исполнения предложенной команды. http://crl.fk.local/crl/ucfk_2022.crt Это локальная ссылка и она у Вас не откроется. Если Вы действительно привели ссылку из своего сертификата, то промежуточный сертификат УЦ можете скачать по этой, общедоступной ссылке, http://crl.roskazna.ru/crl/ucfk_2022.crt

Максим2017_1	#7 Оставлено : 24 марта 2023 г. 5:28:35(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.11.2017(UTC) Сообщений: 59 Сказал(а) «Спасибо»: 3 раз	Автор: nickm Это локальная ссылка и она у Вас не откроется. Если Вы действительно привели ссылку из своего сертификата, то промежуточный сертификат УЦ можете скачать по этой, общедоступной ссылке, http://crl.roskazna.ru/crl/ucfk_2022.crt Я скачал по этим ссылкам, корневые и поставил их при помощи cptool. Пока ничего не поменялось, проверив с помощью винды, выше описанным способом увидел что нет тех корневых каких нужно. А нет ли какой команды которая проверяла бы цепочку сертификатов и говорила какие нужны — но это я так от жира бесюсь. И не подскажите СУФД на astra linux работает….

nickm	#8 Оставлено : 24 марта 2023 г. 5:50:28(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,085 Сказал(а) «Спасибо»: 318 раз Поблагодарили: 171 раз в 158 постах	Автор: Максим2017_1 Я скачал по этим ссылкам, корневые и поставил их при помощи cptool. Пока ничего не поменялось Следует различать как корневые, так и промежуточные сертификаты; Автор: Максим2017_1 И не подскажите СУФД на astra linux работает…. СУФД — это веб-сервис работающие по ГОСТ TLS, поэтому при соответствующей/ должной настройке ПО всё должно работать.

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Назначение

Криптопровайдер (Cryptography Service Provider, CSP) — независимый программный модуль, позволяющий осуществлять криптографические операции. Криптопровайдер КриптоПро CSP предназначен для:

• авторизации и обеспечения юридической значимости электронных документов при обмене ими между пользователями, посредством использования процедур формирования и проверки электронной подписи (ЭП) в соответствии с отечественными стандартами ГОСТ Р 34.10-2001 / ГОСТ Р 34.10-2012 (с использованием ГОСТ Р 34.11-94 / ГОСТ Р 34.11-2012);
• обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты, в соответствии с ГОСТ 28147-89;
• обеспечения аутентичности, конфиденциальности и имитозащиты соединений по протоколу TLS;
• контроля целостности системного и прикладного программного обеспечения для его защиты от несанкционированных изменений и нарушений правильности функционирования;
• управления ключевыми элементами системы в соответствии с регламентом средств защиты.

https://www.cryptopro.ru/products/csp

Установка КриптоПро CSP

Архив с программным обеспечением КриптоПро CSP доступен для загрузки на официальном сайте www.cryptopro.ru. Для загрузки требуется регистрация на сайте.

Для ОС Astra Linux следует загружать сертифицированные версии, пакеты «КриптоПро CSP x.x для Linux (x64, deb)» или «КриптоПро CSP x.x для Astra Linux, ЗПС (x64)» где x.x — номер версии.

Для написания настоящей статьи были выполнены следующие действия:

1. Загрузить архив с сертифицированной версией ПО «КриптоПро». Название полученного файла: «linux-amd64_deb.tgz»;
2. Открыть «Терминал Fly» (горячая клавиша Alt+T);

3. Разархивировать полученный архив в терминале командой:

   tar -zxf linux-amd64_deb.tgz

4. Перейти в каталог с ПО: 

   cd linux-amd64_deb

5. Установить ПО:

   1. Либо с для работы с графическим пользовательским интерфейсом запустив сценарий install_gui.sh командой:

      sudo ./install_gui.sh

      В процессе установи выбрать необходимые компоненты:
      

