Sdscompany.ru

Компьютерный журнал
3 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Ошибка проверки сертификата

Диагностика ошибок ОС Windows при проверке сертификата

Начиная с версии 8.3.12 платформа «1С:Предприятие» при установке защищенного (SSL/TLS) соединения выполняет проверку сертификата сервера средствами операционной системы Windows. У конечных пользователей может периодически возникать исключение: «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата«. Часто появление такого исключения связано с ограничениями доступа в Интернет или прав пользователя, от имени которого запущена служба сервера «1С:Предприятия».

Для точной диагностики проблемы следует посмотреть записи в журнале CAPI2 операционной системы Windows.


    По умолчанию журнал не ведется и его следует включить. (Здесь и далее инструкция приводится для Windows 10).
    В меню Пуск выберите Средства администрирования– Просмотр событий.

В окне Просмотр событий в списке Журналы приложений и служб выберите Microsoft – Windows CAPI2 Operational.

В списке Действия выберите Включить журнал.

  • Ошибка проверки отзыва сертификата средствами операционной системы может выглядеть следующим образом:
  • Некоторые подробности можно выяснить, если посмотреть ошибки рядом. Например, в данном случае есть такая ошибка:

    Из текста этих ошибок видно, что операционная система не смогла получить список отзыва сертификатов, расположенный по url-адресу http://crl4.digicert.com/DigiCertGlobalRootCA.crl по причине превышения времени ожидания. Поэтому не удалось выполнить проверку сертификата и получили исключение платформы.

    В разделе System указаны дополнительные сведения. Например:

    В данном разделе полезно знать UserID. Этот параметр содержит сведения о пользователе, от имени которого была выполнена операция.

    В случае из примера причина невозможности проверки отзыва сертификата сервера — в том, что доступ к http://crl4.digicert.com/DigiCertGlobalRootCA.crl есть только у доменных пользователей, а сервер «1С:Предприятия» запущен как сервис от имени локального пользователя.

    Как только сервер запустят от имени доменного пользователя, ошибка проверки отзыва сертификата средствами ОС перестанет воспроизводиться.

    Зачастую проблемы проверки отзыва сертификатов возникают из-за ограничений доступа к интернет-ресурсам, установленными администратором интрасети. Это может быть сделано с помощью прокси, сетевых экранов (включая шлюзы, антивирусы, локальные сетевые экраны и т.п.).

    Варианты настройки платформы

    Платформа «1С:Предприятие 8» поддерживает следующие варианты настройки проверки отзыва сертификата:

    1. По умолчанию. – С получением исключений «Удаленный узел не прошел проверку. Не удалось выполнить проверку отзыва сертификата».
    2. Настройка, позволяющая игнорировать ошибки проверки отзыва сертификата и не вызывать на них исключения.

    Внимание! Такая настройка снижает уровень доверия к внешним ресурсам!
    В случае применения данной настройки ответственность возлагается на пользователя.

    Для того, чтобы включить игнорирование ошибки проверки отзыва сертификата необходимо в файле conf.cfg добавить строку:

    Следует иметь в виду, что данный механизм игнорирует именно ошибки проверки отзыва, а не отменяет проверку отзыва сертификата. Поэтому если сертификат сервера отозван и это подтверждено, то соединение с таким сервером установлено не будет.

    Как устранить ошибку: этот сертификат содержит недействительную цифровую подпись

    Обычно работа с электронной цифровой подписью не вызывает сложностей, но иногда при подписании документа возникает ошибка о содержании в сертификате недействительной цифровой подписи. Решение ошибки зависит от причины и момента возникновения и обычно ограничивается переустановкой программного обеспечения.

    Причина: переустановка OS Windows

    После переустановки Windows или установки обновлений сертификаты, имеющие ключи менее 1024 битов, становятся недействительными и блокируются. Для снижения риска компрометации ключей электронной подписи было выпущено специальное обновление, блокирующее ненадежные ключи RSA (криптографический алгоритм, сокращение от Rivest, Shamir и Adleman).

    Решение

    Проблему можно решить несколькими командами, которые задаются через командную строку (комбинация клавиш Win+R и введение в поисковом окне cmd).

    Чтобы разрешить использование корневого сертификата (КС) с длиной менее 1024 бит, нужно использовать команду certutil: certutil -setreg chainEnableWeakSignatureFlags. Для разрешения регистрации и блокировки закрытых ключей ЭЦП используют команду certutil -setreg chainEnableWeakSignatureFlags. Для включения регистрации сертификатов RSA ниже КС используют certutil: certutil -setreg chainEnableWeakSignatureFlags. Для регистрации без блокировки ключей электронной подписи длиной менее 1024 бит задают команду certutil: certutil -setreg chainEnableWeakSignatureFlags.

    Причина: не запущена служба инициализации

    Иногда ошибка недействительности подписи связана со сбоем в службе инициализации. Обнаружить это можно, если попробовать посмотреть любой из закрытых ключей электронной подписи в хранилище.

    Решение

    Чтобы устранить ошибку нужно:

    1. Открыть командную строку (Win+R) и ввести в строке поиска cmd.
    2. Выполнить команду certmgr.msc.
    3. Открыть «Доверенные КС» и проверить статус интересующего закрытого ключа.
    4. Выполнить команду services.msc.
    5. Посмотреть состояние «Службы инициализации КриптоПро».
    6. Открыть через «Свойства» КриптоПро вкладку «Алгоритмы».

    Обычно причина ошибки в том, что не все поля заполнены. После введения недостающей информации и перезагрузки программы ошибка исчезает.

    Ошибка при работе в СУФД

    Иногда при работе системы удаленного финансового документооборота также выходит ошибка о недействительности электронной подписи. Причин может быть несколько — это и отсутствие личных сертификатов, и устаревшая версия Java и даже неправильно выбранный пользователь.

    Решение

    Для проверки наличия личных сертификатов нужно перейти: «Панель управления»/«Свойства обозревателя»/«Содержание»/папка «Сертификаты». Если они личные, то необходима установка КриптоПро.

    Для корректной работы подписи необходима версия Java 6 update 17 и выше. Также важно проверить, включены ли в используемом браузере плагины Java. Сделать это можно так:

    • для IE: «Сервис»/«Надстройки»/«Панель инструментов». В открывшемся меню все пункты, относящиеся к Java, должны быть активны.
    • для Firefox: «Инструменты»/«Дополнение»/«Расширения»/«Плагины». Также в новом окне должны быть активны все пункты, связанные с Java.

    Также нужно проверить «Документарный контроль» и очередность подписей, используемый ключевой носитель и соответствие учетной записи.

    Ошибка сертификата при работе в ЕГАИС

    Во время работы в Единой Государственной Автоматизированной Информационной Системе (ЕГАИС) проблема с недействительной подписью возникает реже и обычно из-за отсутствия личного сертификата или повреждения ключевого носителя.

    Как устранить

    Для устранения ошибки нужно:

    1. Проверить действительность личного сертификата.
    2. Проверить наличие контейнера на носителе ЭЦП и файла с расширением .cer.
    3. При помощи КриптоПро сделать копию и установить с копии новый личный сертификат.
    4. Переместить содержимое ключевого носителя в любое место на ПК, а если данные повреждены и копирование не удается, восстановить при помощи специальной программы (badcopy).
    5. Переустановить КриптоПро.

    Обычно после переустановки программы и повторной загрузки КС проблема исчезает. При повторном появлении ошибки лучше обратиться в техническую поддержку.

    Ошибка при работе в КриптоАрм

    Проблема с недействительной подписью при работе в КриптоАрм может быть вызвана и истекшим сроком сертификата, и тем, что ключ ЭЦП попал в список отозванных сертификатов, и в невозможности построить цепочку сертификатов.

