- Windows не может проверить подлинность сертификата
- Возможные проблемы и пути их решения
- Где взять корневой сертификат
- Как установить
- Какая информация содержится в корневом сертификате
- Можно ли установить эцп без корневого сертификата
- Обновление корневого сертификата удостоверяющего центра
- Ошибка импорта сертификата
- Установка в linux
- Установка личного сертификата криптопро
Windows не может проверить подлинность сертификата
Такая ошибка возникает при использовании устаревшей редакции Windows 7. Необходимо обновить ОС до редакции Service Pack 1 и выполнить импорт сертификата удостоверяющего центра ещё раз.
Также следует упомянуть, что разработчики КриптоПро CSP рекомендуют использовать 64-битные версии операционных систем. Это актуально для Windows 7 и выше. Windows XP последней редакции (Service Pack 3) никогда не выходила в 64-битной вариации, но там с установкой сертификатов никаких подобных проблем не возникает.
Данная ошибка также часто встречается в Windows Vista (кроме редакции Service Pack 2). Решение – обновить операционную систему или установить более актуальную версию. Все это относится не только к пользовательским версиям Windows, но и к серверным.
Возможные проблемы и пути их решения
Первое, на что стоит обратить внимание если не устанавливается корневой сертификат удостоверяющего центра – это на лицензию операционной системы. В пиратских версиях Windows функционал, отвечающий за установку и работу с сертификатами, довольно часто полностью обрезан или нарушена целостность хранилищ (из-за некоторых отключенных служб). Поэтому начать следует именно с установки лицензионной версии Windows.
Где взять корневой сертификат
Необходимо обратить внимание, что срок действия корневых сертификатов также ограничен и составляет 12 месяцев с даты их регистрации (выдачей занимается Минкомсвязи, его наличие у УЦ подтверждает, что организация аккредитована). Соответственно, в начале нового календарного года необходимо проводить инсталляцию нового ключа удостоверяющего центра, чтобы продолжать нормально пользоваться электронной подписью.
Как установить
После установки корневого ключа настоятельно рекомендуется перезагрузить компьютер. В противном случае – могут возникать ошибки при запуске КриптоПро CSP (довольно частая проблема при использовании Windows XP устаревших редакций, которые официально уже не поддерживаются разработчиком ПО).
Какая информация содержится в корневом сертификате
Что такое корневой сертификат удостоверяющего центра? Это файл, где сохранена сервисная информация об удостоверяющем центре с указанием даты его действия, сервисным интернет-адресом (через который можно связаться с реестром организации). Все эти данные предоставляются в шифрованном виде, которые использует КриптоПро CSP для проверки подлинности открытой персональной ЭЦП.
Основное назначение корневого ключа – это именно проверка подлинности открытого ключа ЭЦП. Открытую подпись гражданина в теории можно украсть, но воспользоваться ею без сертификата от удостоверяющего центра – не получится. То есть, вся эта схема сделана так, чтобы предотвратить факты использования чужой ЭЦП мошенниками или просто третьими лицами.
Можно ли установить эцп без корневого сертификата
Без корневого сертификата электронную подпись установить тоже получится, но такой ключ не будет признаваться в качестве действительного. Соответственно, подписать документ не получится (КриптоПро CSP будет выдавать ошибку, ссылаясь на невозможность проверить подлинность ЭЦП).
Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.
Обновление корневого сертификата удостоверяющего центра
При наступлении нового календарного года необходимо самостоятельно устанавливать обновленные ключи удостоверяющих центров на компьютеры, где используется ЭЦП (операционная система выдаст соответствующее напоминание при запуске).
Выполнить обновление можно двумя методами:
- Вручную загрузить и установить необходимый ключ.
- С помощью специального ПО, распространяемого удостоверяющими центрами (таковое есть, к примеру, в «Контур»).
Установка нового сертификата ничем не отличается от описанной выше. Удалять старый ключ удостоверяющего центра не обязательно – он все равно будет считаться системой как недействительный, использоваться он не будет.
Также некоторые удостоверяющие центры выпускают специальные программы для автоматической установки всех необходимых корневых сертификатов. Информацию на этот счет можно получить в самом УЦ или на их официальном сайте. Для установки обновленных ключей действующее интернет-подключение не нужно, актуальность файла будет автоматически проверена при первом подключении к сети. Такая проверка проводится всего один раз за весь срок действия корневого сертификата.
Итого, как установить корневой сертификат удостоверяющего центра для КриптоПро? Как и любой другой ключ, потребуется лишь указать в качестве хранилища «Доверенные корневые центры». В противном случае – ключ будет импортирован как персональный, для проверки электронной подписи он использоваться не будет.
Ошибка импорта сертификата
Если Windows выдает ошибку при попытке выполнения импорта сертификата во внутреннее хранилище, то это может указывать на:
- использование несовместимого дистрибутива криптопровайдера (следует использовать КриптоПро CSP версии 3.5 или выше);
- копия открытого ключа уже установлена в систему (проверить список можно через КриптоПро CSP из панели управления Windows);
- ошибки в работе с реестром (рекомендуется выполнить восстановление системы или чистку реестра с помощью специального ПО, типа C&CLeaner);
- срок действия корневого сертификата удостоверяющего центра истек (необходимо импортировать действующий, а не отозванный);
- файл ключа поврежден (его целостность проверяется с помощью хеширования, на сайтах удостоверяющих центров может указываться хеш-сумма для проверки).
Если все вышеуказанные причины устранены, но ошибка все равно возникает, то следует выполнить переустановку операционной системы с очисткой всего хранилища ранее установленных пользователем сертификатов.
Установка в linux
В современных дистрибутивах Linux установка корневых сертификатов удостоверяющих центров выполняется ничуть не сложнее, нежели в среде Windows. Потребуется файл с расширением .crt, достаточно по нему дважды кликнуть мышкой и выбрать «Установить» (подтвердить выбор необходимо введением пароля пользователя).
При возникновении каких-либо проблем рекомендуется воспользоваться консольной утилитой certmgr. Установка из терминала ключей удостоверяющего центра выполняется по следующей команде: certmgr -inst -store root -file <путь к файлу с расширением .crt>. После ввода данной команды также необходимо указать пароль Root (так как файл интегрируется в корневой раздел диска).
Установка личного сертификата криптопро
Установить личный сертификат можно двумя способами:
- Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»
- Через меню КриптоПро CSP «Установить личный сертификат»
Установка через меню «Просмотреть сертификаты в контейнере»
1. Выберите «Пуск» > «Панель управления» > «КриптоПро CSP», перейдите на вкладку «Сервис» и кликните по кнопке «Просмотреть сертификаты в контейнере».
2. В открывшемся окне нажмите на кнопку «Обзор», чтобы выбрать контейнер для просмотра. После выбора контейнера нажмите на кнопку «Ок».
3. В открывшемся окне нажмите кнопку «Далее».
4. В следующем окне нажмите на кнопку «Установить», после чего утвердительно ответьте на уведомление о замене сертификата (если оно появится). Сертификат установлен.
5. Если кнопка «Установить» отсутствует, то в окне «Сертификат для просмотра» нажмите на кнопку «Свойства».
6. В открывшемся окне выберите «Установить сертификат».
7. В окне «Мастер импорта сертификатов» выберите «Далее». В следующем окне оставьте переключатель на пункте «Автоматически выбрать хранилище на основе типа сертификата» и нажмите «Далее». Сертификат будет установлен в хранилище «Личные».
8. В следующем окне выберите «Далее», затем нажмите на кнопку «Готово» и дождитесь сообщения об успешной установке.
Для установки понадобится файл сертификата (файл с расширением.cer). Файл сертификата можно экспортировать из хранилища «Личные». Если в хранилище нет нужного сертификата, то обратитесь в техническую поддержку по адресу help@kontur.ru, указав ИНН и КПП организации и суть проблемы.
1. Выберите «Пуск» > «Панель управления» > «КриптоПро CSP». В окне Свойства КриптоПро CSP перейдите на вкладку «Сервис» и кликните по кнопке «Установить личный сертификат».
2. В окне «Мастер импорта сертификатов» нажмите на кнопку «Далее». В следующем окне кликните по кнопке «Обзор» и выберите файл сертификата.
3. Далее укажите путь к сертификату и нажмите на кнопку «Открыть»>«Далее».
4. В следующем окне кликните по кнопке «Далее».
5. Нажмите кнопку «Обзор».
6. Укажите контейнер закрытого ключа, соответствующий сертификату, и нажмите кнопку «Ок».
7. После выбора контейнера нажмите на кнопку «Далее».
8. В окне «Выбор хранилища сертификатов» кликните по кнопке «Обзор».
Если установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, то поставьте галку «Установить сертификат в контейнер».
9. Выберите хранилище «Личные» и нажмите «ОК».
10. После выбора хранилища нажмите на кнопку «Далее», затем «Готово». После нажатия на кнопку «Готово» может появиться вопрос о замене существующего сертификата новым. В окне запроса выберите «Да».
Дождитесь сообщения об успешной установке. Сертификат установлен.
