Не подписывает в суфд

Для корректной работы СУФД необходимо

Оригинал:http://sufd.ufk20.ru/viewtopic.php?p=461

Для корректной работы СУФД необходимо:

1. Установить Java версии 6.17, Java 7.67 или Java 8.
Необходимые настройки каждой версии Java для корректной работы с СУФД указаны ниже.
Не устанавливайте 64-битную версию Java, даже если у вас операционная система Windows x64.
Обязательно отключить обновление Java!
Не ставьте Java поверх старой Java иначе могут быть проблемы с подписанием документов. Сперва необходимо удалить установленную версию и только потом ставить новую.
2. Установить Mozilla Firefox. Если у вас установлена Java 6, то необходимо устанавливать Mozilla Firefox младше 18 версии, например, версию 16. Если же у вас установлена Java 7 или 8, то Mozilla Firefox луше устанавливать версии 37, (в случае необходимости работы в версии Mozilla Firefox 52 и выше потребуется установить плагин КриптоПро ЭЦП Browser plug-in и расширение для браузера. , Mozilla Firefox 52
Необходимые настройки для корректной работы Mozilla Firefox с СУФД указаны ниже.
Обязательно отключить обновление Mozilla Firefox!
Для работы с СУФД-порталом рекомендуется использовать браузер Mozilla Firefox. Все остальные браузеры (Opera, Google Chrome, Internet Explorer) могут работать с СУФД-порталом не совсем корректно.
3. Установить КриптоПро (Инструкция по установке)
4. Установить Континент АП , сертификат для Континента АП и убедиться, что он соединяется с сервером.(Инструкция по установке и настройке во вложении к данной статье)
5. Установить корневые сертификаты: Сертификат Головного удостоверяющего центра
6. Установить личные сертификаты пользователей СУФД (Инструкция по установке).
7. Добавить в файл «C:\WINDOWS\System32\drivers\etc\hosts» две строки:
Код: Выделить всё
172.16.5.2 s2000w03.ufk20.roskazna.local s2000w03
172.16.5.2 sufd.s2000w03.ufk20.roskazna.local sufd
Если у вас Windows Vista, Windows 7 или Windows 8, то перед внесением изменений в файл hosts необходимо скопировать его в другое место, например, на Рабочий стол и уже там его редактировать. После сохранения изменений отредактированный файл hosts надо скопировать обратно в папку «C:\WINDOWS\System32\drivers\etc\» и заменить им старый файл.
8. Проверить, что в Mozilla Firefox открывается сайт http://s2000w03.ufk20.roskazna.local:28081/ или http://s2000w03.ufk20.roskazna.local:28 … n_new.html.
Если выходит сообщение, что сервер не найден, то необходимо выполнить следующие действия:
a. Необходимо выяснить использует ли операционная система Windows отредактированный вами файл hosts. Для этого необходимо запустить командную строку: Пуск — Выполнить, в открывшемся окне ввести команду cmd и нажать ОК.
b. Откроется черное окно (это и есть командная строка) в котором необходимо написать «ping s20000w03» (без кавычек) и нажать Enter.
c. Если появится надпись «При проверке связи не удалось обнаружить узел s2000w03. Проверьте имя узла и повторите попытку», то Windows не видит отредактированный вами файл. Попробуйте снова скопировать отредактированный файл hosts в папку «C:\WINDOWS\System32\drivers\etc\» и заменить им старый файл.

Настройка перечисленного ППО

Проверка установленной версии Java
1. Зайти в Панель управления — Java — Здесь указана установленная у вас версия Java.
2. Необходимо зайти в Панель управления — Java — Java — и убедиться, что на обоих вкладках в таблицах есть только по одной строке.
3. Если их две или больше, то значит установлено несколько версий Java. Необходимо удалить все версии через Панель управления — Установка и удаление программ (в Windows Vista/7/8 Java удаляется в пункте «Программы и компоненты»).
4. Далее желательно удалить папку «Java» в папке «C:\Program Files\», если она не удалилась сама.
5. Установить Java.
Примечание: Работает любая версии Java из перечисленных ниже.

Mozilla Firefox
Можно также использовать Mozilla Firefox 3.6, но ее настройка будет немного отличаться от описанной здесь.
1. Зайти в Инструменты — Дополнения
2. В разделах «Расширения» и «Плагины» найти все строки, где упоминается Java и убедиться, что они включены (если есть кнопка «Отключить», то плагин включен). Если плагины Java отключены, то их необходимо включить.
3. Зайти в Инструменты — Настройки и на вкладке «Содержимое» убрать галочку с пункта «Блокировать всплывающие окна». Нажать .
4. Зайти в Инструменты — Настройки — Дополнительные и на вкладке «Сеть» нажать кнопку напротив пункта «Соединение». В появившемся окне «Параметры соединения» выбрать пункт «Без прокси» и нажать .
5. Зайти в Инструменты — Настройки — Дополнительные и на вкладке «Обновления» выбрать пункт «Никогда не проверять наличие обновлений». Нажать .
6. В адресной строке набрать «about:config» и нажать на клавиатуре .
7. Нажать на кнопку .
8. Найти параметр «extensions.blocklist.enabled» и изменить значение на «false» дважды щелкнув по данной строке.
9. Для Mozilla Firefox версии 39 и выше, необходимо дополнительно изменить значение параметра «browser.safebrowsing.appRepURL» на значение «http://127.0.0.1/».

Примечание: Данные настройки программ Java и Mozilla Firefox идентичны для различных версий Windows (XP, Vista, 7, 8), но в отличие от Windows XP в остальных версиях Windows, из-за срабатывания системы безопасности, возможно несохранение сделанных настроек. Поэтому желательно повторно зайти в настройки этих программ и проверить, что сделанные вами изменения сохранились.

Каких то особых настроек КриптоПро для работы с СУФД обычно не требуется.
Руководство по установке и настройке Континент-АП есть в архиве с дистрибутивом и во вложении к данной статье.
Файл hosts можно открыть и отредактировать стандартным Блокнотом.

Настройка плагинов в Mozilla Firefox версии выше 52 https://yadi.sk/d/KUFjyuG23EMCaB

Время от времени пользователям приходится сталкиваться с ошибками в криптопровайдере КриптоПро. Причины для этого могут быть разные. Поэтому приходится открывать браузер, и искать ответы в интернете. Что делать, когда на экране появляется ошибка — «Этот сертификат содержит недействительную цифровую подпись», читайте далее.

Когда появляется ошибка подписи сертификата

Проблемы с сертификатом в программе КриптоПро появляются при использовании некоторых браузеров. При этом в одном приложение может стабильно работать, но стоит использовать другой, как ошибка тут же появляется. Системное сообщение о сбое появляется еще в том случае, если какие-либо параметры компьютера неправильно настроены. Не точное время, неверная дата и прочее.

Также это случается, если внутренние файлы КриптоПро были нарушены. В этом случае программа не будет работать ни с одним браузером. Остается только заново переустановить утилиту. В некоторых случаях проблема решается установкой обновлений операционной системы.

Устраняем ошибку с цифровой подписью КриптоПро

Разработчик КриптоПро рекомендует использовать для работы только встроенный браузер в Windows — Microsoft Internet Explorer (Microsoft Edge). Это поможет не встречать на пути множество ошибок, которые непросто решить. Но даже используя этот браузер, пользователи сталкиваются с ошибками. При этом если запустить его от имени администратора, то все становится на свои места. КриптоПро работает, сертификаты подписываются. Поэтому, если вы еще не испробовали этот способ, выберите иконку браузера и нажмите по нему правую кнопку мыши (ПКМ). Затем нажмите «От имени администратора».

Если вам помог этот способ избавиться от системного сообщения — «Этот сертификат содержит недействительную цифровую подпись», и программа начала работать:

  1. Выберите снова ярлык браузера ПКМ и нажмите пункт контекстного меню «Свойства»;
  2. Затем выберите внизу окна кнопку «Дополнительно»;

Пункт «Дополнительно»
В небольшом окошке выберите пункт «Запуск от имени администратора» и подтвердите свой выбор нажатием «Ок».

