Ошибки при работе с КриптоПро УЦ
Ошибки возникающие при работе с КриптоПро УЦ
Ошибка загрузки лицензии на ЦС
Публикация: 23 Ноябрь 2012 — 16:21, редакция: 15.08.2013 17:46
Рекомендуемое решение: Проверьте наличие актуальных CRL в хранилище Локального компьютера сервера ЦС и убедитесь, что в хранилище «Личное» Локального компьютера отсутствуют сертификаты с истекшим сроком действия.
Установка АРМ РКС
Публикация: 13 Август 2012 — 09:54, редакция: 13.08.2012 10:58
Если устанавливать АРМ РКС из состава КриптоПро УЦ 1.5 (сертифицированная сборка 1.05.1072) на компьютер, на котором ранее никогда не был установлен АРМ РКС из состава КриптоПро УЦ 1.4 или КриптоПро УЦ 1.5, то для корректной работоспособности нужно проделать следующее:
если х64, то искать в HKEY_CLASSES_ROOTWow6432NodeCLSID
Ошибка (-2147220983) при выпуске сертификата.
Публикация: 16 Февраль 2011 — 12:44
На ЦР не установлены (или установлены не актуальные) списки отзыва сертификатов.
В случае, если ошибка возникает на АРМе администратора ЦР подчиненного ЦС, возможно не установлен сертификат корневого ЦС и его списки отзыва сертификатов.
Проверить наличие на ЦР актуальных СОС и сертификаты корневого(подчиненного) ЦС.
Купить
Не устанавливается КриптоПро CSP. Появляется ошибка:»Could not access VBScript run time for custom action»
2. Альтернативный способ коррекции реестра:
Запустите утилиту cpfixit.exe, а затем повторите установку КриптоПро CSP.
3. Решение от MS: KB949140
4. Попробуйте установить КриптоПро CSP 3.6 R3 или более свежую версию — установщик избавлен от скриптов.
Из нашей статьи вы узнаете:
ЭЦП — довольно сложный цифровой продукт, обращение с которым в определенных ситуациях может потребовать некоторых навыков и знаний. Например, в ходе установки сертификатов ЭП посредством «КриптоПро» после выбора соответствующего ключевого контейнера нередко выдаются неприятные сообщения об ошибке вследствие отсутствия открытого шифровочного ключа, который необходим для обеспечения информационной безопасности, без чего система не будет принимать ЭЦП.
Такую ошибку несложно устранить без вызова специалиста или обращения в службу поддержки. Алгоритм действий, направленных на решение этой проблемы, приводится ниже.
Что может послужить причиной такой ошибки
Всплывающее окно со злополучным сообщением об ошибке появляется на экранах пользователей в тех случаях, если система не смогла обнаружить соответствующий ключ на носителе. Такая ситуация происходит при следующих действиях пользователей:
- установка сертификата впервые;
- экспортирование данных на внешний носитель;
- попытка просмотра ключей в контейнерах ключей;
- загрузка информации на компьютер извне.
В целях устранения ошибки обычно бывает достаточно произвести корректную ручную переустановку сертификата.
Отсутствие электронного сертификата в контейнере закрытого ключа
Для начала запускаем «КриптоПро» нажатием кнопки «Пуск». Затем выбираем «Настройку», в возникающем на мониторе окне заходим в опцию панели управления, далее «сервис – установить личный сертификат».
Далее, через кнопку «обзор» указываем путь, где сохранен открытый ключ – файл с расширением *.cert или *.crt
Жмём «Далее», в мастере установки сертификата мы увидим путь, который указывали до нашего сертификата.