   2. Либо с для работы без графического пользовательского интерфейса запустив сценарий instal.sh командой:
      

      sudo ./install.sh

Описание пакетов КриптоПро

Для просмотра всех установленных пакетов КриптоПро CSP можно использовать команду:  

dpkg -l | grep cprocsp

Пример вывода команды:

ii  cprocsp-cptools-gtk-64                        5.0.12000-6                                           amd64        GUI application for various CSP tasks. Build 12000.
ii  cprocsp-curl-64                               5.0.12000-6                                           amd64        CryptoPro cURL shared library and application. Build 12000.
ii  cprocsp-rdr-cloud-64                          5.0.12000-6                                           amd64        DSS keys support module
ii  cprocsp-rdr-cpfkc-64                          5.0.12000-6                                           amd64        FKC support module
ii  cprocsp-rdr-cryptoki-64                       5.0.12000-6                                           amd64        Module for PKCS11 keys support. Build 12000.
ii  cprocsp-rdr-edoc-64                           5.0.12000-6                                           amd64        Electronic documents support module
ii  cprocsp-rdr-emv-64                            5.0.12000-6                                           amd64        EMV/Gemalto support module
ii  cprocsp-rdr-gui-gtk-64                        5.0.12000-6                                           amd64        CryptoPro CSP GTK GUI components. Build 12000.
ii  cprocsp-rdr-infocrypt-64                      5.0.12000-6                                           amd64        Infocrypt FKC support module
ii  cprocsp-rdr-inpaspot-64                       5.0.12000-6                                           amd64        Inpaspot support module
ii  cprocsp-rdr-kst-64                            5.0.12000-6                                           amd64        MorphoKST support module
ii  cprocsp-rdr-mskey-64                          5.0.12000-6                                           amd64        Mskey support module
ii  cprocsp-rdr-novacard-64                       5.0.12000-6                                           amd64        Novacard support module
ii  cprocsp-rdr-pcsc-64                           5.0.12000-6                                           amd64        CryptoPro CSP. PC/SC devices support. Build 12000.
ii  cprocsp-rdr-rosan-64                          5.0.12000-6                                           amd64        Rosan support module
ii  cprocsp-rdr-rutoken-64                        5.0.12000-6                                           amd64        Rutoken support module
ii  lsb-cprocsp-base                              5.0.12000-6                                           all          CryptoPro CSP directories and scripts. Build 12000.
ii  lsb-cprocsp-ca-certs                          5.0.12000-6                                           all          CryptoPro CA certificates. Build 12000.
ii  lsb-cprocsp-capilite-64                       5.0.12000-6                                           amd64        CryptoPro CSP. CryptoAPI Lite libraries and applications. Build 12000.
ii  lsb-cprocsp-import-ca-certs                   5.0.12000-6                                           all          Import OS root certificates in CryptoPro CSP. Build 12000.
ii  lsb-cprocsp-kc1-64                            5.0.12000-6                                           amd64        CryptoPro CSP KC1. Build 12000.
ii  lsb-cprocsp-pkcs11-64                         5.0.12000-6                                           amd64        CryptoPro PKCS11. Build 12000.
ii  lsb-cprocsp-rdr-64                            5.0.12000-6                                           amd64        CryptoPro CSP common libraries and utilities. Build 12000.

Настройка путей к исполняемым файлам

Для того, чтобы не вводить каждый раз полный путь к утилитам КриптоПро CSP, в терминале FLY следует ввести команду:

export PATH=»$(/bin/ls -d /opt/cprocsp/{s,}bin/*|tr ‘n’ ‘:’)$PATH»

Подробнее см. Присвоение значений переменным окружения для пользовательских сессий.

Установка дополнительных пакетов для поддержки токенов и смарт-карт

Для корректной работы с токенами и смарт-картами установить:

• дополнительные пакеты из состава ОС:
  • libccid;
  • libgost-astra;
  • pcscd;
• пакеты с модулями поддержки, предоставляемые производителями оборудования:
  • для токенов Рутокен: https://www.rutoken.ru/support/download/nix/
  • для токенов Аладдин: https://www.aladdin-rd.ru/support/downloads/jacarta

Команда для установки пакетов из состава ОС:

sudo apt install libccid pcscd libgost-astra

Пакеты с модулями поддержки доступны по указанным выше ссылкам. Порядок установки модулей, предоставляемых производителями см. в инструкциях производителя, а также см. статьи Аладдин RD JaCarta в AstraLinux и Рутокен в Astra Linux.