Пункт «Запуск от имени администратора»

Теперь при каждом запуске вам не нужно будет выбирать иконку ПКМ. По умолчанию КриптоПро будет запущен от имени администратора. Также необходимо проверить права на некоторые файлы в реестре Windows.

  1. Откройте строку ввода (WIN+R) и введите такую команду «regedit» и ENTER;
  2. Перейдите по пути, который видите на скриншоте;

Путь для настройки прав КриптоПро в редакторе реестра Windows

  • У вас должны быть права на конечные папки этих веток;
  • Чтобы это проверить, выберите папку ПКМ и сделайте клик по пункту «Разрешения»;
  • Выберите из существующих пунктов «Администраторы»;
  • Нажмите пункт «Дополнительно» и откройте «Владелец»;
  • Необходимо здесь указать значение «Полный доступ».
  • Затем снова попробуйте использовать КриптоПро. Проверьте также, чтобы программа видела ключи из контейнера.

    Проверка сертификатов и служб КриптоПро

    Если предыдущие инструкции не помогли вам устранить неполадку в программе, просмотрите статусы сертификатов в разделе «Доверенные корневые сертификаты». Для этого откройте строку ввода и напишите команду certmgr.msc . Далее откройте службы Windows. Это можно сделать при помощи команды в той же строке (WIN+R) » services.msc «.

    1. Просмотрите список служб и найдите «Службы инициализации»;
    2. Нажмите по ней ПКМ и выберите «Свойства»;
    3. Убедитесь, что служба работает стабильно. Если по каким-то причинам она отключена — включите её и сохраните изменения.

    Снова попробуйте подписать документ, чтобы проверить, появляется ли ошибка с недействительной цифровой подписью.

    Отключение антивируса на время

    Некоторые антивирусные системы (например, Symantec, AVG) распознают драйвер программного обеспечения КриптоПро, как вирусную угрозу. При их работе в системе некоторые процессы утилиты будут заблокированы. В результате этого вы можете видеть различные ошибки. Поэтому попробуйте деактивировать на время свой антивирус и запустить программу снова.

    Антивирусы разных производителей часто можно отключить на время. Это делается через трэй.

    1. Во всех ОС Windows есть небольшая стрелка, она открывает небольшое окошко с программами, которые работают в фоновом режиме;
    2. Выберите стрелку, затем нажмите на иконку антивируса ПКМ;
    3. Нажмите «Сетевые экраны» или «Управление экранами» — в зависимости от ПО пункты могут быть разными;
    4. Выберите время, на которое вы желаете отключить ПО.

    Другие способы устранить ошибку

    Если вы использовали браузер Opera, попробуйте работать с Mozilla Firefox или IE. Если предстоит работать с современными веб-сервисами, стоит использовать Firefox. Это обуславливается тем, что эти веб-службы отказываются работать с IE, особенно со старыми его версиями.

    Стоит также проверить правильность даты на компьютере. Выберите ПКМ часы внизу экрана и нажмите «Настройка даты и времени». Установите правильное значение, выберите нужный часовой пояс и сохраните изменения. Затем откройте КриптоПро и снова попробуйте проверить, появляется ли ошибка, когда сертификат содержит недействительную цифровую подпись.

    Обычно работа с электронной цифровой подписью не вызывает сложностей, но иногда при подписании документа возникает ошибка о содержании в сертификате недействительной цифровой подписи. Решение ошибки зависит от причины и момента возникновения и обычно ограничивается переустановкой программного обеспечения.

    Причина: переустановка OS Windows

    После переустановки Windows или установки обновлений сертификаты, имеющие ключи менее 1024 битов, становятся недействительными и блокируются. Для снижения риска компрометации ключей электронной подписи было выпущено специальное обновление, блокирующее ненадежные ключи RSA (криптографический алгоритм, сокращение от Rivest, Shamir и Adleman).

    Решение

    Проблему можно решить несколькими командами, которые задаются через командную строку (комбинация клавиш Win+R и введение в поисковом окне cmd).