Нам отображается информация, содержащаяся в открытом ключе на пользователя, жмём «далее»
В следующем окне можно воспользоваться двумя путями поиска нужного контейнера закрытого ключа:
- «найти контейнер автоматически
- вручную через «обзор»
В первом случае КриптоПро на основе данных из открытого ключа подберет закрытый, в случае с ручным поиском нужно будет знать название закрытого ключа, чтобы выбрать его для установки
Самый простой вариант выбрать автоматический поиск, затем после «обнаружения» необходимого контейнера, мы увидим заполненную строчку с его именем и после жмём «Далее»
Личный сертификат пользователя всегда устанавливается в хранилище «Личное», можно выбрать как вручную, так и КриптоПро может сделать это за вас по умолчанию, затем подтверждаем установку цепочки сертификатов и жмём «Далее»
В случае успешной установки КриптоПро выдаст окно с информацией об окончании процедуры и жмём «Готово»
Затем появится окно с подтверждением данной операции, жмём «ДА»
В следующем окне увидим информацию о том, что процесс окончен успешно. Сертификат установлен в контейнер закрытого ключа.
Особенности версий КриптоПро
С января 2019 года квалифицированные сертификаты могут выпускаться только по ГОСТ 2012, выпуск по другому ГОСТу прекращен. Мы об этом писали ранее в статье. Важно помнить, что версии криптопро на ГОСТ 2012 работают только с версии 4.0 и выше. Все старые версии КриптоПро, для нормальной работы, потребуется обновить или заменить на актуальную. Сделать это нужно не позднее 31 декабря 2019 года.
Антивирус – причина ошибки «Проверка защищенного соединения»
Проверьте, не включен ли в системе Firewall и не используется ли прокси-сервер в сети, которые могут блокировать https-соединения. Также проверьте, не влияет ли ваш антивирус на попытку установления защищенного соединения с сервисом Личного кабинета (для этого на время выполнения условий проверки антивирус необходимо отключить). Если после отключения антивируса все проверки выполняются успешно, значит адреса https://lkul.nalog.ru и http://lkul.nalog.ru нужно исключить из зоны проверки вашего антивируса (т.е. добавить в настройках антивируса в исключения). (Особенно это актуально для антивируса Avast и ESET NOD32).
Как отключить антивирус Avast:
- Нажмите на значок антивируса в трее;
- Кликните на «Управление экранами Avast;
- Откроется дополнительное меню, в котором вы можете выбрать: отключить на 10 минут, на 1 час, до перезагрузки ПК или ноутбука или навсегда;
- Кликните на нужный пункт, а потом на «Да» в появившемся всплывающем окошке с предупреждением об опасности.
Как отключить антивирус ESET NOD32:
- Нажмите на значок антивируса в трее;
- Открываем ESET Internet Security;
Далее выбираем настройки и открываем параметр Защита интернета, после чего жмем на иконку шестерёнки.
Настройка браузера.
Проверьте работу в браузерах:
Настройка КриптоПро.
Запустите программу КриптоПро CSP с правами администратора. Перейдите на вкладку «Настройки TLS» и снимите галочку «Не использовать устаревшие cipher suite-ы». После изменения данной настройки нужно обязательно перезагрузить компьютер
Остались вопросы? Как мы можем помочь?
Как мы можем помочь?
Ошибка при подписании 0x80090008
При работе с электронной подписью (ЭП) могут возникать ошибки. Причины бывают разные. Неприятные ситуации происходят, если: используется устаревшее программное обеспечение, срок действия лицензии КриптоПро закончился, рабочее место настроено неверно или неисправен ключевой носитель и многое другое.
В статье подробно расскажем, как исправить возникающие ошибки в КриптоПро, компьютере и браузере при работе с электронной подписью.
Самые популярные ошибки при работе с ЭП
Ранее мы уже рассказывали про то, какие популярные ошибки могут встречаться в работе с электронной подписью. Собрали способы их решения в актуальную таблицу. Для тех, кто хочет ознакомиться с инструкциями подробнее, предлагаем перейти по гиперссылкам.
Компьютер не видит сертификат ЭЦП
Для начала необходимо определить, установлен ли сертификат в «Личное хранилище пользователя» с привязкой к токену. Осуществляется это через СКЗИ. В операционной системе Windows нужно сделать следующее:
- Перейти в меню «Пуск» и открыть приложение «Панель управления».
- Выбрать программу «КриптоПро CSP», далее нажать «Сервис», «Протестировать» и «По сертификату».
Если компьютер видит ЭП, но электронная подпись не работает в браузере. Например, пользователь не может пройти регистрацию с помощью подписи на торговой площадке, и система выдаёт ошибку. Значит используемый сайт может быть не внесён в список доверенных. Чтобы это исправить, потребуется:
- Перейти в меню «Пуск» и открыть приложение «Панель управления».
- Выбрать программу «КриптоПро CSP», нажать «Настройки ЭЦП browser Plug-In» и внести адрес сайта в список доверенных.
Почему КриптоПро не видит ЭП
Криптопровайдер КриптоПро CSP может не видеть токен, если в памяти устройства нет ключей или сертификата. Самый простой способ узнать, есть ли контейнер с записанными ключами — это проверить память носителя. Если контейнер ключей или сертификат отсутствуют, нужно обратиться в службу поддержки удостоверяющего центра, выдавшего электронную подпись.
КриптоПро вставлен другой носитель
Во время подписания электронного документа в КриптоПро появляется уведомление об ошибке: «Вставьте ключевой носитель» или «Вставлен другой носитель». Ошибка возникает в нескольких случаях: неисправен носитель, USB-разъём или дело в сертификате.
Нужно убедиться, что токен вставлен или до конца вставлен в USB-порт. Также следует определить работоспособность порта, вставив в него другое устройство. Если порт исправен, токен вставлен в разъём, но ошибка всё равно появляется, нужно переустановить сертификат через КриптоПро.
Недостаточно прав для выполнения операции в КриптоПро
Ошибка «У компонента недостаточно прав для доступа к сертификатам» появляется в КриптоПро, когда пользователь регистрируется на портале с помощью электронной подписи. Например, осуществляет вход в ЛК ФНС по сертификату. Уведомление может появляться, если на ПК установлена старая версия программы КриптоПро ЭЦП Browser plug-in или сайт не добавлен в каталог доверенных ресурсов.
Как добавить интернет-страницу в список доверенных ресурсов, мы описали выше в разделе «Компьютер не видит сертификат ЭЦП: первые шаги». Для того чтобы настроить плагин, воспользуйтесь нашей инструкцией.
Ошибка исполнения функции при подписании ЭЦП
Такая ошибка появляется, если на компьютере не установлен сертификат электронной подписи. Также она возникает, когда у программы КриптоПро закончилась лицензия. Проверить срок действия криптопровайдера можно следующим образом:
- Перейти в меню «Пуск» и открыть приложение «Панель управления».
- Выбрать программу «КриптоПро CSP», далее нажать «Общее».
Ошибка при проверке цепочки сертификатов в КриптоПро
Ошибки создаются при использовании программы КриптоПро ЭЦП Browser plug-in.
Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)
Это значит, что плагин не может сформировать запрос на создание электронной подписи. Ошибка возникает в случае, если статус сертификата невозможно проверить. Например, если отсутствует привязка к ключу или доступ к спискам отзыва. Ещё одна причина — корневые сертификаты не установлены на ПК.
Чтобы исправить ошибку необходимо привязать сертификат к закрытому ключу и проверить, строится ли цепочка доверия. Для этого нужно:
Если значок сертификата содержит в своём рисунке крест, то цепочка доверия не строится. Требуется загрузка и установка корневых и промежуточных сертификатов. Как правило, они доступны на официальном сайте удостоверяющего центра, который выпустил сертификат на имя пользователя.
Чтобы установить корневой сертификат требуется:
- Кликнуть правой кнопкой мыши по файлу.
- В контекстном меню выбрать пункт «Установить сертификат».
- Откроется «Мастера установки».
- Нажать «Далее».
- Выбрать вариант «Поместить все сертификаты в выбранное хранилище».
- Нажать «Обзор».
- Выбрать в списке хранилищ «Доверенные корневые центры сертификации», нажать «ОК».
- Нажать «Далее» и «Готово».
Промежуточные сертификаты устанавливаются так же, как и корневые. Единственное отличие заключается в том, что вместо пункта «Доверенные корневые центры сертификации» необходимо выбрать «Промежуточные центры сертификации».
Если ЭП создаётся в формате CAdES-T или CAdES-X Long Type 1, то ошибка может возникнуть из-за отсутствия доверия к сертификату оператора службы предоставления штампов времени. Чтобы исправить ошибку, понадобится установить корневой сертификат удостоверяющего центра в доверенные корневые центры.
ЭЦП создаётся с ошибкой при проверке цепочки сертификатов
Такая ошибка появляется в случаях, если отсутствует доступ к спискам отозванных сертификатов. Загрузить списки можно на официальном сайте удостоверяющего центра, который выпустил сертификат ЭП. Установить списки можно так же, как и промежуточные сертификаты.
Электронная подпись описи содержания пакета недействительна
Квалифицированной электронной подписью можно подписать сразу пакет документов. Во время подписания к документации прикладывается файл с перечнем, который содержит опись заверенных документов. Он тоже подписывается электронной подписью.
Если при подписании описи появляется ошибка о том, что сертификат недействительный, подписать основной пакет документов не получится. Причина заключается в нарушении доверенной цепочки. Пользователю нужно установить или переустановить корневые и промежуточные сертификаты. Как это сделать, мы писали выше
Не работает служба инициализации КриптоПро
Если сервис инициализации программы КриптоПро приостановлен, необходимо:
- Нажать сочетание клавиш «Win+R».
- Ввести команду services.msc.
- В открывшемся окне «Службы» выбрать «Службы инициализации» и проверить её активность в свойствах.
- При отключенном сервисе нужно его запустить и нажать «Ок».
- Перезапустить компьютер.
Сертификаты не отвечают критериям КриптоПро
Ошибка появляется при авторизации пользователя в государственной информационной системе. На экране появляется уведомление «Безопасность Windows».
Чтобы устранить неисправность, необходимо переустановить криптопровайдер на компьютере. Если это не поможет, значит цепочка сертификатов формируется неверно. Требуется установить корневой сертификат по приведённой выше инструкции. Также можно попробовать метод, описанный на форуме КриптоПро:
- Нажать сочетание клавиш «Win+R».
- Удалить ветки:
У пользователя могут не отображаться все представленные ветки. Необходимо удалить все, которые есть. Процедура не вредит системе и сохранённым файлам.
Важно запомнить: для безошибочной работы требуется следить за сроком действия лицензии КриптоПро и сертификата ЭП, использовать только лицензионное ПО. Также необходимо своевременно обновлять программное обеспечение до актуальных версий и проверять работоспособность оборудования. Если представленные выше способы не помогли решить проблему, всегда можно обратиться к специалистам.
- Не удалось проверить список отзыва CRL.
- Сертификат недействителен. Срок действия истек или еще не наступил.
- Сертификат недействителен. Сертификат отозван.
- Подпись недействительна. (Подпись математически неверна).
- Не удалось полностью проверить один или несколько сертификатов в цепочке.
Не удалось проверить список отзыва CRL.
Визуально ошибка отображена на картинке ниже:
В КриптоАРМ не установлен актуальный список отзыва.
Как устранить данную проблему:
1 – нажимаем Статус сертификата, 2 – двойным кликом открываем сертификат, 3- нажимаем Состав, 4 – выбираем Точки распространения, 5 – выделяем ссылку после = , нажимаем Ctrl + C (плюс не нажимаем , одновременно две клавиши Ctrl и C на клавиатуре), вставляем ссылку в строке поиска в браузере.
Нажимаем Готово. Перезагружаем Компьютер и проверяем повторно. Ошибка должны быть устранена.
Сертификат недействителен. Срок действия истек или еще не наступил.
Сертификат недействителен. Сертификат отозван.
Ошибка указана на картинке ниже:
При возникновении данной ошибки, если ранее вы самостоятельно не отзывали сертификат. Вам необходимо обратиться в Удостоверяющий центр, выдавший сертификат, для уточнения причины возникновения данной проблемы.
Удостоверяющий центр выдавший сертификат, обычно указан в разделе Издатель.
Подпись недействительна. (Подпись математически неверна).
Пример ошибки на картинке ниже:
Причина возникновения данной проблемы: файл был изменен или поврежден, после подписания.