Ключ КриптоПРО CSP для работы в режиме замкнутой программной среды Astra Linux SE.

Ключ для обеспечения работы в режиме ЗПС Astra Linux SE доступен по ссылке: https://cryptopro.ru/sites/default/files/private/csp/cryptopro_pub_key.gpg. Для загрузки ключа требуется регистрация.

Для регистрации ключа:

• установить пакет astra-digsig-oldkeys:

  sudo apt install astra-digsig-oldkeys

• создать каталог /etc/digsig/keys/legacy/cryptopro:

  sudo mkdir -p /etc/digsig/keys/legacy/cryptopro

  Далее предполагается, что ключ загружен и помещен в созданный каталог.

• выполнить команду:

  sudo update-initramfs -uk all

• перезагрузить компьютер.

Лицензии КриптоПро

Проверка срока истечения лицензии КриптоПро

Проверить срок истечения лицензии КриптоПро можно командой:

/opt/cprocsp/sbin/amd64/cpconfig -license -view

Пример вывода команды:

License validity:
5050010037ELQF5H28KM8E6BA
Expires: 88 day(s)
License type: Demo.

Установка лицензии КриптоПРо

Для установки лицензии выполнить команду :

sudo /opt/cprocsp/sbin/amd64/cpconfig -license -set <номер_лицензии>

Носители и контейнеры

Идентификация токена

Для просмотра списка настроенных считывателей можно воспользоваться командой:

/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -view

Пример вывода команды:

Nick name: HDIMAGE
Connect name: 
Reader name: HDD key storage

Nick name: CLOUD
Connect name: 
Reader name: Cloud Token

Nick name: Aktiv Rutoken lite 00 00
Connect name: 
Reader name: Aktiv Rutoken lite 00 00

Чтобы узнать модель подключенного токена ввести команду:

/opt/cprocsp/bin/amd64/csptest -card -enum -v -v

После чего система выдаст информацию о подключенном устройстве, например:

Aktiv Rutoken lite 00 00
  Card present, ATR=3B 8B 01 52 75 74 6F 6B 65 6E 6C 69 74 65 C2 
  Unknown applet
Total: SYS: 0,000 sec USR: 0,010 sec UTC: 0,310 sec
[ErrorCode: 0x00000000]

Проверить наличие носителей с контейнерами можно с помощью команды:

/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext -enum -unique



Получить имя носителя в формате FQCN (Fully Qualified Container Nam):

/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc | iconv -f cp1251

В этом случае будет выведен список носителей с контейнерами в следующих форматах:

• \.HDIMAGE<имя_контейнера> — контейнеры на локальных носителях;
• \.Aktiv Rutoken ECP 00 00<имя_носителя> — контейнеры на токенах.

Подробную информацию см. «Имена контейнеров»

Информация о контейнерах

Для просмотра подробной информации о контейнерах воспользуйтесь командой:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ‘ИМЯ’ -info

Пример работы команды:

Проверка работы контейнера

Для того чтобы проверить работу контейнера (в том числе возможность выполнения разных операций при текущей лицензии), следует выполнить команду:

/opt/cprocsp/bin/amd64/csptestf -keyset -container ИМЯ -check

Пример работы команды:

Удаление контейнера

Удалить контейнер можно командой:

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\.Aktiv Rutoken ECP 00 00TestCont’ -deletek

Копирование контейнера

Скопировать контейнер из локального хранилища в хранилище токена Рутокен ЕЦП:

csptestf -keycopy -contsrc ‘\.HDIMAGEКонтейнер_оригинал’ -contdest ‘\.Aktiv Rutoken ECP 00 00Контейнер_копия’

Смена пароля на контейнер (снятие паролей с контейнера)

/opt/cprocsp/bin/amd64/csptestf -passwd -cont ‘\.Aktiv Rutoken ECP 00 00TestContainer’ -change <новый_пароль> -passwd <старый_пароль>

Менеджер сертификатов КриптоПро в Linux

Категории сертификатов

Сертификаты делятся на четыре категории:

• личные сертификаты (устанавливаются в хранилище umy, где u = User, my — имя хранилища). Для таких сертификатов, как правило, имеется закрытый ключ (и они требуют особой установки, чтобы в хранилище появилась ссылка на этот закрытый ключ). В результате с их использованием можно, например, подписать файл;
• корневые сертификаты — краеугольный камень безопасности, так как цепочки доверия строятся от них.  Корневые сертификаты надо добавлять в хранилища осознанно и внимательно (устанавливаются в uroot, также администратор может поставить их в mroot, где m = Machine, такие сертификаты будут доступны в режиме read only в root-хранилищах всех пользователей);
• промежуточные сертификаты — появляются, когда есть промежуточные УЦ (структура вида «головной УЦ» -> «промежуточный УЦ» -> «пользовательский сертификат»). Прямое доверие к ним не требуется (устанавливаются в uca, также администратор может поставить их в mca). В это же хранилище устанавливаются и списки отзыва сертификатов (CRL). Обычно точки получения промежуточных сертификатов и списков отзыва (CRL) правильно указаны в пользовательских сертификатах, поэтому они загружаются автоматически и устанавливаются в хранилище ucache. Обычно непосредственная работа с промежуточными сертификатами не требуется;
• сертификаты партнёров по общению, чтобы проверять их подписи и зашифровывать для них сообщения. Ставятся либо в umy (это не лучшая, но распространенная практика), либо в uAddressBook;

Пример установки личного сертификата, выданного УЦ Министерства Обороны Российской Федерации

Установка всех личных сертификатов со всех контейнеров в uMy :

/opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov

Установка определенного сертификата с определенного контейнера в uMy:

/opt/cprocsp/bin/amd64/certmgr -inst -cont ‘\.Aktiv Rutoken ECP 00 00Ivanov’

Установка сертификата удостоверяющего центра ГУЦ в mRoot:

Установка списка отозванных сертификатов (CRL) (список загружается с того же сайта и устанавливается в mca):

Просмотр ранее установленных сертификатов

Просмотра ранее установленных сертификатов можно выполнить командой:

/opt/cprocsp/bin/amd64/certmgr -list

Удаление сертификатов из хранилища КриптоПро

Для удаления определенного сертификата из хранилища КриптоПро выполнить команду:

/opt/cprocsp/bin/amd64/certmgr -delete

После выполнения команды на экран будет выведен весь список сертификатов и предложение ввести номер удаляемого сертификата.

Для удаления всех сертификатов выполнить команду:

/opt/cprocsp/bin/amd64/certmgr -del -all

Экспорт сертификатов на другую машину

Закрытые ключи к сертификатам находятся в каталоге /var/opt/cprocsp/keys.

Поэтому эти ключи переносятся просто: создаем архив и переносим на нужную машину в тот же каталог.

Экспорт сертификата:

/opt/cprocsp/bin/amd64/certmgr -export -dest cert.cer

Переносим эти файлы на машину и смотрим, какие контейнеры есть:

csptest -keyset -enum_cont -verifycontext -fqcn

Связываем сертификат и закрытый ключ:

certmgr -inst -file 1.cer -cont ‘\.HDIMAGEcontainer.name’

Если закрытый ключ и сертификат не подходят друг к другу, будет выведена ошибка:

Can not install certificate
Public keys in certificate and container are not identical

Проверка цепочки сертификатов

Для примера: чтобы проверить цепочку сертификатов, можно скопировать персональный сертификат в файл:

/opt/cprocsp/bin/amd64/cryptcp -copycert -dn ‘CN=Имя_вашего_сертификата’ -df  /temp/сертификат.cer

CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2018.
Утилита командной строки для подписи и шифрования файлов.

