Статус: Новичок
Группы: Участники
Зарегистрирован: 23.04.2019(UTC) Сообщений: 7  Сказал(а) «Спасибо»: 3 раз
|
Доброго времени суток! С определённого момента не получается использовать ЭП на сайтах Росимущества (https://mp.rosim.ru) и ЕИС (http://zakupki.gov.ru). Для подписания требуется наличие в системе установленного плагина "КриптоПро ЭЦП Browser plug-in". Плагин устанавливаем, но подписать документы всё равно не удаётся - плагин, на этих сайтах, не находит сертификата, при этом есть сайты, где подписание тем же самым сертификатом, при помощи этого плагина, проходит нормально. При попытке проверить работу плагина, на станице https://www.cryptopro.ru...es/demopage/simple.html, в блоке "Информация о сертификате" - данные отсутствуют (см. "Проверка работы Plug-In.png") и проверить подписание не представляется возможным. При этом на странице: https://www.cryptopro.ru...ge/cades_bes_sample.html подпись работает (см. "Проверка работы Plug-In (CAdES-BES).png"), но в блоке "Информация о сертификате", в поле "Статус" - "Ошибка при проверке цепочки сертификатов", хотя цепочка сертификатов, при просмотре через оснастку "Сертификаты", строится (см. "Состояние сертификата.png"). В чём может быть проблема? Система Windows 7 SP1, x86 В системе установлен КриптоПро CSP КС1 4.0.9963 и КриптоПро ЭЦП Browser plug-in 2.0.13738 Включен режим усиленного контроля использования ключей, корневой и промежуточный сертификаты в хранилице сертификатов КриптоПро (Доверенные корневые сертификаты КриптоПро CSP) установлены. Ключ для подписания сформирован по ГОСТ Р 34.10-2012 (см. "Проверка работы Plug-In (CAdES-BES).png") Контейнер ключей пробовал хранить и в Реестре и на JaCarta2 ГОСТ/PKI - результат отрицательный.  Proverka raboty Plug-In (CAdES-BES).png (208kb) загружен 24 раз(а). Proverka raboty Plug-In.png (134kb) загружен 13 раз(а). Sostojanie sertifikata.png (149kb) загружен 15 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,691  Сказал «Спасибо»: 500 раз
Поблагодарили: 2046 раз в 1586 постах
|
Здравствуйте.
На снимке - выделен сертификат действующий до 26.01.2020,
а на странице тестирования - до 19.10.2020.
|
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Добрый день. У Вас на каждом скриншоте разный сертификат, простая страница демо-подписи выбирает первый попавшийся из Ваших сертификатов, судя по снимку состояние сертификата у Вас много просроченных сертификатов и скорее всего автовыбирается один из старых сертификатов (гост-2001 само собой), на скриншоте cades-bes сертификат выданный в Федеральном казначействе (видно гост-2012), на скриншоте с прошедшей проверку цепочкой сертификатов - сертификат выданный СКБ Контур (видно что от головного удостоверяющего центра, а значит гост-2001). Поэтому не паникуйте, вдохните-выдохните и определитесь о каком сертификате хотите спросить и если совет ниже не поможет повторите все скриншоты для этого сертификата. Если на просроченных сертификатах не зашифровано никаких документов (в Контур-Экстерн, например) их следует удалить (в течение 10 дней после истечения срока сертификата по нормативке, да и вообще зачем будут путаться). По сертификату Федерального казначейства похоже что не установлен сертификат ФК 2018 года. Проверьте установлены ли вот эти сертификаты https://roskazna.ru/gis/...tr/kornevye-sertifikaty/Если это первый сертификат по гост-2012 и на компьютере установлен Континент-АП 3.7, то проблемы могут быть еще от континента: нужно удалить ключ в реестре и перезагрузиться. https://www.cryptopro.ru...ts&m=98886#post98886
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.04.2019(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
Автор: Андрей Писарев  Здравствуйте.
На снимке - выделен сертификат действующий до 26.01.2020,
а на странице тестирования - до 19.10.2020.
Да, чуть напутал - с разных станций копии экрана...
Но проблема аналогичная, на 2х станциях с двумя различными сертификатами изданными двумя различными аккредитованными УЦ (СКБ Контур (по 2001 ГОСТ) и ФК по 2012 ГОСТ).
