Добрый день.
Основное уже сказано и пересказано. До сих пор основные места ошибок были:
1) про транспорт уже сами написали, 2001 вроде как все еще актуален для ФСС.
2) проверьте Type="http://www.w3.org/2001/04/xmlenc#Element" или
http://www.w3.org/2001/04/xmlenc#Content - если химичите с пересадкой из одного документа в другой, то надо следить чтобы этот атрибут в итоговом документе соответствовал фактическому типу шифрования. Вообще, как я понимаю по примерам, должен быть content=true Content, но в сообщении выше как раз умудрились указать content=false и отправить с Element.
3) проверить какой сертификат в итоговом файле, отправляемом в ФСС. Там должен быть Ваш сертификат, а не сертификат ФСС. Так надо по спецификации, но разные средства шифрования почему-то склонны включать сертификат на который шифровали (то есть получателя - ФСС) вместо своего сертификата.
Идея спецификации, как я понимаю, в том что комбинируется сертификат из сообщения со своим закрытым ключом, то есть для корректной расшифровки сертификат в сообщении должен быть от другой стороны (не той, которая расшифровывает). Видимо средство подписания возвращает в виде удобном для проверки у отправителя до отправки, но если отправить как есть то это будет некорректно на той стороне у получателя, потому перед отправкой сертификат заменяется на сертификат отправителя.
4) если шифруете себе, то желательно иметь 2 ключевых пары (для отправителя и получателя), с одной парой полноценной проверки не получается (как раз таки не отличается какой сертификат включать).
5) проверьте что параметры генерации сессионного ключа - TK26Z.
Ну и не забываем, что на тестовом и продуктивном контуре ФСС разные сертификаты: если на тестовый прошло с тестовым сертификатом ФСС, то на продуктивный с тем же тестовым сертификатом ФСС не пройдет, надо сертификат ФСС с продуктивного контура. И наоборот, на тестовый контур не пройдет с сертификатом ФСС продуктивного контура. Сертификаты периодически меняются (на мой взгляд даже слишком часто).
UPD. Вот сегодня 1с-отчетность поймала такую ошибку "Не удалось расшифровать сообщение. Возможно сообщение зашифровано на ключе отличном от ключа уполномоченного лица ФСС..." на продуктивный контур. Оказалось что сертификат до 1 января 2021 года, но ФСС еще 24 сентября выпустили себе новый сертификат на новом своем УЦ. К сертификату прилагается инструкция по установке со ссылками на корневой (он не менялся с 2018) и новый промежуточный ФСС (искать там от 2020 года). Что получают заранее конечно молодцы, а вот что выводят старые ключи досрочно - как-то не очень радует. Поэтому проверьте наличие нового сертификата даже если тот что у Вас еще по срокам не закончился.
Отредактировано пользователем 9 декабря 2020 г. 12:46:47(UTC)
| Причина: Не указана