Будет использован следующий сертификат: АРМ Субъект:"АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Москва, 77 г. 
Москва, RU, шоссе Варшавское д. 26, mail@rusbitech.ru
Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Цепочка сертификатов не проверена для следующего сертификата:

Субъект:"АКЦИОНЕРНОЕ ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Пустовой, Виктор Иванович, "АКЦИОНЕРНОЕ 
ОБЩЕСТВО ""НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ 
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ""", Генеральный директор, Москва, 77 г. 
Москва, RU, шоссе Варшавское д. 26, 5087746137023, 007726604816, 
13407634844, mail@rusbitech.ru

Действителен с 02.10.2018 14:31:02 по 02.10.2019 14:41:02

Ошибка: Цепочка сертификатов не проверена для следующего сертификата (код ошибки 10000):
/dailybuilds/CSPbuild/CSP/samples/CPCrypt/Certs.cpp:396: 0x20000133
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])? С

Из вывода следует, что у нас отсутствует некий сертификат в цепочке сертификатов. Можно запустить вышеуказанную команду в режиме  debug(отладки):

$ CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/cryptcp -copycert -dn 'CN=Имя_вашего_сертификата' -df  /temp/сертификат.cer
...
----------- Error chain -----------
Chain status:IS_UNTRUSTED_ROOT
Revocation reason:unspecified
1. 
 Subject:'E=uc@mil.ru, OGRN=1037700255284, INN=007704252261, C=RU, S=77 г. Москва, L=Москва, STREET=ул.Знаменка д.19, OU=4 центр (удостоверяющий) войсковой части 31659, O=Министерство обороны Российской Федерации, CN=Министерство обороны Российской Федерации'
 Issuer:'E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России'
 Cert status:IS_UNTRUSTED_ROOT
...

CP_PRINT_CHAIN_DETAIL=1 --> включает режим отладки

В нашем примере из логов можно сделать вывод, что нам надо установить сертификат УЦ МО с CN=Министерство обороны Российской Федерации:

/opt/cprocsp/bin/amd64/certmgr -inst -store uRoot -file minoboron-root-2018.crt

Для того, чтобы убедиться в устранении ошибки, можно повторно в режиме отладки запустить команду. При правильно установленной цепочке сертификатов,  статус у сертификата будет = CERT_TRUST_NO_ERROR

....
Subject:'E=uc@mil.ru, OGRN=1037700255284, INN=007704252261, C=RU, S=77 г. Москва, L=Москва, STREET=ул.Знаменка д.19, OU=4 центр (удостоверяющий) войсковой части 31659, O=Министерство обороны Российской Федерации, CN=Министерство обороны Российской Федерации'
 Issuer:'E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России'
 Cert status:CERT_TRUST_NO_ERROR
...
Цепочки сертификатов проверены.
Копирование сертификатов завершено.
[ErrorCode: 0x00000000]

Подписание документа ЭЦП

Подпись документа может быть сделана двумя способами:

• attached (присоединенная), когда результирующий файл — это CMS-сообщение, внутрь которого упакованы данные и атрибуты (типа подписи). Формат сообщения соответствует международному стандарту, поэтому извлекать данные оттуда можно любыми утилитами, типа cryptcp / csptest / openssl / certutil (на windows);
• detached (отсоединенная), когда результирующий файл — это CMS-сообщение БЕЗ исходных данных, но с атрибутами (типа подписи). В этом случае для проверки надо «принести» исходный файл. Разумеется он остаётся неизменным и его можно смотреть cat-ом

Подпись файлов (присоединенная)

Подпись файлов (отсоединенная)

Проверка подписи в файле

Проверка присоединенной подписи

Для проверки присоединенной подписи выполнить:

Способ «естественный»

Использовать ключ -verall, указывающий, что надо найти всех подписавших, в том числе в сообщении:

Способ «обучающий»

Указать в качестве хранилища сертификатов само сообщение (ключ -f):

Извлечение подписанного файла

Чтобы извлечь файл, необходимо указать его имя в конце команды проверки подписи:

cryptcp -verify raport.pdf.sig raport.pdf

В версии КриптоПро 5 появился графический инструмент для работы с сертификатами — cptools. Инструмент можно запустить из консоли:

cptools

либо:

/opt/cprocsp/bin/amd64/cptools

Удаление КриптоПро CSP

Для того, чтобы удалить ПО КриптоПро CSP,  в терминале FLY следует ввести последовательно 3 команды:

sudo rm -rf /opt/cprocsp
sudo rm -rf /var/opt/cprocsp/
sudo rm -rf /etc/opt/cprocsp/