Файл может быть изменен в следствии воздействия антивирусного ПО. Или в результате изменений внесенным в структуру файла почтовым сервисом, при отправке по электронной почте.
Файл необходимо повторно подписать, предварительно отключив антивирус (при его наличии, и при повышенном уровне защиты файловой системы).
Перед отправкой по электронной почте, файл необходимо заархивировать.
Так же если Вы используете при подписании сервис КриптоДок, у Вас должна быть активирована лицензия Крипто Про CSP, как проверить действительность лицензии Вы можете узнать по ссылке
Так же, если для подписания используется программа КриптоАРМ, перед подписанием обратите внимание, чтобы был отключен режим Квалифицированная подпись в КриптоАРМ.
Проверить это можно нажав правой кнопкой мыши, по иконке в области уведомлений.
Не удалось полностью проверить один или несколько сертификатов в цепочке.
Не установлен корневой сертификат удостоверяющего центра, выдавшего сертификат.
Не установлен корневой сертификат Минкомсвязь России
- Откроется мастер экспорта сертификата, все оставляем по умолчанию, нажимаем далее –далее – выбираем место для сохранения файла и задаем ему имя.
- Запоминаем куда сохранился файл, и открываем его. Нажимаем — установить сертификат (далее выполняем действия, последовательно как на скриншотах)
- По окончании установки перезапускаем программу КриптоАРМ, и повторно выполняем операцию, которую не удалось выполнить ранее.
- Скачиваем по ссылке — https://e-trust.gosuslugi.ru/app/scc/portal/api/v1/portal/ufoCertificates/download/34656
- Проделываем те же действия что показаны в пункте 4 , но в качестве хранилища выбираем Доверенные корневые центры сертификации.
Проверка документа подписанного электронной подписьюКак установить корневые сертификаты на Windows
При использовании КриптоПро ЭЦП Browser plug-in могут возникать ошибки, приводящие к тому, что плагин не работает или работает некорректно, из-за чего электронная подпись не создаётся. Рассмотрим наиболее распространённые варианты ошибок и разберёмся, как их устранить.
При проверке отображается статус «Плагин загружен», но нет информации о криптопровайдере
Это значит, что криптопровайдер КриптоПро CSP не установлен. Необходимо загрузить дистрибутив программы с сайта разработчика и установить её на компьютер. В настройках плагина в графу Список доверенных узлов также следует добавить адрес ресурса, с которым работаете (например, nalog.ru).
При этой ошибке плагин не может сформировать запрос на создание ЭЦП. Она возникает, если по каким-то причинам нет возможности проверить статус сертификата. Например, если нет привязки к ключу или доступа к спискам отзыва. Также проблема может воспроизводиться, если не установлены корневые сертификаты.
Для устранения этой ошибки нужно привязать сертификат к закрытому ключу.
Сначала проверьте, строится ли цепочка доверия. Для этого нужно открыть файл сертификата, а затем вкладку Путь сертификации.
Для установки корневого сертификата необходимо:
- Кликнуть правой кнопкой мыши по файлу.
- В контекстном меню выбрать пункт Установить сертификат.
- После запуска Мастера установки нажать Далее.
- Выбрать вариант Поместить все сертификаты в выбранной хранилище и нажать Обзор.
- Выбрать в списке хранилищ Доверенные корневые центры сертификации, нажать ОК, затем Далее.
- Нажать Готово.
Установка промежуточных сертификатов выполняется точно так же, как и установка корневых, за исключением того, что в процессе установки вместо пункта Доверенные корневые центры сертификации нужно выбрать пункт Промежуточные центры сертификации.
Если вы создаёте ЭЦП таких форматов, как CAdES-T или CAdES-X Long Type 1, ошибка может возникать из-за отсутствия доверия к сертификату оператора службы предоставления штампов времени. В этой ситуации нужно установить корневой сертификат УЦ в доверенные корневые центры.
Данная проблема возникает из-за отсутствия доступа к спискам отозванных сертификатов. Списки должны быть доступны для загрузки на сайте удостоверяющего центра, который выпустил сертификат ЭЦП. Установка списков выполняется по той же схеме, что и установка промежуточного сертификата.
