Симптомы
При доступе к приложению, размещенному на веб-сервер Apache через Microsoft Forefront Unified Access Gateway 2010, может появиться следующее сообщение об ошибке:
При обработке сертификата произошла неизвестная ошибка.
Примечание. Эта проблема возникает только в том случае, если из Microsoft Forefront единой шлюз доступа на сервер Apache подключения по протоколу HTTPS.
Причина
Это может происходить, если веб-сервер возвращает ответ, который включает нет заголовка content-length, но вместо этого включает заголовок «Соединение: закрыть» и завершает TCP-подключение для обозначения конца ответа. Schannel расшифровывает сообщение и возвращает SEC_I_CONTEXT_EXPIRED единого доступа шлюз Forefront для указания того, что отправитель разорвал соединение. Однако шлюз единого доступа Forefront ошибочно интерпретирует это как ошибку.
Решение
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе «Относится к».
Дополнительные сведения
Вы видите эту проблему в следующем трассировки шлюз единого доступа Forefront:
[whlfilter CExtECB::OnRecvSrvrDataCompleted WhlExt2IWS.cpp@3301]
INFO: ответ RWS для фильтрации (ExtECB = 00000000136ABA70), (PFC = 000000000CBAB2D8)—[HTTP/1.1 200 OK
Директива pragma: No-cache
Cache-Control: no-cache
Срок действия: Датаивремя
X-Powered-By: Сервлетов 2.4; Tomcat-5.0.28/JBoss-3.2.6 (build: CVSTag = Дата JBoss_3_2_6 =Дата)
Тип содержимого: text/html; charset = UTF-8
Content-Encoding: gzip
Различаются: Приемлемой кодировкой
Дата: дата, время по Гринвичу
Сервер: Apache-Coyote/1.1
Соединение: закрыть
[sslbox SSLMachine::HandleDecryptMessageError SSLMachine.cpp@753] Error:SSLMachine::Read(): DecryptMessage сбой (SEC_I_CONTEXT_EXPIRED) Ошибка: 997
Ссылки
Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.
Область применения электронной подписи (ЭП или ЭЦП) довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке, электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭЦП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.
Какие бывают ошибки
Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:
- Проблемы с сертификатом. Они появляются, когда сертификат не выбран, не найден или не верен.
- Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.
- Проблема при авторизации на торговых площадках.
Рассмотрим неполадки подробнее и разберёмся, как их решать.
Сертификат не найден
Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи».
У подобных ошибок могут быть следующие причины:
- На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.
- На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.
- Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.
Для установки списка отозванных сертификатов:
- Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».
- Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».
- В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.
- Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».
- Следуйте указаниям «Мастера импорта сертификатов».
Не виден сертификат на носителе
Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.
К наиболее распространённым причинам такой проблемы относятся следующие случаи:
- Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.
- Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.
- Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.
- Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.
ЭП не подписывает документ
Причин у подобной проблемы множество. Каждый случай требует отдельной проверки. Среди самых распространённых можно выделить следующие неполадки:
- Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно, был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
- Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
- Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
- Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
- Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
- Скачайте файл архива.
- Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.
- Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.
- Введите «c:windowssyswow64regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.
Выбранная подпись не авторизована
Подобная ошибка возникает при попытке авторизации в личном кабинете на электронных торговых площадках. Например, при входе на площадку ZakazRF отображается сообщение «Выбранная ЭЦП не авторизована».
Эта ошибка возникает из-за того, что пользователь не зарегистрирован на площадке, либо не зарегистрирован новый сертификат ключа ЭП. Решением проблемы будет регистрация нового сертификата.
Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.
Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.
Часто задаваемые вопросы
Почему компьютер не видит ЭЦП?
Причина кроется в несовместимости программного обеспечения и физического носителя ЭЦП. Необходимо проверить версию операционной системы и переустановить её до нужной версии. Если токен повреждён, возможно, понадобится обратиться в удостоверяющий центр для перевыпуска электронной подписи.
О том, что делать, если компьютер не видит ЭЦП и о способах проверки настроек, мы подробно писали в нашей статье.
Почему КриптоПро не отображает ЭЦП?
Если КриптоПро не отображает ЭЦП, следует проверить настройки браузера. Также исправляет ошибку добавление программы в веб-обозреватель и загрузка недостающих сертификатов электронной подписи.
Подробнее ознакомиться, как устранить данную неисправность можно в нашей статье.
Где на компьютере искать сертификаты ЭЦП?
Сертификат ЭЦП позволяет проверить подлинность подписи, содержит в себе срок её действия и информацию о владельце. Он автоматически загружается в папку с системными файлами. В операционной системе Windows от 7 версии и выше ЭЦП хранится по адресу:
C:UsersПОЛЬЗОВАТЕЛЬAppDataRoamingMicrosoftSystemCertificates. Вместо ПОЛЬЗОВАТЕЛЬ требуется указать наименование используемого компьютера.
Что такое сертификат ЭЦП и зачем он нужен мы рассказали в нашей статье.
mihmig1 |
|
Статус: Новичок Группы: Участники
|
При проверке сертификатов в остнастке Криптопро на все сертификаты ГОСТ 2012 (и на флешках, и в реестре) выдаётся предупреждение: Целостность этого сертификата не гарантирована. Возможно он повреждён или изменён. Сертификат во вложении Ветки форума Вопрос сотрудникам компании: |
|
|
two_oceans |
|
Статус: Эксперт Группы: Участники Сказал(а) «Спасибо»: 110 раз |
Попробую, ответить: 1) сообщение означает, что либо сертификат и правда поврежден либо алгоритм сертификата (гост-2012) неизвестен либо система не находит криптопровайдер, который привязан к алгоритму гост-2012 (удален или не установлен полностью или не установлен соответствующий компонент криптопровайдера). Отредактировано пользователем 21 апреля 2020 г. 12:21:56(UTC) |
|
|
mihmig1 |
|
Статус: Новичок Группы: Участники
|
Повторюсь — криптопровайдер КриптоПро CSP установлен (и переустановлен) не единожды. На других компьютерах сертификаты отображаются корректно. Есть ли возможность исправить ситуацию без переустановки операционной системы? |
|
|
Максим Коллегин |
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
Приложите сертификат и цепочку. |
Знания в базе знаний, поддержка в техподдержке |
|
|
WWW |
mihmig1 |
|
Статус: Новичок Группы: Участники
|
certs2020-04-21.zip (5kb) загружен 5 раз(а). verify.txt (6kb) загружен 7 раз(а). |
|
|
Максим Коллегин |
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
Этот сертификат выдан не тем УЦ (tenzor.cer), что в архиве. Отредактировано пользователем 21 апреля 2020 г. 18:09:50(UTC) |
Знания в базе знаний, поддержка в техподдержке |
|
|
WWW |
mihmig1 |
|
Статус: Новичок Группы: Участники
|
Подождите: Что конкретно означает строка в файле verify.txt |
|
|
mihmig1 |
|
Статус: Новичок Группы: Участники
|
Вот то что отображает криптопро: Что такое «Ссылки в AIA» и почему они могут быть недействительны? |
|
|
Максим Коллегин |
|
Статус: Сотрудник Группы: Администраторы Сказал «Спасибо»: 21 раз |
То, что ОС рисует цепочку не означает, что это сертификат издателя, возможно не нашлось более подходящего. |
Знания в базе знаний, поддержка в техподдержке |
|
|
WWW |
mihmig1 |
|
Статус: Новичок Группы: Участники
|
Максим, спасибо! Для меня стало открытием, что в сертификате явно не указывается ссылка на сертификат издателя… Скажите а фраза Если от криптопровайдера — то можно ли её расширить фразой » или не удалось найти сертификат издателя»? |
|
|
Пользователи, просматривающие эту тему |
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Добрый день, на контроллере домена поднят центр сертификации.
Настроено получение личных сертификатов через GPO, это все отрабатывает, но есть проблема в их получении через браузер.
В разделе:
Сертификат пользователя — Идентифицирующие сведения
Данные:
Другие идентифицирующие сведения не требуются.
Выберите силу ключа:
Сила ключа: (тут ничего нет, пусто)
Если нажать выдать, то появляется ошибка, подскажите как решить.
Ошибка
Не удалось выполнить ваш запрос. При обработке вашего запроса сервером произошла ошибка.
Обратитесь к системному администратору за помощью.
Режим запроса:
newreq NN — Новый запрос (keygen)
Назначение:
(еще не установлено)
Сообщение о назначении:
(нет)
Результат:
Неправильный указатель 0x80004003 (-2147467261 E_POINTER)
Сведения о COM-ошибке:
CCertRequest::Submit: Неправильный указатель 0x80004003 (-2147467261 E_POINTER)
Последнее состояние:
Операция успешно завершена. 0x0 (WIN32: 0)
Предполагаемая причина:
(нет вариантов)
-
#1
Добрый день! Подскажите по проблеме. Windows Server 2019. Нужно в личном кабинете подписать эцп документ в личном кабинете в одной из систем. Появляется ошибка:
В процессе подписания произошла ошибка -> Возникла ошибка: Не удалось создать подпись из-за ошибки: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. (0x800B0109)
Есть идеи что это может быть ?
Последнее редактирование: 06.06.2022