Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline SV123321  
#1 Оставлено : 24 апреля 2018 г. 16:20:02(UTC)
SV123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.04.2018(UTC)
Сообщений: 4
Откуда: Москва

Здравствуйте!
У нас не проходит проверка электронной подписи, выдается сообщение "Не удалось создать подпись из-за ошибки: A certificate chain could not be built to a trusted root authority. (0x800B010A)"
ОС - Win7, браузеры - Google Chrome 66 и IE 11. Кеш чистили, плагин удаляли/переустанавливали, цепочка сертификатов выстраивается без ошибок.
Подскажите, что не так?

LVV-4.jpg (231kb) загружен 44 раз(а).
Offline Александр Лавник  
#2 Оставлено : 24 апреля 2018 г. 16:58:48(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Добрый день.

Если при создании подписи используется служба штампов времени (как на приложенном скриншоте), то цепочка должна строится:

1) для сертификата, который используется при подписании (Ваш личный сертификат электронной подписи),

2) для сертификата службы штампов времени.

Судя по всему, для сертификата нашей тестовой службы штампов времени, которая указана по умолчанию на странице проверки создания подписи формата CAdES XLONG Type 1 у Вас цепочка не строится.

Чтобы для сертификата тестовой службы штампов времени строилась цепочка Вам необходимо установить сертификат тестового удостоверяющего центра со страницы (ссылка Загрузка сертификата ЦС) в хранилище Доверенные корневые центры сертификации:

откройте скачанный файл сертификата
вкладка Общие
кнопка Установить сертификат...
кнопка Далее
пункт Поместить все сертификаты в выбранное хранилище
кнопка Обзор...
пункт Доверенные корневые центры сертификации
кнопка Далее
кнопка Готово
кнопка Да

После этого проверьте создание подписи на тестовой странице.

PS Данная ошибка не возникнет, если Вы будете использовать службу штампов времени удостоверяющего центра, который выдал Вам сертификат электронной подписи.

PPS Тестовая служба штампов времени должна использоваться только для тестовых целей.

Отредактировано пользователем 24 апреля 2018 г. 16:59:41(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline SV123321  
#3 Оставлено : 24 апреля 2018 г. 17:21:08(UTC)
SV123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.04.2018(UTC)
Сообщений: 4
Откуда: Москва

Спасибо!
Сделал по вашей инструкции, старая ошибка исчезла, но появилась новая - The URL of OCSP service is not specified (0xC2110121)
То же самое и при использовании службы штампов времени нашего удостоверяющего центра.

Подскажите, где теперь нужно пошаманить?

Offline Александр Лавник  
#4 Оставлено : 24 апреля 2018 г. 17:32:50(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: SV123321 Перейти к цитате
Спасибо!
Сделал по вашей инструкции, старая ошибка исчезла, но появилась новая - The URL of OCSP service is not specified (0xC2110121)
То же самое и при использовании службы штампов времени нашего удостоверяющего центра.

Подскажите, где теперь нужно пошаманить?



Судя по ошибке, в Вашем сертификате не указан адрес OCSP службы.

Чтобы убедиться в этом Вы можете открыть Ваш сертификат и проверить, что в поле Доступ к информации о центрах сертификации нет пункта Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1):

Пуск
Все программы
Сертификаты
Сертификаты - текущий пользователь
Личное
Сертификаты
в правой части окна открываете нужный сертификат двойным щелчком мыши
вкладка Состав
поле Доступ к информации о центрах сертификации

Если это действительно так, то обратитесь в удостоверяющий центр, который выдал Вам сертификат электронной подписи, с вопросом о возможности создания подписи формата CAdES XLONG Type 1.

То есть по сути нужно узнать в удостоверяющем центре, есть ли у них OCSP служба (без нее создать подпись в формата CAdES XLONG Type 1 не получится).
Техническую поддержку оказываем тут
Наша база знаний
Offline SV123321  
#5 Оставлено : 24 апреля 2018 г. 17:43:13(UTC)
SV123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.04.2018(UTC)
Сообщений: 4
Откуда: Москва

Автор: Александр Лавник Перейти к цитате


Судя по ошибке, в Вашем сертификате не указан адрес OCSP службы.

Чтобы убедиться в этом Вы можете открыть Ваш сертификат и проверить, что в поле Доступ к информации о центрах сертификации нет пункта Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1):



У нас это поле заполнено вот так:

[1]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://crl1.specoperator.ru/specoperator-2017.crt
[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://crl2.specoperator.ru/specoperator-2017.crt

Offline Александр Лавник  
#6 Оставлено : 24 апреля 2018 г. 17:59:39(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: SV123321 Перейти к цитате
Автор: Александр Лавник Перейти к цитате


Судя по ошибке, в Вашем сертификате не указан адрес OCSP службы.

Чтобы убедиться в этом Вы можете открыть Ваш сертификат и проверить, что в поле Доступ к информации о центрах сертификации нет пункта Метод доступа=Протокол определения состояния сертификата через сеть (1.3.6.1.5.5.7.48.1):



У нас это поле заполнено вот так:

[1]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://crl1.specoperator.ru/specoperator-2017.crt
[2]Доступ к сведениям центра сертификации
Метод доступа=Поставщик центра сертификации (1.3.6.1.5.5.7.48.2)
Дополнительное имя:
URL=http://crl2.specoperator.ru/specoperator-2017.crt



Как я и предположил, в Вашем сертификате не указан адрес OCSP службы.

Возможно, у удостоверяющего центра ООО "Спецоператор", который выдал Вам сертификат, нет OCSP службы.

Эту информацию нужно уточнять в удостоверяющем центре.
Техническую поддержку оказываем тут
Наша база знаний
Offline SV123321  
#7 Оставлено : 24 апреля 2018 г. 18:04:12(UTC)
SV123321

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.04.2018(UTC)
Сообщений: 4
Откуда: Москва

Спасибо!
Будем звонить в УЦ.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.