Установка сертификата Минцифры России
В виду последних событий и санкций западных удостоверяющих центров, которые отказались предоставлять сертификаты для российских пользователей Минцифры предоставила корневой сертификат своего удостоверяющего центра. Он доступен для скачивания у нас на сайте, а также на сайте госуслуг
Зачем нужны сертификаты?
Шифрование данных используется для обеспечения безопасности при серфинге в интернете. Когда вы заходите на любую интернет страницу, то в адресной строке можно заметить значок замочка – значит передача данных на этом сайте идет по шифрованному каналу. Это гарантирует пользователю безопасное соединение: данные которые вы получаете и передаете не подменены каким-нибудь мошенником.
Цифровой сертификат сайта – это ключ использующийся для его шифрования. Такой сертификат имеет свой срок действия и содержит реквизиты уполномоченной организации, выписавшей его: наименование, юр. адрес и др. Подделать такой сертификат практически невозможно. При установке соединения ваш браузер автоматически проверит, что сертификат сайта подлинный и предоставлен организацией имеющей доверие. В свою очередь, удостоверяющая организация тоже обязана иметь сертификат вышестоящего удостоверяющего центра.
Как установить сертификат ЭЦП на любой компьютер основные ошибки при установке-не найден контейнер?
Соответственно, ваша операционная система и ваш браузер используют целый набор сертификатов от разных удостоверяющих центров, доверие между которыми распространяется по цепочке до самого высшего (корневого) уровня.
Подавляющее большинство удостоверяющих центов находится за пределами России. В связи с текущими событиями, часть из них может отозвать сертификаты у российских сайтов. Минцифры РФ, в свою очередь, заявило о готовности выдавать свои сертификаты для сайтов, разрешения которых окажутся отозванными. А значит, для посещения российских сайтов, в ближайшем времени пользователю будет необходимо установить на свои устройства сертификат Минцифры РФ.
Что нужно знать когда устанавливаешь сертификаты
Когда вы устанавливаете на свой компьютер какой-либо сертификат вы расписываетесь в том что вы полностью доверяете организации которая выпустила сертификат. Вот совсем доверяете. Потому что установив поддельный корневой сертификат или сертификат неблагонадежной организации возможно проведение MITM атаки (атака “человек посередине” сслыка на википедию) . В кратце — если вы заходите, скажем на вашу почту gmail, а вам отдают другой сайт (поддельный) то браузер начнет ругаться — сертификат неверный и даже не пустит вас на сайт.
Но если у вас установлен какой-то плохой корневой сертификат и этой организацией будет подписана фальшивая версия того же gmail — вы ничего не заметите и ваши данные могут утечь третьим лицам. Вывод: если вы не доверяете источнику где качаете сертификат или самой организации, выдавшей сертификат — не устанавливайте его.
Сайт Сбербанка не открывается, поможет ли мне установка сертификата?
С недавнего времени государственные порталы России переходят на российские сертификаты, то есть подписывают свои сайты не заграничными сертификатами от удостоверяющих центров типа Comodo, Letsencrypt, а используют подпись российского удостоверяющего центра минцифры. Именно поэтому если вы зайдете на сайт, например Сбербанка, который подписан сертификатом минцифры — вы увидите сообщение об ошибке безопасности и отсутствие нужного сертификата. Установка сертификата с нашего сайта и перезагрузка компьютера решит эту проблему. Также можно использовать произведенный в РФ браузер — Яндекс.Браузер или Atom.
Ошибка построения пути сертификации
Где скачать российские сертификаты Минцифры
Корневой сертификат Russian Trusted Root CA изготвленный The Ministry of Digital Development and Communications со сроком действия до 28.02.2032 вы можете скачать как на нашем, так и на официальном сайте госуслуг.
Для устновки российского сертификата на разные устройства мы подготовили следующую инструкцию:
Установка сертификата Минцифры на Windows
1. Открываем страницу https://djinn.ru/kb/ustanovka-sertifikata-mincifry/ на сайте Djinn.ru, нажимаем на кнопку “Корневой сертификат Минцифры”
- Нажимаем большую кнопку “Корневой сертификат минцифры“
- Начнется скачивание файла в вашем браузере. Откройте загруженный файл. В случае если вы используете браузер Google Chrome скачанный файл будет снизу слева в панели загрузок. В случае если вы используете Яндекс.Браузер — сверху справа.
- Нажмите на скачанный файл. Появится окно с информацией о сертификате. Нажмите кнопку “Установить сертификат”
- Выберите пункт что устанавливаете сертификат на “Локальный компьютер”
- Выберите “Поместить сертификаты в выбранное хранилище” → “Обзор” → “Доверенные корневые центры сертификции” → “ОК” → “Далее”
- Подождите несколько секунд и появиться сообщение об успешном импорте. Нажмите “ОК”
- Перезагрузите компьютер чтобы применить установленный сертификат ко всем программам.
Установка сертификата Минцифры на Android
1. Открываем страницу https://djinn.ru/kb/ustanovka-sertifikata-mincifry/ на сайте Djinn.ru, нажимаем на кнопку “Корневой сертификат Минцифры”
- На старых Android — смахните сверху вниз чтобы открыть шторку и увидеть скаченный rootca_ssl_rsa2022.cer нажмите на файл и выберите “Установить сертификат”.
- На Android 11 и более новом : закройте браузер и откройте “Настройки” вашего телефона для Android
- Выполните поиск по настройкам по ключевому слову “Сертификат” или пройдите по пути “Пароли и безопасность” → “Конфиденциальность” → “Шифрование и учетные данные” → “Установка сертификатов”
- Выберите “Сертификат центра сертификации”
- Найдите в недавних файлах скаченный файл rootca_ssl_rsa2022.cer и выберите его.
- Появится сообщение “Конфиденциальность ваших данных будет нарушена” — нажмите “Все равно установить.”
- Перезагрузите ваше Android устройство чтобы обновить хранилище сертификатов
Установка сертификата Минцифры на iPhone и iPad
1. Открываем страницу https://djinn.ru/kb/ustanovka-sertifikata-mincifry/ на сайте Djinn.ru, нажимаем на кнопку “Корневой сертификат Минцифры”
- В адресной сроке должен появиться значок со стрелкой вниз. Нажимаем на него и в открывшемся меню выбираем пункт «Загрузки»
- В появившемся списке выбираем rootca_ssl_rsa_2022.cer и нажимаем на него.
- Должно появиться сообщение о том, что сертификат загружен. Закрываем его.
- Для активации нашего установленного сертификата идем в «Настройки», нажимаем на пункт «Профиль загружен»
- В верхней строке «Установка профиля» нажимаем «Установить»
- Появится предупреждение, о том что «не удается проверить подлинность устройства». Это нормально, снова нажимаем «Установить» и вводим код-пароль.
- После установки нажимаем «Готово»
- В разделе «Настройки», «Основные» заходим в пункт «Об этом устройстве» и листаем его до самого конца. Нажмите «Доверие сертификатам»
- Включаем переключатель для «Russian Trusted Root CA», в появившемся предупреждении нажимаем «Дальше»
Все! Российский сертификат установлен, и вы готовы к посещению сайтов заверенных сертификатом Минцифры РФ
Помогите проекту Джинн.ру
На моем сайте нет рекламы, все программы созданные мной и моими друзьями — бесплатные, подобранные утилиты и драйвера проверены, все данные находятся на наших серверах и доступны 24/7 (как говорится — без регистрации и смс). Работа по созданию сайта, аренда и обслуживание серверов стоит времени и денег. Я делал проект таким, каким хотел бы видеть современный интернет, где нет кликбейта, мусора и рекламы, когда можно не бояться зайти на какую-нибудь страничку и накачать вирусов, когда не знаешь, где настоящая кнопка «скачать», а где — вредоносная ссылка.
Если вы нашли на Джинн.ру информацию, драйвер или программу, которая помогла вам решить проблему — мы будем очень рады, если вы поддержите нас материально. А еще мы рады отзывам.
С уважением, Михаил и проект Джинн.ру
₽ В России — Карта МИР Сбербанк (российские рубли) — 2202 2013 5454 1142 Михаил К.
$ В остальном мире — Карта VISA BakaiBank (американские доллары) — 4714 2400 6990 3442 Mihail K.
₿ На BitCoin кошелек — bc1qs4pnfvvxcjykwg7uu3rl5fahfdypcf9rksvwkd
Источник: djinn.ru
«Невозможно использовать данный сертификат» — КриптоПро не видит сертификат полученный в ФНС
Настройка компьютера для работы с ЭП от 500 руб.
Прочитали статью, но не смогли настроить рабочее место? С радостью помогу Вам в решении проблемы!
Копирование «некопируемой» электронной подписи(ЭП) с Рутокена Lite.
Можете связаться со мной по Telegram.
Многие, кто получал электронную подпись в ФНС с мая этого года, не могут воспользоваться сертификатом.
Например, сайт ФНС пишет, что «Невозможно использовать данный сертификат».
А в Честном Знаке выходит сообщение «Не удается построить цепочку сертификатов до доверенного корневого центра, убедитесь что установлены все корневые и промежуточные сертификаты [0x800B010A]»
Причина состоит в том, что Минкомсвязи переименовали в Минцифры и изменился головной сертификат. Для решения проблемы нужно установить на компьютер корневой сертификат Минцифры.
Для этого переходим на сайт Федерального казначейства и скачиваем «Сертификат Минцифры России (Головного удостоверяющего центра)».
(ГОСТ Р 34.11-2012/34.10-2012 256 бит) — действителен с 08.01.2022 по 08.01.2040 (серийный номер: 00 95 1f a3 47 7c 61 04 3a ad fa 85 86 27 82 34 42)
Открываем скаченный файл, нажимаем «Установить сертификат. » и после нажимаем «Далее».
Выбираем пункт «Поместить все сертификаты в следующее хранилище», нажимаем «Обзор. » и выбираем хранилище «Доверенные корневые центры сертификации».
После нажимаем «Готово».
Проверяем действительность сертификата.
Если вы все сделали, но проблема не исчезна, то:
- откройте свойства вашего сертификата
- найдите в списке «Доступ к сведениям центра сертификации»
- скачайте и установите все доступные сертификаты из поля URL.
Источник: kadak.ru
Как исправить ошибку -25257 на macOS при добавлении сертификата?
Приобрели подпись РутокенЭЦП, на мак поставили как КриптоПро CSP так и приложение от рутокена. КриптоПро токен видит, добавляет в личное хранилище корректно, проверка пин-кода так же проходит. Но при попытке просмотреть сертификат или добавить его в связку ключей выдается ошибка
- Вопрос задан более двух лет назад
- 3800 просмотров
Источник: qna.habr.com
Возможные ошибки и их устранение
Все это можно посмотреть в КриптоПРО — Сертификаты. Сертификат КИ должен стоять в Личных, Сертификаты удостоверяющего центра и портала в Доверенные корневые.
Убедитесь в том, что стоит закрытый ключ для данного сертификата. Если же этого нет, то обновите версию Крипто ПРО до 3.6.0. Переустановите сертификаты.
Добавить комментарий Отменить ответ
Для отправки комментария вам необходимо авторизоваться.
Источник: www.as-ki.ru
Как исправить ошибку «Этот сертификат содержит недействительную цифровую подпись»
В данной статье мы расскажем о путях решения ошибки «Этот сертификат содержит недействительную цифровую подпись» на примере «Тензор» и Казначейства. Вы узнаете, что такое цепочка доверия¸ как её настроить и многое другое.
Для возможности использования квалифицированной электронно-цифровой подписи (далее — КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:
- Сертификат ключа проверки ЭП (далее — СКПЭП).
- Промежуточный сертификат (далее — ПС).
- Корневой сертификат (далее — KC).
Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.
Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы ее исправить.
В сертификате содержится недействительная цифровая подпись: разбор ситуации, на примере «Тензор»
О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.
Для того, чтобы узнать о состоянии ключа, следует:
- Войти в меню «Пуск».
- Открыть раздел «Все программы» и перейти в «КриптоПро».
- После этого нужно нажать л.к.м. на «Сертификаты».
- В строке хранилище, отметить нужное.
- Кликнуть на выбранный сертификат.
- Открыть раздел «Путь сертификации».
В строке «Состояние» будет отражён статус неактивного сертификата.
Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».
Сообщение об ошибке может отображаться по следующим причинам:
- Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).
- Некорректно инсталлирован криптопровайдер КриптоПро.
- Алгоритмы шифрования СКЗИ не работают, или работают некорректно.
- Нет доступа к реестровым документам.
- Версия браузера устарела.
- На компьютере выставлены неправильные хронометрические данные.
Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.
Цепочка доверия, от министерства цифрового развития и связи до пользователя
До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, — ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.
Принцип построения ЦДС
Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.
КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.
Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:
- Данные об УЦ и срок действия ключа.
- Электронный адрес для связи с реестром организации.
Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП.
В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами.
СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП.
СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу.
КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.
Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.
Пути решения ошибки
Для начала необходимо убедиться в том, что КС активен и верно инсталлирован. Для этого применяется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В появившемся перечне должен находиться файл от ПАК «Минкомсвязь России». Если сертификата нет, или он не активен, требуется его инсталлировать:
- Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».
- Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».
- Укажите хранилище «Доверенные корневые центры сертификации».
- Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.
После инсталляции сертификата, перезагрузите ПК.
Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.
Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно).
Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.
На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:
Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным.
Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам.
Исправление ошибки, на примере казначейства
Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП.
Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).
Изменение или повреждение файла УФК
Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК.
В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:
- Зайти в раздел «Личное».
- Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.
- Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.
- Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.
- После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до . ».
- На сайте УФК войти во вкладку «Корневые сертификаты».
- Загрузить «Сертификат УЦ Федерального казначейства».
- Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».
- Выключите и включите ПК.
На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации.
Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.
Истечение срока
Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.
Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть.
Ошибка с отображением в КриптоПро
Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная.
В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера.
Неправильная работа КриптоПро
Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:
Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки.
Сервисы инициализации
СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP.
Для того, чтобы проверить активность службы:
- Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.
- После чего вбейте в командной строке services.msc.
- В перечне служб, укажите «Службы инициализации».
- Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.
Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.
Что делать, если ошибка вызвана сбоем браузера
Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.
Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.
Вход под администраторскими правами
Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.
Что нужно сделать:
- Правой кнопкой мыши нажмите на значок браузера.
- Выберите строку «Запуск от имени администратора».
После того, как ошибка исчезнет:
- Правой кнопкой мыши нажмите на значок браузера.
- Кликните на «Дополнительно»
- И выберите «Запуск от имени администратора».
Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.
Выключение антивирусника
Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого:
- Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».
- После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.
Когда электронный документ будет подписан, активируйте антивирусную программу обратно.
Настройка хронометрических данных
Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:
- Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.
- Выберите «Настройка даты и времени».
- Выставьте нужный часовой пояс и правильные значения.
- Сохраните изменения.
По окончанию настроек выключите, а потом включите ваш ПК.
Нужна ЭЦП? Подберем подходящий вариант электронной подписи для вашего бизнеса.
Оставьте заявку и получите бесплатную консультацию специалиста.
Источник: kkmsale.ru