    Чтобы разрешить использование корневого сертификата (КС) с длиной менее 1024 бит, нужно использовать команду certutil: certutil -setreg chainEnableWeakSignatureFlags. Для разрешения регистрации и блокировки закрытых ключей ЭЦП используют команду certutil -setreg chainEnableWeakSignatureFlags. Для включения регистрации сертификатов RSA ниже КС используют certutil: certutil -setreg chainEnableWeakSignatureFlags. Для регистрации без блокировки ключей электронной подписи длиной менее 1024 бит задают команду certutil: certutil -setreg chainEnableWeakSignatureFlags.

    Причина: не запущена служба инициализации

    Иногда ошибка недействительности подписи связана со сбоем в службе инициализации. Обнаружить это можно, если попробовать посмотреть любой из закрытых ключей электронной подписи в хранилище.

    Чтобы устранить ошибку нужно:

    1. Открыть командную строку (Win+R) и ввести в строке поиска cmd.
    2. Выполнить команду certmgr.msc.
    3. Открыть «Доверенные КС» и проверить статус интересующего закрытого ключа.
    4. Выполнить команду services.msc.
    5. Посмотреть состояние «Службы инициализации КриптоПро».
    6. Открыть через «Свойства» КриптоПро вкладку «Алгоритмы».

    Обычно причина ошибки в том, что не все поля заполнены. После введения недостающей информации и перезагрузки программы ошибка исчезает.

    Ошибка при работе в СУФД

    Иногда при работе системы удаленного финансового документооборота также выходит ошибка о недействительности электронной подписи. Причин может быть несколько — это и отсутствие личных сертификатов, и устаревшая версия Java и даже неправильно выбранный пользователь.

    Для проверки наличия личных сертификатов нужно перейти: «Панель управления»/»Свойства обозревателя»/»Содержание»/папка «Сертификаты». Если они личные, то необходима установка КриптоПро.

    Для корректной работы подписи необходима версия Java 6 update 17 и выше. Также важно проверить, включены ли в используемом браузере плагины Java. Сделать это можно так:

    • для IE: «Сервис»/»Надстройки»/»Панель инструментов». В открывшемся меню все пункты, относящиеся к Java, должны быть активны.
    • для Firefox: «Инструменты»/»Дополнение»/»Расширения»/»Плагины». Также в новом окне должны быть активны все пункты, связанные с Java.

    Также нужно проверить «Документарный контроль» и очередность подписей, используемый ключевой носитель и соответствие учетной записи.

    Ошибка сертификата при работе в ЕГАИС

    Во время работы в Единой Государственной Автоматизированной Информационной Системе (ЕГАИС) проблема с недействительной подписью возникает реже и обычно из-за отсутствия личного сертификата или повреждения ключевого носителя.

    Как устранить

    Для устранения ошибки нужно:

    1. Проверить действительность личного сертификата.
    2. Проверить наличие контейнера на носителе ЭЦП и файла с расширением .cer.
    3. При помощи КриптоПро сделать копию и установить с копии новый личный сертификат.
    4. Переместить содержимое ключевого носителя в любое место на ПК, а если данные повреждены и копирование не удается, восстановить при помощи специальной программы (badcopy).
    5. Переустановить КриптоПро.

    Обычно после переустановки программы и повторной загрузки КС проблема исчезает. При повторном появлении ошибки лучше обратиться в техническую поддержку.

    Ошибка при работе в КриптоАрм

    Проблема с недействительной подписью при работе в КриптоАрм может быть вызвана и истекшим сроком сертификата, и тем, что ключ ЭЦП попал в список отозванных сертификатов, и в невозможности построить цепочку сертификатов.

    Чтобы устранить ошибку, нужно проверить адрес OCSP службы в сертификате. В поле «Доступ к информации о центрах сертификации» обычно не ставится пункт «Метод доступа». Сделать это можно так:

    1. «Пуск»/»Все программы»/»Сертификаты»/»Пользователь»/»Личное»/»Сертификаты».
    2. В правой части рабочего окна открыть нужный сертификат.
    3. Открыть вкладку «Состав»/»Доступ к информации…».

    Если данное условие нарушено, то необходимо обратиться в удостоверяющий центр, выдавший электронную подпись, и попросить изготовить новую ЭЦП в формате CAdeS XLONG.

    Если создание ЭЦП требует использования штампа времени, то построение цепочки без подписи данного формата невозможно. Для устранения ошибки понадобится установка сертификата тестовой службы штампа времени с официальной страницы удостоверяющего центра, изготовившего ЭЦП в хранилище доверенных центров сертификации. После этого рекомендуется выполнить проверку на тестовой странице удостоверяющего центра и, если ошибка повторяется, еще раз обратиться в УЦ для проверки корректности работы ЭЦП.

    Если не удается построить цепочку сертификатов, то нужно убедиться в отсутствии проблем с интернетом. Ошибка может возникать при нестабильном сигнале сети. Затем нужно проверить наличие КС удостоверяющего центра. Сделать это просто:

    • Открыть КриптоПро и вкладку «Сертификаты».
    • Выбрать необходимый центр.
    • Выбрать «Доверенные сертификаты».
    • Перейти в «Реестр» и «Сертификаты».
    • Выбрать в списке КС нужного удостоверяющего центра.

    При отсутствии сертификата его скачивают с официального сайта удостоверяющего центра, но обычно он находится в папке с КС и его нужно только установить. Для корректной работы в дальнейшем лучше пользоваться браузером Internet Explorer, т.к. в других браузерах возможны ошибки и сбои из-за некорректной работы плагинов.

    Установка КС происходит автоматически при нажатии кнопки «Установить» и занимает несколько секунд. После этого браузер и ПК нужно перезагрузить.

    Обычно проблему с недействительной подписью в сертификате можно решить собственными силами. Помогает как переустановка криптопровайдера со всеми сертификатами, так и проверка на срок действия и даже соответствие носителя ЭЦП используемой подписи. Если после всех действий ошибка повторяется, то лучше обратиться в службу технической поддержки удостоверяющего центра, изготовившего ЭЦП.

    Такая ошибка возникает при работе с личными сертификатами, которые используются для подписи электронных документов с использованием КриптоПРО. На разных форумах предлагают разные решения и судя по отзывам многие из них действительно помогают. Один из таких советов меня подтолкнул решению проблемы. Но я хочу поделиться всеми способами решения, которые я узнал, потому-что причины появления этой ошибки могут быть разными.

    Некорректный путь сертификации

    Эта та самая проблема, с которой пришлось столкнуться мне.
    Удивительно но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

    Открываем хранилище сертификатов при помощью консоли certmgr.msc

    Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.

    Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».

    Вернемся на вкладку «Общие», чтобы проверить кем выдан личный сертификат. Сертификат выдан той же компании, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

    Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

    Переходим по ссылке http://e-trust.gosuslugi.ru/CA и находим свой удостоверяющий центр.

    Находим в списке сертификат, который соответствует условиям.
    Средства УЦ: КриптоПРО УЦ 2.0
    Кем выдан: CN=Головной удостоверяющий центр
    Действует: текущая дата входит в указанный промежуток дат.

    Щелкаем по ссылке в поле «Отпечаток» и скачиваем сертификат.

    Этот сертификат необходимо установить в промежуточные центры сертификации.

    Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

    В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

    Не работают алгоритмы шифрования КриптоПРО CSP

    Открываем КриптоПРО CSP и переходим на вкладку «Алгоритмы».
    Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.

    Для переустановки КриптоПРО CSP может потребоваться инструмент «Утилита очистки следов установки КриптоПРО» для полного удаления программы из операционной системы. Скачать его можно отсюда .

    Нерушение прав доступа к ветке реестра.

    Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.

    Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.

    2 thoughts on “ Сертификат содержит недействительную цифровую подпись. ”

    Молодцы, отличная статья, мне помог первый вариант с установкой промежуточных центов сертификации.

    Спасибо, мне помог трюк с установкой промежуточного центра сертификации, с сертификатом sbis.