Еиас мониторинг ошибка при проверке личного сертификата

Технические требования для работы с электронными подписями и алгоритм выбора электронных подписей в ЕИАС Web описаны в знании 122.

При получении/отправке отчётных форм, сообщений или другой информации, данные поступают/передаются в зашифрованном виде. Для их расшифровки/шифрования системы криптографии, установленные на компьютере пользователя, обращаются к электронной подписи, используемой пользователем для ФГИС ЕИАС.

При возникновении проблем шифрования/расшифровки пользователю следует убедиться в корректности установки/настройки средств криптографии и сертификатов электронных подписей.

Пожалуйста, проверьте корректность установки плагина создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in» на странице проверки плагина. 

I.  Отсутствие сертификата для выбора/ Ошибки вида «Ошибка при инициализации модуля для работы с Cades plugin» и «Нет доступных сертификатов»

Ошибки означают, что на ПК не установлена сама квалифицированная электронная подпись (установлена некорректно), либо плагин создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in», либо расширение для данного плагина в используемом браузере.  

Удостоверьтесь, пожалуйста, в том что:  

— нужная электронная подпись корректно установлена на ПК

— на ПК установлен плагин создания и проверки электронной подписи для браузера «КриптоПро ЭЦП Browser plug-in»

— в используемом браузере установлено расширение «КриптоПро ЭЦП Browser plug-in». 

Установка электронной подписи описана в знании 31.

Установка плагина и расширения для браузера КриптоПро ЭЦП Browser plug-in в Windows описана в знании по ссылке.

II. Ошибки работы систем криптографии и сертификатов электронных подписей

Если ЕИАС Web выдает сообщение «Не найден сертификат для расшифровки полученных данных», «Неправильный параметр набора ключей», «Произошла внутренняя ошибка в цепочке сертификатов», «Не удается построить цепочку сертификатов для доверенного корневого центра» и т.п., это говорит о том, что на локальном месте пользователя произведена некорректная установка ЭП, либо отсутствуют необходимые корневые сертификаты, либо имеется ограничение на уровне системы криптографии.

Пример: 

Для исправления ошибки необходимо проверить следующее:

1). На компьютере пользователя должен  быть установлен только один криптопровайдер (CSP)! Использование разных криптопровайдеров на одном рабочем месте приводит к конфликту механизмов шифрования и ошибкам при подписании!

2). Сертификат должен быть установлен для Пользователя, а не для локального компьютера.

При использовании КриптоПро CSP перейдите в оснастку «Сертификаты»: Пуск -> Все программы -> Крипто-Про -> Сертификаты».

Здесь необходимо проверить, не добавлен ли Ваш личный сертификат в хранилище сертификатов для локального компьютера.

Разверните список «Сертификаты (локальный компьютер) -> Личное -> Реестр -> Сертификаты». Если в данном списке присутствует личный сертификат пользователя Вашей организации — его необходимо удалить.

Личный сертификат должен храниться только в «Сертификаты — текущий пользователь -> Личное -> Реестр -> Сертификаты».

Также проверьте хранилища «Другие пользователи» для локального компьютера и текущего пользователя. Личного сертификата там также быть не должно, если он есть — удалить.

3). Убедитесь, что на локальном компьютере установлены корневые сертификаты издателя.

Для этого откройте личный сертификат пользователя и переключитесь на вкладку «Путь сертификации». В цепочке сертификации не должно быть никаких крестиков и восклицательных знаков.

Наличие «крестиков» и/или восклицательных знаков говорит о том, что данные корневые сертификаты не установлены!

Для устранения этой ситуации необходимо отметить требуемый сертификат и нажать кнопку «Просмотр сертификата». В открывшемся окне на вкладке «Общие» нажать на кнопку «Установить сертификат» и поместить данный сертификат в хранилище «Доверенные корневые центры сертификации». В случае отсутствия кнопки установки, переключиться на вкладку «Состав» и экспортировать корневой сертификат себе на компьютер по кнопке «Копировать в файл», затем установить полученный сертификат в хранилище «Доверенные корневые центры сертификации».

Если в цепочке сертификации не указан корневой сертификат издателя или у вас возникают трудности с его получением, то вам необходимо обратиться в Удостоверяющий центр, где вами была приобретена электронная подпись.

Установка набора корневых сертификатов производится в полуавтоматическом режиме — для этого следует перейти в указанную выше оснастку «Сертификаты»: Пуск -> Все программы -> Крипто-Про -> Сертификаты» и перейти в хранилище «Доверенные корневые центры сертификации».

Для корректной работы ФГИС ЕИАС так же требуется установка корневых сертификатов издателя электронной подписи, в частности УЦ СКБ Контур.

4). Переустановите электронную подпись на локальном компьютере через используемый криптопровайдер.

Инструкция по установке ЭП  с примером приведена в знании #31.

5). Убедитесь, что номер лицензии на право инспользования крипровайдера введён корректно (знание #37).

 III. Алгоритм шифрования/ Ошибка вида «Указан неправильный алгоритм»

1). Практически всегда проблема связана с самим личным сертификатом, которым происходит попытка подписания или с установкой на один ПК нескольких криптопровайдеров.

Скорее всего, сам сертификат повреждён  (содержит повреждённый открытый ключ).

В первую очередь именно с представителем Удостоверяющего центра, где была приобретена ЭП, должна осуществляться проверка сертификата на валидность:

• проверка целостности сертификата ключа подписи (файл не должен быть повреждён)
• проверка срока действия сертификата ключа подписи (сертификат не должен быть просроченным)
• проверка действительности корневых сертификатов издателя (сертификаты должны быть корректными)

Если действительно неисправен сам сертификат, то восстановить его или получить новый Вы сможете только в Удостоверяющем центре, где была приобретена ЭП!

Второй важный фактор для проверки: не установлено ли на ПК больше одного СКЗИ (КриптоПро, Лисси, VipNet и др.).

Допустимо наличие только одного криптопровайдера на рабочем месте, информация указана выше (раздел III п. 1)!

2).  Дополнительно, с представителем Удостоверяющего центра, где приобреталась электронная подпись можно проверить следующие настройки:

— Имеется ли закрытый ключ, вставлен ли ключевой носитель в ПК, имеется ли корректная привязка закрытого ключа к открытому (сертификату). Убедитесь, что вставлен именно тот ключевой носитель, к которому привязан был ключ (используемый личный сертификат для сервера ФАС России) при установке средствами криптографии.

— При необходимости произведите переустановку электронной подписи на рабочем месте пользователя.

— Верно ли установлен сертификат для пользователя операционной системы, от имени которого которого запускается подписание документов (если для повышения прав вводится логин админа отличный от текущего, то могут быть проблемы).

— Нет ли проблем в пути сертификации используемого личного сертификата. Как проверить корректность вывода сертификата указано выше (раздел III п. 3).

— Соответствует ли алгоритм подписи и хеширования сертификата используемому алгоритму в СКЗИ (криптопровайдере).

Дополнительно отметим, что за помощью в подобных ситуациях Вы должны обратиться в Удостоверяющий центр, где Вы получали сертификат, так как установка ЭП на Ваше рабочее место и её техническое сопровождение — их область ответственности.

За получением дополнительных разъяснений и консультаций по работе ЭП, пожалуйста, обратитесь в Удостоверяющий центр, где была приобретена ЭП.

IV. Ошибка вида «Параметр задан неверно»

1). Данная ошибка означает, что на ПК пользователя установлено более одного криптопровайдера, что приводит к конфликту механизмов шифрования при подписании.

Согласно техническим требованиям по использованию ЕИАС Web, для корректной работы на ПК должен быть установлен только один криптопровайдер.

Практика одновременной установки и использования нескольких криптопровайдеров на одном ПК приводит к конфликту механизмов шифрования и не рекомендуется к применению.

Для корректной работы с ЭП рекомендуем оставить один криптопровайдер, а остальные удалить с устройства.

2). Возможный, но не гарантированный вариант решения ошибки подписания, при дополнительной установке криптопровадера ViPNet.

— Открываете ViPNet клиент
— Выбираете раздел “Дополнительно”
— Снимаете галочку с опции «Поддержка работы ViPNet CSP через MS Cripto API»:

— Нажимаете “Применить” и “ОК”: 

— Для принятия настроек нужно обязательно перезагрузить ПК.
— Попробуйте вновь подписать документ в ЕИАС Web.

Ещё раз уточним, что корректное подписание документов ЭП при использовании нескольких криптопровадеров на одном ПК не гарантировано!

 V. Ошибка вида «Ошибка исполнения функции»

Ошибка сообщает о недействующей лицензии на криптопровайдер, необходимо проверить актуальность действия лицензии.

По вопросу получения/продления лицензии на право использования криптопровайдера необходимо обратиться в Удостоверяющий центр, где приобреталась электронная подпись, так как установка ЭП и криптопровайдера на Ваше рабочее место и их техническое сопровождение — область ответственности Удостоверяющего центра.

После получения номера лицензии следует активировать ее на компьютере. Подробнее в знании 37.

VI. Ошибка вида «Подписание не удалось. Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции»

Данная ошибка возникает, если Вы используете стороннюю усовершенствованную электронную подпись, но при этом у Вас не введены лицензии OCSP и TSP.

Для устранения ошибки требуется выполнить следующие шаги:

— Проверьте наличие лицензий служб времени OCSP и TSP (Пуск -> Крипто-Про -> Управление лицензиями КриптоПро PKI)

— Если лицензии отсутствуют или истекли, то их необходимо ввести. Ссылка на инструкцию для ввода лицензии службы TSP и OCS.

Приобрести данные лицензии Вы можете в Удостоверяющем центре. Установка ЭП/криптопровайдера/лицензии на них  — область ответственности Удостоверяющего центра.

VII. Ошибка вида «Библиотека поставщика проинициирована неправильно». 

Для устранения ошибки нужно:

— переустановить СКЗИ

— переустановить корневые сертификаты 

— переустановить используемый сертификат

 
<<
Назад

1) Необходимо проверить наличие корневых сертификатов для личного сертификата пользователя.

Убедитесь, что на локальном компьютере установлены корневые сертификаты издателя.

Для этого откройте личный сертификат пользователя и переключитесь на вкладку «Путь сертификации«. В цепочке сертификации не должно быть никаких крестиков и восклицательных знаков.

Наличие крестиков и восклицательных знаков говорит о том, что данные корневые сертификаты не установлены.

2) Нужно проверить актуальность действия лицензии на КриптоПро.

Пуск — Все программы — Крипто-Про — КриптоПро PKI — Управление лицензиями — КриптоПро CSP.

3) Обновить модуль ЕИАС Мониторинг до версии 1.13.403.0 (модуль данной версии можно скачать тут)

Для сертификата ГОСТ Р 34.11-2012/34.10-2012 (для 256-битных ключей) должен быть установлен модуль версии 1.13.403.0 

Ошибка возникает по причине того, что перед сохранением настроек, новый действующий сертификат Вы указали не для всех ваших регионов (серверов), отмеченных галочками.

Необходимо указать новый сертификат для каждого региона, отмеченного галочкой и только после этого сохранить настройки.

CADES — КриптоПРО ЭЦП Browser Plug-in, не видит сертификаты ГОСТ2012

В своё время столкнулся с этим в модуле учёта начислений ssl. mun. minfin. ru
sedkazna. ru/forum. html?view=topic&amp;catid=9&amp;id=1011#14312

При подписании с помощью КриптоПРО ЭЦП Browser Plug-in
в выпадающем списке не было видно сертификатов по ГОСТ 2012, только сертификаты по ГОСТ 2001

Мне тогда не дали толком разобраться из-за чего была проблема, починил и ладно.

На текущий момент, есть три предположения из-за чего была проблема:

Нужно установить Корневые сертификаты ФК в локальный компьютер

Если корневые сертификаты ФК установлены не в локальный компьютер,
Корневой сертификат

(01. 2036)
Промежуточные сертификаты

(19. 2033) и

Нужно проверить доступны ли точки распределения списка отзыва

Например в промежуточных сертификатах УЦ ФК — Федеральное казначейство Действительного до 05. 2035
Вкладка — Состав
Точки распределения списка отзыва (CRL)

Нужно пингануть, если все точки распространения недоступны, то возможно ошибка в этом. ping reestr-pki. ru
ping company. ru
ping rostelecom

Выставить настройки для КриптоПРО как для Электронного бюджета

Настройка КриптоПро для работы в ЭБ
КриптоПРО CSP
вкладка — Настройки TLS
Включить — Не проверять сертификат сервера на отзыв. Включить — Не проверять назначение собственного сертификата. Отключить — Не использовать устаревшие chiper suite-ы.

Проверьте подписание через Chromium GOST
QuickCG — Порядок быстрой настройки Chromium GOST
sedkazna. ru/forum. html?view=topic&amp;catid=9&amp;id=1206#16364
Для Chromium GOST в Электронном бюджете Континент TLS-клиент не нужен. Для подписания документов в ЭБ используется КриптоПРО ЭЦП Browser Plug-in

oilcoil пишет: Комп стоит в локалке к интернету доступа нет.

Если вы из ОФК и ходите в ЭБ через сеть ЗКВС, то Отдел РСиБИ должны были прописать на своих континентах
чтобы точки распределения списка отзыва

были доступны.

Ещё остался вариант удалить КриптоПРО ЭЦП Browser Plug-in, перезагрузится и снова установить,
но вы скорее всего — это уже проверяли.

Почему компьютер не видит сертификат ЭЦП

При попытках заверения личных документов могут возникать ситуации, при которых система не видит сертификат электронной подписи. Это вызывает неудобства, т. для получения той или иной услуги требуется посещение учреждений. Устранить ошибку помогает правильная настройка системы, внесение некоторых изменений в реестр Windows.

Электронная подпись – это программное средство для защиты конфиденциальности документов. Почему компьютер не видит сертификат электронной подписи – основные причиныВозникновению такой ошибки способствуют следующие факторы:

• Отсутствие специальной надстройки в браузере. Необходимо проверить наличие «КриптоПро» через меню веб-обозревателя.
• Отсутствие сертификата ЭЦП в списке. Наличие такого файла свидетельствует, что выдавшее подпись учреждение аккредитовано в Минкомсвязи и имеет право совершения указанного действия. При отсутствии корневого сертификата проверка подлинности электронной подписи и ее использование становятся невозможными.
• Ошибки при проверке ЭП в «АТИ-Доках». В таком случае на экране появляется соответствующее уведомление.

Пошаговая инструкция решения проблемыЕсли флеш-накопитель с ЭЦП не работает, выполняют такие действия:

• Устанавливают программные компоненты, необходимые для корректного использования площадки. К ним относятся плагины для сайтов «Госуслуги», «Госзакупки» и т. д.
• Убеждаются в правильности установленных на компьютере даты, времени и часового пояса.
• Проверяют наличие сертификата в личном хранилище. При его отсутствии или повреждении выполняют переустановку. Убеждаются в том, что срок действия найденного сертификата не истек.
• Активируют функцию представления совместимости. Эта рекомендация относится к пользователям Internet Explorer. Чтобы найти функцию, переходят в меню, открывают раздел «Параметры просмотра», пункт «Добавить адрес портала».
• Проверяют работу системы в других браузерах. Если система по-прежнему не подписывает документ, можно попробовать использовать другое устройство.
• Проверяют операционную систему на наличие вирусов. Для этого используют специальные утилиты, например «Антивирус Касперского».

Исследуйте операционную систему на вирусы. Почему «КриптоПро CSP» может не видеть ключейВ таком случае проверяют следующие параметры:

• правильность установки программы (должна быть активной служба Installer);
• наличие подключения к интернету;
• корректность указанного в сертификационном центре файла.

При установке плагина выполняют следующие действия:

• Загружают личный сертификат с учетом даваемых мастером инструкций. С помощью кнопки «Обзор» прописывают путь сохранения файла с расширением .cer.
• Используют контейнер закодированного ключа. С помощью кнопки «Обзор» нужно выбрать на флеш-накопителе требуемый сертификат.

Если ранее файлы были установлены неправильно и перенос на новый носитель не выполняется, очищают реестр операционной системы.

Для этого в меню CSP предусмотрена клавиша «Удалить пароли». Если приложения и надстройки работают без ошибок, а Event Log выдает ложную информацию, нужно сканировать файлы с помощью функции Sfc/scannow.

После этого выполняют повторную регистрацию компонентов посредством MSIExec/regserver.

Что делать при отсутствии своего сертификата в списке на странице «Ваши сертификаты»Если подобный объект не был установлен, переходят на интернет-страницу удостоверяющего центра, скачивают и устанавливают компоненты личной электронной подписи. Если сертификат скачан ранее, проверяют правильность его загрузки. Для этого выполняют следующие действия:

• Переходят в пусковое меню. Выбирают раздел «Все программы». После этого нужно найти в списке «КриптоПро».
• В открывшемся окне выбирают вариант «Личное», переходят во вкладку «Сертификаты».
• Двойным нажатием открывают объект, который не отображается в списке. Переходят в раздел «Путь сертификации». Здесь находится цепочка, включающая личные файлы, корневые сертификаты удостоверяющего центра, ключи вышестоящих инстанций, выполнявших аккредитацию.
• Проверяют, присутствуют ли возле найденных объектов предупредительные знаки, например, крестики. При наличии таковых сертификат считается недействительным. Нажав на файл, можно посмотреть причину ошибки.
• Если объекты просрочены, необходимо обратиться в удостоверяющий центр для продления. Если предупредительные знаки отсутствуют, а доступные файлы не проходят проверку, переустанавливают корневой сертификат личной электронной подписи.

https://www.youtube.com/embed/joJiRHhFvh0?feature=oembed&wmode=opaqueЧто делать при возникновении ошибки «Ваша электронная подпись не прошла проверку на сервере»Необходимо получить открытый ключ цифровой подписи и направить в службу технической поддержки АТИ. Для извлечения объекта устанавливают «КриптоПро», выполняют следующие действия:

• Нажимают Win+R, указывают пароль администратора. В новом окне вводят certmgr.msc. Используют клавишу OK.
• На открывшейся странице в списке находят нужный сертификат. Нажимают на его наименование правой клавишей мыши. Во вкладке «Задачи» выбирают вариант «Экспорт».
• Если нужный объект в списке отсутствует, открывают пункт «Получение файла с помощью «КриптоПро CSP».
• В открывшемся «Мастере экспорта» используют клавишу «Продолжить». Выбирают вариант «Не выводить закрытый ключ», подтверждают действие.
• В новом окне выбирают «Файлы в DER-кодировке». Нажимают кнопку «Обзор», прописывают путь сохранения файла. Нажимают кнопки «Продолжить», «Готово».

При правильном выполнении действий появляется сообщение о завершении переноса.

Вопрос: Куда обращаться в случае возникновения проблем при работе с программой «ЕИАС Мониторинг»?

1) Если проблемы имеют технический характер (например, не отправляются шаблоны, программа выдает ошибку сервера, при входе в программу появляется ошибка, связанная с сертификатом), то Вам необходимо обратиться в службу технической поддержки ЕИАС. Контакты указаны в разделе «Техническая поддержка».

2) Если проблемы связаны с заполнением шаблонов, вопросами в области регулируемой деятельности, то необходимо обращаться к уполномоченным соответствующих отделов РЭК Свердловской области.

3) При отсутствии Вашей организации в общем списке шаблона, при отсутствии подключения к региональному серверу (сервер «Свердловская область»), при появлении сообщения об ошибке при входе в программу «ЕИАС Мониторинг» — следует обращаться к специалистам РЭК Свердловской области, ответственным за Региональный сегмент системы ЕИАС по телефону (343) 312-00-30 (доб. 86).

Вопрос: Как проверить настройки программы «ЕИАС Мониторинг» для работы с регионом Свердловская область?

После входа в программу «ЕИАС Мониторинг» необходимо переместить указатель мыши к нижнему правому углу окна программы (где указано название сервера). Появится всплывающее окно «Текущие серверы», в котором будут указаны серверы, выбранные для работы в системе, а также их статус. Рабочее состояние серверов отображается зеленым круглым индикатором. В случае, если цвет подключенного сервера имеет цвет, отличный от зеленого (желтый или красный), необходимо обратиться к разделу по настройке и работе с программой (находится в разделе «Инструкции»). Если решить проблему самостоятельно не удается, необходимо обратиться в службу технической поддержки ЕИАС (см. раздел сайта «Техническая поддержка».

Вопрос: Почему при заполнении шаблонов ЕИАС не обновляется реестр организаций или муниципальных образований?

Для того, чтобы данные в шаблоне успешно обновились, необходимо наличие подключение компьютера с заполняемыми шаблонами к сети Интернет. Также обновлению шаблонов может препятствовать установленное программное обеспечение – попробуйте запустить программу «ЕИАС Мониторинг» на другом компьютере, имеющем доступ в сеть Интернет. В ряде случаев обновлению шаблонов может препятствовать работа компьютера через прокси-сервер.

Вопрос: После настройки региона «Свердловская область» и попытки входа в программу «ЕИАС Мониторинг» возникает ошибка сертификата. Почему?

Вопрос: Как узнать причину отклонения шаблона ЕИАС?

Вопрос: Как выгрузить шаблон и ответить на запрос, срок которого истёк?

Находясь в программе «ЕИАС Мониторинг», нужно зайти в раздел «Запросы регулятора» и нажать на кнопку «В архиве Х запросов с истекшим сроком. Нажмите, чтобы перейти в архив». В архиве запросов необходимо выбрать требуемый запрос, двойным щелчком мыши зайти в него и действовать так же, как и при работе с действующими запросами раздела «Запросы регулятора» (сохранить шаблон на компьютер или отправить уже заполненный шаблон).

ВАЖНО! Выгрузить шаблон запроса с истекшим сроком можно ТОЛЬКО через подраздел «Архив запросов» раздела «Запросы регулятора»! В случае, если Вы зашли в раздел «Посмотреть архив запросов» из главного меню программы, то сможете только ответить на данный запрос, без выгрузки прикрепленного к нему шаблона!

Вопрос: Что делать, если при регистрации организации на портале ЕИАС отсутствует организация, за которую необходимо отчитываться?

Вопрос: Какой срок предоставления отчетности является приоритетным – указанный в сопроводительном письме, либо указанный в запросе к шаблону?

Необходимо ориентироваться на сроки, указанные в официальном письме к шаблону, так как в программе «ЕИАС Мониторинг» по техническим причинам не всегда есть возможность указать точный срок предоставления отчетности.

Вопрос: Как обновить файл базы данных «ЕИАС Мониторинг»?

Закрыть программу «ЕИАС Мониторинг».

C:Documents and Settings»Пользователь»Application dataФАС РоссииЕИАС Мониторинг — АРМ Специалиста

где «Пользователь» — имя пользователя компьютера.

Запустить «ЕИАС Мониторинг», зайти в раздел «Настройки» и провести повторную настройку (адреса серверов отчетности, сертификаты и пр.

Вопрос: Почему у запроса в программе «ЕИАС Мониторинг» долгое время не меняется статус «Отправлен» или «В обработке»?

По умолчанию статусы «Отправлен» и «В обработке» являются промежуточными и отображаются на короткий срок, после чего должны измениться на «Обработан, на рассмотрении». В том случае, если изменение статуса не происходит длительное время (несколько дней), необходимо:

Вопрос: Какие действия необходимы при регистрации новой организации с видами деятельности «электроэнергетика» и/или «тепловая энергетика», с необходимостью заполнения форм статистической отчетности с кодами 46EE. 2011, 46TE. 2011, 46EP. 2011?

Вопрос: Каким документом подтверждается подключение к системе ЕИАС?

После перехода по вышеуказанной ссылке необходимо отфильтровать список организаций, указав часть названия организации или её ИНН в поле фильтрации, сделать снимок экрана (скриншот), и распечатать его из любого графического или текстового редактора.

Вопрос: В программе ЕИАС Мониторинг не отображается список региональных серверов

Для получения регионального списка серверов необходимо выполнить несколько действий:

Загрузите файл alternate_server. reg и запустите, после этого система попросит внести изменения в реестр, подтвердите это нажатием на кнопку «Да»;

Запустите модуль ЕИАС Мониторинг и в настройках обновите список серверов, нажатием на соответствующую кнопку.

После выполненных действий в списке серверов появится полный перечень регионов.

ВАЖНО! Во время запуска файла alternate_server. reg модуль ЕИАС Мониторинг должен быть закрыт на рабочем месте пользователя.

27 фев 2021 08:50 #18156
от Gvinpin

для головного УЦ нужно заменить mCA (промежуточные центры сертификации) на mroot (доверенные корневые).

______________________________
Как получилось, так и хотели (c)

01 март 2021 05:20 — 09 июль 2021 07:43 #18159
от FarWinter

Alex_04 пишет: Убился после НГ с одним компом клиента — не обновляются САС автоматом хоть тресни. А без этого TLS-клиент не хочет подключать к СУФД (немного не в тему, но главное — борьба с CRL).

Пусть проверят вход и подписание в СУФД без Континент-TLS,
через Internet Explorer 11 по

Списки отзывов не обновлялись скорее всего из-за того что
в прежнем файле CRL. ZIP списки отзывов загружались в хранилище сертификатов Локальный компьютер (mCA)
Если пользователь не Администратор или на ПК включен контроль учётных записей,
то запускать пакетный файл можно было только по правой кнопке мыши — Запуск от имени Администратора

Новая версия CRL. ZIP
ссылка для скачивания

ImportCRL_LC_mCA. bat — импорт списков отзывов сертификатов
в хранилище сертификатов Локальный компьютер (mCA)
(если включен контроль учетных записей, то запускать файл правой кнопкой мыши — Запуск от имени Администратора)

(Примечание: Континент TLS-клиент загружает списки отзывов сертификатов в хранилище сертификатов
(uCA) — Текущий пользователь — Промежуточные центры сертификации — Список отзыва сертификатов )

Спасибо сказали: Alex_04

01 март 2021 08:13 — 01 март 2021 08:16 #18161
от Alex_04

ranger пишет: возможно проблема в неправильной установки корневых и промежуточных сертов — вместо локального компьютера ставили в пользователя

Смотрел — и там и там серты ГУЦ и ФК по своим хранилищам лежат, не перепутаны, но есть дубли, надо будет удалить (если снова обратятся).

ещё вариант — мешает прокси сервер и/или шлюз, настроенный параноидально

Прокси нет, инет от РТК как раз такой (совсем никакой), используют мобильный, но и его скорость оставляет желать лучшего.

