Целостность этого сертификата не гарантирована возможно он поврежден или изменен windows 10

Обновлено: 02.07.2024

Ошибка "Этот сертификат содержит недействительную подпись" возникает при работе с личными сертификатами, которые используются для подписи электронных документов с использованием КриптоПРО. На разных форумах предлагают разные решения и судя по отзывам многие из них действительно помогают. Один из таких советов меня подтолкнул к решению проблемы. Я хочу поделиться всеми способами решения, которые я узнал, потому-что причины появления этой ошибки могут быть разными.

Наиболее частая причина появления ошибки "Этот сертификат содержит недействительную подпись" кроется в некорректных путях сертификации от личного сертификата до головного удостоверяющего центра, поэтому ее рассмотрим в первую очередь.

Возможные причины появления ошибки:

Некорректный путь сертификации

Эта та самая проблема, с которой пришлось столкнуться мне.
Удивительно, но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

Чтобы устранить ошибку "Этот сертификат содержит недействительную подпись" необходимо восстановить всю цепочку сертификации, установив в хранилище сертификаты всех промежуточных УЦ и Головного удостоверяющего центра.

Открываем хранилище сертификатов при помощью консоли certmgr.msc

открываем хранилище сертификатов

Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.

Этот сертификат содержит недействительную подпись

Как видно на рисунке в качестве корневого удостоверяющего центра указан "Минкомсвязь России", а промежуточного удостоверяющего центра ООО "КОМПАНИЯ "ТЕНЗОР".

В поле состояние сертификата наблюдаем ошибку: "Этот сертификат содержит недействительную подпись".

Теперь нам надо отследить всю цепочку сертификатов, которая содержит промежуточные сертификаты и сертификат головного удостоверяющего центра.

Вернемся на вкладку "Общие", чтобы проверить кем выдан личный сертификат. Сертификат выдан той же организацией, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

целостность этого сертификата не гарантирована

этот сертификат не удалось проверить


Находим в списке сертификат, который соответствует условиям.
Средства УЦ: КриптоПРО УЦ 2.0
Кем выдан: CN=Головной удостоверяющий центр
Действует: текущая дата входит в указанный промежуток дат.

Щелкаем по ссылке в поле "Отпечаток" и скачиваем сертификат.


Этот сертификат необходимо установить в промежуточные центры сертификации.


Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.


В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

Не работают алгоритмы шифрования КриптоПРО CSP

Открываем КриптоПРО CSP и переходим на вкладку "Алгоритмы".
Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.


Нарушение прав доступа к ветке реестра.

Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.

Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.

7 thoughts on “ Сертификат содержит недействительную цифровую подпись ”

Молодцы, отличная статья, мне помог первый вариант с установкой промежуточных центов сертификации.

Спасибо, мне помог трюк с установкой промежуточного центра сертификации, с сертификатом sbis.

Большое спасибо! Очень помогли. Единственное нормальное описание где и как найти сертификат промежуточного центра сертификации.

Сертификат ГБ в СУФД проблемы. Установка промежуточного сертификата ФК! Все работает!

не помогло с новыми сертификатами ФСС. как была надпись "Целостность этого сертификата не гарантирована. Возможно он изменён или повреждён ", так она и осталась.

Попробуйте всю процедуру установки необходимых программ и сертификатов на чистом ПК, лучше со свежеустановленной Windows. Если не помогло, то может действительно ваш сертификат поврежден и его необходимо перевыпустить.


Ещё раз обращаем внимание: если у вас установлен Континент АП 3.7 с криптопровайдером от Кода Безопасности следует удалить в реестре следующие строки:


иначе при установке сертификата по ГОСТ 2012 возникает ошибка: (с галочкой автоматического поиска)

или (с поиском контейнера вручную)


Если Континент АП устанавливается при уже установленных сертификатах по ГОСТ 2012 эти строки также следует удалить, иначе получите ошибку "сертификат содержит не действительную подпись или поврежден", на корневом и промежуточном будут кресты.

Извините, но у вас недостаточно прав для комментирования

Комментарии

КриптоПро CSP считает недействительны ми сертификаты по ГОСТ 2012,
Если сертификат открыть на просмотр:
Цитата: Вкладка - Общие:
Целостность этого сертификата не гарантирована, возможно он повреждён или изменён
Вкладка - Путь сертификации:
Этот сертификат содержит недействительную цифровую подпись.

