Ошибка при создании подписи процесс отмены не может быть продолжен проверка сертификатов недоступна

bazooka	#1 Оставлено : 15 февраля 2016 г. 8:48:38(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	Добрый день! Подскажите, в последнее время, при проверке загружаемых на сервер подписанных файлов, через Крипто SDK стала случайным образом падать эта ошибка (0x800B010E): Процесс отмены не может быть продолжен — проверка сертификатов недоступна. Поймать ее для исследования не получается, она происходит совсем случайно и часто ночью. Подскажите, в каком направлении копать, я грешу, что какие-то сетевые запросы на OCSP проверку не проходят или что-то подобное, но точно не знаю… Помогите, что с этим делать. Ранее тот же код и сервер (ничего значимое не менялось) работало отлично.

Павел Смирнов	#2 Оставлено : 15 февраля 2016 г. 8:51:37(UTC)
Статус: Вам и не снилось Группы: Администраторы Зарегистрирован: 24.12.2007(UTC) Сообщений: 831 Откуда: Крипто-Про Сказал(а) «Спасибо»: 1 раз Поблагодарили: 48 раз в 44 постах	Скорее всего, беда именно с сетью. Надо копать именно в эту сторону.
Техническую поддержку оказываем тут. Наша база знаний.
	WWW

bazooka	#3 Оставлено : 15 февраля 2016 г. 9:47:08(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	Но не совсем понятно, что именно проверять с сетью — на другом компьютере, с «другим» интернетом, все работает. Вот получилось найти файл, с которым воспроизводится постоянно. Собрал кусок лога, где падает несколько таких ошибок подряд. Плюс приложу еще сертификат, на который грешу, что подпись им по какой-то причине там не проверяется. С ним неувязка, что у него указаны два адреса ocsp, первый из которых находится во внутренней сети РЖД, естественно недоступен из вне. Но по второму все ок. Может еще что подскажете… CertAndLog.zip (8kb) загружен 5 раз(а).

Павел Смирнов	#4 Оставлено : 15 февраля 2016 г. 10:10:15(UTC)
Статус: Вам и не снилось Группы: Администраторы Зарегистрирован: 24.12.2007(UTC) Сообщений: 831 Откуда: Крипто-Про Сказал(а) «Спасибо»: 1 раз Поблагодарили: 48 раз в 44 постах	Такой трассы для анализа недостаточно. Надо ещё собрать сообщения от winhttp.
Техническую поддержку оказываем тут. Наша база знаний.
	WWW

bazooka	#5 Оставлено : 24 февраля 2016 г. 16:27:56(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	Разобрались сами. Проблема была в том, что почему-то подписи сделанные определенными ключами ломились в сеть РЖД для проверки, к которой в этом месте доступа нет. Мы решили, что некоторые ключи АУЦ РЖД могут работать только с проверкой через их лок. сеть (хотя оба адреса через лок. сеть и через интернет в сертификате указаны и запросы идут на оба адреса). Благодарю за направление «копания». Но возникли 2 других случая. 1)Так же самая ошибка Процесс отмены не может быть продолжен — проверка сертификатов недоступна. Возникает при проверке отделенной подписи через крипто-SDK, сертификат которой отозван УЦ (выяснилось при проверке через крипто арм) а)Подскажите, как можно получить понятный текст ошибки, который говорит не о «недоступности проверки», а том что проверка прошла, но серт. невалидный? б)Также, скажите, является ли подпись верной, если сертификат отозван, но подпись, допустим сделана до его отзыва. И если да, то как отследить этот случай? 2) получаем ошибку «Не удается построить цепочку сертификатов для доверенного корневого центра.» в случае, если у сертификата закончился срок действия на текущий момент, но подпись сделана до его окончания. Разве в этом случае подпись считается невалидной?