Gvinpin пишет: для головного УЦ нужно заменить mCA (промежуточные центры сертификации) на mroot (доверенные корневые).

По содержимому 5-и CRL неясно для корневых они или промежуточных, но даже без загрузки их в корневые (только в промежуточные) в ТЛС статусы серверных сертов становятся как положено — «действительный». Отсюда предположу, что НЕТ необходимости грузить CRL в доверенные корневые — не влияет это на работу TLS.

Была такая мысль, если опять обратятся за помощью пожалуй так и настрою — наверно последний из простейших вариантов.

СПАСИБО ВСЕМ за идеи и советы!

21 апр 2021 05:38 — 26 апр 2021 11:26 #18540
от FarWinter

Установка Нового подчиненного сертификата от Головного удостоверяющего центра (сертификата УЦ ФК) (Действительного с 13. 2021 по 13. 2036)

новость на сайте roskazna. gov. ru,
ссылка

в сборки QuickEB новый сертификат УЦ ФК не добавлен, его нужно установить вручную или с помощью инсталлятора

Для клиентов Федерального казначейства, которые получали свои сертификаты после 04. 2021
созданные с использованием Нового подчиненного сертификата УЦ ФК(Действительного с 13. 2021 по 13. 2036)

Нужно установить вручную в «Локальный компьютер»-«Промежуточные центры сертификации» , скачав
Сертификат УЦ ФК размещенный на
официальном сайте Федерального казначейства.

Установить с помощью автоматического инсталлятора все нужные корневые сертификаты ФК включая новый сертификат УЦ ФК от 13. 2021
«root_2036 Локальный компьютер (ГОСТ 2012). exe»
ссылки для скачивания:
c Яндекс Диск
«root_2036 Локальный компьютер (ГОСТ 2012). exe»

или
с сайта sedkazna. ru файл:
root_2036 Локальный компьютер (ГОСТ 2012). zip

В файле «root_2036 Локальный компьютер (ГОСТ 2012). zip»
«root_2036 Локальный компьютер (ГОСТ 2012). exe» — автоматическая установка сертификатов ФК в Локальный компьютер

под пользователем с правами Администратораобязательно запускать файл правой кнопкой мыши — Запуск от имени АдминистратораВыполнить файл «root_2036 Локальный компьютер (ГОСТ 2012). exe»Установка корневых сертификатов для ГОСТ 2012
в хранилище сертификатов — Локальный компьютерВ Доверенные корневые центры сертификации (Root):В Промежуточные центры сертификации (CA):

Спасибо сказали: ranger, andreyfoxter, maLkwin

09 июль 2021 13:07 — 13 июль 2021 06:02 #18842
от FarWinter

Новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS

На сайте ФК www. roskazna. gov. ru/gis/ehlektronnyj-byudzhet/
выложены новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS
для сайтов

(старый сертификат заканчивается 14. 2021)
и

(старый сертификат заканчивается 18. 2021)

Есть 2 варианта установки нового серверного сертификата «Континент TLS-клиент»:

1) !!! Самый простой способ !!! При входе на сайт автоматическое добавление сертификата. Главное чтобы был установлен
новый подчиненный сертификат УЦ ФК(Действительный с 13. 2021 по 13. 2036)
в «Локальный компьютер»-«Промежуточные центры сертификации»
(Пример установки нового подчинённого сертификата УЦ ФК в сообщении выше
sedkazna. ru/forum. html?view=topic&defaul. =1011&start=30#18540 )
и
В настройках Континент TLS был добавлен ресурс lk. budget. gov. ru
Главная
соединения:
lk. budget. gov

Достаточно один раз зайти в ЭБ с запущенным «Континент TLS-клиентом»
по ссылке

Внимание
Получен сертификат сервера Федеральное казначейство
Серийный номер: 46 74 2b 38 6d ef bf 98 bd 5d a3 5d e1 60 45 c8 9f f8 d6 ad
Издатель: Федеральное казначейство
Серийный номер издателя: 00 cb c6 98 33 00 00 00 00 05 6e
Добавить в хранилище ?

Если на ПК не был установлен новый подчиненный сертификат УЦ ФК(Действительный с 13. 2021 по 13. 2036)
то при входе на сайт ЭБ

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошёл проверку. Ошибка: Цепочка сертификатов недействительна

Спасибо сказали: Alex_04, maLkwin

12 июль 2021 06:07 — 12 июль 2021 06:08 #18855
от Alex_04

Просьба к модератору форума: вынести данный пост автора

на главную страницу сайта

в «Новости» (например с тем же заголовком «Новые СЕРВЕРНЫЕ СЕРТИФИКАТЫ Континент-TLS») — чтоб было куда посылать почитать всех звонящих по данному вопросу после 14. 07, когда истекут старые.

19 июль 2021 11:02 — 19 июль 2021 11:16 #18933
от Alex_04

(Примечание: Континент TLS-клиент загружает списки отзывов сертификатов в хранилище сертификатов
() — Текущий пользователь — Промежуточные центры сертификации — Список отзыва сертификатов )

У того же самого клиента наступил очередной день «Ч» — не обновились САС автоматом. Испытал на нем Ваш

— оказалось достаточно одной «таблетки»: запустить

ч/з ПКМ — от им. админа

ImportCRL_LC_mCA. bat + сброс соединения в настройках ТЛСа. Все 3 необходимых казначейских

CRL актуализировались в обоих разделах

— «Текущий пользователь» и «Локальный компьютер» (как ни странно). СПАСИБО! Проверено —

20 июль 2021 08:58 #18934
от maLkwin

Спасибо. проблема решилась за пару кликов! была такая же ошибка!

30 нояб 2021 05:44 #19651
от premio739

Добрый день. Настроен «электронный бюджет» через Chromium gost. АРМ находится за брандмауэром. Доступ разрешен только к тем адресам, которые указаны в инструкции по настройке АРМ. Проблема заключается в том, что:

— вход в ЭБ происходит очень долго (предполагаю, что связано с проверкой и загрузкой CRL)
— периодически выдает, что сервер не доступен
— список сертификатов(при подписании) подгружается очень долго — порой до 15- 20 минут

При предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

Последняя проблема вне зависимости от ограниченный интернет или полный доступ.

Может кто сталкивался с похожими проблемами? Спасибо.

PS:
До этого АРМ было настроено в связке с TLS клиентом. Проблемы были те же.

30 нояб 2021 06:21 — 30 нояб 2021 06:33 #19652
от FarWinter

premio739 пишет: — вход в ЭБ происходит очень долго (предполагаю, что связано с проверкой и загрузкой CRL)
— периодически выдает, что сервер не доступен
— список сертификатов(при подписании) подгружается очень долго — порой до 15- 20 минутПри предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

Можно попробовать:
Выставить настройки в «КриптоПро CSP»
КриптоПро CSP -&gt; Настройки TLS:
Включить — Не проверять сертификат сервера на отзыв. Включить — Не проверять назначение собственного сертификата. Отключить — Не использовать устаревшие chiper suite-ы.

!!! Перезагрузить компьютер

Проверить доступность списков отзывов

Проверить и удалить старые просроченные сертификаты и списки отзывов

Проверить Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)
Доверенные корневые центры сертификации — Список отзыва сертификатов
Промежуточные центры сертификации — Список отзыва сертификатов

30 нояб 2021 09:39 — 30 нояб 2021 09:41 #19655
от ranger

premio739 пишет: При предоставлении полного доступа в интернет первые две проблемы уходят. Уже отслеживал куда идут запросы и разрешил кучу дополнительных диапазонов ip адресов. При закрытии доступа снова появляются.

значит плохо отследили
сниффер в руки и вперед

24 фев 2022 11:05 — 28 фев 2022 08:00 #20374
от andreyfoxter

надо бы еще скрипт установки самих сертификатов обновить.

UPD. : а в последней «QuickCG — Порядок настройки Chromium GOST» скрипт с новыми сертами уже есть — «root_2040 Локальный компьютер. exe», (спасибо FarWinter)

Спасибо сказали: Alex_04, ranger

25 март 2022 12:02 #20610
от FarWinter

В теме QuickEB — Порядок быстрой настройки Электронного бюджета, для ГОСТ 2002
ссылка

и в сообщении Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ
ссылка

добавлено описание ручной и автоматической установки новых корневых сертификатов ФК

Установка новых корневых сертификатов ФК — ГУЦ(Минкомсвязь России), УЦФК 2021 (Федеральное казначейство)
и ФК — ГУЦ(Минцифры России), УЦФК 2022 (Казначейство России)
без них не будет заходит в lk. budget. gov. ru (вход в лк ЭБ c 1 августа 2020 через lk2012. budget. gov. ru — не работает),
будет ошибка:

Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна

в сборки эти сертификаты не добавлены, их нужно установить вручную или с помощью инсталлятора
например, установить после выполнения QuickEB. exe или QuickEB_Lite. exe

Спасибо сказали: andreyfoxter