Отключение сообщений о необходимости перехода на ГОСТ Р 34.10-2012

В соответствии с принятым в 2014 году  порядком перехода на ГОСТ Р 34.10-2012  до 1 января 2019 года попытка использования ГОСТ Р 34.10-2001 (кроме проверки подписи) на всех выпущенных к настоящему моменту сертифицированных версиях КриптоПро CSP 3.9, 4.0 и КриптоПро JCP 2.0 с 1 января 2019 года вызовет ошибку/предупреждение (в зависимости от продукта и режима работы), которые могут привести к неработоспособности автоматических/автоматизированных систем при использовании ими ключей ГОСТ Р 34.10-2001. В случае если ваша система использует ключи ГОСТ Р 34.10-2001, просим принять во внимание  инструкцию.

Для отключения данных предупреждений в КриптоПро CSP, нужно добавить два ключа в конфигурационный файл /etc/opt/cprocsp/config64.ini в существующую секцию Parameters: 

[Parameters]
# Параметры провайдера
warning_time_gen_2001=ll:9223372036854775807
warning_time_sign_2001=ll:9223372036854775807

Полезные ссылки

КриптоПро CADES ЭЦП Browser plug-in

КриптоПро CADES ЭЦП Browser plug-in

Таблица поддерживаемых устройств Крипто-Про CSP

На официальном сайте СКЗИ КриптоПро в таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP:

https://www.cryptopro.ru/products/csp/compare

База знаний КриптоПро

https://support.cryptopro.ru/index.php?/Knowledgebase/List

Обсуждение КриптоПро CSP на форуме astralinux

https://forum.astralinux.ru/threads/419/

Chromium+КриптоПРО

https://www.cryptopro.ru/news/2018/12/zashchishchennyi-brauzer-dlya-gosudarstvennykh-elektronnykh-ploshchadok-teper-i-na-linu

https://astralinux.ru/news/category-news/2018/brauzeryi-%C2%ABastra-linux-special-edition%C2%BB-adaptirovanyi-dlya-rabotyi/

Список ГИС и ЭТП использующих cades-bes plugin

ЭЦП в государственных информационных системах и электронно торговых площадках

Перечень аккредитованных удостоверяющих центров

Аккредитованные удостоверяющие центры

Диагностический архив для обращения в тех. поддержку

По всем вопросам установки СКЗИ в операционную систему, их настройки и обеспечения доступа к электронным ресурсам в сети Интернет можно обращаться в техническую поддержку  Astra Linux  и  КриптоПро.

Для создания диагностического архива, можно воспользоваться следующей командой:

sudo /opt/cprocsp/bin/amd64/curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl

В результате должен получится архив в файле cprodiag_день_месяц_год.tar.gz, который следует прислать в техническую поддержку  Astra Linux  и  КриптоПро.

Цепочка сертификатов не может быть построена до доверенного корневого сертификата

При возникновении ошибки «Цепочка сертификатов не может быть построена до доверенного корневого сертификата.» необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо

1. перейти в раздел «Администрирование»

2. «Обмен электронными документами»

3. «Настройка электронной подписи и шифрования»

4. На вкладке «Сертификаты» открыть используемый сертификат

5. Нажать на кнопку «Проверить»

6. Ввести пароль закрытой части ключа и нажать «Проверить»

! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных .

Если в ходе проверки напротив пункта «Корректность данных сертификата» возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.

Если в технической информации об ошибке указано «Цепочка сертификатов не может быть построена до доверенного корневого

сертификата.» это обозначает, что цепочка сертификации выстроена не полностью. Данная ошибка чаще всего встречается при первичной установке сертификата. Для просмотра пути сертификации необходимо сохранить сертификат, указав директорию компьютера, где его можно будет найти. Сделать это можно из программы 1С открыв сертификат в настройках электронной подписи и шифрования и нажать кнопку «Сохранить в файл» и указать директорию операционной системы для сохранения файла.

После сохранения сертификата необходимо открыть его в сохраненной директории.

Открыть сертификат можно дважды нажав на него левой кнопкой мыши или правая кнопка мыши — Открыть.