cross	#6 Оставлено : 1 марта 2016 г. 12:47:43(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах	1)Можно ли получить немного больше деталей о том когда появляется такая ошибка? В сертификате подписанта есть ссылка на OCSP, если есть то доступен ли адрес в момент проверки и кем выдан сертификат службы OCSP. Какая версия SDK и платформа. 2) Если речь идет о подписи формата CADES_X_LONG_TYPE_1 то подпись будет считаться валидной если сертификат был отозван уже после момента создания подписи. Если про CADES_BES то нет, т.к. подпись не содержит «доверенного времени создания подписи» и сохраненных доказательств что сертификат в этот момент был действителен. Отредактировано пользователем 1 марта 2016 г. 12:48:15(UTC)  | Причина: Не указана
Техническую поддержку оказываем тут. Наша база знаний. Наша страничка в Instagram.

bazooka	#7 Оставлено : 1 марта 2016 г. 19:04:09(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	1) В сертификате есть адреса OCSP [1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://ca.rzd/ocsp/ocsp.srf [2]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://ca.rzd.ru/ocsp/ocsp.srf [3]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.rzd/aca/root.p7b [4]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.rzd.ru/aca/root.p7b Причем адреса ca.rzd — недоступны с машины, где идет проверка. А ca.rzd.ru — доступны. А каком сертификате службы OCSP идет речь? SDK 1.5, вызывается через .net-assembly на сайте, хост в IIS, win 2008. 2) Да, ясно, спасибо! И, как я понимаю, в случае окончания срока сертификата, проверка через SDK в случае BES должна падать с ошибкой, а CADES_X_LONG_TYPE_1 — нет, верно?

cross	#8 Оставлено : 2 марта 2016 г. 9:40:20(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах	1) Да, очень похожую ошибку мы правили в версии 2.0. При наличии нескольких OCSP адресов, мы опрашиваем о статусе все. И результирующей ошибкой становилась ошибка от поcледнего OCSP. Т.к. один из адресов не доступен => ошибка «проверка сертификатов недоступна» 2) Да. вы правы. Подпись CADES_BES, по сути, проверяется на текущий момент. Если с сертификатом сейчас что то не так (отозван. просрочен ….) то подпись считается плохой. Для X_LONG_TYPE_1 такой проблемы нет.
Техническую поддержку оказываем тут. Наша база знаний. Наша страничка в Instagram.

bazooka	#9 Оставлено : 2 марта 2016 г. 9:46:36(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	Т.е. это ошибка 1.5 версии? Что бы я получил во 2й версии при вашем исправлении? стоит на нее попробовать перейти на сервере?

cross	#10 Оставлено : 2 марта 2016 г. 12:39:19(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах	Просто так на нее не перейти — нужно будет лицензии новые. В следующей версии 1.5 исправим.
Техническую поддержку оказываем тут. Наша база знаний. Наша страничка в Instagram.

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Когда при тестировании контейнера ЭЦП в программе «Инструменты КриптоПро» или при попытке подписания документа возникает ошибка «0x800B010E: Процесс отмены не может быть продолжен — проверка сертификатов недоступна», значит программа КриптоПро CSP не может подключиться к серверам удостоверяющих центов, которые присутствуют в цепочке сертификатов электронной цифровой подписи.

Появление этой ошибки вовсе не означает, что рабочее место не настроено или настроено некорректно. Однако советуем пройтись по списку для 100% решения проблемы. Рекомендуем также после каждого пункта проверять наличие ошибки, запуская тестирование контейнера ЭЦП.

Как проверить и протестировать ЭЦП (контейнер закрытого ключа) в КриптоПро на ошибки?

Наша инструкция по проверке наличия ошибок в контейнере ЭЦП.

1. Обновите КриптоПро CSP.

Это первое с чего следует начинать решение любой проблемы, если она связана с ЭЦП.

Как обновить КриптоПро CSP до актуальной версии?

Наша подробная инструкция по обновлению программы КриптоПро.

1. Проверьте подключение к сети Интернет. Отключите VPN, если оно используется. Не используйте подключение к сети через прокси-сервер.

В первую очередь это связано с тем, что сервера удостоверяющих центов могут блокировать подключение пользователей из других стран. Даже если вы территориально находитесь в России, но используете VPN или прокси-сервер другой страны, вы будете получать ошибку 0x800B010E, и КриптоПро не сможет проверить сертификаты при использовании ЭЦП.

1. Подключите VPN с сервером из России, если вы находитесь за пределами Российской Федерации.