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.04.2019(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
Автор: two_oceans По сертификату ФК - в ИС ФК всё работает. Я его проверял - цепочка от корня до нашего сертификата строится без проблем. Указанные Ваши сертификаты установлены в "Доверенные корневые центры сертификации" и в "Доверенные корневые сертификаты КриптоПро CSP" Континент-АП 3.7 у нас не используется. На одном из проблемных АРМ в "Личных" только 2 сертификата: системный (для входа в систему по смарт-карте) и изданный УЦ ФК для работы с внешними ИС. Оба сертификата действительные.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.04.2019(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
cert-mgr-3.png (151kb) загружен 4 раз(а).Ветви "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" в реестре нет. Есть "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx 2\1.2.643.7.1.1.1.1", но я её не трогал. Вот свежие копии экрана с одного из проблемных АРМ. cades_bes.png (198kb) загружен 9 раз(а). cert-mgr-2.png (169kb) загружен 12 раз(а). cert-mgr-1.png (140kb) загружен 13 раз(а). cert-mgr-4.png (199kb) загружен 12 раз(а). simple.png (188kb) загружен 10 раз(а). cert-mgr-6.png (149kb) загружен 11 раз(а). cert-mgr-5.png (196kb) загружен 13 раз(а).Отредактировано пользователем 6 сентября 2019 г. 14:27:47(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: admin012 Ветви "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1" в реестре нет.
Есть "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx2\1.2.643.7.1.1.1.1", но я её не трогал. Если континента не используется, то так и должно быть. с двоечкой в значении должен быть путь к cpext.dll (это КриптоПро и ветка должна остаться). Автор: admin012 Вот свежие копии экрана с одного из проблемных АРМ. На последнем снимке не все ФИО замазали. Сертификаты "Федерального казначейства" не должны быть в корневых центрах сертификации, они должны быть в промежуточных центрах сертификации, так как выданы Минкомсвязью и Головным удостоверяющим центром. НА форуме уже говорили об этом баге если промежуточный лежит в корневых - ломается цепочка. Это же касается двух сертификатов контура (в промежуточные) и бюджетного планирования (по идее можно вообще удалить, достаточно сертификата МИНФИНА): в корневых останутся Минкомсвязь, Головной удостоверяющий центр, УЦ Федерального казначейства до 06.2018 (просрочен и можно удалить), МИНФИН, 127.0.0.1; в промежуточных: 2 казначейства, 2 контура.
|
 1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 23.04.2019(UTC) Сообщений: 7 Сказал(а) «Спасибо»: 3 раз
|
Автор: two_oceans Сертификаты "Федерального казначейства" не должны быть в корневых центрах сертификации, они должны быть в промежуточных центрах сертификации, так как выданы Минкомсвязью и Головным удостоверяющим центром. НА форуме уже говорили об этом баге если промежуточный лежит в корневых - ломается цепочка.
Это же касается двух сертификатов контура (в промежуточные) и бюджетного планирования (по идее можно вообще удалить, достаточно сертификата МИНФИНА): в корневых останутся Минкомсвязь, Головной удостоверяющий центр, УЦ Федерального казначейства до 06.2018 (просрочен и можно удалить), МИНФИН, 127.0.0.1; в промежуточных: 2 казначейства, 2 контура.
Спасибо, и за совет и за ФИО! Попробую... P.S. В промежуточных они тоже установлены. Помню, что что-то настраивал - нужно было сертификат издателя именно в "промежуточные" устанавливать - вот и напихал "все и во всё", ещё и САС подгрузил... :) А вот, что не должно быть одновременно в корневом и промежуточном - не знал, хотя наверное это логично. Ещё раз, спасибо! Отредактировано пользователем 6 сентября 2019 г. 14:39:04(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 394 раз в 366 постах
|
Автор: admin012 Помню, что что-то настраивал - нужно было сертификат издателя именно в "промежуточные" устанавливать - вот и напихал "все и во всё", ещё и САС подгрузил... :) Пожалуйста.
Скорее всего речь шла о сертификате "УЦ Федерального казначейства" до 06.2018 - Минкомсвязь выпускала его кросс-сертификат до лета 2017 года, потом его никто не продлил и вышла большая буча когда кросс "внезапно" перестал действовать. так как МКС "всегда правы" в вопросах сертификатов, они пояснили что виноват УЦ, использующий при выпуске сроки не сертификата МКС, а сроки корневого сертификата. В результате этого сертификат в корневой форме пришлось ставить отдельно от Головного удостоверяющего центра, а все сертификаты аккредитованных УЦ выпускает только Минкомсвязь, кроссы больше не выпускают. Хотя делов-то было выпустить еще один кросс-сертификат на основе того же самого корневого.
Цитата:А вот, что не должно быть одновременно в корневом и промежуточном - не знал, хотя наверное это логично.
При этом получается неустойчивое состояние: возникают 2 возможных цепочки сертификатов до сертификата установленного в "доверенных" и по логике обе должны быть действительны, так как доходят до сертификата в "доверенных", не нарущают границ времени и имеют действительную подпись. Однако есть баг, который ошибочно делает цепочку, которая короче недействительной. При этом построитель цепочек выбирает именно эту недействительную цепочку основной (как более короткую).
|
1 пользователь поблагодарил two_oceans за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
