Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline pikachurus  
#1 Оставлено : 20 февраля 2019 г. 17:17:16(UTC)
pikachurus

Статус: Участник

Группы: Участники
Зарегистрирован: 20.02.2019(UTC)
Сообщений: 16
Российская Федерация
Откуда: moscow

Есть сертификат (ГОСТ-2001), выпущенный УЦ Федерального Казначейства в ноябре 2017 года (срок действия до марта 2019).

Примерно неделю назад что-то случилось, и через этот ЭП стало невозможно входить в различные электронные порталы. Сие случается конкретно с одним сертификатом, на компьютерах с Windows 7 Pro x64/Windows 10 Pro, где установлен Крипто-Про 4.0 R3/R4 и 5.0. Текст ошибки примерно одинаковый в браузерах IE/Yandex.

ошибка

Если установить Крипто-Про 3.6 R4, то ЭП снова прекрасно работает.

При этом есть еще 2 сертификата, выпущенных примерно в те же дни, что и проблемный, но с ними проблем нет.

Проблема в том, что сертификат надо перевыпускать, но создать запрос на соответствующем портале УЦ Казначейства можно будучи залогиненным под пользователем через его действующий сертификат.

Зайти на него с Крипто-Про версии отличной от 3.6 я не могу и создать запрос на новый сертификат по ГОСТ-2012 я, понятно, не могу.

Замкнутый круг какой-то.





Offline Максим Коллегин  
#2 Оставлено : 20 февраля 2019 г. 17:48:54(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
А при тестировании контейнера в панели CSP есть ошибки?
Знания в базе знаний, поддержка в техподдержке
Offline Alexey I  
#3 Оставлено : 20 февраля 2019 г. 19:00:11(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 125
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 28 раз в 20 постах
Автор: pikachurus Перейти к цитате
Есть сертификат (ГОСТ-2001), выпущенный УЦ Федерального Казначейства в ноябре 2017 года (срок действия до марта 2019).


Срок действия сертов и ЗК от УЦ ФК обычно 1 год 3 месяца, т.е. серт выпущен либо в ноябре 2018 года, либо срок действия закончился (посмотрите точно во вкладке Состав - Период использования ЗК.
КриптоПро CSP 3.6 вроде бы позволяет работать с ключами, срок действия которых истек (в отличие от CSP R4 последней сборки)
Если срок действия ЗК не вышел: по скриншоту видно, что TLS у вас не работает, в IE вкладка "Дополнительно" отключите TLS 1.2, или лучше сбросьте настройки IE, перезагрузите комп и отключите TLS 1.2 (оставить SSL 3.0, TLS 1.0/1.1)
Offline pikachurus  
#4 Оставлено : 20 февраля 2019 г. 19:00:37(UTC)
pikachurus

Статус: Участник

Группы: Участники
Зарегистрирован: 20.02.2019(UTC)
Сообщений: 16
Российская Федерация
Откуда: moscow

Автор: Максим Коллегин Перейти к цитате
А при тестировании контейнера в панели CSP есть ошибки?


Тестирование через Крипто-Про 4.0.9963

Цитата:
Проверка завершилась с ошибкой
Контейнер закрытого ключа пользователя
подпись Ошибка 0x80090010: Отказано в доступе.
создание ключа обмена успешно
экспорт ключа разрешен
алгоритм ГОСТ Р 34.10-2001 DH
ГОСТ Р 34.10 256 бит, параметры обмена по умолчанию
ГОСТ Р 34.11-94, параметры по умолчанию
ГОСТ 28147-89, параметры по умолчанию
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище
имя сертификата
субъект
поставщик E=uc_fk@roskazna.ru, S=г. Москва, ИНН=007710568760, ОГРН=1047797019830, STREET="улица Ильинка, дом 7", L=Москва, C=RU, O=Федеральное казначейство, CN=Федеральное казначейство
действителен с 13 декабря 2017 г. 15:07:32
действителен по 13 марта 2019 г. 15:07:32
ключ действителен с 13 декабря 2017 г. 15:07:31
ключ действителен по 13 марта 2019 г. 15:07:31
серийный номер
Срок действия закрытого ключа 15 февраля 2019 г. 17:32:11
Использование ключа обмена запрещено. Срок действия закрытого ключа истек. Срок действия закрытого ключа не может превышать 3 года для неизвлекаемых ключей, хранящихся на ФКН и на HSM, и 1 год 3 месяца для прочих ключей.
Ключ подписи отсутствует
загрузка ключей успешно
Версия контейнера 2
Расширения контейнера
некритическое Расширение контейнера КриптоПро CSP. Срок действия ключа обмена
действителен по 15 февраля 2019 г. 17:32:11


по поводу срока действия закрытого ключа непонятно - 1 год и 3 месяца не истекли еще.

хотя вот по срокам очень похоже - им последний раз успешно воспользовались 14 февраля.
Offline Alexey I  
#5 Оставлено : 20 февраля 2019 г. 19:13:03(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 125
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 28 раз в 20 постах
Русским по белому написано:
Цитата:

Срок действия закрытого ключа 15 февраля 2019 г. 17:32:11
Использование ключа обмена запрещено. Срок действия закрытого ключа истек.

Сегодня было 20.02.2019 :)))
Цитата:
есть еще 2 сертификата, выпущенных примерно в те же дни, что и проблемный, но с ними проблем нет.