Имейте ввиду, что сервера удостоверяющих центров могут блокировать подключение пользователей из других стран, что может приводить к невозможности проверки сертификатов и появлению ошибки 0x800B010E.

1. Попробуйте использовать ЭЦП через некоторое время.

Если все вышеприведённые пункты не помогли, не исключено, что имеется временная проблема с серверами удостоверяющих центров. Сервера могут быть недоступны по различным причинам. Может быть сбой дата-центра, сервера могут испытывать повышенную нагрузку, или находиться под DDOS-атакой. Поэтому, если все вышеперечисленные пункты пройдены, а ошибка периодически возникает, самое лучшее, что можно предложить — просто подождать и попробовать в другое время.

Помогла ли вам наша инструкция решить проблему с ошибкой 0x800B010E в КриптоПро?

Расскажите в комментариях 😉

Когда при тестировании контейнера ЭЦП в программе «Инструменты КриптоПро» или при попытке подписания документа возникает ошибка «0x800B010E: Процесс отмены не может быть продолжен — проверка сертификатов недоступна», значит программа КриптоПро CSP не может подключиться к серверам удостоверяющих центов, которые присутствуют в цепочке сертификатов электронной цифровой подписи.

Появление этой ошибки вовсе не означает, что рабочее место не настроено или настроено некорректно. Однако советуем пройтись по списку для 100% решения проблемы. Рекомендуем также после каждого пункта проверять наличие ошибки, запуская тестирование контейнера ЭЦП.

Как проверить и протестировать ЭЦП (контейнер закрытого ключа) в КриптоПро на ошибки?

Наша инструкция по проверке наличия ошибок в контейнере ЭЦП.

1. Обновите КриптоПро CSP.

Это первое с чего следует начинать решение любой проблемы, если она связана с ЭЦП.

Как обновить КриптоПро CSP до актуальной версии?

Наша подробная инструкция по обновлению программы КриптоПро.

1. Проверьте подключение к сети Интернет. Отключите VPN, если оно используется. Не используйте подключение к сети через прокси-сервер.

В первую очередь это связано с тем, что сервера удостоверяющих центов могут блокировать подключение пользователей из других стран. Даже если вы территориально находитесь в России, но используете VPN или прокси-сервер другой страны, вы будете получать ошибку 0x800B010E, и КриптоПро не сможет проверить сертификаты при использовании ЭЦП.

1. Подключите VPN с сервером из России, если вы находитесь за пределами Российской Федерации.

Имейте ввиду, что сервера удостоверяющих центров могут блокировать подключение пользователей из других стран, что может приводить к невозможности проверки сертификатов и появлению ошибки 0x800B010E.

1. Попробуйте использовать ЭЦП через некоторое время.

Если все вышеприведённые пункты не помогли, не исключено, что имеется временная проблема с серверами удостоверяющих центров. Сервера могут быть недоступны по различным причинам. Может быть сбой дата-центра, сервера могут испытывать повышенную нагрузку, или находиться под DDOS-атакой. Поэтому, если все вышеперечисленные пункты пройдены, а ошибка периодически возникает, самое лучшее, что можно предложить — просто подождать и попробовать в другое время.

Помогла ли вам наша инструкция решить проблему с ошибкой 0x800B010E в КриптоПро?

Расскажите в комментариях 😉

bazooka	#1 Оставлено : 15 февраля 2016 г. 8:48:38(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	Добрый день! Подскажите, в последнее время, при проверке загружаемых на сервер подписанных файлов, через Крипто SDK стала случайным образом падать эта ошибка (0x800B010E): Процесс отмены не может быть продолжен — проверка сертификатов недоступна. Поймать ее для исследования не получается, она происходит совсем случайно и часто ночью. Подскажите, в каком направлении копать, я грешу, что какие-то сетевые запросы на OCSP проверку не проходят или что-то подобное, но точно не знаю… Помогите, что с этим делать. Ранее тот же код и сервер (ничего значимое не менялось) работало отлично.