На вкладке «Общие» в логотипе сертификата будет присутствовать сигнализирующий о проблеме желтый знак, а в сведениях о сертификате будет присутствовать надпись «Недостаточно информации для проверки этого сертификата».

Следующим этапом необходимо перейти во вкладку «Путь сертификации». Можно заметить, что путь сертификации состоит из одного личного сертификата, а в состоянии сертификата присутствует надпись «Невозможно обнаружить поставщика этого сертификата».

В компьютерной безопасности цифровые сертификаты проверяются с помощью цепочки доверия. Сертификаты удостоверяются ключами тех сертификатов, которые находятся выше в иерархии сертификатов. Наивысший сертификат в цепочке называется корневым.

Пример корректного пути сертификации

Решение: Восстановить путь сертификацию

В сертификате необходимо перейти во вкладку «Состав» и в верхнем окне необходимо найти и нажать на поле «Доступ к информации о центрах сертификации». В нижнем окне сертификата появится информация о доступах к сведениям центра сертификации, в котором необходимо найти ссылку, которая заканчивается на .cer или .crt. Данную ссылку необходимо скопировать от http:// до конца строки не включая URL=. Копирование производится при помощи комбинации клавиш Ctrl+C.

Открыть браузер и вставить скопированное ранее значение в адресную строку, нажать «Перейти» (Enter). Откроется окно просмотра загрузок, в котором браузер предложит сохранить или открыть файл. Необходимо нажать «Сохранить как» и указать директорию, куда произойдёт сохранение.

Произойдет скачивание сертификата удостоверяющего центра, который выдал личный сертификат. После скачивания необходимо перейти в указанную директорию и открыть скаченный сертификат. В нашем примере это сертификат astral-883-2018.

После открытия сертификата удостоверяющего центра необходимо нажать «Установить сертификат»

В открывшемся мастере импорта сертификатов выбрать Расположение хранилища: «Текущий пользователь» и нажать «Далее».

В следующем окне выбрать «Поместить все сертификаты в следующее хранилище» нажать «Обзор» и выбрать «Доверенные корневые центры сертификации», нажать «Далее» и завершить установку.

После появится окно предупреждения системы безопасности. Для установки сертификата необходимо нажать «Да»

Затем появится окно, сообщающее о том, что импорт сертификата успешно выполнен.

После установки сертификата удостоверяющего центра путь сертификации будет состоять уже из двух сертификатов: личного сертификата сотрудника организации, который ссылается на доверенный сертификат удостоверяющего центра, который выдал данному сотруднику сертификат.

Сертификат удостоверяющего центра не может сослаться на вышестоящий сертификат Головного удостоверяющего центра в виду его отсутствия на рабочем месте.

Для установки сертификата Головного удостоверяющего центра необходимо открыть сертификат удостоверяющего центра и перейти во вкладку «Состав». В верхнем окне выбрать поле «Идентификатор ключа центра сертификатов», а затем в нижнем окне скопировать серийный номер сертификата (Ctrl+C).

Для скачивания нужного сертификата Головного удостоверяющего центра необходимо перейти на Портал уполномоченного федерального органа в области использования электронной подписи и перейти на вкладку «ГОЛОВНОЙ УЦ» https://e-trust.gosuslugi.ru/mainca

Далее, используя сочетание клавиш Ctrl+F необходимо вызвать окно поиска и вставить в него скопированный серийный номер из сертификата удостоверяющего центра. Из представленного на сайте перечня сертификатов отобразиться тот, чей серийный номер совпадает. Именно данный сертификат Головного удостоверяющего центра нужно скачать. Для скачивания необходимо нажать на гиперссылку в строке «Отпечаток».

После нажатия на отпечаток произойдет скачивание сертификата Головного удостоверяющего центра. Необходимо нажать «Сохранить как» и выбрать необходимую директорию для сохранения сертификата Головного удостоверяющего центра.

Необходимо перейти в директорию, куда был скачан сертификат и открыть его.