скоро истекут и эти тоже

Отредактировано пользователем 20 февраля 2019 г. 19:16:15(UTC)  | Причина: Не указана

Offline pikachurus  
#6 Оставлено : 20 февраля 2019 г. 19:14:21(UTC)
pikachurus

Статус: Участник

Группы: Участники
Зарегистрирован: 20.02.2019(UTC)
Сообщений: 16
Российская Федерация
Откуда: moscow

Автор: Alexey I Перейти к цитате
Автор: pikachurus Перейти к цитате
Есть сертификат (ГОСТ-2001), выпущенный УЦ Федерального Казначейства в ноябре 2017 года (срок действия до марта 2019).


Срок действия сертов и ЗК от УЦ ФК обычно 1 год 3 месяца, т.е. серт выпущен либо в ноябре 2018 года, либо срок действия закончился (посмотрите точно во вкладке Состав - Период использования ЗК.
КриптоПро CSP 3.6 вроде бы позволяет работать с ключами, срок действия которых истек (в отличие от CSP R4 последней сборки)
Если срок действия ЗК не вышел: по скриншоту видно, что TLS у вас не работает, в IE вкладка "Дополнительно" отключите TLS 1.2, или лучше сбросьте настройки IE, перезагрузите комп и отключите TLS 1.2 (оставить SSL 3.0, TLS 1.0/1.1)


кажется я понял что произошло.

контейнер закрытого ключа был создан за месяц до выпуска самого сертификата, т.к. УЦ Казначейства запрос на сертификат делался с помощью их программы-генератора запросов, а мероприятия по согласованию бумажных документов и их отвоз в сам УЦ как раз и занял тогда месяц.

в общем это не проблема Крипто-про.
Offline pikachurus  
#7 Оставлено : 20 февраля 2019 г. 19:18:56(UTC)
pikachurus

Статус: Участник

Группы: Участники
Зарегистрирован: 20.02.2019(UTC)
Сообщений: 16
Российская Федерация
Откуда: moscow

Автор: Alexey I Перейти к цитате

Цитата:
есть еще 2 сертификата, выпущенных примерно в те же дни, что и проблемный, но с ними проблем нет.

скоро истекут и эти тоже


У этих временной лаг между созданием контейнера и выдачей сертификата примерно 1 неделя.

А так как в УЦ Казначейства теперь весь процесс в электронном виде и никаких бумаг возить к ним не нужно, то вся процедура обновления занимает 1 рабочий день.
Offline Alexey I  
#8 Оставлено : 20 февраля 2019 г. 19:22:43(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 125
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 28 раз в 20 постах
Автор: pikachurus Перейти к цитате

У этих временной лаг между созданием контейнера и выдачей сертификата примерно 1 неделя.

А так как в УЦ Казначейства теперь весь процесс в электронном виде и никаких бумаг возить к ним не нужно, то вся процедура обновления занимает 1 рабочий день.

Я знаю, но ногами все равно к ним топать за получением сертификата.
1 день это вы загнули, со дня подачи Ваших документов может пройти более 2-х дней, выписки с ФНС (ЕГРЮЛ, ИНН ФЛ) могут весь день не приходить :)
Рекомендую начать "Первичное обращение за сертификатом" https://fzs.roskazna.ru/public/requests/new

Отредактировано пользователем 20 февраля 2019 г. 19:30:40(UTC)  | Причина: Не указана

Offline pikachurus  
#9 Оставлено : 20 февраля 2019 г. 19:32:30(UTC)
pikachurus

Статус: Участник

Группы: Участники
Зарегистрирован: 20.02.2019(UTC)
Сообщений: 16
Российская Федерация
Откуда: moscow

Автор: Alexey I Перейти к цитате
Автор: pikachurus Перейти к цитате

У этих временной лаг между созданием контейнера и выдачей сертификата примерно 1 неделя.

А так как в УЦ Казначейства теперь весь процесс в электронном виде и никаких бумаг возить к ним не нужно, то вся процедура обновления занимает 1 рабочий день.

Я знаю, но ногами все равно к ним топать за получением сертификата.
1 день это вы загнули, со дня подачи Ваших документов может пройти более 2-х дней, выписки с ФНС (ЕГРЮЛ, ИНН ФЛ) могут весь день не приходить :)


Руководителям - может быть и дольше двух дней, но с другой стороны в запрос вообще никакие сканы бумажек не нужны - всё подписывается действующим ЭП.

Рядовым сотрудникам 1-2 дня максимум. Если сам запрос был сделан во 2-й половине дня, то может и 2 дня занять.

А новые сертификаты скачиваются прям из личного кабинета.
Offline two_oceans  
#10 Оставлено : 21 февраля 2019 г. 12:34:06(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Можно подумать, что у Вас разные Казначейства))) А если серьезно, то прилично зависит от оперативности работы местного отдела ФК, который согласовывает запросы. Если там всего один сотрудник на 100 организаций-клиентов, да еще и нагружен как сисадмин самого казначейства, то срок явно подольше чем 1 день.

У нас при заказе сертификата рядовым сотрудникам требуют еще привезти бумажную доверенность от руководителя в местный отдел ФК, а руководитель может пару дней ее подписывать. Так что.. раньше 3 недели уходило на пакет сертификатов, теперь может быть в одну уложимся)

Возможность скачать из личного кабинета сильно подводит когда срок истек и начали первичное обращение - в итоге на почту приходит дразнилка что сертификат выпущен, но ни по коду запроса, ни в личном кабинете этого человека в другой организации, ни у руководителя той самой организации сертификата не видно и получить его можно только из местного отдела ФК.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.