Нет доверия к корневому сертификату (Ошибки 0x00000020 и 0x01000040)

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Нет доверия к корневому сертификату (Ошибки 0x00000020 и 0x01000040)

Опции

Предыдущая тема Следующая тема

imsunny		#1 Оставлено : 18 апреля 2025 г. 7:05:07(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 17.04.2025(UTC) Сообщений: 4		Коллеги, добрый день. Помогите настроить Крипто Про CSP Установлен КриптоПро CSP v5.0.13455 KC1 Корневой сертификат тестового УЦ устанавливаю на страницы https://cryptopro.ru/sit...e/cades_bes_sample.html# На этой же странице генерирую личный тестовый сертификат. С этим сертификатом все отлично он работает и им можно подписывать документы. Затем на странице https://testca2012.cryptopro.ru/ генерирую еще один сертификат ЭП с такими параметрами: • Шаблон сертификата: Тестовый квалифицированный сертификат • криптопровайдер: Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider • Ключ будет использоваться для: Подписи • Размер ключа: 512 • Алгоритм хеширования: ГОСТ Р 34.11-2012 256 И вот с новым сертификатом возникают проблемы: • CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)" Нет доверия к корневому сертификату • CN="Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)" Статус сертификата неизвестен; Статус сертификата на отзыв либо устарел, либо проверка производится оффлайн Цепочка сертификатов: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. (0x800b0109) #0: Статус : Ошибка 0x00000020 = IS_UNTRUSTED_ROOT #1: Статус : Ошибка 0x01000040 = REVOCATION_STATUS_UNKNOWN, IS_OFFLINE_REVOCATION #2: Статус : Ошибка 0x01000040 = REVOCATION_STATUS_UNKNOWN, IS_OFFLINE_REVOCATION Получается, что сертификат, сгенерированный на странице https://testca2012.cryptopro.ru/ не может работать тестовым сертификатом КриптоПро, установленным со страницы https://cryptopro.ru/sit.../cades_bes_sample.html#. Я и целиком КриптоПро CSP переустанавливал, и сертификаты Минцифры и ФНС переустанавливал. Что нужно сделать, чтобы сертификаты, сгенерированные на странице https://testca2012.cryptopro.ru/ работали корректно и ими можно было бы подписывать документы? Заранее спасибо.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

nickm		#2 Оставлено : 18 апреля 2025 г. 8:34:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 2,574 Сказал(а) «Спасибо»: 606 раз Поблагодарили: 449 раз в 425 постах		Автор: imsunny Я и целиком КриптоПро CSP переустанавливал, и сертификаты Минцифры и ФНС переустанавливал. ... чтобы сертификаты, сгенерированные на странице https://testca2012.cryptopro.ru/ работали корректно и ими можно было бы подписывать документы? Зачем Вы сие действие делаете, если эти действия никаким образом не связаны. И да, Вы понимаете, что такое сертификат от тестового УЦ и какие документы Вы хотите подписывать этим ключом? Автор: imsunny Цепочка сертификатов: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. (0x800b0109) #0: Статус : Ошибка 0x00000020 = IS_UNTRUSTED_ROOT #1: Статус : Ошибка 0x01000040 = REVOCATION_STATUS_UNKNOWN, IS_OFFLINE_REVOCATION #2: Статус : Ошибка 0x01000040 = REVOCATION_STATUS_UNKNOWN, IS_OFFLINE_REVOCATION Автор: imsunny И вот с новым сертификатом возникают проблемы: Код: • CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)" Нет доверия к корневому сертификату • CN="Тестовый подчиненный УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)" Статус сертификата неизвестен; Статус сертификата на отзыв либо устарел, либо проверка производится оффлайн Цепочка сертификатов: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. (0x800b0109) #0: Статус : Ошибка 0x00000020 = IS_UNTRUSTED_ROOT #1: Статус : Ошибка 0x01000040 = REVOCATION_STATUS_UNKNOWN, IS_OFFLINE_REVOCATION #2: Статус : Ошибка 0x01000040 = REVOCATION_STATUS_UNKNOWN, IS_OFFLINE_REVOCATION ... Что нужно сделать Очевидно, что следует разобраться как с корневыми сертификатами, так и с цепочками отзывов. В какой операционной системе работаете?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

imsunny		#3 Оставлено : 18 апреля 2025 г. 9:03:17(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 17.04.2025(UTC) Сообщений: 4		nickm, добрый день. Цитата: И да, Вы понимаете, что такое сертификат от тестового УЦ и какие документы Вы хотите подписывать этим ключом? Да, хочется на тестовой среде подписывать тестовые документы. Цитата: В какой операционной системе работаете? Windows. Честно говоря, не знаю 10 или 11...