В открывшемся сертификате необходимо нажать «Установить сертификат»

В мастере импорта сертификатов необходимо выбрать «Текущий пользователь» и нажать «Далее»

В следующем окне необходимо выбрать «Поместить все сертификаты в следующее хранилище», нажать «Обзор». В окне выбора хща сертификата необходимо поставить галочку «Показать физические хранилища», затем развернуть «Доверенные корневые центры сертификации» нажатием на «+» и выбрать «Локальный компьютер» и нажать «ОК». Завершить установку сертификата.

После установки сертификата Головного удостоверяющего центра путь сертификации личного сертификата восстановлен.

После восстановления пути сертификации ошибка не воспроизводится.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A

Автор: Юрий Белоусов · 23.09.2020

Пользователи, использующие программы, работающие с СУФД, в момент подписания документа, могут столкнуться с появлением сообщения: «Ошибка создания подписи: Не удается построить цепочку сертификатов (0x800B010A)».

Например, она может возникнуть при подаче заявки на zakupki.gov.ru или другом портале, работающим с ЭЦП.

В этой статье детально рассмотрим в чем причина данной проблемы и какие методы использовать для ее решения.

Почему возникает ошибка 0x800B010A

Причина возникновения ошибки создания подписи 0x800B010A понятна из пояснительного текста: «Не удается построить цепочку сертификатов». То есть, один или несколько необходимых сертификатов могут отсутствовать, быть некорректно установленными или попросту истек их срок действия.

Для нормальной работы обязательно должны быть установлены следующие сертификаты:

Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A – как исправить

Чтобы исправить ошибку создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A) необходимо правильно диагностировать проблемный сертификат. Сделать это можно с помощью специализированного ПО, либо – с помощью Internet Explorer.

1. Следует запустить браузер Internet Explorer. В операционных системах Windows он является предустановленным;
2. Открыть меню браузера, нажав на значок шестеренки в верхнем правом углу окна;
3. Выбрать пункт «Свойства браузера»;
   
   Альтернативный вариант – зайти в свойства браузера, воспользовавшись встроенным поиском Windows;
   
4. Перейти во вкладку «Содержание»;
5. Нажать кнопку «Сертификаты»;
   
6. Выбрать сертификат, которым необходимо подписать документ и нажать кнопку «Просмотр»;
7. Перейти во вкладку «Путь сертификации»;
8. Сертификат отмеченный красным крестиком или восклицательным знаком – и есть причина возникновения ошибки создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A).
   

На скриншоте выше показано, как должна выглядеть цепочка. Если один из сертификатов отсутствует или установлен с ошибкой, то подпись документа будет невозможной.

В случае, если отсутствует сертификат головного удостоверяющего центра, то необходимо скачать и установить. Найти его можно на сайте поставщика сертификата. Узнать кто поставщик можно из свойств, посмотрев вкладку «Общие». Также нужно добавить промежуточные сертификаты.

Для установки личного сертификата необходима программа КриптоПро CSP.

Подробную инструкцию по установке корневого и личного сертификатов можно посмотреть в видео:

Важно! При установке сертификата Головного удостоверяющего центра необходимо поместить его в раздел «Доверенные корневые центры сертификации», личный – в раздел «Личные», остальные – в «Промежуточные центры сертификации».

Если все необходимые сертификаты присутствуют в цепочке, то следует проверить срок их действия и сведения о сертификате. Для этого нужно:

1. Открыть список сертификатов;
2. Выбрать нужный;
3. Нажать кнопку «Просмотр»;
4. Посмотреть сведения о сертификате в разделе «Общие», включая срок до которого он действителен.
   

• Если истек срок действия, то нужно обновить сертификат;
• Если нет доверия к сертификату, то необходимо установить его в корректную директорию;
• Если не удается проследить путь до доверенного центра, значит нарушена общая цепь. Скорее всего, отсутствуют промежуточные сертификаты.

Если проблему не удалось исправить и по прежнему появляется внутренняя ошибка с кодом 0x800B010A, то стоит переустановить КриптоПро CSP, а также обратиться в службу поддержки поставщика сертификата.

Есть удобный способ восстановить правильную цепочку сертификатов, который показан в следующем видео:

Не нашли ответ? Тогда воспользуйтесь формой поиска:

Источник