Павел Смирнов	#2 Оставлено : 15 февраля 2016 г. 8:51:37(UTC)
Статус: Вам и не снилось Группы: Администраторы Зарегистрирован: 24.12.2007(UTC) Сообщений: 831 Откуда: Крипто-Про Сказал(а) «Спасибо»: 1 раз Поблагодарили: 48 раз в 44 постах	Скорее всего, беда именно с сетью. Надо копать именно в эту сторону.
Техническую поддержку оказываем тут. Наша база знаний.
	WWW

bazooka	#3 Оставлено : 15 февраля 2016 г. 9:47:08(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	Но не совсем понятно, что именно проверять с сетью — на другом компьютере, с «другим» интернетом, все работает. Вот получилось найти файл, с которым воспроизводится постоянно. Собрал кусок лога, где падает несколько таких ошибок подряд. Плюс приложу еще сертификат, на который грешу, что подпись им по какой-то причине там не проверяется. С ним неувязка, что у него указаны два адреса ocsp, первый из которых находится во внутренней сети РЖД, естественно недоступен из вне. Но по второму все ок. Может еще что подскажете… CertAndLog.zip (8kb) загружен 5 раз(а).

Павел Смирнов	#4 Оставлено : 15 февраля 2016 г. 10:10:15(UTC)
Статус: Вам и не снилось Группы: Администраторы Зарегистрирован: 24.12.2007(UTC) Сообщений: 831 Откуда: Крипто-Про Сказал(а) «Спасибо»: 1 раз Поблагодарили: 48 раз в 44 постах	Такой трассы для анализа недостаточно. Надо ещё собрать сообщения от winhttp.
Техническую поддержку оказываем тут. Наша база знаний.
	WWW

bazooka	#5 Оставлено : 24 февраля 2016 г. 16:27:56(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	Разобрались сами. Проблема была в том, что почему-то подписи сделанные определенными ключами ломились в сеть РЖД для проверки, к которой в этом месте доступа нет. Мы решили, что некоторые ключи АУЦ РЖД могут работать только с проверкой через их лок. сеть (хотя оба адреса через лок. сеть и через интернет в сертификате указаны и запросы идут на оба адреса). Благодарю за направление «копания». Но возникли 2 других случая. 1)Так же самая ошибка Процесс отмены не может быть продолжен — проверка сертификатов недоступна. Возникает при проверке отделенной подписи через крипто-SDK, сертификат которой отозван УЦ (выяснилось при проверке через крипто арм) а)Подскажите, как можно получить понятный текст ошибки, который говорит не о «недоступности проверки», а том что проверка прошла, но серт. невалидный? б)Также, скажите, является ли подпись верной, если сертификат отозван, но подпись, допустим сделана до его отзыва. И если да, то как отследить этот случай? 2) получаем ошибку «Не удается построить цепочку сертификатов для доверенного корневого центра.» в случае, если у сертификата закончился срок действия на текущий момент, но подпись сделана до его окончания. Разве в этом случае подпись считается невалидной?

cross	#6 Оставлено : 1 марта 2016 г. 12:47:43(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах	1)Можно ли получить немного больше деталей о том когда появляется такая ошибка? В сертификате подписанта есть ссылка на OCSP, если есть то доступен ли адрес в момент проверки и кем выдан сертификат службы OCSP. Какая версия SDK и платформа. 2) Если речь идет о подписи формата CADES_X_LONG_TYPE_1 то подпись будет считаться валидной если сертификат был отозван уже после момента создания подписи. Если про CADES_BES то нет, т.к. подпись не содержит «доверенного времени создания подписи» и сохраненных доказательств что сертификат в этот момент был действителен. Отредактировано пользователем 1 марта 2016 г. 12:48:15(UTC)  | Причина: Не указана
Техническую поддержку оказываем тут. Наша база знаний. Наша страничка в Instagram.

bazooka	#7 Оставлено : 1 марта 2016 г. 19:04:09(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	1) В сертификате есть адреса OCSP [1]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://ca.rzd/ocsp/ocsp.srf [2]Доступ к сведениям центра сертификации Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1) Дополнительное имя: URL=http://ca.rzd.ru/ocsp/ocsp.srf [3]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.rzd/aca/root.p7b [4]Доступ к сведениям центра сертификации Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2) Дополнительное имя: URL=http://ca.rzd.ru/aca/root.p7b Причем адреса ca.rzd — недоступны с машины, где идет проверка. А ca.rzd.ru — доступны. А каком сертификате службы OCSP идет речь? SDK 1.5, вызывается через .net-assembly на сайте, хост в IIS, win 2008. 2) Да, ясно, спасибо! И, как я понимаю, в случае окончания срока сертификата, проверка через SDK в случае BES должна падать с ошибкой, а CADES_X_LONG_TYPE_1 — нет, верно?

cross	#8 Оставлено : 2 марта 2016 г. 9:40:20(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах	1) Да, очень похожую ошибку мы правили в версии 2.0. При наличии нескольких OCSP адресов, мы опрашиваем о статусе все. И результирующей ошибкой становилась ошибка от поcледнего OCSP. Т.к. один из адресов не доступен => ошибка «проверка сертификатов недоступна» 2) Да. вы правы. Подпись CADES_BES, по сути, проверяется на текущий момент. Если с сертификатом сейчас что то не так (отозван. просрочен ….) то подпись считается плохой. Для X_LONG_TYPE_1 такой проблемы нет.
Техническую поддержку оказываем тут. Наша база знаний. Наша страничка в Instagram.

bazooka	#9 Оставлено : 2 марта 2016 г. 9:46:36(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 17.09.2014(UTC) Сообщений: 123 Сказал «Спасибо»: 5 раз Поблагодарили: 2 раз в 2 постах	Т.е. это ошибка 1.5 версии? Что бы я получил во 2й версии при вашем исправлении? стоит на нее попробовать перейти на сервере?

cross	#10 Оставлено : 2 марта 2016 г. 12:39:19(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах	Просто так на нее не перейти — нужно будет лицензии новые. В следующей версии 1.5 исправим.
Техническую поддержку оказываем тут. Наша база знаний. Наша страничка в Instagram.

Быстрый переход
 

Работа с КЭП

Что такое КЭП (ЭЦП)?

Реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).

Установка программного обеспечения

Для регистрации на сайте «Платформа ОФД» с КЭП используется специализированное программное обеспечение — КриптоПро CSP и КриптоПро ЭЦП Browser plug-in.

Официальный сайт — https://www.cryptopro.ru/

Для скачивания файлов произведите регистрацию или авторизацию на сайте https://www.cryptopro.ru/

После скачивания программ выполните их установку на ваш ПК следуя подсказкам на экране.

Рис. 1 установка КриптоПро CSP

Рис. 2 установка КриптоПро ЭЦП Browser plug-in

Установка личного сертификата в КриптоПро

При первом использовании КЭП установите драйвер для сертифицированного защищенного носителя с сайта производителя, т. к. Смарт карта, Рутокен, eToken, JaCarta автоматически определены на ПК не будут.

Рутокен — https://www.rutoken.ru/support/download/drivers-for-windows/

eToken, JaCarta — https://www.aladdin-rd.ru/support

Далее запускаем КриптоПро CSP и переходим во вкладку «Сервис», пункт «Установить личный сертификат»

В следующем окне необходимо указать путь к расположению сертификата.

Установка сертификата в хранилище сертификатов

Запускаем КриптоПро CSP и переходим во вкладку «Сервис», далее нажимаем на «Просмотреть сертификаты в контейнере».

Личный сертификат подписи должен быть установлен для пользователя, а не для локального компьютера

Загрузка показана на изображении ниже:

После нажатия на кнопку «Обзор», появится окно с выбором ключевого носителя для вашего пользователя.

Отсутствие ключевого контейнера в списке может быть вызвано:

• В USB-разъем не подключен ключевой носитель с подписью.
• В USB-разъем подключен ключевой носитель с подписью, но сам носитель неактивен по причине того, что для него не установлен необходимый драйвер.

В случае отсутствия закрытого ключевого контейнера для открытого ключа квалифицированной электронной подписи, необходимо обратиться в Удостоверяющий центр для устранения ошибки.

После выбора подписи проверьте информацию о сертификате вашей подписи в следующем окне:

Проверяя информацию о сертификате, обратите внимание на срок действия сертификата.