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#4 Оставлено : 18 апреля 2025 г. 9:05:15(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,656 Сказал «Спасибо»: 570 раз Поблагодарили: 2293 раз в 1794 постах		Здравствуйте. Есть несколько УЦ, есть несколько тестовых корневых, смотреть в личном сертификате url сертификата УЦ, скачать, установить. Все.
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#5 Оставлено : 18 апреля 2025 г. 9:07:20(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,656 Сказал «Спасибо»: 570 раз Поблагодарили: 2293 раз в 1794 постах		Страница тестового УЦ, от которого делаются тестовые сертификаты через плагин по ссылке на демо странице... https://www.cryptopro.ru/certsrv/
		Техническую поддержку оказываем тут Наша база знаний
		WWW
1 пользователь поблагодарил Андрей * за этот пост.		nickm оставлено 18.04.2025(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

imsunny		#6 Оставлено : 18 апреля 2025 г. 10:09:17(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 17.04.2025(UTC) Сообщений: 4		Цитата: смотреть в личном сертификате url сертификата УЦ, скачать, установить а можно подробнее - где именно смотреть URL? Открыть сертификат -> Перейти на вкладку "Состав" -> Найти пункт "Доступ к информации о центрах сертификации" Там есть 3 ссылки: • Дополнительное имя: URL=http://testca2012.cryptopro.ru/ocsp2/ocsp.srf • Дополнительное имя: URL=http://testca2012.cryptopro.ru/ocspservice • Дополнительное имя: URL=http://testca2012.cryptopro.ru/aia/{GUID}.crt Судя по вкладке "Путь сертификации" ругается исключительно на тестовый головной УЦ. Какой сертификат нужно скачать и установить?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#7 Оставлено : 18 апреля 2025 г. 10:17:14(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,656 Сказал «Спасибо»: 570 раз Поблагодарили: 2293 раз в 1794 постах		Автор: imsunny Цитата: смотреть в личном сертификате url сертификата УЦ, скачать, установить а можно подробнее - где именно смотреть URL? Открыть сертификат -> Перейти на вкладку "Состав" -> Найти пункт "Доступ к информации о центрах сертификации" Там есть 3 ссылки: • Дополнительное имя: URL=http://testca2012.cryptopro.ru/ocsp2/ocsp.srf • Дополнительное имя: URL=http://testca2012.cryptopro.ru/ocspservice • Дополнительное имя: URL=http://testca2012.cryptopro.ru/aia/{GUID}.crt Судя по вкладке "Путь сертификации" ругается исключительно на тестовый головной УЦ. Какой сертификат нужно скачать и установить? Общий алгоритм: ссылка, с .crt\.cer - скачать, посмотреть, если это корневой - установить в корневые, если издатель\владелец - разные, то это промежуточный, установить в промежуточные и повторить поиск URL вышестоящего сертификата (и так до корневого).
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

imsunny		#8 Оставлено : 18 апреля 2025 г. 12:11:08(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 17.04.2025(UTC) Сообщений: 4		Это какая-то магия... Коллеги посоветовали сделать следующее и оно РАБОТАЕТ! Оставлю для потомков.... Везде указано, что нет доверия к корневому сертификату ("Тестовый головной УЦ...") Что для этого надо: 1. Открываешь сертификаты, личные 2. Открываешь нерабочий сертификат (двойной клик) 3. Переходишь во вкладку Путь сертификации 4. Тыкаешь на корневой (он, скорее всего с ошибкой) и нажимаешь просмотр сертификата 5. Переходишь на вкладку Состав 6. Копировать в файл 7. Следуешь по экранам, кодировка base-64, имя файла какое хочешь, готово 8. Переходишь C:\Windows\System32, ищешь свой сертификат (по имени как назвал) 9. Устанавливаешь его. Устанавливая: текущий пользователь, хранилище сертификатов — выбираешь "доверенные корневые центы сертификации", готово 10. Обновляешь личные сертификаты, там он должен появиться 11. Проверяешь в криптопро, что у сертификата теперь нет ошибок (свойства сертификата и там должно быть "Цепочка сертификатов: Успешно проверена.") 12. Пытаешься подписать что-то, подпись проходит


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей *		#9 Оставлено : 18 апреля 2025 г. 12:23:44(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,656 Сказал «Спасибо»: 570 раз Поблагодарили: 2293 раз в 1794 постах		Автор: imsunny Это какая-то магия... Коллеги посоветовали сделать следующее и оно РАБОТАЕТ! Оставлю для потомков.... Везде указано, что нет доверия к корневому сертификату ("Тестовый головной УЦ...") Что для этого надо: 1. Открываешь сертификаты, личные 2. Открываешь нерабочий сертификат (двойной клик) 3. Переходишь во вкладку Путь сертификации 4. Тыкаешь на корневой (он, скорее всего с ошибкой) и нажимаешь просмотр сертификата 5. Переходишь на вкладку Состав 6. Копировать в файл 7. Следуешь по экранам, кодировка base-64, имя файла какое хочешь, готово 8. Переходишь C:\Windows\System32, ищешь свой сертификат (по имени как назвал) 9. Устанавливаешь его. Устанавливая: текущий пользователь, хранилище сертификатов — выбираешь "доверенные корневые центы сертификации", готово 10. Обновляешь личные сертификаты, там он должен появиться 11. Проверяешь в криптопро, что у сертификата теперь нет ошибок (свойства сертификата и там должно быть "Цепочка сертификатов: Успешно проверена.") 12. Пытаешься подписать что-то, подпись проходит Где же ... магия, так и должно быть, но не всегда цепочка может строиться до нужного корня, поэтому предлагал смотреть и скачивать по указанным адресам из сертификата, с сайта УЦ (или изначально настраивать - начиная с обеспечения доверия в тестовому корню). .... 7 пункт - можно и без доп.кодирования 8. зачем писать в системную папку файлы? файл с сертификатом УЦ можно на рабочий стол сохранить и после установки - удалить файл. пункт 10 противоречит пункту 9. В личных не должно быть корневых, он должен быть там, где указано в п.9.
		Техническую поддержку оказываем тут Наша база знаний
		WWW
1 пользователь поблагодарил Андрей * за этот пост.		nickm оставлено 18.04.2025(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close