    Как устранить

    Чтобы устранить ошибку, нужно проверить адрес OCSP службы в сертификате. В поле «Доступ к информации о центрах сертификации» обычно не ставится пункт «Метод доступа». Сделать это можно так:

    1. «Пуск»/«Все программы»/«Сертификаты»/«Пользователь»/«Личное»/«Сертификаты».
    2. В правой части рабочего окна открыть нужный сертификат.
    3. Открыть вкладку «Состав»/«Доступ к информации…».

    Если данное условие нарушено, то необходимо обратиться в удостоверяющий центр, выдавший электронную подпись, и попросить изготовить новую ЭЦП в формате CAdeS XLONG.

    Если создание ЭЦП требует использования штампа времени, то построение цепочки без подписи данного формата невозможно. Для устранения ошибки понадобится установка сертификата тестовой службы штампа времени с официальной страницы удостоверяющего центра, изготовившего ЭЦП в хранилище доверенных центров сертификации. После этого рекомендуется выполнить проверку на тестовой странице удостоверяющего центра и, если ошибка повторяется, еще раз обратиться в УЦ для проверки корректности работы ЭЦП.

    Если не удается построить цепочку сертификатов, то нужно убедиться в отсутствии проблем с интернетом. Ошибка может возникать при нестабильном сигнале сети. Затем нужно проверить наличие КС удостоверяющего центра. Сделать это просто:

    • Открыть КриптоПро и вкладку «Сертификаты».
    • Выбрать необходимый центр.
    • Выбрать «Доверенные сертификаты».
    • Перейти в «Реестр» и «Сертификаты».
    • Выбрать в списке КС нужного удостоверяющего центра.

    При отсутствии сертификата его скачивают с официального сайта удостоверяющего центра, но обычно он находится в папке с КС и его нужно только установить. Для корректной работы в дальнейшем лучше пользоваться браузером Internet Explorer, т.к. в других браузерах возможны ошибки и сбои из-за некорректной работы плагинов.

    Установка КС происходит автоматически при нажатии кнопки «Установить» и занимает несколько секунд. После этого браузер и ПК нужно перезагрузить.

    Обычно проблему с недействительной подписью в сертификате можно решить собственными силами. Помогает как переустановка криптопровайдера со всеми сертификатами, так и проверка на срок действия и даже соответствие носителя ЭЦП используемой подписи. Если после всех действий ошибка повторяется, то лучше обратиться в службу технической поддержки удостоверяющего центра, изготовившего ЭЦП.

    Ошибка SSL: что делать, когда браузер выдает ошибку проверки достоверности SSL сертификата

    При посещении веб-сайта с установленным сертификатом безопасности (для шифрования данных по протоколам SSL/TLS), который браузер не может проверить, выдаются следующие предупреждения:

    Internet Explorer:

    «Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации».

    Firefox 3:

    «(Имя сайта) использует недействительный сертификат безопасности. К сертификату нет доверия, так как сертификат его издателя неизвестен». Или: «(Имя сайта) использует недействительный сертификат безопасности. К сертификату нет доверия, так как он является самоподписанным».

    Давайте разберемся, почему браузеры так реагируют на некоторые сертификаты и как от избавиться от этой ошибки.

    Почему возникает ошибка SSL?

    Браузеры обычно разрабатываются с уже встроенным списком доверенных поставщиков SSL сертификатов. К таким относятся всем известные компании Comodo, Thawte, Geotrust, Symantec, RapidSSL, GlobalSign и некоторые другие.

    Тем не менее многие поставщики SSL сертификатов в этих списках отсутствуют, так как далеко не у всех есть договоренности с разработчиками веб-браузеров. При открытии сайта с SSL сертификатом, выданным одним из таких поставщиков, браузер выдает предупреждение, что Центр сертификации (ЦС), выдавший SSL сертификат, не является доверенным. То же происходит, когда на сайте установлен самоподписанный SSL сертификат. Internet Explorer выдает довольно общее предупреждение, тогда как Firefox 3 различает SSL сертификаты, выданные самим сервером (самоподписанные SSL сертификаты), и другие виды недоверенных сертификатов.

    Если Вы купили SSL сертификат у нас и после его установки возникает такая ошибка, Вы можете устранить ее, следуя инструкциям ниже. Нет необходимости устанавливать дополнительное ПО на клиентские устройства и приложения, чтобы устранить ошибку с доверенным SSL сертификатом. Первое, что следует сделать, это найти причину ошибки SSL с помощью тестера SSL сертификатов. Перейдя по ссылке, Вы можете ввести Ваш домен и запустить проверку SSL сертификата. Если присутствует ошибка SSL о недоверенном сертификате, сервис об этом сообщит. Он различает два типа ошибок:

    Самоподписанные SSL сертификаты

    Возможной причиной подобной ошибки SSL может быть установленный на сервере самоподписанный SSL сертификат. Браузеры не принимают самоподписанные сертификаты, потому что они сгенерированы Вашим сервером, а не независимым центром сертификации. Чтобы определить, является ли Ваш SSL сертификат самоподписанным, посмотрите с помощью вышеназванного тестера, указан ли центр сертификации в поле Issuer. В случае самоподписанного SSL, в этой графе указывается название Вашего сервера и далее написано «Self-signed».

    Решение: Купить SSL сертификат от доверенного центра сертификации.

    Если после установки доверенного SSL сертификата на Вашем сервере нашелся самоподписанный, мы рекомендуем пересмотреть инструкции по установке и убедится, что Вы выполнили все нужные шаги.

    Ошибка в установке SSL сертификата

    Наиболее распространенной причиной ошибки типа «к сертификату нет доверия» — это неверная установка SSL на сервер (или серверы), на котором размещен сайт. С помощью все того же тестера SSL сертификатов Вы можете проверить, в этом ли причина проблемы. В блоке Certification Paths перечислены промежуточные и корневые сертификаты, установленные на Вашем сервере. Если в этом блоке указано «Path #X: Not trusted», значит у Вас ошибка в установке SSL сертификата и клиенту не удалось установить издателя Вашего SSL сертификата.

    Решение: Чтобы устранить эту ошибку SSL, установите файл промежуточного сертификата на сервер, следуя инструкциям по установке для Вашего сервера. Промежуточные и корневые сертификаты Вы можете скачать в личном кабинете, вместе с Вашим основным SSL сертификатом.

    После установки сертификата дополнительно убедитесь, что установка была произведена правильно. Если нужно, перезагрузите сервер.

    Другие сообщения браузеров об ошибке SSL

    Ниже приведены еще несколько предупреждающих сообщений, выдаваемых различными браузерами. Internet Explorer 6:

    «Информация, которой Вы обмениваетесь с этим сайтом, не может быть просмотрена или изменена другими. Тем не менее, имеются замечания по сертификату безопасности сайта. Сертификат безопасности выдан компанией, не входящей в состав доверенных. Просмотрите сертификат, чтобы определить, следует ли доверять центру сертификации. Хотите продолжить?»

    Internet Explorer 7:

    «Сертификат безопасности этого веб-узла не был выпущен доверенным центром сертификации. Наличие ошибок в сертификате безопасности может означать, что вас пытаются обмануть или хотят перехватить информацию, передаваемую на сервер».

    Ошибка проверки сертификата в программе декларирования EDeclaration

    Наступило время подачи декларации. Как обычно, я запустил EDeclaration, ввел alex и 111 и обновил все, что программа хотела обновить. Заполнил декларацию и перед отправкой нажал Файл — Тест соединения. В ответ мне — Ошибка проверки сертификата, хотя должно было быть «Проверка соединения прошла успешно». Делать Тест соединения совершенно не обязательно, но я всегда так делаю, чтобы убедиться, что система работает нормально. В любом случае, я бы столкнулся с этой ошибкой при отправке Декларации.

    Такое окошко всплывает, если проверка проходит успешно

    На форумах пишут, что проблема в устаревшем сертификате Avest. Особенно часто с этой ошибкой сталкиваются пользователи Windows 10, которая постоянно обновляется без нашего ведома. Почему эти сертификаты не обновляются вместе с EDeclaration — вопрос разработчикам.

    Как же починить EDeclaration?

    1. Заходим на официальный сайт http://www.avest.by/crypto/csp.htm
    2. Скачиваем последнюю версию криптопровайдера «AVCSP» или «AVCSPBEL». (В чем их отличие — честно, не знаю, мне помогла установка последней версии «AVCSPBEL».)
    3. Кликаем на скачанный файл (мой назывался setupAvCSPBel6.3.0.791.exe) и соглашаемся со всем, что предлагают

    Скриншот страницы с сертификатами Avest

    Кстати, в списке поддерживаемых версий Windows 10 моей не оказалось, но установка последней версии мне помогла.

    Вот еще одна ошибка, которую исправил этот способ: «На носителе не найден контейнер с личным ключом»

    Такое окно всплыло у меня при попытке подписать декларацию. А помог устранить ошибку указанный выше способ с обновлением криптопровайдера Авест.

    Не помог мой способ?

    1. Возможно, причина в менеджере сертификатов Авест, не обновлены библиотеки. Наш читатель Саша поделился в комментарии (ниже на этой странице), как их можно обновить. Вот скриншот:

    2. Опять же в комментариях, читательница КИРА советует: открыть менеджер сертификатов Авест и на всех, начинающихся с «Корневой удостоверяющий центр…», нажать правой кнопкой и выбрать «Поместить сертификат в справочник доверенных УЦ».

    Вот видео ролик, как это сделать:

    «Возникла ошибка. Просмотрите файл протокола»

    11.04.2019 я обновил программу перед подачей декларации, и у меня всплыла еще вот такая ошибка:

    Указанный файл я посмотрел, но, конечно, ничего не понял. Но после нескольких неудачных попыток, у меня все же получилось войти в программу. Ничего с программой не делал, даже не перезагружал компьютер, хотя собирался это делать, если бы не получилось войти.

    Если у вас не получилось решить проблему, пишите в комментарии, помогу по мере возможности.

    Сертификат содержит недействительную цифровую подпись.

    Такая ошибка возникает при работе с личными сертификатами, которые используются для подписи электронных документов с использованием КриптоПРО. На разных форумах предлагают разные решения и судя по отзывам многие из них действительно помогают. Один из таких советов меня подтолкнул решению проблемы. Но я хочу поделиться всеми способами решения, которые я узнал, потому-что причины появления этой ошибки могут быть разными.

    Некорректный путь сертификации

    Эта та самая проблема, с которой пришлось столкнуться мне.
    Удивительно но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

    Открываем хранилище сертификатов при помощью консоли certmgr.msc

    Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.

    Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».

    Вернемся на вкладку «Общие», чтобы проверить кем выдан личный сертификат. Сертификат выдан той же компании, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

    Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

    Переходим по ссылке http://e-trust.gosuslugi.ru/CA и находим свой удостоверяющий центр.

    Находим в списке сертификат, который соответствует условиям.
    Средства УЦ: КриптоПРО УЦ 2.0
    Кем выдан: CN=Головной удостоверяющий центр
    Действует: текущая дата входит в указанный промежуток дат.

    Щелкаем по ссылке в поле «Отпечаток» и скачиваем сертификат.

    Этот сертификат необходимо установить в промежуточные центры сертификации.

    Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

    В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

    Не работают алгоритмы шифрования КриптоПРО CSP

    Открываем КриптоПРО CSP и переходим на вкладку «Алгоритмы».
    Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.

    Для переустановки КриптоПРО CSP может потребоваться инструмент «Утилита очистки следов установки КриптоПРО» для полного удаления программы из операционной системы. Скачать его можно отсюда .

    Нерушение прав доступа к ветке реестра.

    Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.

    Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.

    Читать еще:  Коды ошибок outlook
    Ссылка на основную публикацию
    Adblock
    detector