Корневые и промежуточные сертификаты удостоверяющего центра

Корневой сертификат Удостоверяющего центра (далее УЦ) возможно загрузить двумя способами:

• Обратиться в службу технической поддержки УЦ
• Самостоятельно загрузить сертификат с сайта УЦ

После загрузки корневого сертификата УЦ на ПК произведите его установку при помощи «Мастера установки сертификатов», как указано на изображениях ниже. В некоторых случаях для запуска мастера установки сертификатов требуется нажать на сам сертификат правой кнопкой мыши и выбрать пункт «Установить сертификат»).

Нажимаем кнопку «Далее» и выбираем «Поместить все сертификаты в следующее хранилище» и нажимаем кнопку «Обзор» (рисунок ниже).

Помещаем сертификат в «Доверенные корневые центры сертификации» и нажимаем «ОК» (рисунок ниже)

Затем нажимаем кнопку «Далее» и «Готово». В случае успешной установки появится окно (рисунок ниже). На этом установка корневого сертификата завершена.

Промежуточные сертификаты устанавливаются аналогичным образом, но в окне выбора хранилищ сертификатов выбираем «Промежуточные центры корневой сертификации».

В случае отсутствия установленных корневых и промежуточных сертификатов, личный сертификат подписи может работать некорректно, чаще всего это проявляется в виде ошибки «Не удалось построить цепочку сертификатов для доверенного корневого центра» или «A certificate chain could not be built to a trusted root authority (0x800B010A)».

Запустите исполняемый файл cadesplugin.exe.

Подтвердите установку КриптоПро ЭЦП Browser plug-in.

Если потребуется, разрешите КриптоПро ЭЦП Browser plug-in внести изменения на ПК путем нажатия кнопки «Да».

Дождитесь окончания установки КриптоПро ЭЦП Browser plug-in.

После окончания установки КриптоПро ЭЦП Browser plug-in нажмите ОК.

Дальнейшие настройки различаются в зависимости от используемого браузера.

Браузер Chrome: запустите Chrome и дождитесь оповещения об установленном расширении «CryptoPro Extension for CAdES Browser Plug-in». Включите это расширение. Если на Вашем компьютере ранее уже выполнялась установка КриптоПро ЭЦП Browser plug-in, а потом он был удален, потребуется отдельно установить расширение.

Для этого перейдите по ссылке и установите расширение из интернет-магазина Chrome.

Браузер Opera или Яндекс.Браузер: расширение доступно по ссылке.

Браузер Microsoft Internet Explorer: не требуется дополнительных настроек.

Проверьте корректность установки на странице проверки плагина. Для этого в открывшемся окне подтвердите доступ путем нажатия кнопки «Да».

Если установка КриптоПро ЭЦП Browser plug-in прошла успешно, появится окно с надписью: «Плагин загружен», указанием его версии и используемой вами версии КриптоПро CSP.

Распространенные ошибки

1.«A certificate chain could not be built to a trusted root authority (0x800B010A)» или «Не удалось построить цепочку сертификатов для доверенного корневого центра».

Установить необходимые корневые и промежуточные сертификаты.

2. «The revocation process could not continue — the certificate(s) could not be checked (0x800B010E)» или «Процесс отмены не может быть продолжен — проверка сертификатов недоступна (0x800B010E)».

• Отключить на время работы брандмауэр и антивирус.
• Отключить в настройках сети прокси – сервер.

3. Crypto Pro Cades Plugin не найден.

• Проверить статус плагина в настройках браузера
• Отключить программное обеспечение стороннего крипто провайдера
• Переустановить плагин для вашего браузера.

Ссылка — https://www.cryptopro.ru/products/cades/plugin/get_2_0

4. При выборе персонального ключа электронной подписи нет ни одного контейнера с сертификатом.

5. При нажатии на кнопку загрузить, ничего не происходит.

Удалить файлы кэш и cookies в браузере, который используется для регистрации на сайте «Платформа ОФД» и повторить процедуру заново.

В случае если ошибка повторится, сменить браузер на другой и повторить регистрацию.

6. КЭП не содержит ОГРН (ИНН).

