Нет доверия к этому корневому сертификату центра сертификации

19 март 2022 05:39 #20504

от

Добрый день! Был получен сертификат, после его установки у него был статус «Не найден корневой сертификат». Перейдя в свойства сертификата — путь сертификации было видно, что отсутствует сертификат Минцифры России, после его установки статус сертификата сменился на «Нет доверия к сертификату. Отозван промежуточный корневой сертификат». Что можно предпринять?

19 март 2022 08:12 — 19 март 2022 08:14 #20505

от

Degroshka пишет: Добрый день! Был получен сертификат, после его установки у него был статус «Не найден корневой сертификат». Перейдя в свойства сертификата — путь сертификации было видно, что отсутствует сертификат Минцифры России, после его установки статус сертификата сменился на «Нет доверия к сертификату. Отозван промежуточный корневой сертификат». Что можно предпринять?

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

______________________________

Лучше уже было (c)

19 март 2022 15:04 #20506

от

Добавление сертификата не помогло

20 март 2022 08:09 #20509

от

Всем привет на  fst-wolker.ru! Тема сегодняшнего выпуска — установка доверенных корневых сертификатов на компьютер Windows если возникает ошибка при подписи электронных документов.

Мы уже установили Крипто Про, установили из контейнера личные сертификаты на компьютер. Но этого бывает недостаточно, потому как  нужны корневые сертификаты удостоверяющих центров, подтверждающие  доверие к  выданной Вам электронно-цифровой подписи. Они тоже должны быть установлены на компьютере все.

Ошибка проверки установленного сертификата

При попытке подписать документ система сначала проверяет — можно ли установленному сертификату доверять? Электронную подпись изготавливают различные уполномоченные организации. Каждая из них использует свой корневой сертификат который выдан вышестоящим удостоверяющим центром.

Которому в свою очередь сертификаты выдает головной удостоверяющий центр РФ.

Таким образом, при создании электронно — цифровой подписи создается так называемая цепочка доверия. В этой цепочке (в порядке подчинения) сначала идут доверенные корневые сертификаты УЦ, промежуточные сертификаты,  затем личные сертификаты. Если у вас не установлен хотя бы один сертификат из цепочки -возникаеют ошибки  проверки:

У всех сертификатов имеется срок действия. Возможно, доверенный корневой сертификат УЦ просрочен и необходимо установить свежий.

Перехожу к исправлению ситуации.

Как проверить установленные личные сертификаты в Windows?

На компьютере так же есть хранилища для установки сертификатов:

  • Доверенные корневые центры сертификации;
  • Промежуточные центры сертификации;
  • Личные;

Просмотреть хранилища (и  находящиеся сертификаты в них) мы можем вызвав сочетанием клавиш Win+R меню «Выполнить» и введя туда команду:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Зайдя в папку «Сертификаты» нужного хранилища (слева) мы увидим установленные сертификаты (справа) кто их выдал, их сроки действия. Но как определить сертификат какого УЦ нам нужен конкретно для нашей подписи?  Для этого нужно открыть личный сертификат и посмотреть там всю цепочку доверия.

Как установить личный сертификат госуслуги в хранилище?

Предположим, что мы будем использовать выданную нам электронную цифровую подпись для входа на госуслуги. Можно установить личный сертификат через крипто про и там же просмотреть.

Но я открою свой сертификат прямо в хранилище личные (у меня он уже был установлен через крипто про):

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Если цепочка доверия нарушена наш личный сертификат выглядит так:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Указываем, что сертификат будет доступен только текущему пользователю компьютера:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Указываем автоматическую установку, на основе типа сертификата.

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Но, можно выбрать вручную хранилище «Личные» поместив «все сертификаты в следующее хранилище» если есть сомнения в том, что система все сделала правильно. Установленный сертификат в оснастке появится в хранилище «Личные».

Как установить корневой сертификат Минцифры?

Личный сертификат установлен. Но, мы должны еще установить какой-то корневой сертификат(ы). Как определить какому корневому сертификату подчинена наша подпись? Для этого переходим во вкладку «Путь сертификации»:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Видим, что наша подпись выдана Калуга — Астрал, это промежуточный сертификат.  Если прямо здесь  его открыть (кликнув по нему)  мы увидим, что  у него та же проблема потому что не установлен  корневой сертификат Минцифры (на его значке мы видим крест). Кликаем по значку сертификата Минцифры:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Промежуточные сертификаты обычно ставить руками не надо, они устанавливаются автоматически в нужное хранилище

При нажатии на файл доверенного корневого сертификата УЦ  появится запрос на его установку. Все делаем так же как и при установке личного сертификата. Только  корневые сертификаты устанавливаются в хранилище «Доверенные корневые центры сертификации».

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Из нашей статьи вы узнаете:

Программа «КриптоАРМ» сегодня входит в число стандартного ПО для простановки электронной цифровой подписи. Она постоянно совершенствуется, дорабатывается для предотвращения сбоев при использовании.

В большинстве случаев проблем при работе с «КриптоАРМ» не возникает, так как интерфейс программы интуитивно понятен, а алгоритмы безопасности полностью соответствуют актуальным стандартам. Однако пользователи периодически жалуются на наличие ошибки в виде отсутствия полного доверия к сертификату цифровой подписи. Выглядит ошибка так:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Проблему можно исправить своими силами, без обращения за помощью к техническим специалистам.

Особенности ошибки

Проблема «Нет полного доверия к сертификату подписи» свидетельствует о невозможности определить уровень доверия к удостоверяющему центру, который оформил данный сертификат.

Непосредственно эта ошибка никак не влияет на работу «КриптоАРМ» или электронной подписи, но для предотвращения последующих конфликтов во время проверки комплекта ключей стоит её исправить. Сделать это можно самостоятельно, выполнив несколько следующих шагов.

Решение проблемы

Шаг № 1. Переводим программу в экспертный режим, который предоставляет доступ к полному перечню функций.

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Шаг № 2. Выбираем подозрительный для операционной системы сертификат ЭЦП. Для этого:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Шаг № 3. Добавляем проблемный сертификат в перечень доверенных (именно отсутствие в последнем служит причиной появления ошибки). Для этого:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Сам процесс занимает несколько секунд и требует последующей перезагрузки системы.

Шаг № 4. Финальным этапом остаётся проверка сертификата по перечню отозванных. Для этого:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Как установить отозванные

В отдельных случаях для решения проблемы КриптоАРМ «Нет полного доверия к сертификату подписи» понадобится установка списка отозванных сертификатов (СОС) в дополнительном порядке. Для этого выполните следующие действия:

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Нет доверия к этому корневому сертификату центра сертификации чтобы включить доверие

Иногда в перечне списка СОС может быть две ссылки. В этом случае понадобится повторить данный шаг.

После завершения всех действий перезагрузите ваш компьютер. Если всё прошло корректно и действия были правильными, то проблем возникнуть не должно.

Если вам понадобилась дополнительная техническая консультация или появилась необходимость оформить электронную подпись, сделать это можно в УЦ «Калуга Астрал».

Получить дополнительную информацию можно по телефону, либо на сайте. Мы в течение 5 минут после получения заявки свяжемся с вами для уточнения вопросов. Мы расскажем, как получить электронную подпись и какие документы потребуются для этого.

1. Мастер импорта сертификатов

Если сертификат имеет расширение .crt, то его достаточно запустить двойным кликом:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

В открывшемся окне нажмите кнопку «Установить сертификат»:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Выберите один из вариантов:

  • «Текущий пользователь» — сертификат будет иметь эффект только для одного пользователя
  • «Локальный компьютер» — сертификат будет иметь эффект для всех пользователей данного компьютера
Читайте также:  Отчет пу 3 что это

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Выберите «Пометить все сертификаты в следующие хранилища»:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Сообщение об успешном импорте:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Теперь сертификат будет доступен в Менеджере Сертификатов:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

2. Добавление root CA сертификата в Менеджере Сертификатов

Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Укажите папку и имя файла:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Теперь действительно всё готово:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Только что импортированный сертификат в Менеджере Сертификатов:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Сертификат минкомсвязи корневой нет доверия

Очередной звонок — при подписании в СУФД стала выходить ошибка 0x800B010A.

Первым делом поставили корневые сертификаты казначейства.

Но к сожалению один из четырех сертификатов при открытии Выдавал эту ошибку. И ни как не хотел устанавливаться.

Нет доверия к этому корневому сертификату центра сертификации, поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации.

Нет доверия к этому корневому сертификату центра сертификации минкомсвязи

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Решение крылось в удалении нескольких веток в реестре.

После правки реестра я посоветовал перезагрузить компьютер и перезвонить. Но звонка не было.

Благо перед этим я взял у клиента его городской номер телефона — перезвонил и услышал «спасибо большое, все подписалось».

Во всплывающем предупреждающем окне нажмите «Открыть» (Рис. 2).

Откроется сертификат. Во вкладке «Общие» нажмите кнопку «Установить сертификат» (Рис. 3).

Откроется окно «Мастер импорта сертификатов». Нажмите кнопку «Далее» (Рис. 4).

Далее отметьте строку «Поместить все сертификаты в следующее хранилище» и нажмите кнопку «Обзор» (Рис. 5).

В открывшемся окне выберите «Доверенные корневые центры сертификации», затем нажмите кнопку «Ок» (Рис. 6).

В окне «Мастер импорта сертификатов» нажмите кнопку «Далее» (Рис. 7).

Далее нажмите кнопку «Готово» (Рис. 8).

Дождитесь завершения установки корневого сертификата. По окончанию нажмите кнопку «Ок» (Рис. 9).

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Ещё раз обращаем внимание: если у вас установлен Континент АП 3.7 с криптопровайдером от Кода Безопасности следует удалить в реестре следующие строки:

иначе при установке сертификата по ГОСТ 2012 возникает ошибка: (с галочкой автоматического поиска)

или (с поиском контейнера вручную)

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Если Континент АП устанавливается при уже установленных сертификатах по ГОСТ 2012 эти строки также следует удалить, иначе получите ошибку «сертификат содержит не действительную подпись или поврежден», на корневом и промежуточном будут кресты.

Извините, но у вас недостаточно прав для комментирования

(Пока оценок нет)

Если вы задаётесь вопросом, в какой папке хранятся сертификаты в Windows, то правильный ответ в том, что в Windows сертификаты хранятся в реестре. Причём они записаны в виде бессмысленных бинарных данных. Чуть ниже будут перечислены ветки реестра, где размещены сертификаты, а пока давайте познакомимся с программой для просмотра и управления сертификатами в Windows.

В Windows просмотр и управление доверенными корневыми сертификатами осуществляется в программе Менеджер Сертификатов.

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Здесь для каждого сертификата вы можете просматривать свойства, экспортировать и удалять.

Просмотр сертификатов в PowerShell

Чтобы просмотреть список сертификатов с помощью PowerShell:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Чтобы найти определённый сертификат выполните команду вида (замените «HackWare» на часть искомого имени в поле Subject):

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Теперь рассмотрим, где физически храняться корневые CA сертификаты в Windows. Сертификаты хранятся в реестре Windows в следующих ветках:

Сертификаты уровня пользователей:

Сертификаты уровня компьютера:

  • HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificates — содержит настройки для всех пользователей компьютера
  • HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificates — как и предыдущее расположение, но это соответствует сертификатам компьютера, развёрнутым объектом групповой политики (GPO (Group Policy))

Сертификаты уровня служб:

Сертификаты уровня Active Directory:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

И есть несколько папок и файлов, соответствующих хранилищу сертификатов Windows. Папки скрыты, а открытый и закрытый ключи расположены в разных папках.

Пользовательские сертификаты (файлы):

Компьютерные сертификаты (файлы):

Рассмотрим теперь где хранятся корневые CA сертификаты веб-браузеров.

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур. Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Удостоверяющий центр использует корневой сертификат, чтобы:

  • выдавать  сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
  • отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Если вы еще не получили электронную подпись, оформите ЭП в удостоверяющем центре, который прошел аккредитацию. В УЦ Контура есть подписи для сотрудников и руководителей, торгов, отчетности и личных дел.

Корневой сертификат участвует в «цепочке доверия». « Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.

Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).

Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.

Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».

2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».

Среднее звено «цепочки доверия». У Ц получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).

В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.

В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.

Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).

Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»

Программа установки всех сертификатов импортирует корневой сертификат Минцифры и промежуточные сертификаты УЦ. Подключение к интернету на момент установки не требуется.

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке  подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

  • при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
  • если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Корневой сертификат представляет собой файл, который содержит свойства и данные:

  • серийный номер,
  • сведения об УЦ,
  • сведения о владельце сертификата,
  • сроки его действия,
  • используемые алгоритмы
  • открытый ключ электронной подписи,
  • используемые средства УЦ и средства электронной подписи,
  • класс средств ЭП,
  • ссылка на сертификат «вышестоящего» УЦ, который выдал данный сертификат (для промежуточного сертификата),
  • ссылка на реестр аннулированных (отозванных) сертификатов (для промежуточного сертификата),
  • электронную подпись УЦ, выдавшего сертификат.
Читайте также:  Кировское районное отделение ФСС и Кировское, Октябрьское, Ленинского района Омское региональное отделение Фонда социального страхования РФ по улице Пушкина, 67 к 2

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.

УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. У Ц Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

  • Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
  • Зайдите в сервис автоматической настройки рабочего места Контур. Веб-диск.
  • Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.
  • Перейдите в раздел «Корневые сертификаты». Дальше возможны два варианта.
  • Выберите год, когда был выдан промежуточный сертификат УЦ Контура. Чтобы найти дату, откройте личный сертификат пользователя, выберите вкладку «Путь сертификации» и откройте промежуточный сертификат.

Если возникли ошибки — при установке корневого сертификата или при работе с электронной подписью — обратитесь в нашу техподдержку. Специалисты помогут разобраться в проблеме. Звоните на или пишите по контактам Центра поддержки, указанным в правом нижнем углу страницы.

Google Chrome

Использует общесистемные доверенные корневые центры сертификации.

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Как добавить корневой сертификат в доверенные в Windows в веб браузеры

Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.

Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Нажмите кнопку «Импортировать»:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Firefox

Поскольку он не найден в хранилище доверенных корневых сертификатов центров сертификации

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in  в браузерах  и предлагает способы их решения.


Появляется окно КриптоПро

CSP Вставьте ключевой носитель

Нет доверия к этому корневому сертификату центра сертификации

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью
.



Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Нет доверия к этому корневому сертификату центра сертификации

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Проверьте, строится ли цепочка доверия:
откройте сертификат (например через Пуск -> Все программы -> КриптоПро -> Сертификаты-Текущий Пользователь -> Личное -> Сертификаты), перейдите на вкладку Путь сертификации. Если на этой вкладке присутствуют красные кресты, или вообще нет ничего кроме текущего сертификата (кроме тех случаев если сертификат является самоподписанным), значит цепочка доверия не построена.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Нет доверия к этому корневому сертификату центра сертификации


Нет доверия к этому корневому сертификату центра сертификации

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 — страница сертифката, ссылка с серийным номером скачает файл сертификата

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) — Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Полученный от УЦ сертификат является промежуточным в цепочке Минкомсвязи -> УЦ -> вы, поэтому при его установке выбирайте хранилище «Промежуточные центры сертификации».

Важно:
Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.



При создании подписи появляется окно с ошибкой «Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)», в информации о сесртификате отображается «нет привязки к закрытому ключу»

Нет доверия к этому корневому сертификату центра сертификации

Выполните привязку сертификата к закрытому ключу
.

Важно: 
На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение «нет привязки к закрытому ключу» в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу
.



Подпись создается, но также отображается статус «ошибка при проверке цепочки сертификатов».

Это значит, что нет доступа к спискам отозванных сертификатов.

Нет доверия к этому корневому сертификату центра сертификации


Нет доверия к этому корневому сертификату центра сертификации

Причина ошибки — истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

— откройте Пуск -> Все программы -> КРИПТО-ПРО -> Управление лицензиями КриптоПро PKI

— введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.



Отказано в доступе (0x80090010)

Нет доверия к этому корневому сертификату центра сертификации

Причина ошибки: Истек срок действия закрытого ключа. Проверьте срок действия Зайдите в Пуск -> Все программы -> КРИПТО-ПРО -> Крипто-Про CSP. Перейдите на вкладку Сервис. Нажмите кнопку «Протестировать», выберите контейнер с закрытым ключом кнопкой «Обзор» или «По сертификату» и в результатах тестирования Вы сможете увидеть срок его действия. Рекомендуется получить новый ключ.

Нет доверия к этому корневому сертификату центра сертификации



Ошибка

: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример:
У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

Нет доверия к этому корневому сертификату центра сертификации поскольку он не найден

24 минуты назад, technohronik сказал:

Да. Там он кстати нормально отображается. Есть подозрение, что-то с контейнером.

Откройте свойства сертификата через криптопровайдер, если випнетовский контейнер, то через випнет csp и там путь сертификации.

Возможно какого-то промежуточного УЦ нет в доверенных, винда это не покажет, а криптопровайдер должен.

Развернута защищенная сеть ViPNet версии 3.2. Возникла проблема, что у большого количества пользователей сети стал недействителен сертификат по причине отсутствия доверия к корневому сертификату администратора (при этом срок действия сертификатов еще не истек). Сообщается, что «нет доверия к этому корневому сертификату центра сертификации». Скрины прилагаются.

Читайте также:  Сертификаты КриптоПро не попадают автоматически в личное хранилище сертификатов пользователя

В то же время корневой сертификат администратора и сертификат пользователя установлены в системное хранилище и имеют статус «действителен».

В УКЦ и доверенных сетях этот проблемный корневой сертификат администратора также имеет статус «действителен».

Подскажите, в чем может быть дело?

Снимок.PNG

1.PNG

Подробнее.PNG

Нет доверия к этому корневому сертификату центра сертификации поскольку он не найден

Ещё раз обращаем внимание: если у вас установлен Континент АП 3.7 с криптопровайдером от Кода Безопасности следует удалить в реестре следующие строки:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 1\CryptDllImportPublicKeyInfoEx\1.2.643.7.1.1.1.1  
  

иначе при установке  сертификата  по ГОСТ 2012 возникает ошибка: (с галочкой автоматического поиска)

или (с поиском контейнера вручную)

Нет доверия к этому корневому сертификату центра сертификации поскольку он не найден

Если Континент АП устанавливается при уже установленных сертификатах по ГОСТ 2012 эти строки также следует удалить, иначе получите ошибку «сертификат содержит не действительную подпись или поврежден», на корневом и промежуточном будут кресты.


Извините, но у вас недостаточно прав для комментирования

19 март 2022 05:39 #20504

от Degroshka

Добрый день! Был получен сертификат, после его установки у него был статус «Не найден корневой сертификат». Перейдя в свойства сертификата — путь сертификации было видно, что отсутствует сертификат Минцифры России, после его установки статус сертификата сменился на «Нет доверия к сертификату. Отозван промежуточный корневой сертификат». Что можно предпринять?

19 март 2022 08:12 — 19 март 2022 08:14 #20505

от Gvinpin

Degroshka пишет: Добрый день! Был получен сертификат, после его установки у него был статус «Не найден корневой сертификат». Перейдя в свойства сертификата — путь сертификации было видно, что отсутствует сертификат Минцифры России, после его установки статус сертификата сменился на «Нет доверия к сертификату. Отозван промежуточный корневой сертификат». Что можно предпринять?

2022-03-19_11-08-35.png


______________________________

Как получилось, так и хотели (c)

19 март 2022 15:04 #20506

от Degroshka

Добавление сертификата не помогло

20 март 2022 08:09 #20509

от Gvinpin


______________________________

Как получилось, так и хотели (c)

1. Мастер импорта сертификатов

Если сертификат имеет расширение .crt
, то его достаточно запустить двойным кликом:

Нет доверия к этому корневому сертификату центра сертификации

В открывшемся окне нажмите кнопку « Установить сертификат
»:

Нет доверия к этому корневому сертификату центра сертификации

Выберите один из вариантов:

  • « Текущий пользователь
    » — сертификат будет иметь эффект только для одного пользователя
  • « Локальный компьютер
    » — сертификат будет иметь эффект для всех пользователей данного компьютера

Нет доверия к этому корневому сертификату центра сертификации

Выберите « Пометить все сертификаты в следующие хранилища
»:

Нет доверия к этому корневому сертификату центра сертификации

Нажмите кнопку « Обзор
» и выберите « Доверенные корневые центры сертификации
»:

Нет доверия к этому корневому сертификату центра сертификации

Нет доверия к этому корневому сертификату центра сертификации

Нет доверия к этому корневому сертификату центра сертификации

Сообщение об успешном импорте:

Нет доверия к этому корневому сертификату центра сертификации

Теперь сертификат будет доступен в Менеджере Сертификатов:

Нет доверия к этому корневому сертификату центра сертификации

2. Добавление root CA сертификата в Менеджере Сертификатов

Чтобы открыть Менеджер Сертификатов нажмите Win+r
, введите в открывшееся поле и нажмите Enter:

  certmgr.msc  

Нет доверия к этому корневому сертификату центра сертификации

Нет доверия к этому корневому сертификату центра сертификации

Нет доверия к этому корневому сертификату центра сертификации

Укажите папку и имя файла:

Нет доверия к этому корневому сертификату центра сертификации

Нет доверия к этому корневому сертификату центра сертификации

Нет доверия к этому корневому сертификату центра сертификации

Нет доверия к этому корневому сертификату центра сертификации

Теперь действительно всё готово:

Нет доверия к этому корневому сертификату центра сертификации

Только что импортированный сертификат в Менеджере Сертификатов:

Нет доверия к этому корневому сертификату центра сертификации

Как добавить корневой сертификат в доверенные в Windows в веб браузеры

Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.

Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:

  • В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации
    :

Нет доверия к этому корневому сертификату центра сертификации

Нет доверия к этому корневому сертификату центра сертификации

Нажмите кнопку « Импортировать
»:

Нет доверия к этому корневому сертификату центра сертификации

Выберите файл с сертификатом.

Укажите, какие полномочия вы даёте этому сертификату:

Нет доверия к этому корневому сертификату центра сертификации

Всем привет на  fst-wolker.ru! Тема сегодняшнего выпуска — установка доверенных корневых сертификатов на компьютер Windows если возникает ошибка при подписи электронных документов.

Мы уже установили Крипто Про, установили из контейнера личные сертификаты
на компьютер. Но этого бывает недостаточно, потому как  нужны корневые сертификаты удостоверяющих центров, подтверждающие  доверие к  выданной Вам электронно-цифровой подписи. Они тоже должны быть установлены на компьютере все.

Ошибка проверки установленного сертификата

При попытке подписать документ система сначала проверяет — можно ли установленному сертификату доверять? Электронную подпись изготавливают различные уполномоченные организации. Каждая из них использует свой корневой сертификат который выдан вышестоящим удостоверяющим центром.

Которому в свою очередь сертификаты выдает головной удостоверяющий центр РФ.

Таким образом, при создании электронно — цифровой подписи создается так называемая цепочка доверия. В этой цепочке (в порядке подчинения) сначала идут доверенные корневые сертификаты УЦ, промежуточные сертификаты,  затем личные сертификаты. Если у вас не установлен хотя бы один сертификат из цепочки -возникаеют ошибки  проверки:

  • Отсутствует сертификат УЦ в хранилище корневых сертификатов [0x800B0109];
  • нет доверия к этому корневому сертификату центра сертификации;

У всех
сертификатов имеется срок действия. Возможно, доверенный корневой сертификат УЦ просрочен и необходимо установить свежий.

Перехожу к исправлению ситуации.

Как проверить установленные личные сертификаты в Windows?

На компьютере так же есть хранилища для установки сертификатов:


Доверенные корневые центры сертификации;

Промежуточные центры сертификации;

    Личные;

    Просмотреть хранилища (и  находящиеся сертификаты в них) мы можем вызвав сочетанием клавиш Win+R
    меню «Выполнить» и введя туда команду:

    Зайдя в папку «Сертификаты» нужного хранилища (слева) мы увидим установленные сертификаты (справа) кто их выдал, их сроки действия. Но как определить сертификат какого УЦ нам нужен конкретно для нашей подписи?  Для этого нужно открыть личный сертификат и посмотреть там всю цепочку доверия. Нет доверия к этому корневому сертификату центра сертификации

    Как установить личный сертификат госуслуги в хранилище?

    Предположим, что мы будем использовать выданную нам электронную цифровую подпись для входа на госуслуги

    . Можно у

    становить личный сертификат через крипто про и там же просмотреть Нет доверия к этому корневому сертификату центра сертификации
    .

    Но я открою свой сертификат прямо в хранилище личные (у меня он уже был установлен через крипто про):

    Нет доверия к этому корневому сертификату центра сертификации

    Если цепочка доверия нарушена наш личный сертификат выглядит так:

    Нет доверия к этому корневому сертификату центра сертификации
    Если у ваш сертификат еще не установлен в хранилище «личные» (Вам выдан сертификат  ЭЦП в виде файла *.сеr)  откроем полученный файл сертификата  через проводник , жмем кнопку «Установить сертификат»

    Нет доверия к этому корневому сертификату центра сертификации

    Указываем, что сертификат будет доступен только текущему пользователю компьютера:

    Нет доверия к этому корневому сертификату центра сертификации

    Указываем автоматическую установку, на основе типа сертификата.

    Нет доверия к этому корневому сертификату центра сертификации

    Но, можно выбрать вручную хранилище «Личные» поместив «все сертификаты в следующее хранилище» если есть сомнения в том, что система все сделала правильно. Установленный сертификат в оснастке появится в хранилище «Личные».

    Как установить корневой сертификат Минцифры?

    Личный сертификат установлен. Но, мы должны еще установить какой-то корневой сертификат(ы). Как определить какому корневому сертификату подчинена наша подпись? Для этого переходим во вкладку «Путь сертификации»:

    Нет доверия к этому корневому сертификату центра сертификации

    Видим, что наша подпись выдана Калуга — Астрал, это промежуточный сертификат.  Если прямо здесь  его открыть (кликнув по нему)  мы увидим, что  у него та же проблема потому что не установлен  корневой сертификат Минцифры (на его значке мы видим крест). Кликаем по значку сертификата Минцифры:

    Нет доверия к этому корневому сертификату центра сертификации

    Промежуточные сертификаты обычно ставить руками не надо, они устанавливаются автоматически в нужное хранилище

    При нажатии на файл доверенного корневого сертификата УЦ  появится запрос на его установку. Все делаем так же как и при установке личного сертификата. Только  корневые сертификаты устанавливаются в хранилище «Доверенные корневые центры сертификации».

    Нет доверия к этому корневому сертификату центра сертификации

    Оцените статью
    ФСС Help
    Добавить комментарий