Ошибка несоответствия версии плагина
При проверке возникает сообщение «Установлен и настроен плагин для браузера КриптоПро ЭЦП Browser plug-in версии 2.0.12438 и выше. — undefined». В этом случае необходимо установить плагин версии 2.0.12438 и выше.
Появляется сообщение «Плагин недоступен»
Данная проблема может возникнуть, если ваш браузер не поддерживает установленную версию плагина. Попробуйте воспользоваться другим обозревателем.
Ошибки 0x8007064A и 0x8007065B
Ошибка возникает в связи с окончанием срока действия лицензий на КриптоПро CSP (КриптоПро TSP Client 2.0, Криптопро OCSP Client 2.0).
Чтобы создать электронную подпись с форматом CAdES-BES, необходима действующая лицензия на КриптоПро CSP. Создание ЭЦП с форматом CAdES-X Long Type 1 потребует наличия действующих лицензий:
- КриптоПро CSP;
- КриптоПро OCSP Client 2.0;
- КриптоПро TSP Client 2.0.
После приобретения лицензии потребуется её активация.
Набор ключей не существует (0x80090016)
Возникает из-за того, что у браузера нет прав для выполнения операции. Для решения проблемы в настройках плагина добавьте сайт в Список доверенных узлов.
Отказано в доступе (0x80090010)
Возникает в связи с истечением срока действия закрытого ключа. Чтобы проверить срок действия, запустите Крипто-Про CSP, затем откройте вкладку Сервис. Далее необходимо выбрать пункт Протестировать и указать контейнер с закрытым ключом. Если в результатах тестирования вы увидите, что срок действия закрытого ключа истёк, необходимо получить новый ключ.
Ошибка: Invalid algorithm specified. (0x80090008)
Появление такой ошибки означает, что криптопровайдер не поддерживает алгоритм используемого сертификата. Рекомендуется проверить актуальность версии КриптоПро CSP.
Если предлагаемые выше способы устранения ошибок не помогут, рекомендуем обратиться в службу поддержки КриптоПро.
У вас ещё нет электронной подписи? Её можно заказать у нас на сайте. Выберите подходящий вариант ЭЦП: для участия в электронных торгах, работы с порталами или отчётности. Процедура оформления не займёт больше одного дня.
Если при подписании данных возникает ошибка «Ошибка исполнения функции», значит отсутствует лицензия на программу КриптоПро CSP.
- Проверьте, есть ли встроенная лицензия в сертификат. Для этого:
Найдите файл сертификата с расширением *.cer и откройте его (если файла нет, см. инструкцию Как экспортировать файл открытого ключа).Выберите вкладку «Состав» и найдите строку «Ограниченная лицензия КриптоПро». Если строка есть, значит лицензия встроена в сертификат. Если строки нет — встроенной лицензии нет. - Найдите файл сертификата с расширением *.cer и откройте его (если файла нет, см. инструкцию Как экспортировать файл открытого ключа).
- Выберите вкладку «Состав» и найдите строку «Ограниченная лицензия КриптоПро».
- Если строка есть, значит лицензия встроена в сертификат. Если строки нет — встроенной лицензии нет.
- Если у сертификата:
Есть встроенная лицензия. Проверьте, что:Нет встроенной лицензией. Проверьте, что на компьютере введена и действует лицензия на КриптоПро CSP на рабочее место. Чтобы посмотреть срок действия лицензии, в программе КриптоПро CSP выберите вкладку «Общее».
- Есть встроенная лицензия. Проверьте, что:
- Нет встроенной лицензией. Проверьте, что на компьютере введена и действует лицензия на КриптоПро CSP на рабочее место. Чтобы посмотреть срок действия лицензии, в программе КриптоПро CSP выберите вкладку «Общее».
- Если срок действия лицензии на компьютере истек, требуется приобрести лицензию на КриптоПро CSP. Для этого обратитесь в Сервисный центр.
- Если у вас уже приобретена лицензия (она выдается на бланке), введите ее. Для этого в КриптоПро CSP на вкладке «Общие» нажмите «Ввод лицензии» и введите ее. Заново подпишите документ.