• Проверить не принадлежит ли подпись физическому лицу.
• Проверить состав личного сертификата на наличие данных реквизитов. Если они отсутствуют, то рекомендуем обратиться в УЦ для корректировки подписи.
• Если данные реквизиты есть, но в них допущена ошибка или данные реквизиты расположены не в поле «Субъект», а в других полях, необходимо обращаться к УЦ для формирования состава КЭП в соответствии с методическими рекомендациями.

7. При выборе персонального ключа и нажатии на кнопку «Загрузить» требуется ввести Pin-код для защищенного сертифицированного аппаратного ключа.

По умолчанию установлены следующие PIN-коды:

• Рутокен — 12345678
• eToken — 1234567890
• JaCarta PKI — 11111111

При использовании JaCarta PKI с опцией «Обратная совместимость» 1234567890

В случае если эти Pin-коды являются некорректными необходимо обратиться к производителю КЭП.

8. Ошибка при выборе персонального ключа

В письме указать номер мобильного телефона, на который была осуществлена регистрация личного кабинета.

Работа с КЭП

Что такое КЭП (ЭЦП)?

Реквизит электронного документа, полученный в результате криптографического преобразования информации с использованием закрытого ключа подписи и позволяющий проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).

Установка программного обеспечения

Для регистрации на сайте «Платформа ОФД» с КЭП используется специализированное программное обеспечение — КриптоПро CSP и КриптоПро ЭЦП Browser plug-in.

Официальный сайт — https://www.cryptopro.ru/

Для скачивания файлов произведите регистрацию или авторизацию на сайте https://www.cryptopro.ru/

После скачивания программ выполните их установку на ваш ПК следуя подсказкам на экране.

Рис. 1 установка КриптоПро CSP

Рис. 2 установка КриптоПро ЭЦП Browser plug-in

Установка личного сертификата в КриптоПро

При первом использовании КЭП установите драйвер для сертифицированного защищенного носителя с сайта производителя, т. к. Смарт карта, Рутокен, eToken, JaCarta автоматически определены на ПК не будут.

Рутокен — https://www.rutoken.ru/support/download/drivers-for-windows/

eToken, JaCarta — https://www.aladdin-rd.ru/support

Далее запускаем КриптоПро CSP и переходим во вкладку «Сервис», пункт «Установить личный сертификат»

В следующем окне необходимо указать путь к расположению сертификата.

Установка сертификата в хранилище сертификатов

Запускаем КриптоПро CSP и переходим во вкладку «Сервис», далее нажимаем на «Просмотреть сертификаты в контейнере».

Личный сертификат подписи должен быть установлен для пользователя, а не для локального компьютера

Загрузка показана на изображении ниже:

После нажатия на кнопку «Обзор», появится окно с выбором ключевого носителя для вашего пользователя.

Отсутствие ключевого контейнера в списке может быть вызвано:

• В USB-разъем не подключен ключевой носитель с подписью.
• В USB-разъем подключен ключевой носитель с подписью, но сам носитель неактивен по причине того, что для него не установлен необходимый драйвер.

В случае отсутствия закрытого ключевого контейнера для открытого ключа квалифицированной электронной подписи, необходимо обратиться в Удостоверяющий центр для устранения ошибки.

После выбора подписи проверьте информацию о сертификате вашей подписи в следующем окне:

Проверяя информацию о сертификате, обратите внимание на срок действия сертификата.

Корневые и промежуточные сертификаты удостоверяющего центра

Корневой сертификат Удостоверяющего центра (далее УЦ) возможно загрузить двумя способами:

• Обратиться в службу технической поддержки УЦ
• Самостоятельно загрузить сертификат с сайта УЦ

После загрузки корневого сертификата УЦ на ПК произведите его установку при помощи «Мастера установки сертификатов», как указано на изображениях ниже. В некоторых случаях для запуска мастера установки сертификатов требуется нажать на сам сертификат правой кнопкой мыши и выбрать пункт «Установить сертификат»).

Нажимаем кнопку «Далее» и выбираем «Поместить все сертификаты в следующее хранилище» и нажимаем кнопку «Обзор» (рисунок ниже).

Помещаем сертификат в «Доверенные корневые центры сертификации» и нажимаем «ОК» (рисунок ниже)

Затем нажимаем кнопку «Далее» и «Готово». В случае успешной установки появится окно (рисунок ниже). На этом установка корневого сертификата завершена.

Промежуточные сертификаты устанавливаются аналогичным образом, но в окне выбора хранилищ сертификатов выбираем «Промежуточные центры корневой сертификации».

В случае отсутствия установленных корневых и промежуточных сертификатов, личный сертификат подписи может работать некорректно, чаще всего это проявляется в виде ошибки «Не удалось построить цепочку сертификатов для доверенного корневого центра» или «A certificate chain could not be built to a trusted root authority (0x800B010A)».

Запустите исполняемый файл cadesplugin.exe.

Подтвердите установку КриптоПро ЭЦП Browser plug-in.

Если потребуется, разрешите КриптоПро ЭЦП Browser plug-in внести изменения на ПК путем нажатия кнопки «Да».

Дождитесь окончания установки КриптоПро ЭЦП Browser plug-in.

После окончания установки КриптоПро ЭЦП Browser plug-in нажмите ОК.

Дальнейшие настройки различаются в зависимости от используемого браузера.

Браузер Chrome: запустите Chrome и дождитесь оповещения об установленном расширении «CryptoPro Extension for CAdES Browser Plug-in». Включите это расширение. Если на Вашем компьютере ранее уже выполнялась установка КриптоПро ЭЦП Browser plug-in, а потом он был удален, потребуется отдельно установить расширение.

Для этого перейдите по ссылке и установите расширение из интернет-магазина Chrome.

Браузер Opera или Яндекс.Браузер: расширение доступно по ссылке.

Браузер Microsoft Internet Explorer: не требуется дополнительных настроек.

Проверьте корректность установки на странице проверки плагина. Для этого в открывшемся окне подтвердите доступ путем нажатия кнопки «Да».

Если установка КриптоПро ЭЦП Browser plug-in прошла успешно, появится окно с надписью: «Плагин загружен», указанием его версии и используемой вами версии КриптоПро CSP.

Распространенные ошибки

1.«A certificate chain could not be built to a trusted root authority (0x800B010A)» или «Не удалось построить цепочку сертификатов для доверенного корневого центра».

Установить необходимые корневые и промежуточные сертификаты.

2. «The revocation process could not continue — the certificate(s) could not be checked (0x800B010E)» или «Процесс отмены не может быть продолжен — проверка сертификатов недоступна (0x800B010E)».

• Отключить на время работы брандмауэр и антивирус.
• Отключить в настройках сети прокси – сервер.

3. Crypto Pro Cades Plugin не найден.

• Проверить статус плагина в настройках браузера
• Отключить программное обеспечение стороннего крипто провайдера
• Переустановить плагин для вашего браузера.

Ссылка — https://www.cryptopro.ru/products/cades/plugin/get_2_0

4. При выборе персонального ключа электронной подписи нет ни одного контейнера с сертификатом.

5. При нажатии на кнопку загрузить, ничего не происходит.

Удалить файлы кэш и cookies в браузере, который используется для регистрации на сайте «Платформа ОФД» и повторить процедуру заново.

В случае если ошибка повторится, сменить браузер на другой и повторить регистрацию.

6. КЭП не содержит ОГРН (ИНН).

• Проверить не принадлежит ли подпись физическому лицу.
• Проверить состав личного сертификата на наличие данных реквизитов. Если они отсутствуют, то рекомендуем обратиться в УЦ для корректировки подписи.
• Если данные реквизиты есть, но в них допущена ошибка или данные реквизиты расположены не в поле «Субъект», а в других полях, необходимо обращаться к УЦ для формирования состава КЭП в соответствии с методическими рекомендациями.

7. При выборе персонального ключа и нажатии на кнопку «Загрузить» требуется ввести Pin-код для защищенного сертифицированного аппаратного ключа.

По умолчанию установлены следующие PIN-коды:

• Рутокен — 12345678
• eToken — 1234567890
• JaCarta PKI — 11111111

При использовании JaCarta PKI с опцией «Обратная совместимость» 1234567890

В случае если эти Pin-коды являются некорректными необходимо обратиться к производителю КЭП.

8. Ошибка при выборе персонального ключа

В письме указать номер мобильного телефона, на который была осуществлена регистрация личного кабинета.