Криптоарм выбранный вами сертификат недействителен. Ооо "цифровые технологии". Не удается установить «КриптоАРМ»: ошибка «Windows Installer»

В главе Часто задаваемые вопросы вы найдете информацию по следующим темам:

При проверке подписи файла на рабочем столе под Windows XP с КриптоПро CSP 2.0 (2089) появляется ошибка "Произошла ошибка при загрузке подписанных данных. Указан неправильный алгоритм. (0x80090008)". При подписи файла в окне выбора сертификатов подписи все ГОСТовые сертификаты красные (ошибка "Произошла ошибка при построении пути сертификации"), а при их просмотре выдается "Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен".

Данная ошибка проявляется в КриптоПро CSP 2.0 (в сборке 2089 включительно) при работе на Windows XP и связана с поздней загрузкой CSP. Для ее решения сохраните следующие строки в файл с расширением.reg и запустите его на исполнение или измените настройки в реестре вручную:
Код:
REGEDIT4
"Group"="COM Infrastructure"
"Group"="COM Infrastructure"

Программа «КриптоАРМ» сообщает, что "произошла ошибка при получении последней версии списка отзыва сертификатов (СОС) из Удостоверяющего центра"
Для использования возможности получения СОС из УЦ необходимо соблюдение следующих условий:

1. В проверяемом сертификате должно присутствовать расширение «Точка распространения СОС / CRL Distribution Point (CDP)».

При этом если значений (URL’ов) в расширении несколько, то КриптоАРМ попытается скачать СОС по всем адресам до первого успешного скачивания. Правда, поддерживаются не все, но часто используемые протоколы, такие как "ftp", "http" и "file"

1. По одной (оптимально, если по первой) из точек распространения СОС можно скачать СОС браузером, например, IE. При этом не вводя никакой дополнительной информации (имени пользователя, пароля, перехода по ссылкам)!

Протестировать можно следующим образом:
- закрыть все окна IE (т.к. они могут хранить параметры доступа к серверу);
- запустить IE и вставить в поле адреса URL из точки распространения СОС (например, для сертификата тестового КриптоПро УЦ

(http://www.cryptopro.ru/CertEnroll/Test%20Center%20CRYPTO-PRO.crl);
- нажать Enter, после чего IE должен сразу предложить сохранить скачанный файл СОС;
- сохранить СОС в файл и открыть его проводником Windows (должна без ошибок открыться форма просмотра СОС).

1. Должна быть зарегистрирована библиотека CPCRLUpdate.dll, которая находится в каталоге установки КриптоАРМ. При правильной установке КриптоАРМ она регистрируется автоматически, но вы можете ее зарегистрировать дополнительно, например:

regsvr32 "D:\Program Files\Digt\Trusted\Desktop\cpcrlupdate.dll"
Последнюю версию библиотеки можно получить на сервере КриптоПро по адресу:
ftp://cryptopro.ru/pub/CRLUpdate/cpcrlupdate.zip

Возможные ошибки обновления СОС:
1) 0x800401E4 (Синтаксическая ошибка / Invalid syntax) - может возникать в случае использования библиотеки CPCRLUpdate.dll версии 1.0.0.1, попробуйте ее обновить.
1) 0x800C0005 - ошибка скачивания СОС по сети, например, файл не найден или нет доступа.
2) 0x80092004 (Cannot find object or property.):
2.1) не найден издатель проверяемого сертификата;
2.2) файл СОС не соответствует проверяемому сертификату.
3) 0x80092007 (The specified certificate is self signed.) - проверяемый сертификат - самоподписанный. Нет смысла проверять самоподписанный сертификат по СОС, т.к. СОС подписывается тем же самым самоподписанным сертификатом.

КриптоАРМ не возвращает код ошибки. Чтобы его получить, надо выполнить следующие действия:

1. Создать папку, в нее сохранить проверяемый сертификат в Base64 формате с именем cert.cer;
2. Сохранить следующий код скрипта в файл с расширением.vbs:

Код:
Option Explicit

Dim fso, file
Set fso = CreateObject("Scripting.FileSystemObject")
Set file = fso.OpenTextFile("cert.cer", 1, False, 0)

Dim oCertBase64
oCertBase64 = file.ReadAll()
file.Close()

oCertBase64 = Right(oCertBase64, Len(oCertBase64) - 27)
oCertBase64 = Left(oCertBase64, Len(oCertBase64) - 27)
"MsgBox CStr(oCertBase64)

Dim oCrlUpdate
Set oCrlUpdate = CreateObject("CPCRLUPDATE.CRLUpdate")
oCrlUpdate.StoreLocation = 0
oCrlUpdate.UpdateInterval = 10

Dim bResult
bResult = oCrlUpdate.Update_BASE64(oCertBase64)
MsgBox bResult

1. Запустить файл скрипта из п.2.
2. В результате должно появиться сообщение "True" в случае успешного обновления СОС, либо сообщение с кодом ошибки.

Примечание: Если в проверяемом сертификате отсутствует CDP, то метод проверки возвращает "True".

Вопросы сотрудничества

Программа "КриптоАРМ" - для использования учебными заведениями. Что требуется указать в гарантийном письме, для того чтобы использовать программу?
Если вы предполагаете использовать программу "КриптоАРМ Старт", то она действительно бесплатна и вы можете использовать ее без предоставления каких-либо гарантийных писем. Речь по гарантийному письму может идти тогда, когда вы решите использовать версию "КриптоАРМ Стандарт" для работы с сертифицированными криптопровайдерами. (Версия "Старт" поддерживает работу только со стандартными Windows криптопровайдерами).

При оформлении документов или регистрации организации пользователи сталкиваются с ошибкой - «Не удается построить цепочку сертификатов для доверенного корневого центра». Если повторить попытку, ошибка появляется снова. Что делать в этой ситуации, читайте далее в статье.

Причины ошибки в цепочке сертификатов

Ошибки могут возникать по разным причинам - проблемы с Интернетом на стороне клиента, блокировка программного обеспечения Защитником Windows или другими антивирусами. Далее, отсутствие корневого сертификата Удостоверяющего Центра, проблемы в процессе криптографической подписи и другие.

Устранение ошибки при создании создания цепочки сертификатов для доверенного корневого центра

В первую очередь убедитесь, что у вас нет проблем с интернет-подключением. Ошибка может появляться при отсутствии доступа. Сетевой кабель должен быть подключен к компьютеру или роутеру.

1. Нажмите кнопку «Пуск» и напишите в поиске «Командная строка».
2. Выберите ее правой кнопкой мыши и нажмите «Запуск от администратора».
3. Введите в DOS-окне следующую команду «ping google.ru ».

При подключенном интернете у вас должны отобразиться данные об отправленных пакетах, скорости передачи и прочая информация. Если Интернета нет, вы увидите, что пакеты не дошли до места назначения.

Теперь проверим наличие корневого сертификата Удостоверяющего Центра. Для этого:

Если сертификата нет, его необходимо скачать. В большинстве случае он находится в корневых сертификатах и пользователю необходимо его только установить. Также стоит помнить, что лучше всего пользоваться браузером Internet Explorer, чтобы в процессе работы происходило меньше ошибок и сбоев. Попытайтесь найти УЦ в корневых сертификатах, после этого вам останется только нажать кнопку «Установить», перезапустите свой браузер, и вы решите проблему с ошибкой - «Не удается построить цепочку сертификатов для доверенного корневого центра».

Проверка корневого сертификата УЦ в браузере

Проверку можно выполнить в браузере.

1. Выберите в меню пункт «Сервис».
2. Далее нажмите строку «Свойства обозревателя».
3. Нажмите на вкладку «Содержание».
4. Здесь нужно выбрать «Сертификаты».
5. Следующую вкладка «Доверенные центры сертификации». Здесь должен быть корневой сертификат УЦ, обычно он находится на дне списке.

Теперь попробуйте снова выполнить те действия, в процессе которых возникла ошибка. Чтобы получить корневой сертификат, необходимо обратиться в соответствующий центр, где вы получили СКП ЭП.

Другие способы исправить ошибку цепочки сертификатов

Рассмотрим, как правильно загрузить установить и использовать КриптоПро. Чтобы убедиться, что программа не установлена на вашем ПК (если пользователей компьютером несколько), нужно открыть меню «Пуск». Затем выберите «Программы» и поищите в списке «КриптоПро». Если ее нет, то установим ее. Скачать программу можно по ссылке https://www.cryptopro.ru/downloads . Здесь вам нужна «КриптоПро CSP» - выберите версию.

В следующем окне вы должны увидеть сообщение о предварительной регистрации.

Установка КриптоПро

Когда установочный файл скачен, его нужно запустить для установки на ваш компьютер. Система отобразит предупреждение, что программа запрашивает права на изменение файлов на ПК, разрешите ей это сделать.

Перед установкой программы на свой компьютер, все ваши токены должны быть извлечены. Браузер должен быть настроен на работу, исключением является браузер Opera, в нем уже произведены все настройки по умолчанию. Единственное, что остается пользователю - это активировать специальный плагин для работы. В процессе вы увидите соответствующее окно, где Opera предлагает активировать этот плагин.

После запуска программы, нужно будет ввести ключ в окне.

Найти программу для запуска можно будет по следующему пути: «Пуск», «Все программы», «КриптоПро», «КриптоПро CSP». В открывшемся окне нажмите кнопку «Ввод лицензии» и в последней графе введите ключ. Готово. Теперь программу необходимо настроить соответствующим образом под ваши задачи. В некоторых случаях для электронной подписи используют дополнительные утилиты - КриптоПро Office Signature и КриптоАКМ. Можно устранить ошибку - нет возможности построить цепочку сертификатов для доверенного корневого центра - простой переустановкой КриптоПро. Попытайтесь это сделать, если другие советы не помогли.

Ошибка все еще появляется? Отправьте запрос в службу поддержки, в котором нужно разместить скриншоты ваших последовательных действий и объяснить подробно свою ситуацию.

ИНСТРУКЦИЯ

Установка нового сертификата пользователя другой стороны ЭДО в КриптоАРМ

1. Получение нового сертификата пользователя другой стороны

Получите новый сертификат (открытый ключ) пользователя другой стороны электронного документооборота (далее - ЭДО) по эл. почте, на электронном носителе или иным способом.

Распакуйте архив с файлом нового сертификата пользователя другой стороны ЭДО (*.rar или *.zip) в любую директорию (папку). Для этого на архивном файле нажимаем правую кнопку мыши, как показано на рис. 1.

После распаковки архива в указанной директории сохраняется файл нового сертификата пользователя другой стороны ЭДО с расширением *.cer (см. рис. 2)

2. Импорт нового сертификата пользователя другой стороны в КриптоАРМ

Запустите КриптоАРМ как показано на рис. 3

В запустившимся окне программы сделайте ИМПОРТ нового сертификата пользователя другой стороны. Для этого нажмите правую кнопку мыши на «Сертификаты других пользователей» и выберите «Импорт» (см. рис. 4):

В следующем окне «КриптоАРМ: Установка сертификатов, СОС и СДС» нажмите кнопку «Далее» (см. рис. 5).

Затем необходимо выбрать новый сертификат пользователя другой стороны. При появлении окна «Вставка диска» нажать кнопку «Отмена» (см. рис. 6). И выбрать файл нового сертификата пользователя другой стороны (*.cer), который был распакован ранее из полученного архива (*.rar) и нажать кнопку «Открыть» (см. рис. 7).

В следующем окне необходимо убедится что новый сертификат пользователя другой стороны прошел проверку статуса и является ДЕЙСТВИТЕЛЬНЫМ (см. рис. 8). Затем нажать кнопку «Далее».

В следующем запустившемся окне необходимо выбрать «Принудительно поместить в следующее хранилище: Сертификаты других пользователей» и нажать кнопку «Далее» (рис. 9).

В следующем окне нажать кнопку «Готово» (см. рис. 10).

После установки нового сертификата пользователя другой стороны в хранилище: Сертификаты других пользователей информация о сертификате появляется в общем списке хранилища (см. рис. 11).

3. Изменение Настройки в КриптоАРМ

Затем необходимо внести изменения в Настройку, созданную в КриптоАРМ для постановки ЭЦП и выполнения операций шифрования и расшифрования. Для этого в окне программы КриптоАРМ выбираем пункт «Настройки» и нажимаем правой кнопкой мыши на созданной ранее настройке для ЭДО и выбираем «Свойства» (см. рис. 12).

В открывшемся окне «Параметры настройки» во вкладке «Шифрование» в пункте «Сертификаты получателей по умолчанию» выбираем старый сертификат (сверяемся по дате) и нажимаем кнопку «Удалить» (см. рис. 13).

Затем нажимаем кнопку «Добавить» и из хранилища «Сертификаты других пользователей» выбираем новый сертификат пользователя другой стороны и нажимаем кнопку «ОК» (см. рис. 14, 15).

После добавления нового сертификата пользователя другой стороны нажимаем кнопку «ОК» (см. рис. 16).

Затем необходимо закрыть программу КриптоАРМ.

После выполнения вышеописанных действий осуществлен переход на использование в ЭДО нового сертификата пользователя другой стороны.

Не смотря на то, что программа КриптоАРМ во многих отраслях уже стала стандартом для электронной подписи, у пользователей по-прежнему возникает множество вопросов по работе с ней. Мы решили рассказать о том, как начать работу в КриптоАРМ и одновременно осветить наиболее часто задаваемые вопросы, которые возникают почти у всех: как исправить ошибку построения пути сертификации и ошибку отсутствия полного доверия к сертификату.

Обычно эта ошибка выглядит так:

Давайте сначала разберемся, почему эта ошибка возникает.

Отсутствие полного доверия к сертификату означает, что ваш компьютер не знает, может ли он доверять Удостоверяющему Центру (УЦ), который выдал вам сертификат, а соответственно - и самому вашему сертификату электронной подписи. Чтобы это исправить, нам нужно будет добавить этот УЦ в список доверенных на вашем компьютере.

Сообщение об ошибке построения пути сертификации говорит нам о том, что КриптоАРМ хотел бы проверить, нет ли вашего сертификата в списке отозванных. Такой список нужен для того, чтобы включать в него потерянные или украденные сертификаты. Если ваш сертификат в таком списке - им никто не может воспользоваться. Ссылка на такой список (его выкладывает УЦ на свой сайт) есть прямо в вашем сертификате, и если у вас есть подключение к Интернет, то КриптоАРМ сам может скачать и проверить, нет ли вашего сертификата в таком списке.

Можно сделать следующий вывод: если вы железобетонно уверены, что ваш УЦ правильный, и что вашего сертификата нет в списке отзыва - то можно ничего не делать и ошибки не исправлять. Это действительно так!

Шаг 1: Переводим КриптоАРМ в режим Эксперт

В КриптоАРМ почему-то в режиме Эксперт работать значительно проще, чем в режиме пользователя. Поэтому для начала перейдем в этот режим

Шаг 2: Подключаем сертификат электронной подписи

Здесь я руководствуюсь тем, что вы уже озаботились безопасностью вашего сертификата, приобрели токен , и положили туда свой сертификат. Ну или по крайней мере положили на дискету или флешку (и храните их в сейфе). Если все же нет - .

Подключаем отчуждаемый носитель

Выбираем криптопровайдер , как показано на скриншоте, а выбирая тип носителя, следует выбрать токен или дискету (флешка считается дискетой , не удивляйтесь).

или

Теперь выбираем контейнер. Контейнер, если упростить, это просто место где хранится сертификат на токене или флешке. В одном контейнере обычно лежит один сертификат, поэтому выбор контейнера сводится к выбору сертификата. Если у вас на носителе (флешке, токене, дискете) лежит несколько сертификатов - выберите именно тот, который вам нужен.

5

Если ваш контейнер хранится на токене (или в иных случаях), то нужно будет ввести пин-код. Для Рутокен стандартный пин-код 12345678 , для eToken - 1234567890 . Если вы все еще пользуетесь стандартным пин-кодом - стоит его сменить, ведь весь смысл использования токена заключается в защите сертификата пин-кодом.

Все, мы объяснили программе КриптоАРМ , где находится наш сертификат, но она ему не очень доверяет.

Шаг 2-1: Подключаем сертификат, если он не на съемном носителе

Если ваш сертификат лежит где-то на вашем локальном диске, то хочу вас предупредить - это очень небезопасно . Согласно данным Лаборатории Касперского, Россия находится в первой пятерке стран с наивысшей вероятностью заражения вирусами , при этом каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. А это значит, что злоумышленники, которые управляют вирусами, могут легко и непринужденно украсть ваш сертификат электронной подписи.

Я попытался найти простой способ добавить сертификат в КриптоАРМ, если он лежит на локальном диске, но не нашел. Поэтому единственный быстрый способ добавить сертификат с локального диска в КриптоАРМ - это положить его на флешку (прямо в корень, без папок) и .

Шаг 3: Добавляем сертификат УЦ в список доверенных центров сертификации

Для этого возвращаемся в основное окно КриптоАРМ, заходим Сертификаты - Личное хранилище сертификатов - Правой кнопкой мыши на ваш сертификат - Свойства

Переходим на вкладку "Статус Сертификата ", выбираем сертификат удостоверяющего центра (из него "вытекает" ваш сертификат), и нажимаем Просмотреть , а затем нажимаем кнопку Установить сертификат .

Выбираем пункт "Поместить все сертификаты в следующее хранилище ", нажимаем Обзор , а затем выбираем "Доверенные корневые центры сертификации ", а затем подтверждаем установку сертификата.