Ошибки при просмотре
Корневого сертификата - Минкомсвязь России,

Решение:
Нужно удалить 2 раздела реестра от Кода Безопасности CSP:
Автоматически, с помощью файла:
"Удалить в реестре разделы от Кода Безопасности CSP, проверка сертификатов ГОСТ2012.bat"
Выполнять файл по правой кнопке мыши - Запуск от имени Администратора
файл можно скачать по ссылке yadi.sk/d/qogeDgfTUz6qYg

Чтобы не было такой ошибки:
Нужно соблюдать порядок установки
КриптоПРО - Первым устанавливается
Континент-АП - Вторым устанавливается

2. Аналогичная ошибка, Если Сертификат пользователя выпущен после 18.02.2020
созданный с использованием нового корневого сертификата УЦ ФК(Действительного с 05.02.2020 по 05.02.2035)

Ошибки при просмотре сертификата пользователя:

Причина ошибки проверки цифровой подписи:
На компьютере уже есть установленный
старый корневой сертификат УЦ ФК ГОСТ 2012 (Действительный с 19.11.2018 по 19.11.2033)
(Который может ещё требоваться для сертификатов клиентов ФК по ГОСТ 2012 выпущенных ранее и для работы на некоторых сайтах.),
но не установлен новый корневой сертификат УЦ ФК ГОСТ 2012 (Действительный с 05.02.2020 по 05.02.2035)

Решение:
Установка всех нужных корневых сертификатов для ГОСТ 2012 включая,
новый корневой сертификата УЦ ФК (Действительного с 05.02.2020 по 05.02.2035)
в хранилище сертификатов - Локальный компьютер
Root "Минкомсвязь России" Действующий по
CA "Федеральное казначейство" Действующий по
CA "Федеральное казначейство" Действующий по

с помощью автоматического инсталлятора
"root_2036 Локальный компьютер (ГОСТ 2012).exe"
ссылки для скачивания:
С Яндекс Диск "root_2036 Локальный компьютер (ГОСТ 2012).exe"
или с сайта sedkazna.ru файл: "root_2036 Локальный компьютер (ГОСТ 2012).zip"

Устанавливать нужно из-под пользователя с правами Администратора
и обязательно запускать файл правой кнопкой мыши - Запуск от имени Администратора

Шаг 1: Вы пробуете найти ответ с помощью быстрого поиска по базе знаний. Если ответ не найден, переходим на Шаг 2. Шаг 2: Для того что бы задать вопрос и получить ответ от нашего специалиста, нам необходима краткая информация о вас. Вы формируете вопрос, заполняете анкету и переходите на Шаг 3. Шаг 3: Если вы еще не наш клиент, Вам предоставляется выбор тарифа. Первый вопрос вы можете задать бесплатно. Важно! Мы работаем только с пользователями лицензионных программ 1С. Чтобы задать вопрос, вы должны знать регистрационный номер вашей программы 1С. Что это и как узнать номер, смотрите здесь.

Проверка регистрационного номера программного продукта показала, что , поэтому мы подготовили для Вас, следующие тарифы:

Бесплатно

  • 1 бесплатный вопрос
  • Консультация специалиста
  • Ответ в течении 3х рабочих дней

ИТС ТЕХНО

  • Доступ к лицензионным обновлениям программы
  • 1 консультация в месяц
  • Подключение сервиса «1С:ЭДО»

ИТС ЛК

  • Неограниченное количество консультаций
  • Помощь по телефону и email
  • Помощь по удаленному подключению

ИТС ПРОФ

  • Помощь специалиста в обновлениях и настройке программы
  • Неограниченное количество консультаций
  • Доступ к сервисам 1С .

Вопрос: При отправке отчетности пишет сертификат не валиден и когда заходишь в КриптоПро в сам сертификат пишет "Целостность этого сертификата не гарантирована. Возможно он поврежден или изменен."

Для устранения ошибки "Целостность этого сертификата не гарантирована. Возможно, он поврежден или изменен" нам необходимо использовать специальную программу - редактор реестра Windows - "REGEDIT". Для ее открытия нам нужно вызвать окно запуска служебных программ (Пуск - "Выполнить", или же нажав комбинацию клавиш на клавиатуре "Win+R"). В поле "Открыть" вводим команду "regedit" и нажимаем ОК.

Должно открыться окно "Редактор реестра". Это служебная программа для редактирования некоторых параметров операционной системы Windows.
В левой части открывшегося окна мы видим дерево реестра - папки

"HKEY_CLASSES_ROOT", "HKEY_CURRENT_USER" и т.д. Слева от каждой папки есть значок треугольника, кликнув на который откроются подразделы (ветки реестра), стоящие ниже. Нам нужно найти два подраздела:

И удалить их, кликнув правой кнопкой мыши на конечной папке (в нашем случае это папка "1.2.643.7.1.1.1.1") и выбрав "Удалить". Возможно, второго пути вы не найдете (если у вас 32-разрядная система Windows), в таком случае удаляем только первый.
После удаления ветки реестра необходимо перезагрузить компьютер.

