Ошибка при проверке цепочки сертификатов linux

thint1	#1 Оставлено : 8 августа 2018 г. 20:07:34(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.08.2018(UTC) Сообщений: 4	Здравствуйте! На ВМ с Ubuntu 18.04 установлена CryptoPro CSP 5, КриптоПро ЭЦП Browser plug-in, браузер Chrome. установил сертификат PFX командой /opt/cprocsp/bin/amd64/certmgr -install -pfx -file install.pfx -silent далее установил корневой сертификат командой /opt/cprocsp/bin/amd64/certmgr -install -store uRoot -file ca.cer и промежуточный сертификат командой /opt/cprocsp/bin/amd64/certmgr -install -store uCA -file intermediate.cer На странице проверки https://www.cryptopro.ru…ge/cades_bes_sample.html сертификат виден, но его статус — Ошибка при проверке цепочки сертификата. При попытке подписать падает ошибка 0x800B010A. Сертификат выдан GlobalSign В чем может быть дело?

thint1	#2 Оставлено : 10 августа 2018 г. 9:47:03(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.08.2018(UTC) Сообщений: 4	Может кто-нибудь помочь разобраться?

Максим Коллегин	#3 Оставлено : 10 августа 2018 г. 12:30:15(UTC)
Статус: Сотрудник Группы: Администраторы Дата регистрации:: 12.12.2007(UTC) Сообщений: 6,281 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 21 раз Поблагодарили: 673 раз в 593 постах	А можете приложить сертификат?
Знания в базе знаний, поддержка в техподдержке
	WWW

thint1	#4 Оставлено : 10 августа 2018 г. 13:09:49(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.08.2018(UTC) Сообщений: 4	сертификат приложил cert.zip (2kb) загружен 7 раз(а).

thint1	#5 Оставлено : 14 августа 2018 г. 7:48:14(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 08.08.2018(UTC) Сообщений: 4	Так же пробовал ставить КриптоПро CSP 4. Результат такой же. На Windows пробовал ставить тот же сертификат — на странице проверки ошибка про цепочку такая же, но подписание почему то срабатывает

mxl	#6 Оставлено : 10 июля 2019 г. 9:33:43(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.07.2019(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах	Удалось разобраться? У меня аналогичная проблема на macOS.

Александр Лавник	#7 Оставлено : 10 июля 2019 г. 10:06:46(UTC)
Статус: Сотрудник Группы: Участники Дата регистрации:: 30.06.2016(UTC) Сообщений: 3,304 Сказал «Спасибо»: 53 раз Поблагодарили: 746 раз в 694 постах	Автор: mxl Удалось разобраться? У меня аналогичная проблема на macOS. Здравствуйте. Приложите, пожалуйста, скриншот с ошибкой.
Техническую поддержку оказываем тут Наша база знаний

mxl	#8 Оставлено : 10 июля 2019 г. 10:20:26(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.07.2019(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах	У меня сертификат, полученный здесь https://www.kartoteka.ru/uc/#carousel-ecp/4. Я следовал всем инструкциям по установке. И на странице выше подпись проходит проверку. Также прочитал статьи https://support.cryptopr…-s-kriptopro-csp-v-macos и https://habr.com/ru/post/450516/ Мне удается подписать файл, используя команду: Код: /opt/cprocsp/bin/csptestf -sfsign -sign -in cryptoprotest.txt -my 0edcdd23eb2a60e3469b9f69018b140b56ed3466 -detached -out cryptoprotest.txt.p7s Подпись этого файла проходит проверку на сайте госуслуг. Но я не могу подписать файл через КриптоПро CSP, выдает: Цитата: Процесс отмены не может быть продолжен — проверка сертификатов недоступна. Код ошибки: 0x800B010E (2148204814) Screenshot 2019-07-10 at 10.07.23.png (357kb) загружен 3,986 раз(а). Также подпись не проходит проверку на странице https://www.cryptopro.ru…e/cades_bes_sample.html. Screenshot 2019-07-10 at 10.08.06.png (1,074kb) загружен 3,968 раз(а). Отредактировано пользователем 10 июля 2019 г. 10:23:53(UTC)  | Причина: Не указана

Александр Лавник	#9 Оставлено : 10 июля 2019 г. 10:41:53(UTC)
Статус: Сотрудник Группы: Участники Дата регистрации:: 30.06.2016(UTC) Сообщений: 3,304 Сказал «Спасибо»: 53 раз Поблагодарили: 746 раз в 694 постах	Автор: mxl У меня сертификат, полученный здесь https://www.kartoteka.ru/uc/#carousel-ecp/4. Я следовал всем инструкциям по установке. И на странице выше подпись проходит проверку. Также прочитал статьи https://support.cryptopr…-s-kriptopro-csp-v-macos и https://habr.com/ru/post/450516/ Мне удается подписать файл, используя команду: Код: /opt/cprocsp/bin/csptestf -sfsign -sign -in cryptoprotest.txt -my 0edcdd23eb2a60e3469b9f69018b140b56ed3466 -detached -out cryptoprotest.txt.p7s Подпись этого файла проходит проверку на сайте госуслуг. Но я не могу подписать файл через КриптоПро CSP, выдает: Цитата: Процесс отмены не может быть продолжен — проверка сертификатов недоступна. Код ошибки: 0x800B010E (2148204814) Screenshot 2019-07-10 at 10.07.23.png (357kb) загружен 3,986 раз(а). Также подпись не проходит проверку на странице https://www.cryptopro.ru…e/cades_bes_sample.html. Screenshot 2019-07-10 at 10.08.06.png (1,074kb) загружен 3,968 раз(а). Выполните команды: Код: curl http://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=2E2BB96E3F68CF8736D0305AE726D65A6EE36568 -o /tmp/kartoteka.cer curl http://uc.kartoteka.ru/certs/kartotekaqv2.2.crl -o /tmp/kartoteka.crl /opt/cprocsp/bin/certmgr -inst -store ca -file /tmp/kartoteka.cer /opt/cprocsp/bin/certmgr -inst -store ca -file /tmp/kartoteka.crl -crl и проверьте создание подписи.
Техническую поддержку оказываем тут Наша база знаний

mxl	#10 Оставлено : 10 июля 2019 г. 10:53:03(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 10.07.2019(UTC) Сообщений: 5 Поблагодарили: 1 раз в 1 постах	Автор: Александр Лавник Выполните команды: Код: curl http://e-trust.gosuslugi.ru/Shared/DownloadCert?thumbprint=2E2BB96E3F68CF8736D0305AE726D65A6EE36568 -o /tmp/kartoteka.cer curl http://uc.kartoteka.ru/certs/kartotekaqv2.2.crl -o /tmp/kartoteka.crl /opt/cprocsp/bin/certmgr -inst -store ca -file /tmp/kartoteka.cer /opt/cprocsp/bin/certmgr -inst -store ca -file /tmp/kartoteka.crl -crl и проверьте создание подписи. Ничего не поменялось, те же ошибки. К слову, я уже импортировал данные сертификаты, но в хранилище mroot: Код: sudo /opt/cprocsp/bin/certmgr -inst -store mroot -f kartoteka.cer sudo /opt/cprocsp/bin/certmgr -inst -store mroot -crl -f kartoteka.crl

Пользователи, просматривающие эту тему

Guest (2)

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Максим2017_1	#1 Оставлено : 23 марта 2023 г. 5:49:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.11.2017(UTC) Сообщений: 59 Сказал(а) «Спасибо»: 3 раз	Здравствуйте, установил крипто про, эцп плагин и установил сертификаты. Но при проверке работоспособности плагина говорит , что Ошибка при проверке цепочки сертификатов возможно но комп. не установлены сертификатов УЦ. Выдавшего ваш сертификат. В Windows я делал след образом открывал личный сертификат переходил во вкладку пути сертификации, там видно что ему не нравилось и корневой можно прям от туда установить, а на линуксе как ?

nickm	#2 Оставлено : 23 марта 2023 г. 7:28:09(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,037 Сказал(а) «Спасибо»: 305 раз Поблагодарили: 162 раз в 149 постах	Попробуйте считать сам файл сертификата и увидеть URL сертификата УЦ, например так: Код: $ /opt/cprocsp/bin/amd64/certmgr --list -file "/путь_до_сертификата/сертификат.cer" Код: Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021. Программа для работы с сертификатами, CRL и хранилищами. ============================================================================= 1------- Издатель : E=uc_fk@roskazna.ru, S=77 Москва, INNLE=7710568760, OGRN=1047797019830, STREET="Большой Златоустинский переулок, д. 6, строение 1", L=г. Москва, C=RU, O=Казначейство России, CN=Казначейство России Субъект : Серийный номер : SHA1 отпечаток : Идентификатор ключа : Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 27/09/2022 12:25:00 UTC Истекает : 21/12/2023 12:25:00 UTC Ссылка на ключ : Нет Тип идентификации : Без личного присутствия по квалифицированной подписи URL сертификата УЦ : http://crl.roskazna.ru/crl/ucfk_2022.crt URL сертификата УЦ : http://crl.fk.local/crl/ucfk_2022.crt URL списка отзыва : http://crl.roskazna.ru/crl/ucfk_2022.crl URL списка отзыва : http://crl.fk.local/crl/ucfk_2022.crl Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента ============================================================================= [ErrorCode: 0x00000000] То же самое можно проделать в cptools.

Максим2017_1	#3 Оставлено : 23 марта 2023 г. 8:40:23(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.11.2017(UTC) Сообщений: 59 Сказал(а) «Спасибо»: 3 раз	Автор: nickm Попробуйте считать сам файл сертификата и увидеть URL сертификата УЦ, например так: Код: $ /opt/cprocsp/bin/amd64/certmgr --list -file "/путь_до_сертификата/сертификат.cer" Код: Certmgr 1.1 (c) "КРИПТО-ПРО", 2007-2021. Программа для работы с сертификатами, CRL и хранилищами. ============================================================================= 1------- Издатель : E=uc_fk@roskazna.ru, S=77 Москва, INNLE=7710568760, OGRN=1047797019830, STREET="Большой Златоустинский переулок, д. 6, строение 1", L=г. Москва, C=RU, O=Казначейство России, CN=Казначейство России Субъект : Серийный номер : SHA1 отпечаток : Идентификатор ключа : Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 256 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 27/09/2022 12:25:00 UTC Истекает : 21/12/2023 12:25:00 UTC Ссылка на ключ : Нет Тип идентификации : Без личного присутствия по квалифицированной подписи URL сертификата УЦ : http://crl.roskazna.ru/crl/ucfk_2022.crt URL сертификата УЦ : http://crl.fk.local/crl/ucfk_2022.crt URL списка отзыва : http://crl.roskazna.ru/crl/ucfk_2022.crl URL списка отзыва : http://crl.fk.local/crl/ucfk_2022.crl Назначение/EKU : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента ============================================================================= [ErrorCode: 0x00000000] То же самое можно проделать в cptools. у меня вторая ссылка не открывается

nickm	#4 Оставлено : 23 марта 2023 г. 10:14:01(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,037 Сказал(а) «Спасибо»: 305 раз Поблагодарили: 162 раз в 149 постах	Автор: Максим2017_1 у меня вторая ссылка не открывается О какой ссылке идёт речь? Я Вам привел пример вывода, и в нём ни по каким ссылкам переходить и не следует. Покажите Свой результат исполнения предложенной команды.

Максим2017_1	#5 Оставлено : 23 марта 2023 г. 10:31:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.11.2017(UTC) Сообщений: 59 Сказал(а) «Спасибо»: 3 раз	Автор: nickm Автор: Максим2017_1 у меня вторая ссылка не открывается О какой ссылке идёт речь? Я Вам привел пример вывода, и в нём ни по каким ссылкам переходить и не следует. Покажите Свой результат исполнения предложенной команды. http://crl.fk.local/crl/ucfk_2022.crt

nickm	#6 Оставлено : 23 марта 2023 г. 10:34:19(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,037 Сказал(а) «Спасибо»: 305 раз Поблагодарили: 162 раз в 149 постах	Автор: Максим2017_1 Автор: nickm Автор: Максим2017_1 у меня вторая ссылка не открывается О какой ссылке идёт речь? Я Вам привел пример вывода, и в нём ни по каким ссылкам переходить и не следует. Покажите Свой результат исполнения предложенной команды. http://crl.fk.local/crl/ucfk_2022.crt Это локальная ссылка и она у Вас не откроется. Если Вы действительно привели ссылку из своего сертификата, то промежуточный сертификат УЦ можете скачать по этой, общедоступной ссылке, http://crl.roskazna.ru/crl/ucfk_2022.crt

Максим2017_1	#7 Оставлено : 24 марта 2023 г. 5:28:35(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 22.11.2017(UTC) Сообщений: 59 Сказал(а) «Спасибо»: 3 раз	Автор: nickm Это локальная ссылка и она у Вас не откроется. Если Вы действительно привели ссылку из своего сертификата, то промежуточный сертификат УЦ можете скачать по этой, общедоступной ссылке, http://crl.roskazna.ru/crl/ucfk_2022.crt Я скачал по этим ссылкам, корневые и поставил их при помощи cptool. Пока ничего не поменялось, проверив с помощью винды, выше описанным способом увидел что нет тех корневых каких нужно. А нет ли какой команды которая проверяла бы цепочку сертификатов и говорила какие нужны — но это я так от жира бесюсь. И не подскажите СУФД на astra linux работает….

nickm	#8 Оставлено : 24 марта 2023 г. 5:50:28(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,037 Сказал(а) «Спасибо»: 305 раз Поблагодарили: 162 раз в 149 постах	Автор: Максим2017_1 Я скачал по этим ссылкам, корневые и поставил их при помощи cptool. Пока ничего не поменялось Следует различать как корневые, так и промежуточные сертификаты; Автор: Максим2017_1 И не подскажите СУФД на astra linux работает…. СУФД — это веб-сервис работающие по ГОСТ TLS, поэтому при соответствующей/ должной настройке ПО всё должно работать.

Пользователи, просматривающие эту тему

Guest

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

---

---

---

Цепочка сертификатов не может быть построена до доверенного корневого сертификата

При возникновении ошибки «Цепочка сертификатов не может быть построена до доверенного корневого сертификата.» необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо

1. перейти в раздел «Администрирование»

2. «Обмен электронными документами»

3. «Настройка электронной подписи и шифрования»

4. На вкладке «Сертификаты» открыть используемый сертификат

5. Нажать на кнопку «Проверить»

6. Ввести пароль закрытой части ключа и нажать «Проверить»

! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных .

Если в ходе проверки напротив пункта «Корректность данных сертификата» возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.

Если в технической информации об ошибке указано «Цепочка сертификатов не может быть построена до доверенного корневого

сертификата.» это обозначает, что цепочка сертификации выстроена не полностью. Данная ошибка чаще всего встречается при первичной установке сертификата. Для просмотра пути сертификации необходимо сохранить сертификат, указав директорию компьютера, где его можно будет найти. Сделать это можно из программы 1С открыв сертификат в настройках электронной подписи и шифрования и нажать кнопку «Сохранить в файл» и указать директорию операционной системы для сохранения файла.

После сохранения сертификата необходимо открыть его в сохраненной директории.

Открыть сертификат можно дважды нажав на него левой кнопкой мыши или правая кнопка мыши — Открыть.

На вкладке «Общие» в логотипе сертификата будет присутствовать сигнализирующий о проблеме желтый знак, а в сведениях о сертификате будет присутствовать надпись «Недостаточно информации для проверки этого сертификата».

Следующим этапом необходимо перейти во вкладку «Путь сертификации». Можно заметить, что путь сертификации состоит из одного личного сертификата, а в состоянии сертификата присутствует надпись «Невозможно обнаружить поставщика этого сертификата».

В компьютерной безопасности цифровые сертификаты проверяются с помощью цепочки доверия. Сертификаты удостоверяются ключами тех сертификатов, которые находятся выше в иерархии сертификатов. Наивысший сертификат в цепочке называется корневым.

Пример корректного пути сертификации

Решение: Восстановить путь сертификацию

В сертификате необходимо перейти во вкладку «Состав» и в верхнем окне необходимо найти и нажать на поле «Доступ к информации о центрах сертификации». В нижнем окне сертификата появится информация о доступах к сведениям центра сертификации, в котором необходимо найти ссылку, которая заканчивается на .cer или .crt. Данную ссылку необходимо скопировать от http:// до конца строки не включая URL=. Копирование производится при помощи комбинации клавиш Ctrl+C.

Открыть браузер и вставить скопированное ранее значение в адресную строку, нажать «Перейти» (Enter). Откроется окно просмотра загрузок, в котором браузер предложит сохранить или открыть файл. Необходимо нажать «Сохранить как» и указать директорию, куда произойдёт сохранение.

Произойдет скачивание сертификата удостоверяющего центра, который выдал личный сертификат. После скачивания необходимо перейти в указанную директорию и открыть скаченный сертификат. В нашем примере это сертификат astral-883-2018.

После открытия сертификата удостоверяющего центра необходимо нажать «Установить сертификат»

В открывшемся мастере импорта сертификатов выбрать Расположение хранилища: «Текущий пользователь» и нажать «Далее».

В следующем окне выбрать «Поместить все сертификаты в следующее хранилище» нажать «Обзор» и выбрать «Доверенные корневые центры сертификации», нажать «Далее» и завершить установку.

После появится окно предупреждения системы безопасности. Для установки сертификата необходимо нажать «Да»

Затем появится окно, сообщающее о том, что импорт сертификата успешно выполнен.

После установки сертификата удостоверяющего центра путь сертификации будет состоять уже из двух сертификатов: личного сертификата сотрудника организации, который ссылается на доверенный сертификат удостоверяющего центра, который выдал данному сотруднику сертификат.

Сертификат удостоверяющего центра не может сослаться на вышестоящий сертификат Головного удостоверяющего центра в виду его отсутствия на рабочем месте.

Для установки сертификата Головного удостоверяющего центра необходимо открыть сертификат удостоверяющего центра и перейти во вкладку «Состав». В верхнем окне выбрать поле «Идентификатор ключа центра сертификатов», а затем в нижнем окне скопировать серийный номер сертификата (Ctrl+C).

Для скачивания нужного сертификата Головного удостоверяющего центра необходимо перейти на Портал уполномоченного федерального органа в области использования электронной подписи и перейти на вкладку «ГОЛОВНОЙ УЦ» https://e-trust.gosuslugi.ru/mainca

Далее, используя сочетание клавиш Ctrl+F необходимо вызвать окно поиска и вставить в него скопированный серийный номер из сертификата удостоверяющего центра. Из представленного на сайте перечня сертификатов отобразиться тот, чей серийный номер совпадает. Именно данный сертификат Головного удостоверяющего центра нужно скачать. Для скачивания необходимо нажать на гиперссылку в строке «Отпечаток».

После нажатия на отпечаток произойдет скачивание сертификата Головного удостоверяющего центра. Необходимо нажать «Сохранить как» и выбрать необходимую директорию для сохранения сертификата Головного удостоверяющего центра.

Необходимо перейти в директорию, куда был скачан сертификат и открыть его.

В открывшемся сертификате необходимо нажать «Установить сертификат»

В мастере импорта сертификатов необходимо выбрать «Текущий пользователь» и нажать «Далее»

В следующем окне необходимо выбрать «Поместить все сертификаты в следующее хранилище», нажать «Обзор». В окне выбора хща сертификата необходимо поставить галочку «Показать физические хранилища», затем развернуть «Доверенные корневые центры сертификации» нажатием на «+» и выбрать «Локальный компьютер» и нажать «ОК». Завершить установку сертификата.

После установки сертификата Головного удостоверяющего центра путь сертификации личного сертификата восстановлен.

После восстановления пути сертификации ошибка не воспроизводится.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A

Автор: Юрий Белоусов · 23.09.2020

Пользователи, использующие программы, работающие с СУФД, в момент подписания документа, могут столкнуться с появлением сообщения: «Ошибка создания подписи: Не удается построить цепочку сертификатов (0x800B010A)».

Например, она может возникнуть при подаче заявки на zakupki.gov.ru или другом портале, работающим с ЭЦП.

В этой статье детально рассмотрим в чем причина данной проблемы и какие методы использовать для ее решения.

Почему возникает ошибка 0x800B010A

Причина возникновения ошибки создания подписи 0x800B010A понятна из пояснительного текста: «Не удается построить цепочку сертификатов». То есть, один или несколько необходимых сертификатов могут отсутствовать, быть некорректно установленными или попросту истек их срок действия.

Для нормальной работы обязательно должны быть установлены следующие сертификаты:

Ошибка создания подписи: Не удается построить цепочку сертификатов 0x800B010A – как исправить

Чтобы исправить ошибку создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A) необходимо правильно диагностировать проблемный сертификат. Сделать это можно с помощью специализированного ПО, либо – с помощью Internet Explorer.

1. Следует запустить браузер Internet Explorer. В операционных системах Windows он является предустановленным;
2. Открыть меню браузера, нажав на значок шестеренки в верхнем правом углу окна;
3. Выбрать пункт «Свойства браузера»;
   
   Альтернативный вариант – зайти в свойства браузера, воспользовавшись встроенным поиском Windows;
   
4. Перейти во вкладку «Содержание»;
5. Нажать кнопку «Сертификаты»;
   
6. Выбрать сертификат, которым необходимо подписать документ и нажать кнопку «Просмотр»;
7. Перейти во вкладку «Путь сертификации»;
8. Сертификат отмеченный красным крестиком или восклицательным знаком – и есть причина возникновения ошибки создания подписи: «Не удается построить цепочку сертификатов» (0x800B010A).
   

На скриншоте выше показано, как должна выглядеть цепочка. Если один из сертификатов отсутствует или установлен с ошибкой, то подпись документа будет невозможной.

В случае, если отсутствует сертификат головного удостоверяющего центра, то необходимо скачать и установить. Найти его можно на сайте поставщика сертификата. Узнать кто поставщик можно из свойств, посмотрев вкладку «Общие». Также нужно добавить промежуточные сертификаты.

Для установки личного сертификата необходима программа КриптоПро CSP.

Подробную инструкцию по установке корневого и личного сертификатов можно посмотреть в видео:

Важно! При установке сертификата Головного удостоверяющего центра необходимо поместить его в раздел «Доверенные корневые центры сертификации», личный – в раздел «Личные», остальные – в «Промежуточные центры сертификации».

Если все необходимые сертификаты присутствуют в цепочке, то следует проверить срок их действия и сведения о сертификате. Для этого нужно:

1. Открыть список сертификатов;
2. Выбрать нужный;
3. Нажать кнопку «Просмотр»;
4. Посмотреть сведения о сертификате в разделе «Общие», включая срок до которого он действителен.
   

• Если истек срок действия, то нужно обновить сертификат;
• Если нет доверия к сертификату, то необходимо установить его в корректную директорию;
• Если не удается проследить путь до доверенного центра, значит нарушена общая цепь. Скорее всего, отсутствуют промежуточные сертификаты.

Если проблему не удалось исправить и по прежнему появляется внутренняя ошибка с кодом 0x800B010A, то стоит переустановить КриптоПро CSP, а также обратиться в службу поддержки поставщика сертификата.

Есть удобный способ восстановить правильную цепочку сертификатов, который показан в следующем видео:

Не нашли ответ? Тогда воспользуйтесь формой поиска:

Источник

You can achieve your desired result with a combination of certtool and openssl. It is important to note that there are two things invovled here, one is to validate the chain itself and the other is checking if the chain is trusted against locally installed trusted root certificates.

---

WARNING: check negative cases

Please check negative cases, that is make sure things which your test should pick up as invalid is correctly picked up as invalid. You can do that with https://badssl.com/ or something you make yourself. If you don’t know for sure that negative cases will fail whatever you are testing then the test will not help a lot.

---

To verify the chain is trusted:

openssl s_client -showcerts -connect example.com:443 </dev/null 2>/dev/null 
    | sed -ne '/-BEGIN/,/-END/p' 
    | certtool --verify

To verify chain’s consistency only — but not trust:

openssl s_client -showcerts -connect example.com:443 </dev/null 2>/dev/null 
    | sed -ne '/-BEGIN/,/-END/p' 
    | certtool --verify-chain

Example of a trusted chain:

$ openssl s_client -showcerts -connect example.com:443 </dev/null 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' | certtool --verify
Loaded system trust (154 CAs available)
    Subject: CN=DigiCert SHA2 Secure Server CA,O=DigiCert Inc,C=US
    Issuer: CN=DigiCert Global Root CA,OU=www.digicert.com,O=DigiCert Inc,C=US
    Signature algorithm: RSA-SHA256
    Output: Not verified. The certificate is NOT trusted. The certificate issuer is unknown. 

    Subject: CN=DigiCert SHA2 Secure Server CA,O=DigiCert Inc,C=US
    Issuer: CN=DigiCert Global Root CA,OU=www.digicert.com,O=DigiCert Inc,C=US
    Signature algorithm: RSA-SHA256
    Output: Not verified. The certificate is NOT trusted. The certificate issuer is unknown. 

    Subject: CN=DigiCert SHA2 Secure Server CA,O=DigiCert Inc,C=US
    Issuer: CN=DigiCert Global Root CA,OU=www.digicert.com,O=DigiCert Inc,C=US
    Checked against: CN=DigiCert Global Root CA,OU=www.digicert.com,O=DigiCert Inc,C=US
    Signature algorithm: RSA-SHA256
    Output: Verified. The certificate is trusted. 

    Subject: CN=www.example.org,OU=Technology,O=Internet Corporation for Assigned Names and Numbers,L=Los Angeles,ST=California,C=US
    Issuer: CN=DigiCert SHA2 Secure Server CA,O=DigiCert Inc,C=US
    Checked against: CN=DigiCert SHA2 Secure Server CA,O=DigiCert Inc,C=US
    Signature algorithm: RSA-SHA256
    Output: Verified. The certificate is trusted. 

Chain verification output: Verified. The certificate is trusted. 

Example of an untrusted chain:

$ openssl s_client -showcerts -connect untrusted-root.badssl.com:443 </dev/null 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' | certtool --verify
Loaded system trust (154 CAs available)
    Subject: CN=*.badssl.com,O=BadSSL,L=San Francisco,ST=California,C=US
    Issuer: CN=BadSSL Untrusted Root Certificate Authority,O=BadSSL,L=San Francisco,ST=California,C=US
    Signature algorithm: RSA-SHA256
    Output: Not verified. The certificate is NOT trusted. The certificate issuer is unknown. 

    Subject: CN=*.badssl.com,O=BadSSL,L=San Francisco,ST=California,C=US
    Issuer: CN=BadSSL Untrusted Root Certificate Authority,O=BadSSL,L=San Francisco,ST=California,C=US
    Signature algorithm: RSA-SHA256
    Output: Not verified. The certificate is NOT trusted. The certificate issuer is unknown. 

    Subject: CN=*.badssl.com,O=BadSSL,L=San Francisco,ST=California,C=US
    Issuer: CN=BadSSL Untrusted Root Certificate Authority,O=BadSSL,L=San Francisco,ST=California,C=US
    Signature algorithm: RSA-SHA256
    Output: Not verified. The certificate is NOT trusted. The certificate issuer is unknown. 

Chain verification output: Not verified. The certificate is NOT trusted. The certificate issuer is unknown. 

Checking if the untrusted chain is valid nonetheless:

$ openssl s_client -showcerts -connect untrusted-root.badssl.com:443 </dev/null 2>/dev/null | sed -ne '/-BEGIN/,/-END/p' | certtool --verify-chain
    Subject: CN=*.badssl.com,O=BadSSL,L=San Francisco,ST=California,C=US
    Issuer: CN=BadSSL Untrusted Root Certificate Authority,O=BadSSL,L=San Francisco,ST=California,C=US
    Checked against: CN=BadSSL Untrusted Root Certificate Authority,O=BadSSL,L=San Francisco,ST=California,C=US
    Signature algorithm: RSA-SHA256
    Output: Verified. The certificate is trusted. 

Chain verification output: Verified. The certificate is trusted.