Федеральное казначейство
официальный сайт Казначейства России
www.roskazna.ru
Часто задаваемые вопросы
Типичные ошибки Континент-АП при установке связи с сервером доступа
1. Ошибка «Client cert not found»
Для решения данной проблемы необходимо:
· Проверить, запущен ли процесс eapsigner161.exe;
· Если процесс не запущен, зайти в папку с установленной программой и запустить процесс вручную.
2. Ошибка «Неизвестная ошибка импорта сертификатов»
Для решения данной проблемы необходимо:
· удалить все сертификаты с истекшим сроком действия из хранилища «Личные» локального хранилища сертификатов системы (для этого можно воспользоваться оснасткой «mmc» (выбрав в меню Файл -> Добавить или удалить оснастку -> Сертификаты -> Добавить -> Готово -> Ок) или воспользоваться функционалом браузера Internet Explorer (выбрать в меню Сервис -> Свойства браузера -> Содержание -> Сертификаты));
· удалить из хранилища «Личные» локального хранилища сертификатов системы все сертификаты, которые в своем составе, в поле «Субъект», содержат следующие символы: , + ; “ ” « ».
3. Ошибка «Не совпадает подпись открытого эфемерного ключа»
Для решения данной ошибки необходимо при установке личного сертификата выбирать правильный контейнер закрытых ключей. Для этого можете воспользоваться функционалом оснастки КриптоПРО CSP, используя функцию «установить личный сертификат» во вкладке «сервис», которая в своем составе имеет возможность, путем проставления галочки, автоматического поиска соответствия между контейнером закрытых ключей (значением закрытого ключа) и значением открытого ключа, содержащегося в сертификате пользователя.
4. Ошибка «Сервер отказал в доступе пользователю не найден корневой сертификат»
Для решения данной ошибки необходимо:
· проверить издателя сертификата, который используется для установления соединения (сертификат для Континент-АП имеет в качестве издателя Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru»);
· проверить наличие в хранилище «Доверенные корневые центры сертификации» локального хранилища сертификатов системы сертификата Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru», в случае его отсутствия необходимо заново произвести установку сертификата пользователя.
5. Ошибка «Сервер доступа отказал пользователю в подключении. Причина отказа: Неизвестный клиент»
Для решения данной ошибки необходимо проверить правильность, указанных в Континент-АП, адресов серверов доступа. В УФК по Московской области используются следующие адреса серверов доступа:
4800-sd-01.roskazna.ru или 4800-sd-02.roskazna.ru.
Если в процессе подключения к одному из серверов доступа возникает подобная ошибка, необходимо произвести подключение на другой сервер доступа. В случае, если описанное выше не помогает решить проблему, необходимо позвонить в Управление Федерального казначейства по Московской области (по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
6. Если после установки Континент-АП произошла потеря интернет соединения необходимо в настройках сетевого адаптера, который используется для выхода в интернет, снять галочку в пункте «Continent 3 MSE Filter».
7. Ошибка «Сервер отказал в доступе пользователю. Причина отказа: многократный вход пользователя запрещен»
Для решения данной ошибки необходимо обратится в УФК по Московской области по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
8. Ошибка 721 либо 628
· Проверить, работает ли подключение к интернету на АРМ.
· Отключить МСЭ, брандмауэр либо другое ПО которое может блокировать служебные порты/протоколы Континент-АП.
· Исключить проблему в канале провайдера, попробовать использовать другого, к примеру, через 3-g модем. Если с другим провайдером работает — нужно обратиться к своему с запросом на открытие служебных портовпротоколов.
19 июнь 2018 08:55 #7652
от latupa
Стоял Континент АП 3.7.7.625, после автоматического обновления Windows 10, он слетел. Переустановили заново, при попытке подключения, пишет, что не найден корневой сертификат. Скачал корневой сертификат с сайта УФК, установил его в доверенные корневые, всё равно не находит. Потом попробовал на другом пк с Windows 7 x32, с Континент АП 3.7.5.474, при попытке установления сертификата пользователя выдаёт следующую ошибку : Неизвестная ошибка импорта сертификатов. Есть варианты решения хоть одной из текущих проблем?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 09:36 #7654
от two_oceans
С обновлением как всегда информации мало. Замечу только, что возможно проблема не в самом Континенте, а в связанных программах. Если у Вас сертификат сгенерирован через КриптоПро надо не забыть и КриптоПро переустановить. Кроме переустановку Континента лучше делать с зачисткой специальной утилитой после удаления одной версии и до установки другой версии.
Про корневой сертификат — скорее всего Вы скачали не тот корневой сертификат — есть 3 сертификата ФК: неквалифицированный (Континент 3), квалифицированный старый 2013 года, действующий до 28.06.2018 (УЦ Федерального казначейства), квалифицированный июля 2017 года (Федеральное Казначейство). Посмотрите в сертификате, которым подключаетесь, «Кем выдан» — выше указано в скобках. Если у Вас до переустановки сертификат работал, то скорее всего первый или второй.
Немного повторюсь про их установку. Для первого варианта не нужен сертификат головного удостоверяющего центра, его выдают с сертификатом Континента, ставится в «доверенные корневые». Для второго — действующая цепочка доверия также без головного удостоверяющего центра и УЦ 2 ИС ГУЦ. Здесь в какой-то теме уже выкладывали сертификат без головного удостоверяющего центра, тоже ставится в «доверенные корневые». Он истекает через 9 дней, так что если у Вас вариант второй пора формировать запрос на новый сертификат.
Для третьего все наоборот — обязательна установка сертификата головного удостоверяющего центра в «доверенные корневые», а сертификат ФК ставится в «промежуточные». Пока нет подтверждения, что сертификаты выданные третьим вариантом можно использовать в Континенте. 99% тех, у кого был один сертификат второго варианта для континента и СУФД, теперь сказали делать отдельный для Континента первого варианта и отдельный для СУФД третьего варианта.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 09:51 — 19 июнь 2018 10:31 #7655
от latupa
Поставил последнюю версию Континента 3.7.7.651 на Win 7×32, Так же стал ссылаться на отсутствие корневого сертификата. На сайте УФК нашёл только квалифицированный 2013 года и неквалифицированный(действие которого вообщё закончилось в 2016) и сертификат Головного удостоверяющего центра. Я установил 2 и 3, как корневые. Значит мне надо найти квалифицированный 2017 года? и его поставить уже как корневым? Или же квалифицированный 2013 года поставить, как промежуточный?
Upd: Вариант с промежуточным сертификатом (2013 года) и доверенным ( от головного) не помог
Upd2: Вариант с установкой, как корневым сертификатом (2017 года), так же не помог
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 13:54 — 19 июнь 2018 13:58 #7656
от casper800
Если речь идет про корневой сертификат континента, то скорее всего rootSDUFKLO2017 должен быть, у нас так. Он выдается вместе с user.cer в казначействе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 17:27 #7658
от Wmffre
latupa пишет: Потом попробовал на другом пк с Windows 7 x32, с Континент АП 3.7.5.474, при попытке установления сертификата пользователя выдаёт следующую ошибку : Неизвестная ошибка импорта сертификатов.
«Неизвестная ошибка импорта сертификатов» для Континент-АП 3.7.5 может возникать в частности тогда, когда в оснастке Сертификаты Windows в «Сертификаты-текущий пользователь —> Личное» установлен сертификат пользователя, имеющий недопустимые для Континент-АП символы. Удаляя по очереди личные сертификаты и затем пробуя устанавливать через Континент-АП 3.7.5.474 требуемый личный сертификат, Вы сможете определить проблемный личный сертификат. Подробности
здесь
.
Спасибо сказали: Alex_04
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 июнь 2018 02:34 — 20 июнь 2018 03:43 #7662
от two_oceans
Upd: Вариант с промежуточным сертификатом (2013 года) и доверенным ( от головного) не помог
Upd2: Вариант с установкой, как корневым сертификатом (2017 года), так же не помог
Ну серьезно… читаете и делаете наоборот?
Выше я писал, что 2013 года (второй вариант)
без головного удостоверяющего центра
. Для 2013 года нужен вариант где в обеих строках «кому выдан»,»кем выдан» указано «УЦ Федерального казначейства», ставится в корневые, не промежуточные. Если 2013 года и «кем выдан» указано «УЦ 2 ИС ГУЦ» — этот сертификат закончился год назад. К слову с «УЦ 1 ИС ГУЦ» закончился 4 года назад. Рекомендую качать с
федерального сайта ФК
, а не с областного.
А
2017 года (третий вариант)
с головным удостоверяющим центром
. И что 2017 года ставится в промежуточные, а Вы толкаете его в корневые.
Сейчас у Вас мешанина в хранилище сертификатов, пока не вычистите
все
сертификаты ФК и не установите заново, цепочки доверия вряд ли заработают. Собственно, Вам не нужно перебирать все сертификаты УЦ — у Вас есть сертификат которым соединяетесь и в нем указана строка «кем выдан». Просто скопируйте сюда и все станет намного яснее. И это опять же уже было выше.
скорее всего rootSDUFKLO2017
у нас название другое, но направление думаю верное.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
22 июнь 2018 02:09 #7682
от OlgaSt
У меня тоже была ошибка «неизвестная ошибка импорта сертификатов» в случаях, если при удалении предыдущей версии Континента АП (3.5.68) возникали проблемы. Решилось удалением сертификата в свойствах браузера. После этого в Континент АП (3.7) сертификат импортировался без проблем. На тех компьютерах, где предыдущая версия Континента АП была удалена без ошибок, удалять сертификат в свойствах браузера не потребовалось. На всех компьютерах Windows7 64.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 сен 2018 15:03 — 20 сен 2018 15:08 #8820
от AnnaM
Доброго всем дня!
Помогите пожалуйста.
ОС Windows 7 32bit
Только начали работать с Казначейством, установила КриптоПРО 4.0 и Континент АП (выдали на диске), сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
Установила Java. С сайта moscow.roskazna.ru скачала сертификаты
Головной удостоверяющий цент (действующий с 2012 по 2027):
— установлен в Сертификаты Текущий пользователь — Доверенные корневые центры (в данной вкладке есть только установленный сертификат)
и Федерального Казначейства (действующий с 2017 по 2027)
-установлен в Сертификаты Текущий пользователь — Промежуточные центры сертификации (в данной вкладке есть сертификаты DigiCert, Go Daddy, RapidSSL и федеральное казначейство)
В св-вах браузера во вкладках Доверенные корневые стоит сертификат Головного центра, а в Промежуточных Федерального казначейства.
Брандмауэр отключен, в службах остановлен.
В КриптоПро CSP установила пользовательский сертификат.
Зависимость пользовательского сертификата установилось: Головной центр — Федеральное казначейство — Пользователь
(Сертификат пользователю выдан Федеральным Казначейством)
В Континенте АП подключила пользователя, через Сертификаты — Установить Сертификат.
Тест Континента проходит.
Нажимаю «Установить соединение», программа выдает ошибку «Сервер отказал в доступе пользователю. Причина: не найден корневой сертификат».
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 сен 2018 15:27 #8821
от Alex67
AnnaM пишет: «Сервер отказал в доступе пользователю. Причина: не найден корневой сертификат».
Должен быть ещё корневой сертификат что то похожее на root.p7b
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 04:30 — 21 сен 2018 04:31 #8823
от Alex_04
Всё во это:
AnnaM пишет: Установила Java.
…
(Сертификат пользователю выдан Федеральным Казначейством)
к проблеме подключения Континента не относится.
Alex67 пишет: Должен быть ещё корневой сертификат что то похожее на root.p7b
+1, но есть вопросы исходя из этого:
AnnaM пишет: сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
1. Сформировали заявку для работы где: в СУФД (+ возможно ГМУ или ещё какая-нибудь ИС)?
2. Для Континент-АП отдельный запрос на сертификат не генерировали в нём самом же?
3. Имя полученного файла сертификата вида «Фамилия Имя Отчество.cer»?
От Ваших ответов зависят формулировки следующих вопросов и поиск решения проблемы.
«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 06:21 #8826
от AnnaM
Alex67 пишет: Должен быть ещё корневой сертификат что то похожее на root.p7b
Нет, на флешке не было файла с таким расширением.
AnnaM пишет: сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
1. Сформировали заявку для работы где: в СУФД (+ возможно ГМУ или ещё какая-нибудь ИС)?
Запрос на получение сертификата пользователя сформировала на сайте УФК по г.Москва, в разделе «Онлайн сервис подачи документов для получения сертификатов», этот же сайт формирует ключи, к которым привязан сертификат, заполняет форму заявления, все документы прикладываются в электронном виде, после чего предоставляются оригиналы и через 3-4 дня выдали флешку с сертификатом пользователя.
2. Для Континент-АП отдельный запрос на сертификат не генерировали в нём самом же?
Нет.
3. Имя полученного файла сертификата вида «Фамилия Имя Отчество.cer»?
Да, именно такой файл и был на флешке. Один.
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 06:34 #8827
от HappyHyman
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Два сертификата именно для Континента. Как правило имеют вид user.cer и root.p7b. Запрос на сертификат обычно создается через сам Континент АП, но лучше уточнить в отделе ОРСИБИ вашего Управления.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 08:59 — 21 сен 2018 09:07 #8843
от Alex_04
AnnaM пишет: 1. Запрос на получение сертификата пользователя сформировала на сайте УФК по г.Москва, в разделе «Онлайн сервис подачи документов для получения сертификатов».
2. Нет.
3. именно такой файл и был на флешке. Один.
Значит Вы получили сертификат
НЕ для Континент-АП
, а для для тех ИС, полномочия которых отмечали галками во время генерации запроса на портале ФЗС («Формирование запросов на сертификат», он же «Онлайн сервис подачи документов для получения сертификатов»).
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Не сейчас — позже. А в первую очередь, как правильно
HappyHyman пишет: Запрос на сертификат обычно создается через сам Континент АП, но лучше уточнить в отделе ОРСИБИ вашего Управления.
Очень редко встречаются регионы, где для Континент-АП используются те же сертификаты, что для СУФД и прочих ИС. Это обязательно надо узнать в отделе безопасности УФК, обслуживающего вашу организацию.
Скорей всего для Континент-АП понадобятся отдельные «свои» сертификаты. Тогда надо
в самой программе VPN клиент
(Континент-АП) сгенерировать запрос на сертификат в меню «Сертификаты — Создать запрос на пользовательский сертификат» и предоставить файл запроса (*.req) + подписанную печатную форму Заявки на сертификат в обслуживающий вас теротдел казначейства (или непосредственно в ОРСиБИ УФК).
Только после их принятия и обработки будет изготовлен пользовательский сертификат user.cer и выдан вместе с корневым сертификатом root.p7b.
«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 окт 2018 13:10 #8999
от ViktorGRBS
Рекомендую прежде чем осуществлять активную деятельность, расписать всё на бумажке: Континент- АП, (необходим для того то, того то, для его функционирования надо: 1.., 2…, 3…, ) и т.д.
тогда сформируется полная картина, Ху из Ху!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
22 окт 2018 10:34 #9067
от shaburoff
Такой вопрос — клиент установил сертификат в контейнер, как удалить сертификат из контейнера?
Экспорт закрытого ключа через хранилище сертификатов не прокатывает, пишет отказано в доступе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Одним из возможных решений проблемы является исключение сертификатов использующих следующие символы
, + ; »
Даже если сертификаты с данными символами будут использоваться другим приложением, не «Континент-АП», то если они находятся в локальном хранилище — возникнет подобная ошибка.
Лучше воспользоваться для этого функционалом АП (Трей -> Сертификаты -> Создать запрос на пользовательский сертификат), поскольку там есть проверка на недопустимые символы.
Данная проблема исправлена начиная с версии 3.7.5
Рекомендуется обновить ПО до версии 3.7.7
Также возможной причиной проблемы может являться использование ОС не из списка поддерживаемых. Со списком поддерживаемых ОС Вы можете ознакомиться в файле ReleaseNotes.pdf соответствующей версии дистрибутива Континент-АП в разделе Ограничения на поддержку аппаратных и программных средств.
Все иные ситуации связанные с данной ошибкой требуют более детального анализа и обращения в техническую поддержку.
При установке пользовательского сертификата в Континент-АП версии 3.7.5 возникает неизвестная ошибка импорта сертификатов.
 |
||
| Неизвестная ошибка импорта сертификатов |
Для начала, конечно, следует воспользоваться советом техподдержки:
1) Удалить Континент-АП;
2) Удалить КриптоПро;
3) Перезагрузить компьютер;
4) Почистить утилитой cspclean от следов КриптоПро;
5) Установить КриптоПро;
6) Установить Континент-АП.
Мне такой совет не помог.
Решение проблемы оказалось на поверхности: В списке сертификатов нужно удалить все старые сертификаты, особенно старые контейнеры от Континента-АП.
После этого «Неизвестная ошибка импорта сертификатов» не появляется, сертификат пользователя успешно загружается, как и сам Континент.
Понравился пост? Поделись с друзьями!
Светлана11112 |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 4 раз |
Добрый день, уже неделю мучаюсь, не могу установить новый сертификат Континент АП. |
 |
|
|
|
Kasusenya
оставлено 22.10.2018(UTC) |
1 пользователь поблагодарил Светлана11112 за этот пост.|
Александр Лавник |
|
|
Статус: Сотрудник Группы: Участники Сказал «Спасибо»: 53 раз |
Автор: Светлана11112 Добрый день, уже неделю мучаюсь, не могу установить новый сертификат Континент АП. Добрый день. Обновите КриптоПро CSP до версии 4.0.9958 (загрузка доступна после предварительной регистрации на основной сайте). Возможно, потребуется перезагрузка компьютера. Обратите внимание, что ключевой контейнер (папка с именем вида name.000) должен быть в корне диска на флеш-накопителе, а не внутри других папок. |
|
Техническую поддержку оказываем тут |
|
|
|
|
|
|
Светлана11112
оставлено 05.10.2018(UTC) |
|
two_oceans |
|
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 110 раз |
Обратите внимание, что контейнер просто может быть на другой флешке. И должен быть, потому что по требованиям безопасности в казначейство несете флешку без контейнера. Нужно вспомнить, какие флешки было подключены на момент генерации запроса на сертификат в континенте и снова их подключить, потом искать контейнер. Если будете обновляться, рекомендуется обновить континент-АП до 3.7.5.514 (если XP и выше) либо 3.7.7.641 (если 7 и выше). Версия 3.7.5.474 цитирую разработчиков континента «не финальная» и имеет проблемы. |
|
|
|
|
|
Светлана11112
оставлено 05.10.2018(UTC) |
|
Светлана11112 |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 4 раз |
two_oceans, спасибо за ссылку на сайт. Александр Лавник, Ключевой контейнер (папка с именем вида bklprejw.001) находится в корне диска на флеш-накопителе |
|
|
|
|
two_oceans |
|
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 110 раз |
А если не ставить «найти автоматически», а выбрать этот контейнер (обзор — переключиться на уникальные имена — найти в середине такие же буквы и цифры как в имени папки) — выдает ошибку? |
|
|
|
|
Светлана11112 |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 4 раз |
Он не видит новый контейнер, только старые. |
|
|
|
|
Светлана11112 |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 4 раз |
Хотя, сейчас выбрала «уникальные имена», он увидел . Ошибка — закрытый ключ в указанном контейнере не соответствует открытому ключу в сертификате |
|
|
|
|
Светлана11112 |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 4 раз |
В общем, проблема в том, что это не тот контейнер был. В казначействе сказали, что контейнер находится в папке «topsecretkeys». Эта пака также присутствует на флэшке. Но и в ней не находит крипто про нужный контейнер. |
|
|
|
|
tikcrazy |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 1 раз |
Автор: Светлана11112 В общем, проблема в том, что это не тот контейнер был. В казначействе сказали, что контейнер находится в папке «topsecretkeys». Эта пака также присутствует на флэшке. Но и в ней не находит крипто про нужный контейнер. В папке topsecretkeys должна быть папка вида name.000. Вам нужно скопировать ее в корень флешки. Кроме этого, Вы можете примерно понять, действительно ли это тот самый контейнер, по дате создания папки и файлов внутри (конечно, способ не 100%, но если папка была создана в 2017 году, то это точно не та папка). |
|
|
|
|
Светлана11112 |
|
|
Статус: Участник Группы: Участники Сказал(а) «Спасибо»: 4 раз |
Автор: tikcrazy Автор: Светлана11112 В общем, проблема в том, что это не тот контейнер был. В казначействе сказали, что контейнер находится в папке «topsecretkeys». Эта пака также присутствует на флэшке. Но и в ней не находит крипто про нужный контейнер. В папке topsecretkeys должна быть папка вида name.000. Вам нужно скопировать ее в корень флешки. Кроме этого, Вы можете примерно понять, действительно ли это тот самый контейнер, по дате создания папки и файлов внутри (конечно, способ не 100%, но если папка была создана в 2017 году, то это точно не та папка). В папке «topsecretkeys» всего один файл неясного вида |
|
|
|
Bezymjannyjj.png | Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.