Разобраться в проблеме самостоятельно – хорошее решение. Но время – деньги. Каждый месяц команда нашей линии консультаций отвечает на 4 тысячи вопросов.
Доверьтесь специалистам - сохраните свое время!

По вопросам и ошибкам, которые вы не смогли решить самостоятельно, просим обращаться в Службу технической поддержки ГАУ РК "ЦИТ".

Решение типовых проблем (редакция от 23.12.2019 12:35)

Непосредственно проблемой это не является. Необходимо разобраться с причинами появления ошибки SSLGOST-004.

Продиагностировать прочие проблемы можно с использованием журнала CAPI (криптографической подсистемы) Windows:

  • Панель управления - Администрирование - Просмотр событий
  • Разворачиваете Журналы приложений и служб - Microsoft - Windows - CAPI2
  • Включаете журнал Operational (правой кнопкой - Включить)
  • Очищаете его (правой кнопкой - Очистить журнал), т.к. событий там может быть много
  • Открываете сохраненный сертификат, который не может провериться
  • Обновляете список событий в журнале и смотрите ошибки
  • После окончания диагностики, отключите журнал (очень много событий пишет)

В нормальном режиме работы таких конфигураций на сервере быть не должно, однако может случиться, что на одном виртуальном хосте установлен 1 сертификат, а на другом - другой (например, в ходе неполной замены сертификата администратором). Необходимо почистить кеш SSL в Internet Explorer, перезагрузиться, если не помогло - обратиться в Службу технической поддержки ГАУ РК "ЦИТ" с заявкой о возможной ошибке конфигурирования серверов SSLGOST.

Не удается отобразить эту страницу. Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2

Ошибка может появляться или всегда или периодически без каких-либо явных предпосылок

Попробуйте полностью выключить антивирус (не приостановить, а выключить), закрыть браузер и попробовать снова. Если помогло, то необходимо в настройках антивируса отключить инспекцию TLS/SSL для защищаемого сайта, либо добавить его в доверенные/исключения антивируса.

Чуть более сложный (и как минимум один раз не помог -- помогло включение в доверенные) — Разрешить перенаправления:

  • Открыть настройки браузера (сервис -> свойства обозревателя)
  • Перейти на вкладку Безопасность (Security)
  • Кликнуть на значок зоны "Интернет" (Internet)
  • Нажать на кнопку "Другой. " (Custom. )
  • Найти пункт "Разное -> Разрешить метаобновления" ("Miscellanous -> Allow META REFRESH") и установить его в "Разрешено" ("Enable")
  • Закрыть все окна браузера или перезагрузить компьютер.

Ошибка SSLGOST-001: Информационная система не идентифицирована

Часто бывает, что доступ к СЭД открыт для одной учетной записи (например, под той, под которой работал VPN), а в систему защиты (она же этот Портал по безопасности) вы входите под другой учетной записью. Необходимо сделать одно из следующих действий:

  1. Запустите через Пуск программу ViPNet CSP
  2. На вкладке с настройками установите галочку Включить поддержку работы ViPNet CSP через MS Crypto API
  3. Сохраните настройки
  4. Перезагрузите компьютер

Антивирус, прокси-сервера или другие программы (в основном защиты и мониторинга, но также могут и вирусы) на компьютере могут вклиниваться в систему шифрования ("резать", "инспектировать", "проверять" защищенные SSL/TLS-соединения).

Как минимум в таком были замечены: Avast (антивирус), Adguard (защита от рекламы), Kaspersky Internet Security, Kaspersky Endpoint Security 11, DLP Infowatch.

Необходимо проверить сертификат открывшегося сайта в браузере (обычно по нажатию на замочек виден - разных браузерах по разному). Сертификат сайта должен быть выдан ГАУ РК "ЦИТ" или Минкомсвязи (ГОСТ) или не самоподписанным CA (на 2019 г актуально GeoTrust RSA CA 2018).

Необходимо внести в исключения таких программ следующие адреса:

либо конкретный адрес информационной системы, при открытии которой появляются ошибки.

После изменения может потребоваться перезагрузка компьютера.

Если вклинивается вирус, его необходимо выявить и удалить.

Если все сертификаты выданы Local NetFlt CA 2, вероятнее всего это DLP (например, Infowatch).

Если ни один из криптопровайдеров не подходит, необходимо последовательно отключать поддержку TLS 1.2, TLS 1.1 в Internet Explorer, при этом оставляя включенным TLS 1.0 (проблема фиксировалась на IE 11.413.15063 на Windows 10). В IE:

Читайте также: