Добавление программ в исключения криптопро csp ошибка

Обновлено: 07.07.2024

По вопросам и ошибкам, которые вы не смогли решить самостоятельно, просим обращаться в Службу технической поддержки ГАУ РК "ЦИТ".

Решение типовых проблем (редакция от 23.12.2019 12:35)

Непосредственно проблемой это не является. Необходимо разобраться с причинами появления ошибки SSLGOST-004.

Продиагностировать прочие проблемы можно с использованием журнала CAPI (криптографической подсистемы) Windows:

  • Панель управления - Администрирование - Просмотр событий
  • Разворачиваете Журналы приложений и служб - Microsoft - Windows - CAPI2
  • Включаете журнал Operational (правой кнопкой - Включить)
  • Очищаете его (правой кнопкой - Очистить журнал), т.к. событий там может быть много
  • Открываете сохраненный сертификат, который не может провериться
  • Обновляете список событий в журнале и смотрите ошибки
  • После окончания диагностики, отключите журнал (очень много событий пишет)

В нормальном режиме работы таких конфигураций на сервере быть не должно, однако может случиться, что на одном виртуальном хосте установлен 1 сертификат, а на другом - другой (например, в ходе неполной замены сертификата администратором). Необходимо почистить кеш SSL в Internet Explorer, перезагрузиться, если не помогло - обратиться в Службу технической поддержки ГАУ РК "ЦИТ" с заявкой о возможной ошибке конфигурирования серверов SSLGOST.

Не удается отобразить эту страницу. Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2

Ошибка может появляться или всегда или периодически без каких-либо явных предпосылок

Попробуйте полностью выключить антивирус (не приостановить, а выключить), закрыть браузер и попробовать снова. Если помогло, то необходимо в настройках антивируса отключить инспекцию TLS/SSL для защищаемого сайта, либо добавить его в доверенные/исключения антивируса.

Чуть более сложный (и как минимум один раз не помог -- помогло включение в доверенные) — Разрешить перенаправления:

  • Открыть настройки браузера (сервис -> свойства обозревателя)
  • Перейти на вкладку Безопасность (Security)
  • Кликнуть на значок зоны "Интернет" (Internet)
  • Нажать на кнопку "Другой. " (Custom. )
  • Найти пункт "Разное -> Разрешить метаобновления" ("Miscellanous -> Allow META REFRESH") и установить его в "Разрешено" ("Enable")
  • Закрыть все окна браузера или перезагрузить компьютер.

Ошибка SSLGOST-001: Информационная система не идентифицирована

Часто бывает, что доступ к СЭД открыт для одной учетной записи (например, под той, под которой работал VPN), а в систему защиты (она же этот Портал по безопасности) вы входите под другой учетной записью. Необходимо сделать одно из следующих действий:

  1. Запустите через Пуск программу ViPNet CSP
  2. На вкладке с настройками установите галочку Включить поддержку работы ViPNet CSP через MS Crypto API
  3. Сохраните настройки
  4. Перезагрузите компьютер

Антивирус, прокси-сервера или другие программы (в основном защиты и мониторинга, но также могут и вирусы) на компьютере могут вклиниваться в систему шифрования ("резать", "инспектировать", "проверять" защищенные SSL/TLS-соединения).

Как минимум в таком были замечены: Avast (антивирус), Adguard (защита от рекламы), Kaspersky Internet Security, Kaspersky Endpoint Security 11, DLP Infowatch.

Необходимо проверить сертификат открывшегося сайта в браузере (обычно по нажатию на замочек виден - разных браузерах по разному). Сертификат сайта должен быть выдан ГАУ РК "ЦИТ" или Минкомсвязи (ГОСТ) или не самоподписанным CA (на 2019 г актуально GeoTrust RSA CA 2018).

Необходимо внести в исключения таких программ следующие адреса:

либо конкретный адрес информационной системы, при открытии которой появляются ошибки.

После изменения может потребоваться перезагрузка компьютера.

Если вклинивается вирус, его необходимо выявить и удалить.

Если все сертификаты выданы Local NetFlt CA 2, вероятнее всего это DLP (например, Infowatch).

Если ни один из криптопровайдеров не подходит, необходимо последовательно отключать поддержку TLS 1.2, TLS 1.1 в Internet Explorer, при этом оставляя включенным TLS 1.0 (проблема фиксировалась на IE 11.413.15063 на Windows 10). В IE:

При использовании КриптоПро ЭЦП Browser plug-in могут возникать ошибки, приводящие к тому, что плагин не работает или работает некорректно, из-за чего электронная подпись не создаётся. Рассмотрим наиболее распространённые варианты ошибок и разберёмся, как их устранить.

При проверке отображается статус «Плагин загружен», но нет информации о криптопровайдере

Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Картинка 2

При этой ошибке плагин не может сформировать запрос на создание ЭЦП. Она возникает, если по каким-то причинам нет возможности проверить статус сертификата. Например, если нет привязки к ключу или доступа к спискам отзыва. Также проблема может воспроизводиться, если не установлены корневые сертификаты.

Для устранения этой ошибки нужно привязать сертификат к закрытому ключу.

Сначала проверьте, строится ли цепочка доверия. Для этого нужно открыть файл сертификата, а затем вкладку Путь сертификации.

Ошибки

Если на значке сертификата отображается крест, это означает, что цепочка доверия не строится. В этом случае необходимо скачать и установить корневые и промежуточные сертификаты. Они должны быть доступны для загрузки на сайте удостоверяющего центра, который выпустил сертификат на ваше имя.

Для установки корневого сертификата необходимо:

  • Кликнуть правой кнопкой мыши по файлу.
  • В контекстном меню выбрать пункт Установить сертификат.
  • После запуска Мастера установки нажать Далее.
  • Выбрать вариант Поместить все сертификаты в выбранной хранилище и нажать Обзор.
  • Выбрать в списке хранилищ Доверенные корневые центры сертификации, нажать ОК, затем Далее.
  • Нажать Готово.

Установка промежуточных сертификатов выполняется точно так же, как и установка корневых, за исключением того, что в процессе установки вместо пункта Доверенные корневые центры сертификации нужно выбрать пункт Промежуточные центры сертификации.

Если вы создаёте ЭЦП таких форматов, как CAdES-T или CAdES-X Long Type 1, ошибка может возникать из-за отсутствия доверия к сертификату оператора службы предоставления штампов времени. В этой ситуации нужно установить корневой сертификат УЦ в доверенные корневые центры.

ЭЦП создаётся с ошибкой при проверке цепочки сертификатов

Создание ЭЦП с ошибкой

Данная проблема возникает из-за отсутствия доступа к спискам отозванных сертификатов. Списки должны быть доступны для загрузки на сайте удостоверяющего центра, который выпустил сертификат ЭЦП. Установка списков выполняется по той же схеме, что и установка промежуточного сертификата.

Ошибка несоответствия версии плагина

Данная проблема может возникнуть, если ваш браузер не поддерживает установленную версию плагина. Попробуйте воспользоваться другим обозревателем.

Ошибки 0x8007064A и 0x8007065B

Ошибки 0x8007064A и 0x8007065B

Ошибка возникает в связи с окончанием срока действия лицензий на КриптоПро CSP (КриптоПро TSP Client 2.0, Криптопро OCSP Client 2.0).

Чтобы создать электронную подпись с форматом CAdES-BES, необходима действующая лицензия на КриптоПро CSP. Создание ЭЦП с форматом CAdES-X Long Type 1 потребует наличия действующих лицензий:

  • КриптоПро CSP;
  • КриптоПро OCSP Client 2.0;
  • КриптоПро TSP Client 2.0.

После приобретения лицензии потребуется её активация.

Набор ключей не существует (0x80090016)

Набор ключей не существует

Возникает из-за того, что у браузера нет прав для выполнения операции. Для решения проблемы в настройках плагина добавьте сайт в Список доверенных узлов.

Отказано в доступе (0x80090010)

Отказано в доступе

Возникает в связи с истечением срока действия закрытого ключа. Чтобы проверить срок действия, запустите Крипто-Про CSP, затем откройте вкладку Сервис. Далее необходимо выбрать пункт Протестировать и указать контейнер с закрытым ключом. Если в результатах тестирования вы увидите, что срок действия закрытого ключа истёк, необходимо получить новый ключ.

необходимо получить новый ключ

Ошибка: Invalid algorithm specified. (0x80090008)

Появление такой ошибки означает, что криптопровайдер не поддерживает алгоритм используемого сертификата. Рекомендуется проверить актуальность версии КриптоПро CSP.

Если предлагаемые выше способы устранения ошибок не помогут, рекомендуем обратиться в службу поддержки КриптоПро.

У вас ещё нет электронной подписи? Её можно заказать у нас на сайте. Выберите подходящий вариант ЭЦП: для участия в электронных торгах, работы с порталами или отчётности. Процедура оформления не займёт больше одного дня.


The validity of the document certification is UNKNOWN.

Adobe Reader или Adobe Acrobat сообщает, что статус подписи НЕОПРЕДЕЛЕНА (UNKNOWN). Как я могу проверить подпись?

Для подписи документации КриптоПро используется усовершенствованная ЭП. Метод проверки ЭП, встроенный в Adobe Acrobat, не умеет проверять такие подписи. Для проверки усовершенствованной ЭП в документации КриптоПро следует использовать продукт КриптоПро PDF, который представляет собой встраиваемый модуль для Adobe Reader (версии 8, 9, X, XI или DC) или Adobe Acrobat (версии 8, 9, X, XI или DC всех вариантов исполнения).

Для функционирования КриптоПро PDF также должно быть установлено средство криптографической защиты информации КриптоПро CSP версии 3.6 или выше.

Для проверки подписи в программе Adobe Reader не требуется покупать и устанавливать лицензии для продуктов КриптоПро PDF и КриптоПро CSP.

Для проверки усовершенствованной ЭП в документации КриптоПро следует:

  • Установить КриптоПро CSP;
  • Установить КриптоПро PDF;
  • Установить набор корневых сертификатов.

По умолчанию при открытии документа проверяются все имеющиеся в нем ЭП.

Чтобы проверить подпись в документе вручную следует:

  1. Нажать кнопку Signatures , расположенную в Adobe Reader или Adobe Acrobat слева;
  2. Выбрать ЭП, которую следует проверить, и нажать правую кнопку мыши;
  3. В открывшемся контекстном меню выбрать пункт Validate Signature (Проверить подпись).

Проверка подписи

Выбранная подпись будет подвергнута проверке и появится окно с результатом проверки подписи.

Нужно ли мне покупать лицензию на программы КриптоПро PDF и КриптоПро CSP для того, чтобы проверять подписи в документации КриптоПро?

Для проверки подписи в программе Adobe Reader НЕ ТРЕБУЕТСЯ покупать и устанавливать лицензии для продуктов КриптоПро PDF и КриптоПро CSP.

Что означает статус подписи?

Подпись может иметь один из следующих статусов:

Обозначение Статус Описание
ДЕЙСТВИТЕЛЬНА Подписанные данные не были изменены с момента подписания.
ДЕЙСТВИТЕЛЬНА Подписанные данные не были изменены с момента подписания.
Однако в сам документ были внесены изменения.
НЕДЕЙСТВИТЕЛЬНА Подписанные данные документа были изменены или повреждены после подписания.
НЕОПРЕДЕЛЕНА Подписанные данные не были изменены с момента подписания.
Однако сертификат подписавшего определен как недоверенный.
НЕОПРЕДЕЛЕНА Подписанные данные не были изменены с момента подписания, но в сам документ были внесены изменения.
И сертификат подписавшего определен как недоверенный.
НЕОПРЕДЕЛЕНА На стадии проверки подписи возникли ошибки.

Что означает "Сертификат недоверенный (Untrusted)"?

Сертификат считается доверенным (Trusted), если одновременно выполняются следующие условия:

  1. Сертификат имеет корректную ЭП центра сертификации, выдавшего сертификат.
  2. Сертификат актуален на текущую дату по сроку действия.
  3. Сертификат центра сертификации, выдавшего сертификат, установлен в хранилище (ROOT) доверенных корневых сертификатов Windows.
  4. Сертификат отсутствует в актуальном на текущую дату списке отозванных сертификатов.

Если хотя бы одно из этих условий не выполнено, сертификат считается недоверенным.

Как я могу посмотреть подробную информацию о подписи?

Окно с информацией о подписи можно вызвать следующим образом:

  1. Нажать кнопку Signatures , расположенную в Adobe Reader или Adobe Acrobat слева;
  2. Выбрать ЭП, информацию о которой нужно посмотреть, и нажать правую кнопку мыши;
  3. В открывшемся контекстном меню выбрать пункт Show Signature Properties.

Проверка подписи

У меня в программе Adobe Acrobat есть разные виды подписи. Что такое сертифицирующая подпись? Какие вообще бывают подписи?

Компания Adobe в своих продуктах разделяет подписи на ЭП (в документации Adobe такие подписи называются цифровыми) и подписи от руки.

Подпись от руки представляет собой сделанную вручную пометку на странице, аналогичную рисунку произвольной формы, созданному при помощи инструмента "Карандаш". Подпись от руки не имеет никакого отношения к ЭП и не отображается на панели "Подписи".

Электронные подписи делятся на подписи для утверждения и сертифицирующие. Оба вида подписей позволяют утвердить содержимое файла PDF. Но сертифицирующая подпись обеспечивает более высокий уровень управления документом. С ее помощью можно указать допустимые типы изменений, при внесении которых документ останется сертифицированным.

Предположим, что государственной службе необходимо создать форму с полями подписи. Когда форма закончена, служба сертифицирует документ, позволяя пользователям изменять только поля формы и подписывать документ. Пользователи могут заполнять форму и подписывать документ подписью для утверждения. Однако при удалении страниц и добавлении комментариев документ утрачивает существующее сертифицированное состояние.

Описание различных типов подписей в программах Adobe приведено в таблице:

Подпись отображается в виде поля подписи в документе, и на панели "Подписи".

Может использоваться для многократного подписания документа PDF несколькими людьми.

Документ может быть сертифицирован как с видимой, так и без видимой подписи.

В первом случае подпись будет отображаться в виде поля подписи в документе и на панели "Подписи".

Во втором случае подпись будет отображаться только на панели "Подписи".

  • Удостоверяет документ PDF.
  • Может применяться только в том случае, если документ PDF не содержит других подписей.
  • Позволяет указывать типы изменений, разрешенных для документа (добавление комментариев, заполнение форм или добавление обычных подписей) или запретить любые дальнейшие изменения.

Рисунок в документе.

Как и почему функциональность КриптоПро PDF отличается для Adobe Reader и Adobe Acrobat?
Можно ли создать подпись в программе Adobe Reader?

Отличия в возможностях работы с электронной подписью в программах Adobe Reader и Adobe Acrobat обусловлены особенностями функционирования этих программ (такова политика их производителя - компании Adobe) и никак не связаны с работой модуля КриптоПро PDF.

в версиях 11.0.07 и выше, DC.

В версиях 8, 9, X, XI (до версии 11.0.07) — при предоставлении расширенного доступа к документу.

  • Автоматизация создания и проверки электронных подписей с помощью технологии OLE (см. ЖТЯИ.00064-01 90 02. КриптоПро PDF. Руководство по автоматизации создания и проверки электронных подписей).

К документам PDF с расширенным доступом относятся PDF-формы, предназначенные для заполнения пользователями в Adobe Reader или PDF-файлы, с которыми проведена операция расширения доступа. Операция расширения доступа или создания PDF-формы может быть осуществлена над произвольным документом PDF, при этом сам документ PDF может быть создан любым доступным способом.

Такая операция доступна в Adobe Acrobat редакций Professional и Pro. Обратите внимание, что в Adobe Acrobat редакции Standard операция расширения доступа присутствует в усеченном виде, и ее проведение не даст пользователям Adobe Reader возможности создания или добавления подписи.

Более подробную информацию о создании подписи можно получить на сайте компании Adobe: для Adobe Acrobat и для Adobe Reader.

У меня нет программы Adobe Acrobat. Как я могу попробовать создать подпись с помощью КриптоПро PDF в программе Adobe Reader?

Для создания ЭП в программе Adobe Reader Вам необходим документ PDF с расширенным доступом.

Читайте также: