Криптоарм как установить личный сертификат. Ооо "цифровые технологии". Не удается найти сертификат и закрытый ключ для расшифровки. В связи с этим использование данного сертификата невозможно

ИНСТРУКЦИЯ

Установка нового сертификата пользователя другой стороны ЭДО в КриптоАРМ

1. Получение нового сертификата пользователя другой стороны

Получите новый сертификат (открытый ключ) пользователя другой стороны электронного документооборота (далее - ЭДО) по эл. почте, на электронном носителе или иным способом.

Распакуйте архив с файлом нового сертификата пользователя другой стороны ЭДО (*.rar или *.zip) в любую директорию (папку). Для этого на архивном файле нажимаем правую кнопку мыши, как показано на рис. 1.

После распаковки архива в указанной директории сохраняется файл нового сертификата пользователя другой стороны ЭДО с расширением *.cer (см. рис. 2)

2. Импорт нового сертификата пользователя другой стороны в КриптоАРМ

Запустите КриптоАРМ как показано на рис. 3

В запустившимся окне программы сделайте ИМПОРТ нового сертификата пользователя другой стороны. Для этого нажмите правую кнопку мыши на «Сертификаты других пользователей» и выберите «Импорт» (см. рис. 4):

В следующем окне «КриптоАРМ: Установка сертификатов, СОС и СДС» нажмите кнопку «Далее» (см. рис. 5).

Затем необходимо выбрать новый сертификат пользователя другой стороны. При появлении окна «Вставка диска» нажать кнопку «Отмена» (см. рис. 6). И выбрать файл нового сертификата пользователя другой стороны (*.cer), который был распакован ранее из полученного архива (*.rar) и нажать кнопку «Открыть» (см. рис. 7).


В следующем окне необходимо убедится что новый сертификат пользователя другой стороны прошел проверку статуса и является ДЕЙСТВИТЕЛЬНЫМ (см. рис. 8). Затем нажать кнопку «Далее».

В следующем запустившемся окне необходимо выбрать «Принудительно поместить в следующее хранилище: Сертификаты других пользователей» и нажать кнопку «Далее» (рис. 9).

В следующем окне нажать кнопку «Готово» (см. рис. 10).

После установки нового сертификата пользователя другой стороны в хранилище: Сертификаты других пользователей информация о сертификате появляется в общем списке хранилища (см. рис. 11).

3. Изменение Настройки в КриптоАРМ

Затем необходимо внести изменения в Настройку, созданную в КриптоАРМ для постановки ЭЦП и выполнения операций шифрования и расшифрования. Для этого в окне программы КриптоАРМ выбираем пункт «Настройки» и нажимаем правой кнопкой мыши на созданной ранее настройке для ЭДО и выбираем «Свойства» (см. рис. 12).

В открывшемся окне «Параметры настройки» во вкладке «Шифрование» в пункте «Сертификаты получателей по умолчанию» выбираем старый сертификат (сверяемся по дате) и нажимаем кнопку «Удалить» (см. рис. 13).

Затем нажимаем кнопку «Добавить» и из хранилища «Сертификаты других пользователей» выбираем новый сертификат пользователя другой стороны и нажимаем кнопку «ОК» (см. рис. 14, 15).

После добавления нового сертификата пользователя другой стороны нажимаем кнопку «ОК» (см. рис. 16).

Затем необходимо закрыть программу КриптоАРМ.

После выполнения вышеописанных действий осуществлен переход на использование в ЭДО нового сертификата пользователя другой стороны.

Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.

Обычно эта ошибка выглядит так:


Давайте сначала разберемся, почему эта ошибка возникает.

Отсутствие полного доверия к сертификату означает, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно - и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.

Сообщение об ошибке построения пути сертификации говорит нам о том, что КриптоАРМ хотел бы проверить, нет ли вашего сертификата в списке отозванных. Такой список нужен для того, чтобы включать в него потерянные или украденные сертификаты. Если ваш сертификат в таком списке - им никто не может воспользоваться. Ссылка на такой список (его выкладывает УЦ на свой сайт) есть прямо в вашем сертификате, и если у вас есть подключение к Интернет, то КриптоАРМ сам может скачать и проверить, нет ли вашего сертификата в таком списке.

Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва - то можно ничего не делать и ошибки не исправлять. Это действительно так!

Шаг 1: Переводим КриптоАРМ в режим Эксперт

В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим


Шаг 2: Подключаем сертификат электронной подписи

Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен , и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет - .

Подключаем отчуждаемый носитель


Выбираем криптопровайдер , как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой , не удивляйтесь).


или

Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов - выберите именно тот, который вам нужен.

5

Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678 , для eToken - 1234567890 . Если вы все еще пользуетесь стандартным пин-кодом - стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.

Все, мы объяснили программе КриптоАРМ , где находится наш сертификат, но она ему не очень доверяет.


Шаг 2-1: Подключаем сертификат, если он не на съемном носителе

Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить - это очень небезопасно . Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами , при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.

Я попытался найти простой способ добавить сертификат в КриптоАРМ, если он лежит на локальном диске, но не нашел. Поэтому единственный быстрый способ добавить сертификат с локального диска в КриптоАРМ - это положить его на флешку (прямо в корень, без папок) и .

Шаг 3: Добавляем сертификат УЦ в список доверенных центров сертификации

Для этого возвращаемся в основное окно КриптоАРМ, заходим Сертификаты - Личное хранилище сертификатов - Правой кнопкой мыши на ваш сертификат - Свойства


Переходим на вкладку "Статус Сертификата ", выбираем сертификат удостоверяющего центра (из него "вытекает" ваш сертификат), и нажимаем Просмотреть , а затем нажимаем кнопку Установить сертификат .

Выбираем пункт "Поместить все сертификаты в следующее хранилище ", нажимаем Обзор , а затем выбираем "Доверенные корневые центры сертификации ", а затем подтверждаем установку сертификата.

Программа «КриптоАрм» является стандартом для электронной цифровой подписи (ЭЦП), постоянно обновляется, дорабатывается и отслеживает все возникающие сбои. Обычно у пользователей не возникает проблем в работе, т.к. интерфейс понятен и прост, а алгоритмы отвечают всем стандартам безопасности. Но иногда возникает ошибка отсутствия полного доверия к сертификату ЭЦП, которую можно устранить самостоятельно и за несколько минут.

Выглядит ошибка «Нет полного доверия к сертификату подписи КриптоАрм» так:

Отсутствие доверия к закрытому ключу электронной подписи говорит о том, что ПК не может определить степень доверия к Удостоверяющему центру, выдавшему сертификат ЭЦП. Одновременно отсутствие доверия к УЦ отражается на сертификате электронной подписи и ставит ее под сомнение.

На работе ЭЦП или на работе ПО «КриптоАрм» данная ошибка не сказывается, но лучше ее исправить для избежания возникновения конфликтов при проверке ключей ЭЦП.

Как устранить ошибку

Исправление ошибки происходит в несколько последовательных шагов и не занимает много времени.

Шаг 1

Для начала «КриптоАрм» нужно перевести в режим «Эксперт», т.к. он позволяет использовать больше функций и работает лучше.

Шаг 2

Следующий этап - подключение носителя ЭЦП к ПК.

Нужно выбрать действующий криптопровайдер, а при выборе типа носителя - токен или дискету (в системе под дискетой понимается также флешка).

После этого пользователю предстоит выбрать контейнер с ЭЦП. Под контейнером подразумевается место хранения сертификата электронной подписи на флешке или токене. Один контейнер содержит один сертификат, а если на носителе ЭЦП содержится несколько сертификатов, то нужно выбрать вызывающий сомнения.

Если контейнер ЭЦП хранится на внешнем носителе, то обычно требуется введение пин-кода. Он стандартный для всех токенов:

  • для Рутокена: 12345678;
  • для eToken: 1234567890.

По технике безопасности лучше сменить стандартный пин-код на пользовательский, т.к. использование заводского кода повышает риск компрометации ЭЦП.

Шаг 3

Теперь нужно добавить сертификат Удостоверяющего центра в список доверенных, т.к. ошибка «Нет полного доверия к сертификату» возникает по этой причине.

Сделать это просто. Нужно лишь:

  • Вернуться в меню КриптоАрм.
  • Перейти во вкладку «Сертификаты»/«Личное хранилище»/«Свойства» выбранного сертификата.

  • Перейти во вкладку «Статус» и нажать «Посмотреть».

  • Нажать «Установить».

  • Выбрать «Поместить сертификаты в хранилище» и нажать «Обзор».

  • Выбрать «Доверенные корневые центры».

  • Подтвердить установку нового сертификата.

Обычно установка занимает несколько секунд и после нее не требуется перезагрузка ПК.

Шаг 4

Последний шаг - проверка сертификата по списку отозванных. Чтобы это сделать, нужно:

  1. Перейти во вкладку «Свойства сертификата» и выбрать в списке нужный.
  2. Выбрать «По CRL, полученному в удостоверяющем центре».
  3. Нажать «Проверить».

После проверки можно перейти в раздел «Личное хранилище» для обновления информации. Зеленая галочка говорит об устранении ошибки и полном доверии к электронной подписи со стороны ПО.

Установка отозванных сертификатов

В некоторых случаях необходимо установить списки отозванных сертификатов дополнительно. Для установки нужно:

  • Проделать путь «Internet Explorer»/«Сервис»/«Свойства»/«Содержание»/«Сертификаты».
  • Через вкладку «Состав» выбрать «Точки распространения списка отзыва».
  • В разделе «Имя точки» скопировать ссылку на список.

  • Сохранить список в любое место на ПК.

  • Нажать на сохраненном списке правой кнопкой мыши для выбора режима установки.
  • Следовать инструкции «Мастера импорта сертификатов».

Иногда в строке списка отозванных сертификатов имеется две ссылки, т.е. два списка. В этом случае действия со вторым списком отозванных сертификатов аналогичны и полностью повторяют путь установки через «Мастера импорта».

После проведенных действий для корректной работы электронной подписи лучше произвести перезагрузку ПК. При соблюдении последовательности действий проблем в установке списка отозванных ключей электронной подписи и исправлении ошибки не возникает. Единственной причиной, по которой процесс может сбиться, является нестабильное подключение к интернету.

При оформлении документов или регистрации организации пользователи сталкиваются с ошибкой - «Не удается построить цепочку сертификатов для доверенного корневого центра». Если повторить попытку, ошибка появляется снова. Что делать в этой ситуации, читайте далее в статье.

Причины ошибки в цепочке сертификатов

Ошибки могут возникать по разным причинам - проблемы с Интернетом на стороне клиента, блокировка программного обеспечения Защитником Windows или другими антивирусами. Далее, отсутствие корневого сертификата Удостоверяющего Центра, проблемы в процессе криптографической подписи и другие.

Устранение ошибки при создании создания цепочки сертификатов для доверенного корневого центра

В первую очередь убедитесь, что у вас нет проблем с интернет-подключением. Ошибка может появляться при отсутствии доступа. Сетевой кабель должен быть подключен к компьютеру или роутеру.

  1. Нажмите кнопку «Пуск» и напишите в поиске «Командная строка».
  2. Выберите ее правой кнопкой мыши и нажмите «Запуск от администратора».
  3. Введите в DOS-окне следующую команду «ping google.ru ».

При подключенном интернете у вас должны отобразиться данные об отправленных пакетах, скорости передачи и прочая информация. Если Интернета нет, вы увидите, что пакеты не дошли до места назначения.

Теперь проверим наличие корневого сертификата Удостоверяющего Центра. Для этого:


Если сертификата нет, его необходимо скачать. В большинстве случае он находится в корневых сертификатах и пользователю необходимо его только установить. Также стоит помнить, что лучше всего пользоваться браузером Internet Explorer, чтобы в процессе работы происходило меньше ошибок и сбоев. Попытайтесь найти УЦ в корневых сертификатах, после этого вам останется только нажать кнопку «Установить», перезапустите свой браузер, и вы решите проблему с ошибкой - «Не удается построить цепочку сертификатов для доверенного корневого центра».

Проверка корневого сертификата УЦ в браузере

Проверку можно выполнить в браузере.

  1. Выберите в меню пункт «Сервис».
  2. Далее нажмите строку «Свойства обозревателя».
  3. Нажмите на вкладку «Содержание».
  4. Здесь нужно выбрать «Сертификаты».
  5. Следующую вкладка «Доверенные центры сертификации». Здесь должен быть корневой сертификат УЦ, обычно он находится на дне списке.

Теперь попробуйте снова выполнить те действия, в процессе которых возникла ошибка. Чтобы получить корневой сертификат, необходимо обратиться в соответствующий центр, где вы получили СКП ЭП.

Другие способы исправить ошибку цепочки сертификатов

Рассмотрим, как правильно загрузить установить и использовать КриптоПро. Чтобы убедиться, что программа не установлена на вашем ПК (если пользователей компьютером несколько), нужно открыть меню «Пуск». Затем выберите «Программы» и поищите в списке «КриптоПро». Если ее нет, то установим ее. Скачать программу можно по ссылке https://www.cryptopro.ru/downloads . Здесь вам нужна «КриптоПро CSP» - выберите версию.

В следующем окне вы должны увидеть сообщение о предварительной регистрации.

Установка КриптоПро

Когда установочный файл скачен, его нужно запустить для установки на ваш компьютер. Система отобразит предупреждение, что программа запрашивает права на изменение файлов на ПК, разрешите ей это сделать.

Перед установкой программы на свой компьютер, все ваши токены должны быть извлечены. Браузер должен быть настроен на работу, исключением является браузер Opera, в нем уже произведены все настройки по умолчанию. Единственное, что остается пользователю - это активировать специальный плагин для работы. В процессе вы увидите соответствующее окно, где Opera предлагает активировать этот плагин.

После запуска программы, нужно будет ввести ключ в окне.

Найти программу для запуска можно будет по следующему пути: «Пуск», «Все программы», «КриптоПро», «КриптоПро CSP». В открывшемся окне нажмите кнопку «Ввод лицензии» и в последней графе введите ключ. Готово. Теперь программу необходимо настроить соответствующим образом под ваши задачи. В некоторых случаях для электронной подписи используют дополнительные утилиты - КриптоПро Office Signature и КриптоАКМ. Можно устранить ошибку - нет возможности построить цепочку сертификатов для доверенного корневого центра - простой переустановкой КриптоПро. Попытайтесь это сделать, если другие советы не помогли.

Ошибка все еще появляется? Отправьте запрос в службу поддержки, в котором нужно разместить скриншоты ваших последовательных действий и объяснить подробно свою ситуацию.

5 / 5 ( 4 голоса )

Некорректный путь сертификации

Эта та самая проблема, с которой пришлось столкнуться мне.
Удивительно но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

Открываем хранилище сертификатов при помощью консоли certmgr.msc

Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации .

Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».

Вернемся на вкладку «Общие» , чтобы проверить кем выдан личный сертификат . Сертификат выдан той же компании, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат . Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

Находим в списке сертификат, который соответствует условиям.
Средства УЦ: КриптоПРО УЦ 2.0
Кем выдан: CN=Головной удостоверяющий центр
Действует: текущая дата входит в указанный промежуток дат .


Этот сертификат необходимо установить в промежуточные центры сертификации.

Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

Не работают алгоритмы шифрования КриптоПРО CSP

Открываем КриптоПРО CSP и переходим на вкладку «Алгоритмы» .
Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.

Нерушение прав доступа к ветке реестра.

Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.

Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.