Не задан адрес службы ocsp 0xc2110121 электронная подпись

Обновлено: 04.07.2024

Что такое Служба актуальных статусов

Служба актуальных статусов — это доверенный субъект Инфраструктуры открытых ключей (PKI), который предназначен для онлайновой проверки статуса сертификатов на основе протокола OCSP (Online Certificate Status Protocol).

Протокол OCSP. Краткое описание

Служба OCSP распространяет информацию о статусах сертификатов и имеет следующие преимущества по сравнению со списками отзыва сертификатов (СОС):

информация о статусе сертификатов всегда актуальна. Служба может получать информацию об изменении статусов сертификатов в реальном времени и распространять её клиентам.

меньший объём OCSP-ответа. Объём ответа службы фиксирован и сравнительно мал, в то время как списки отзыва сертификатов могут иметь большой объём. Это позволяет уменьшить время реакции приложений и может иметь решающее значение при создании долговременного архива документов с ЭЦП для уменьшения объёма единиц хранения.

Подлинность электронной подписи

сертификаты ЦС наряду со статусом отзыва, в форме СОС или же в форме информации о статусе сертификата (OCSP), предоставляемые через онлайн-услуги

свидетельство того, что подпись была создана заведомо до определенного момента времени.

Доставка синих ромашек в Москве (Antananarivo)

!Подробнее об усовершенствованной электронной подписи

Дополнительно читайте о том, какие параметры доступа в службу OCSP необходимо настроить для успешного получения улучшенной подписи.

Что требуется для работы с модулем OCSP?

Работа с OCSP службой потребует ПО КриптоАРМ Стандарт и Модуль OCSP/ КриптоАРМ Стандарт+

Если планируется использовать ГОСТ алгоритмы, то необходима покупка ГОСТ-ового криптопровайдера КриптоПро CSP или Signal COM CSP

Устранение ошибок сертификатов

В каких случаях определяется непригодность сертификата?

Истек срок действия сертификата

Как только сертификат вступает в действие, он автоматически начинает использоваться вместо того сертификата, срок действия которого истёк. Этот порядок используется как при истечении срока действия сертификатов ИФНС, так и при истечении срока действия сертификата спецоператора связи.

1. В справочнике организаций откройте соответствующую карточку.

Рис. 15-17 – Реквизиты сертификата

Сертификат был отозван

Удостоверяющие центры могут аннулировать и прекращать действие сертификатов, которые им были выданы (отзыв сертификатов). Списки отозванных сертификатов (списки отзыва) периодически публикуются удостоверяющими центрами. Эти списки регулярно рассылаются специализированными операторами связи системы в адрес своих абонентов.

Получение списка отзыва на стороне абонента происходит автоматически, в обычные сеансы доставки почты (вместе с документами с отчётностью).

Порядок рассылки спецоператорами связи новых сертификатов взамен отозванных такой же, как и при истечении срока действия сертификатов.

Непригоден / отсутствует корневой сертификат

Система работает с корневым сертификатом автоматически, без участия пользователя. Если сертификат соответствующего удостоверяющего центра отсутствует в корневом хранилище или непригоден (например, просрочен), использование сертификатов, изготовленных данным центром сертификации, прекращается.

Проверка условий использования сервиса

Будет произведена проверка выполнения нижеперечисленных условий использования сервиса.

Проверка операционной системы

Вы используете операционную систему, отличную от Microsoft Windows. Рекомендуется использовать ОС Windows XP SP3 или выше.

К сожалению, Вы не сможете воспользоваться сервисом.

Проверка интернет обозревателя

Вы используете интернет обозреватель, отличный от Microsoft Internet Explorer. Рекомендуется использовать Microsoft Internet Explorer версии 8.0 или выше.

К сожалению, Вы не сможете воспользоваться сервисом.

Проверка защищенного соединения с сервером с использованием алгоритмов ГОСТ 28147-89 и ГОСТ Р 34.10-2001

К сожалению, проверка возможности защищенного соединения к серверу окончилась неудачно. Это могло случиться по одной из следующих причин:

Проверка авторизации с использованием сертификата ключа подписи, выданного удостоверяющим центром, аккредитованным в сети доверенных УЦ ФНС России

К сожалению, проверка возможности авторизации с использованием сертификата ключа подписи окончилась неудачно. Это могло случиться по одной из следующих причин:

На Вашем компьютере не установлен сертификат ключа подписи, совместимый с КриптоПро (соответствующий ГОСТ 28147-89 и ГОСТ Р 34.10-2001).
Срок действия Вашего сертификата ключа подписи истек.
Используемый Вами сертификат ключа подписи выдан удостоверяющим центром, не аккредитованным Минкомсвязи России.
Ваш сертификат ключа подписи включен в список отозванных.

Все проверки завершились успешно. Вы можете начать работу с сервисом.

Antananarivo

$ openssl s_client -connect 1d.pw:443 -tlsextdebug -status

При использовании КриптоПро ЭЦП Browser plug-in могут возникать ошибки, приводящие к тому, что плагин не работает или работает некорректно, из-за чего электронная подпись не создаётся. Рассмотрим наиболее распространённые варианты ошибок и разберёмся, как их устранить.

При проверке отображается статус «Плагин загружен», но нет информации о криптопровайдере

Не удаётся построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

При этой ошибке плагин не может сформировать запрос на создание ЭЦП. Она возникает, если по каким-то причинам нет возможности проверить статус сертификата. Например, если нет привязки к ключу или доступа к спискам отзыва. Также проблема может воспроизводиться, если не установлены корневые сертификаты.

Для устранения этой ошибки нужно привязать сертификат к закрытому ключу.

Сначала проверьте, строится ли цепочка доверия. Для этого нужно открыть файл сертификата, а затем вкладку Путь сертификации.

Если на значке сертификата отображается крест, это означает, что цепочка доверия не строится. В этом случае необходимо скачать и установить корневые и промежуточные сертификаты. Они должны быть доступны для загрузки на сайте удостоверяющего центра, который выпустил сертификат на ваше имя.

Для установки корневого сертификата необходимо:

Кликнуть правой кнопкой мыши по файлу.
В контекстном меню выбрать пункт Установить сертификат.
После запуска Мастера установки нажать Далее.
Выбрать вариант Поместить все сертификаты в выбранной хранилище и нажать Обзор.
Выбрать в списке хранилищ Доверенные корневые центры сертификации, нажать ОК, затем Далее.
Нажать Готово.

Установка промежуточных сертификатов выполняется точно так же, как и установка корневых, за исключением того, что в процессе установки вместо пункта Доверенные корневые центры сертификации нужно выбрать пункт Промежуточные центры сертификации.

Если вы создаёте ЭЦП таких форматов, как CAdES-T или CAdES-X Long Type 1, ошибка может возникать из-за отсутствия доверия к сертификату оператора службы предоставления штампов времени. В этой ситуации нужно установить корневой сертификат УЦ в доверенные корневые центры.

ЭЦП создаётся с ошибкой при проверке цепочки сертификатов

Данная проблема возникает из-за отсутствия доступа к спискам отозванных сертификатов. Списки должны быть доступны для загрузки на сайте удостоверяющего центра, который выпустил сертификат ЭЦП. Установка списков выполняется по той же схеме, что и установка промежуточного сертификата.

Ошибка несоответствия версии плагина

Данная проблема может возникнуть, если ваш браузер не поддерживает установленную версию плагина. Попробуйте воспользоваться другим обозревателем.

Ошибки 0x8007064A и 0x8007065B

Ошибка возникает в связи с окончанием срока действия лицензий на КриптоПро CSP (КриптоПро TSP Client 2.0, Криптопро OCSP Client 2.0).

Чтобы создать электронную подпись с форматом CAdES-BES, необходима действующая лицензия на КриптоПро CSP. Создание ЭЦП с форматом CAdES-X Long Type 1 потребует наличия действующих лицензий:

КриптоПро CSP;
КриптоПро OCSP Client 2.0;
КриптоПро TSP Client 2.0.

После приобретения лицензии потребуется её активация.

Набор ключей не существует (0x80090016)

Возникает из-за того, что у браузера нет прав для выполнения операции. Для решения проблемы в настройках плагина добавьте сайт в Список доверенных узлов.

Отказано в доступе (0x80090010)

Возникает в связи с истечением срока действия закрытого ключа. Чтобы проверить срок действия, запустите Крипто-Про CSP, затем откройте вкладку Сервис. Далее необходимо выбрать пункт Протестировать и указать контейнер с закрытым ключом. Если в результатах тестирования вы увидите, что срок действия закрытого ключа истёк, необходимо получить новый ключ.

Ошибка: Invalid algorithm specified. (0x80090008)

Появление такой ошибки означает, что криптопровайдер не поддерживает алгоритм используемого сертификата. Рекомендуется проверить актуальность версии КриптоПро CSP.

Если предлагаемые выше способы устранения ошибок не помогут, рекомендуем обратиться в службу поддержки КриптоПро.

У вас ещё нет электронной подписи? Её можно заказать у нас на сайте. Выберите подходящий вариант ЭЦП: для участия в электронных торгах, работы с порталами или отчётности. Процедура оформления не займёт больше одного дня.

Да, ключ ЦБ для портал4 обновили.
Как и ожидалось, он такой же, как (новый) ключ ЦБ для ЦИК.

Комментарий

Да, ключ ЦБ для портал4 обновили.
Как и ожидалось, он такой же, как (новый) ключ ЦБ для ЦИК.

это один ключ БАНКА РОССИИ

для ЦИК есть свой отдельный ключ на который происходит шифрование при отправке данных)

Комментарий

Привет народ, может кто сталкивался с проблемой, не можем ответить на запрос предписание, постоянно выскакивает одна и та же ошибка что сертификат не найден. Есть у кого ни буть идеи по этому поводу? В настройках профиля на портале, во вкладке безопасность вы добавляете свой сертификат.
По тексту ошибки получается, что направляете данные, подписанны сертификатом, отличающимся от того что указан в настройках вашего профиля.
Сверьте отпечатки сертификата

Комментарий

Техподдержка ЦБ, конечно же, несколько дней подряд молчит.

Бодрого всем дня!

Коллеги, ну хоть у кого-нибудь была ошибка 0x8007064A на этапе подписания/шифрования? Очень сильно хочется её побороть, а то больно повальная ошибка.

Комментарий

МихаилС
Добрый день! Удалось устранить ошибку с установкой штампа времени? Уже вторую неделю мучаюсь, никак не получается настроить.

Комментарий

Бодрого всем дня!

Комментарий

Спасибо Вам за идею, добрый человек! На одной из машин эта идея подтвердилась - лицензия OSCP там истекшая.
Но вот теперь возникает другой вопрос. ЦБ совершенно официально заявлял о том, что для работы со штампом времени потребуется приобретение лицензий TSP. Об OSCP ведь ни слова не было.

Есть у кого-нибудь информация о необходимости использования OSCP-лицензий?

Комментарий

Просто в ЦБ об этом не подумали.
Они же и про необходимость лицензии на КриптоАРМ тоже в руководстве не написали, там всё просто "скачайте с сайта. ".

Комментарий

+1
ФинЦЕРТ свои письма им же подписывает. (Кстати, надо обновить.)

Комментарий

df1 меня отправил в нужном направлении. В нашем случае проблема оказалась в истекших лицензиях OSCP (что логично, ибо об этом никто не предупреждал).

Вот с такой конфигурацией у вас с вероятностью 90% не будет проблем с подписанием/шифрованием с использованием штампа времени и Вы избежите большинства ошибок:

Личный (привязанный к кабинету) - в личных
Корневые сертификаты для построения цепочки сертификации личного сертифика - в корневых сертификатах (желательно до самого верхнего уровня - до головного удостоверяющего центра)
Сертификат шифрования ЦБ - в других пользователях
Корневые сертификаты для построения цепочки сертификации сертификата шифрования - в корневых сертификатах (желательно до самого верхнего уровня - до головного удостоверяющего центра)

* Если у кого-то параллельно с версиями 2.0 TSP Client-а и OCSP Client-а присутствуют версии 1.0, то сносите установленные модули в Крипто АРМ. Заметил что при наличии версий 1.0 и 2.0 иногда возникают проблемы.
* Настройки Крипто АРМ не пишу - их можно глянуть в руководстве пользователя.

Я построю свой собственный сервис для подписания документов - FOX ©

Важное вступление

В гайде описывается формирование отсоединенной подписи в формате PKCS7 (рядом с файлом появится файл в формате .sig). Такую подпись может запросить нотариус, ЦБ и любой кому нужно долгосрочное хранения подписанного документа. Удобство такой подписи в том, что при улучшении ее до УКЭП CAdES-X Long Type 1 (CMS Advanced Electronic Signatures [1]) в нее добавляется штамп времени, который генерирует TSA (Time-Stamp Protocol [2]) и статус сертификата на момент подписания (OCSP [3]) - подлинность такой подписи можно подтвердить по прошествии длительного периода (Усовершенствованная квалифицированная подпись [4]).

Что имеем на входе?

КриптоПро CSP версии 5.0 - для поддержки Российских криптографических алгоритмов (подписи, которые выпустили в аккредитованном УЦ в РФ)

КриптоПро TSP Client 2.0 - нужен для штампа времени

КриптоПро OCSP Client 2.0 - проверит не отозван ли сертификат на момент подписания

Любой сервис по проверке ЭП - я использовал Контур.Крипто как основной сервис для проверки ЭП и КриптоАРМ как локальный. А еще можно проверить ЭП на сайте Госуслуг

КЭП по ГОСТ Р 34.11-2012/34.10-2012 256 bit, которую выпустил любой удостоверяющий центр

КриптоПро CSP версии 5.0 - у меня установлена версия 5.0.11944 КС1, лицензия встроена в ЭП.

КриптоПро TSP Client 2.0 и КриптоПро OCSP Client 2.0 - лицензии покупается отдельно, а для гайда мне хватило демонстрационного срока.

Контур.Крипто бесплатен, но требует регистрации. В нем также можно подписать документы КЭП, УКЭП и проверить созданную подпись загрузив ее файлы.

Так, а что надо на выходе?

А на выходе надо получить готовое решение, которое сделает отсоединенную ЭП в формате .sig со штампом времени на подпись и доказательством подлинности. Для этого зададим следующие критерии:

КриптоАРМ после проверки подписи

Заполнит поле "Время создания ЭП" - в конце проверки появится окно, где можно выбрать ЭП и кратко посмотреть ее свойства

В информации о подписи и сертификате (двойной клик по записе в таблице) на вкладке "Штампы времени" в выпадающем списке есть оба значения и по ним заполнена информация:

В протоколе проверки подписи есть блоки "Доказательства подлинности", "Штамп времени на подпись" и "Время подписания". Для сравнения: если документ подписан просто КЭП, то отчет по проверке будет достаточно коротким в сравнении с УКЭП.

Соберем проект с поддержкой ГОСТ Р 34.11-2012 256 bit

Гайд разделен на несколько этапов. Основная инструкция по сборке опубликована вместе с репозиторием DotnetCoreSampleProject - периодически я буду на нее ссылаться.

Первым делом создадим новую папку

. и положим туда все необходимое.

Инструкция делится на 2 этапа - мне пришлось выполнить оба, чтобы решение заработало. В папку добавьте подпапки .\runtime и .\packages

I - Сборка проекта без сборки corefx для Windows

Установите КриптоПро 5.0 и убедитесь, что у вас есть действующая лицензия. - для меня подошла втроенная в ЭП;

Установите core 3.1 sdk и runtime и распространяемый пакет Visual C++ для Visual Studio 2015 обычно ставится вместе со студией; прим.: на II этапе мне пришлось через установщик студии поставить дополнительное ПО для разработки на C++ - сборщик требует предустановленный DIA SDK.

Задайте переменной среды DOTNET_MULTILEVEL_LOOKUP значение 0 - не могу сказать для чего это нужно, но в оригинальной инструкции это есть;

Скачайте 2 файла из релиза corefx (package_windows_debug.zip и runtime-debug-windows.zip) - они нужны для корректной сборки проекта. В гайде рассматривается версия v3.1.1-cprocsp-preview4.325 от 04.02.2021:

package_windows_debug.zip распакуйте в .\packages

runtime-debug-windows.zip распакуйте в .\runtime

Добавьте источник пакетов NuGet в файле %appdata%\NuGet\NuGet.Config - источник должен ссылаться на путь .\packages в созданной вами папке. Пример по добавлению источника есть в основной инструкеии. Для меня это не сработало, поэтому я добавил источник через VS Community;

Склонируйте NetStandard.Library в .\ и выполните PowerShell скрипт (взят из основной инструкции), чтобы заменить пакеты в $env:userprofile\.nuget\packages\

Измените файл .\DotnetSampleProject\DotnetSampleProject.csproj - для сборок System.Security.Cryptography.Pkcs.dll и System.Security.Cryptography.Xml.dll укажите полные пути к .\runtime;

Перейдите в папку проекта и попробуйте собрать решение. Я собирал через Visual Studio после открытия проекта.

II - Сборка проекта со сборкой corefx для Windows

Выполните 1-3 и 6-й шаги из I этапа;

Склонируйте репозиторий corefx в .\

Выполните сборку запустив .\corefx\build.cmd - на этом этапе потребуется предустановленный DIA SDK

Выполните шаги 5, 7-9 из I этапа. Вместо условного пути .\packages укажите .\corefx\artifacts\packages\Debug\NonShipping, а вместо .\runtime укажите .\corefx\artifacts\bin\runtime\netcoreapp-Windows_NT-Debug-x64

На этом месте у вас должно получиться решение, которое поддерживает ГОСТ Р 34.11-2012 256 bit.

Немного покодим

Потребуется 2 COM библиотеки: "CAPICOM v2.1 Type Library" и "Crypto-Pro CAdES 1.0 Type Library". Они содержат необходимые объекты для создания УКЭП.

В этом примере будет подписываться BASE64 строка, содержащая в себе PDF-файл. Немного доработав код можно будет подписать hash-значение этого фала.

Условно процесс можно поделить на 4 этапа:

Поиск сертификата в хранилище - я использовал поиск по отпечатку в хранилище пользователя;

Чтение байтов подписанного файла;

Сохранение файла подписи рядом с файлом.

Пробный запуск

Для подписания возьмем PDF-документ, который содержит надпись "Тестовое заявление.":

Больше для теста нам ничего не надо

Далее запустим программу и дождемся подписания файла:

Готово. Теперь можно приступать к проверкам.

Проверка в КриптоАРМ

Время создания ЭП заполнено:

Штамп времени на подпись есть:

Доказательства подлинности также заполнены:

В протоколе проверки есть блоки "Доказательства подлинности", "Штамп времени на подпись" и "Время подписания":

Проверка на Госуслугах

Проверка в Контур.Крипто

Безусловно это решение не стоит брать в работу "как есть" и нужны некоторые доработки, но в целом оно работает и подписывает документы подписью УКЭП.

Это вообще законно?

С удовольствием узнаю ваше мнение в комментариях.

Ссылки на публичные источники

UPD1: Поменял в коде переменную, куда записываются байты файла подписи.

Также я забыл написать немного про подпись штампа времени - он подписывается сертификатом владельца TSP-сервиса. По гайду это ООО "КРИПТО-ПРО":

UPD2: Про библиотеки CAdESCOM и CAPICOM

Но при использовании пропатченных библиотек это исключение не выпадает и с приватным ключем можно взаимодействовать:

Читайте также: