Федеральное казначейство
официальный сайт Казначейства России
www.roskazna.ru
Часто задаваемые вопросы
Типичные ошибки Континент-АП при установке связи с сервером доступа
1. Ошибка «Client cert not found»
Для решения данной проблемы необходимо:
· Проверить, запущен ли процесс eapsigner161.exe;
· Если процесс не запущен, зайти в папку с установленной программой и запустить процесс вручную.
2. Ошибка «Неизвестная ошибка импорта сертификатов»
Для решения данной проблемы необходимо:
· удалить все сертификаты с истекшим сроком действия из хранилища «Личные» локального хранилища сертификатов системы (для этого можно воспользоваться оснасткой «mmc» (выбрав в меню Файл -> Добавить или удалить оснастку -> Сертификаты -> Добавить -> Готово -> Ок) или воспользоваться функционалом браузера Internet Explorer (выбрать в меню Сервис -> Свойства браузера -> Содержание -> Сертификаты));
· удалить из хранилища «Личные» локального хранилища сертификатов системы все сертификаты, которые в своем составе, в поле «Субъект», содержат следующие символы: , + ; “ ” « ».
3. Ошибка «Не совпадает подпись открытого эфемерного ключа»
Для решения данной ошибки необходимо при установке личного сертификата выбирать правильный контейнер закрытых ключей. Для этого можете воспользоваться функционалом оснастки КриптоПРО CSP, используя функцию «установить личный сертификат» во вкладке «сервис», которая в своем составе имеет возможность, путем проставления галочки, автоматического поиска соответствия между контейнером закрытых ключей (значением закрытого ключа) и значением открытого ключа, содержащегося в сертификате пользователя.
4. Ошибка «Сервер отказал в доступе пользователю не найден корневой сертификат»
Для решения данной ошибки необходимо:
· проверить издателя сертификата, который используется для установления соединения (сертификат для Континент-АП имеет в качестве издателя Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru»);
· проверить наличие в хранилище «Доверенные корневые центры сертификации» локального хранилища сертификатов системы сертификата Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru», в случае его отсутствия необходимо заново произвести установку сертификата пользователя.
5. Ошибка «Сервер доступа отказал пользователю в подключении. Причина отказа: Неизвестный клиент»
Для решения данной ошибки необходимо проверить правильность, указанных в Континент-АП, адресов серверов доступа. В УФК по Московской области используются следующие адреса серверов доступа:
4800-sd-01.roskazna.ru или 4800-sd-02.roskazna.ru.
Если в процессе подключения к одному из серверов доступа возникает подобная ошибка, необходимо произвести подключение на другой сервер доступа. В случае, если описанное выше не помогает решить проблему, необходимо позвонить в Управление Федерального казначейства по Московской области (по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
6. Если после установки Континент-АП произошла потеря интернет соединения необходимо в настройках сетевого адаптера, который используется для выхода в интернет, снять галочку в пункте «Continent 3 MSE Filter».
7. Ошибка «Сервер отказал в доступе пользователю. Причина отказа: многократный вход пользователя запрещен»
Для решения данной ошибки необходимо обратится в УФК по Московской области по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
8. Ошибка 721 либо 628
· Проверить, работает ли подключение к интернету на АРМ.
· Отключить МСЭ, брандмауэр либо другое ПО которое может блокировать служебные порты/протоколы Континент-АП.
· Исключить проблему в канале провайдера, попробовать использовать другого, к примеру, через 3-g модем. Если с другим провайдером работает — нужно обратиться к своему с запросом на открытие служебных портовпротоколов.
Федеральное казначейство
официальный сайт Казначейства России
www.roskazna.ru
Часто задаваемые вопросы
Типичные ошибки Континент-АП при установке связи с сервером доступа
1. Ошибка «Client cert not found»
Для решения данной проблемы необходимо:
· Проверить, запущен ли процесс eapsigner161.exe;
· Если процесс не запущен, зайти в папку с установленной программой и запустить процесс вручную.
2. Ошибка «Неизвестная ошибка импорта сертификатов»
Для решения данной проблемы необходимо:
· удалить все сертификаты с истекшим сроком действия из хранилища «Личные» локального хранилища сертификатов системы (для этого можно воспользоваться оснасткой «mmc» (выбрав в меню Файл -> Добавить или удалить оснастку -> Сертификаты -> Добавить -> Готово -> Ок) или воспользоваться функционалом браузера Internet Explorer (выбрать в меню Сервис -> Свойства браузера -> Содержание -> Сертификаты));
· удалить из хранилища «Личные» локального хранилища сертификатов системы все сертификаты, которые в своем составе, в поле «Субъект», содержат следующие символы: , + ; “ ” « ».
3. Ошибка «Не совпадает подпись открытого эфемерного ключа»
Для решения данной ошибки необходимо при установке личного сертификата выбирать правильный контейнер закрытых ключей. Для этого можете воспользоваться функционалом оснастки КриптоПРО CSP, используя функцию «установить личный сертификат» во вкладке «сервис», которая в своем составе имеет возможность, путем проставления галочки, автоматического поиска соответствия между контейнером закрытых ключей (значением закрытого ключа) и значением открытого ключа, содержащегося в сертификате пользователя.
4. Ошибка «Сервер отказал в доступе пользователю не найден корневой сертификат»
Для решения данной ошибки необходимо:
· проверить издателя сертификата, который используется для установления соединения (сертификат для Континент-АП имеет в качестве издателя Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru»);
· проверить наличие в хранилище «Доверенные корневые центры сертификации» локального хранилища сертификатов системы сертификата Корневой сертификат сервера доступа «ЦС СД Интернет», «4800-sd-01.roskazna.ru» или «4800-sd-02roskazna.ru», в случае его отсутствия необходимо заново произвести установку сертификата пользователя.
5. Ошибка «Сервер доступа отказал пользователю в подключении. Причина отказа: Неизвестный клиент»
Для решения данной ошибки необходимо проверить правильность, указанных в Континент-АП, адресов серверов доступа. В УФК по Московской области используются следующие адреса серверов доступа:
4800-sd-01.roskazna.ru или 4800-sd-02.roskazna.ru.
Если в процессе подключения к одному из серверов доступа возникает подобная ошибка, необходимо произвести подключение на другой сервер доступа. В случае, если описанное выше не помогает решить проблему, необходимо позвонить в Управление Федерального казначейства по Московской области (по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
6. Если после установки Континент-АП произошла потеря интернет соединения необходимо в настройках сетевого адаптера, который используется для выхода в интернет, снять галочку в пункте «Continent 3 MSE Filter».
7. Ошибка «Сервер отказал в доступе пользователю. Причина отказа: многократный вход пользователя запрещен»
Для решения данной ошибки необходимо обратится в УФК по Московской области по месту получения сертификата, необходимые контактные данные опубликованы на сайте mo.roskazna.ru в разделе ГИС > Удостоверяющий центр > Континент АП > Контакты).
8. Ошибка 721 либо 628
· Проверить, работает ли подключение к интернету на АРМ.
· Отключить МСЭ, брандмауэр либо другое ПО которое может блокировать служебные порты/протоколы Континент-АП.
· Исключить проблему в канале провайдера, попробовать использовать другого, к примеру, через 3-g модем. Если с другим провайдером работает — нужно обратиться к своему с запросом на открытие служебных портовпротоколов.
19 июнь 2018 08:55 #7652
от latupa
Стоял Континент АП 3.7.7.625, после автоматического обновления Windows 10, он слетел. Переустановили заново, при попытке подключения, пишет, что не найден корневой сертификат. Скачал корневой сертификат с сайта УФК, установил его в доверенные корневые, всё равно не находит. Потом попробовал на другом пк с Windows 7 x32, с Континент АП 3.7.5.474, при попытке установления сертификата пользователя выдаёт следующую ошибку : Неизвестная ошибка импорта сертификатов. Есть варианты решения хоть одной из текущих проблем?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 09:36 #7654
от two_oceans
С обновлением как всегда информации мало. Замечу только, что возможно проблема не в самом Континенте, а в связанных программах. Если у Вас сертификат сгенерирован через КриптоПро надо не забыть и КриптоПро переустановить. Кроме переустановку Континента лучше делать с зачисткой специальной утилитой после удаления одной версии и до установки другой версии.
Про корневой сертификат — скорее всего Вы скачали не тот корневой сертификат — есть 3 сертификата ФК: неквалифицированный (Континент 3), квалифицированный старый 2013 года, действующий до 28.06.2018 (УЦ Федерального казначейства), квалифицированный июля 2017 года (Федеральное Казначейство). Посмотрите в сертификате, которым подключаетесь, «Кем выдан» — выше указано в скобках. Если у Вас до переустановки сертификат работал, то скорее всего первый или второй.
Немного повторюсь про их установку. Для первого варианта не нужен сертификат головного удостоверяющего центра, его выдают с сертификатом Континента, ставится в «доверенные корневые». Для второго — действующая цепочка доверия также без головного удостоверяющего центра и УЦ 2 ИС ГУЦ. Здесь в какой-то теме уже выкладывали сертификат без головного удостоверяющего центра, тоже ставится в «доверенные корневые». Он истекает через 9 дней, так что если у Вас вариант второй пора формировать запрос на новый сертификат.
Для третьего все наоборот — обязательна установка сертификата головного удостоверяющего центра в «доверенные корневые», а сертификат ФК ставится в «промежуточные». Пока нет подтверждения, что сертификаты выданные третьим вариантом можно использовать в Континенте. 99% тех, у кого был один сертификат второго варианта для континента и СУФД, теперь сказали делать отдельный для Континента первого варианта и отдельный для СУФД третьего варианта.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 09:51 — 19 июнь 2018 10:31 #7655
от latupa
Поставил последнюю версию Континента 3.7.7.651 на Win 7×32, Так же стал ссылаться на отсутствие корневого сертификата. На сайте УФК нашёл только квалифицированный 2013 года и неквалифицированный(действие которого вообщё закончилось в 2016) и сертификат Головного удостоверяющего центра. Я установил 2 и 3, как корневые. Значит мне надо найти квалифицированный 2017 года? и его поставить уже как корневым? Или же квалифицированный 2013 года поставить, как промежуточный?
Upd: Вариант с промежуточным сертификатом (2013 года) и доверенным ( от головного) не помог
Upd2: Вариант с установкой, как корневым сертификатом (2017 года), так же не помог
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 13:54 — 19 июнь 2018 13:58 #7656
от casper800
Если речь идет про корневой сертификат континента, то скорее всего rootSDUFKLO2017 должен быть, у нас так. Он выдается вместе с user.cer в казначействе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 17:27 #7658
от Wmffre
latupa пишет: Потом попробовал на другом пк с Windows 7 x32, с Континент АП 3.7.5.474, при попытке установления сертификата пользователя выдаёт следующую ошибку : Неизвестная ошибка импорта сертификатов.
«Неизвестная ошибка импорта сертификатов» для Континент-АП 3.7.5 может возникать в частности тогда, когда в оснастке Сертификаты Windows в «Сертификаты-текущий пользователь —> Личное» установлен сертификат пользователя, имеющий недопустимые для Континент-АП символы. Удаляя по очереди личные сертификаты и затем пробуя устанавливать через Континент-АП 3.7.5.474 требуемый личный сертификат, Вы сможете определить проблемный личный сертификат. Подробности
здесь
.
Спасибо сказали: Alex_04
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 июнь 2018 02:34 — 20 июнь 2018 03:43 #7662
от two_oceans
Upd: Вариант с промежуточным сертификатом (2013 года) и доверенным ( от головного) не помог
Upd2: Вариант с установкой, как корневым сертификатом (2017 года), так же не помог
Ну серьезно… читаете и делаете наоборот?
Выше я писал, что 2013 года (второй вариант)
без головного удостоверяющего центра
. Для 2013 года нужен вариант где в обеих строках «кому выдан»,»кем выдан» указано «УЦ Федерального казначейства», ставится в корневые, не промежуточные. Если 2013 года и «кем выдан» указано «УЦ 2 ИС ГУЦ» — этот сертификат закончился год назад. К слову с «УЦ 1 ИС ГУЦ» закончился 4 года назад. Рекомендую качать с
федерального сайта ФК
, а не с областного.
А
2017 года (третий вариант)
с головным удостоверяющим центром
. И что 2017 года ставится в промежуточные, а Вы толкаете его в корневые.
Сейчас у Вас мешанина в хранилище сертификатов, пока не вычистите
все
сертификаты ФК и не установите заново, цепочки доверия вряд ли заработают. Собственно, Вам не нужно перебирать все сертификаты УЦ — у Вас есть сертификат которым соединяетесь и в нем указана строка «кем выдан». Просто скопируйте сюда и все станет намного яснее. И это опять же уже было выше.
скорее всего rootSDUFKLO2017
у нас название другое, но направление думаю верное.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
22 июнь 2018 02:09 #7682
от OlgaSt
У меня тоже была ошибка «неизвестная ошибка импорта сертификатов» в случаях, если при удалении предыдущей версии Континента АП (3.5.68) возникали проблемы. Решилось удалением сертификата в свойствах браузера. После этого в Континент АП (3.7) сертификат импортировался без проблем. На тех компьютерах, где предыдущая версия Континента АП была удалена без ошибок, удалять сертификат в свойствах браузера не потребовалось. На всех компьютерах Windows7 64.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 сен 2018 15:03 — 20 сен 2018 15:08 #8820
от AnnaM
Доброго всем дня!
Помогите пожалуйста.
ОС Windows 7 32bit
Только начали работать с Казначейством, установила КриптоПРО 4.0 и Континент АП (выдали на диске), сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
Установила Java. С сайта moscow.roskazna.ru скачала сертификаты
Головной удостоверяющий цент (действующий с 2012 по 2027):
— установлен в Сертификаты Текущий пользователь — Доверенные корневые центры (в данной вкладке есть только установленный сертификат)
и Федерального Казначейства (действующий с 2017 по 2027)
-установлен в Сертификаты Текущий пользователь — Промежуточные центры сертификации (в данной вкладке есть сертификаты DigiCert, Go Daddy, RapidSSL и федеральное казначейство)
В св-вах браузера во вкладках Доверенные корневые стоит сертификат Головного центра, а в Промежуточных Федерального казначейства.
Брандмауэр отключен, в службах остановлен.
В КриптоПро CSP установила пользовательский сертификат.
Зависимость пользовательского сертификата установилось: Головной центр — Федеральное казначейство — Пользователь
(Сертификат пользователю выдан Федеральным Казначейством)
В Континенте АП подключила пользователя, через Сертификаты — Установить Сертификат.
Тест Континента проходит.
Нажимаю «Установить соединение», программа выдает ошибку «Сервер отказал в доступе пользователю. Причина: не найден корневой сертификат».
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 сен 2018 15:27 #8821
от Alex67
AnnaM пишет: «Сервер отказал в доступе пользователю. Причина: не найден корневой сертификат».
Должен быть ещё корневой сертификат что то похожее на root.p7b
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 04:30 — 21 сен 2018 04:31 #8823
от Alex_04
Всё во это:
AnnaM пишет: Установила Java.
…
(Сертификат пользователю выдан Федеральным Казначейством)
к проблеме подключения Континента не относится.
Alex67 пишет: Должен быть ещё корневой сертификат что то похожее на root.p7b
+1, но есть вопросы исходя из этого:
AnnaM пишет: сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
1. Сформировали заявку для работы где: в СУФД (+ возможно ГМУ или ещё какая-нибудь ИС)?
2. Для Континент-АП отдельный запрос на сертификат не генерировали в нём самом же?
3. Имя полученного файла сертификата вида «Фамилия Имя Отчество.cer»?
От Ваших ответов зависят формулировки следующих вопросов и поиск решения проблемы.
«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 06:21 #8826
от AnnaM
Alex67 пишет: Должен быть ещё корневой сертификат что то похожее на root.p7b
Нет, на флешке не было файла с таким расширением.
AnnaM пишет: сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
1. Сформировали заявку для работы где: в СУФД (+ возможно ГМУ или ещё какая-нибудь ИС)?
Запрос на получение сертификата пользователя сформировала на сайте УФК по г.Москва, в разделе «Онлайн сервис подачи документов для получения сертификатов», этот же сайт формирует ключи, к которым привязан сертификат, заполняет форму заявления, все документы прикладываются в электронном виде, после чего предоставляются оригиналы и через 3-4 дня выдали флешку с сертификатом пользователя.
2. Для Континент-АП отдельный запрос на сертификат не генерировали в нём самом же?
Нет.
3. Имя полученного файла сертификата вида «Фамилия Имя Отчество.cer»?
Да, именно такой файл и был на флешке. Один.
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 06:34 #8827
от HappyHyman
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Два сертификата именно для Континента. Как правило имеют вид user.cer и root.p7b. Запрос на сертификат обычно создается через сам Континент АП, но лучше уточнить в отделе ОРСИБИ вашего Управления.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 08:59 — 21 сен 2018 09:07 #8843
от Alex_04
AnnaM пишет: 1. Запрос на получение сертификата пользователя сформировала на сайте УФК по г.Москва, в разделе «Онлайн сервис подачи документов для получения сертификатов».
2. Нет.
3. именно такой файл и был на флешке. Один.
Значит Вы получили сертификат
НЕ для Континент-АП
, а для для тех ИС, полномочия которых отмечали галками во время генерации запроса на портале ФЗС («Формирование запросов на сертификат», он же «Онлайн сервис подачи документов для получения сертификатов»).
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Не сейчас — позже. А в первую очередь, как правильно
HappyHyman пишет: Запрос на сертификат обычно создается через сам Континент АП, но лучше уточнить в отделе ОРСИБИ вашего Управления.
Очень редко встречаются регионы, где для Континент-АП используются те же сертификаты, что для СУФД и прочих ИС. Это обязательно надо узнать в отделе безопасности УФК, обслуживающего вашу организацию.
Скорей всего для Континент-АП понадобятся отдельные «свои» сертификаты. Тогда надо
в самой программе VPN клиент
(Континент-АП) сгенерировать запрос на сертификат в меню «Сертификаты — Создать запрос на пользовательский сертификат» и предоставить файл запроса (*.req) + подписанную печатную форму Заявки на сертификат в обслуживающий вас теротдел казначейства (или непосредственно в ОРСиБИ УФК).
Только после их принятия и обработки будет изготовлен пользовательский сертификат user.cer и выдан вместе с корневым сертификатом root.p7b.
«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 окт 2018 13:10 #8999
от ViktorGRBS
Рекомендую прежде чем осуществлять активную деятельность, расписать всё на бумажке: Континент- АП, (необходим для того то, того то, для его функционирования надо: 1.., 2…, 3…, ) и т.д.
тогда сформируется полная картина, Ху из Ху!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
22 окт 2018 10:34 #9067
от shaburoff
Такой вопрос — клиент установил сертификат в контейнер, как удалить сертификат из контейнера?
Экспорт закрытого ключа через хранилище сертификатов не прокатывает, пишет отказано в доступе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
1. Не установлены корневые сертификаты удостоверяющего центра (УЦ) Федерального Казначейства. Обычно сотрудники УФК записывают их на флеш-диск вместе с личным сертификатом пользователя. Здесь надо проверить их наличие в доверенных корневых центрах сертификации. Для этого надо войти по пути: Пуск — Панель управления — Свойства Обозревателя — Вкладка «Содержание» — Пункт «Сертификаты» — Пункт «Доверенные корневые центры сертификации«, опустить ползунок в самый них и посмотреть — какие корневые сертификаты установлены с российским обозначением. Если все сделано правильно — вы должны видеть примерно такую картину:
Если у вас в списке нет этих сертификатов — их надо скачать и установить, описание процедуры ниже. Также можно проверить наличие установленных сертификатов в системе нажав клавиши Win (клавиша в нижнем ряду клавиатуры со значком Виндовс) +R и в появившемся окне набрать certmgr.msc, нажать Enter.
2. Корневые сертификаты УЦ были ошибочно или намеренно удалены. Опять же — скачать и установить сертификаты.
3. У корневых сертификатов истек срок действия. Очень редкая ошибка, КС выдаются на длительный срок — от 5 до 10 лет, однако иногда выпускаются другие версии. Устранение ошибки в этом случае то же самое — скачать и установить свежие корневые сертификаты.
4. Проблема с Crypto Pro. Часто обновленные версии программы Крипто Про не совсем правильно работают с программами и сертификатами Казначейства. Мы уже писали об этом, например, здесь. Решение — переустановка Крипто Про на более новую или, наоборот, старую версию.
5. Ограниченные права пользователя. Ошибка Континент АП «Не найден корневой сертификат» была замечена в 10 версии Виндовс. Решение — дать пользователю полные права.
6. Неправильная работа программы Континент АП. Решение — полное удаление и установка актуальной версии программы Континент АП по имеющемуся на официальном сайте Руководству.
Ссылка на скачивание корневых сертификатов Казначейства
Скачать действующие корневые сертификаты удостоверяющего центра Казначейства можно с официального сайта по ссылке: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/
Для корректной работы необходимо скачать и установить оба предлагаемых файла сертификатов:
1. Сертификат Головного удостоверяющего центра Минкомсвязи,
2. Сертификат Удостоверяющего центра Федерального казначейства.
Даты их выпуска могут меняться, как правило, выпускаются они на несколько лет.
Как установить
Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища — Пользователь или Локальный компьютер. Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:
Если вы все сделали правильно — появится сообщение о том, что импорт был успешно выполнен. Эту же процедуру надо проделать с установкой второго корневого сертификата. Можете скачать архив с актуальными на момент написания статьи Корневыми сертификатами по этой ссылке (формат .rar).
Главная » Железо » Причины появления ошибки «Не найден корневой сертификат» в Континент АП
Проблемы с протоколом TSL – Не удается безопасно подключиться к этой странице
Код этой ошибки, как правило, появляется на экране при переходе на служебный или государственный web-сайт. Яркий пример – официальный портал ЕИС. Не исключено, что причиной сбоя стали устаревшие или небезопасные параметры протокола TSL. Это очень распространенная проблема. Пользователи сталкиваются с ней на протяжении длительного отрезка времени. Сейчас разберемся, что именно стало причиной появления данной ошибки и как ее устранить.
Безопасность подключения к web-сайту обеспечивается путем использования специальных протоколов шифрования – SSL и TSL. Они обеспечивают защиту передачи информации. Протоколы построены на использовании симметричных и асcиметричных инструментов шифрования. Также применяются коды аутентичности сообщений и прочие опции. В совокупности перечисленные меры позволяют сохранить анонимность подключения, поэтому третьи лица лишаются возможности расшифровать сессию.
Когда в браузере появляется ошибка, оповещающая о проблемах с протоколом TSL, то это значит, что web-сайт использует некорректные параметры. Следовательно, подключение действительно не является безопасным. Доступ к порталу автоматически блокируется.
Чаще всего с ошибкой сталкиваются пользователи, работающие через браузер Internet Explorer. Существует несколько причин появления этого сбоя, а именно:
- антивирус блокирует подключение к web-сайту;
- устарела версия утилиты «КриптоПро»;
- подключение к порталу осуществляется через VPN;
- некорректные настройки браузера Internet Explorer;
- в BIOS активирована функция «SecureBoot»;
- на компьютере есть зараженные файлы, вирусы.
С причинами появления ошибки разобрались. Самое время проанализировать возможные способы решения проблемы.
Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.
Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»
Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища — Пользователь или Локальный компьютер.
Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:
Решение проблемы «Для параметров безопасности протокола TLS не установлены значения по умолчанию, что также могло стать причиной ошибки» может состоять в способах, описанных ниже. Но перед их описанием рекомендую просто перезагрузить ваш ПК – при всей тривиальности данный способ часто оказывается довольно эффективным.
Если же он не помог, тогда выполните следующее:
Проблемы с протоколом TSL – Не удается безопасно подключиться к этой странице
Код этой ошибки, как правило, появляется на экране при переходе на служебный или государственный web-сайт. Яркий пример – официальный портал ЕИС. Не исключено, что причиной сбоя стали устаревшие или небезопасные параметры протокола TSL. Это очень распространенная проблема. Пользователи сталкиваются с ней на протяжении длительного отрезка времени. Сейчас разберемся, что именно стало причиной появления данной ошибки и как ее устранить.
Безопасность подключения к web-сайту обеспечивается путем использования специальных протоколов шифрования – SSL и TSL. Они обеспечивают защиту передачи информации. Протоколы построены на использовании симметричных и асcиметричных инструментов шифрования. Также применяются коды аутентичности сообщений и прочие опции. В совокупности перечисленные меры позволяют сохранить анонимность подключения, поэтому третьи лица лишаются возможности расшифровать сессию.
Когда в браузере появляется ошибка, оповещающая о проблемах с протоколом TSL, то это значит, что web-сайт использует некорректные параметры. Следовательно, подключение действительно не является безопасным. Доступ к порталу автоматически блокируется.
Чаще всего с ошибкой сталкиваются пользователи, работающие через браузер Internet Explorer. Существует несколько причин появления этого сбоя, а именно:
- антивирус блокирует подключение к web-сайту;
- устарела версия утилиты «КриптоПро»;
- подключение к порталу осуществляется через VPN;
- некорректные настройки браузера Internet Explorer;
- в BIOS активирована функция «SecureBoot»;
- на компьютере есть зараженные файлы, вирусы.
С причинами появления ошибки разобрались. Самое время проанализировать возможные способы решения проблемы.
Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.
Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»
Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища — Пользователь или Локальный компьютер.
Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:
Решение проблемы «Для параметров безопасности протокола TLS не установлены значения по умолчанию, что также могло стать причиной ошибки» может состоять в способах, описанных ниже. Но перед их описанием рекомендую просто перезагрузить ваш ПК – при всей тривиальности данный способ часто оказывается довольно эффективным.
Если же он не помог, тогда выполните следующее:
- Временно отключите ваш антивирус. В довольно многих случаях антивирус блокировал доступ к ненадёжным (по его оценкам) сайтам. Временно отключите антивирусную программу, или отключите в настройках антивируса проверку сертификатов (например, «Не проверять защищённые соединения» на антивирусе Касперского);
- Установите на ваш компьютер самую свежую версию программы «КриптоПро» (в случае предыдущей работы с данной программы). Устаревшая версия продукта может вызывать ошибку отсутствия безопасного подключения к странице;
- Измените настройки вашего IE. Перейдите в «Свойства браузера», выберите вкладку «Безопасность», далее кликните на «Надежные сайты» (там уже должен быть внесён адрес вашего портала, если нет, тогда внесите). Внизу снимите галочку с опции «включить защищенный режим».
Как решить проблему с параметрами безопасности TLS
Для начала необходимо решить проблему с антивирусом и убедиться, что дело не в нем. Необходимо проверить свои настройки антивирусного ПО. В каждой такой программе есть функция сканирования интернет-соединения. Она может работать неверно.
- Для антивируса Avast — откройте настройки, выберите раздел «Активная защита», нужный пункт должен быть возле пиктограммы щитка. Уберите с него галочку и включите HTTP сканирование. Сохраните настройки;
- Для антивируса Kaspersky — найдите раздел «не проверять защищенное соединение». Его можно найти во вкладке «Сканирование». Или в дополнительных настройках найдите «Установить сертификат». Сохраните настройки и перезагрузите ПК.
Необходимо также убедиться, что в вашей версии Windows установлены последние обновления.
- Для этого нажмите WIN+R и введите команду «services.msc»;
- Нажмите ENTER;
- Найдите в списке служб Windows «Центр обновления»;
- Нажмите правой кнопкой мыши на этой строке и выберите «Свойства»;
- В открывшемся окошке убедитесь, что установлено значение в блоке «Тип запуска» — «Автоматически»;
- Далее выберите кнопку «Пуск», «Панель управления»;
- Выберите «Система и безопасность»;
- Затем «Центр обновления» и нажмите кнопку «Проверить обновления».
Если существуют обновления для вашей операционной системы, они будут найдены и загружены. После этого нужно перезагрузить компьютер и дождаться завершения установки ПО. Затем снова попробуйте проверить, появляется ли сообщение — возможно, на данном сайте используется ненадежные параметры безопасности передачи данных по TLS.
Поиск и удаление вирусов на компьютере
Теперь рассмотрим, что делать, если в вашем компьютере поселился вирус, который блокирует безопасное соединение. Для начала попробуйте открыть установленный на вашем компьютере антивирус и запустите разные типы сканирования: «Полное сканирование», «Быстрое», «Интеллектуальное» и др. Попробуйте сканировать не только весь жесткий диск, но и отдельные тома и папки. Проверьте папки, в которых находятся файлы вашего браузера.
Утилита Dr.Web-CureIt для сканирования ПК на вирусы
Если это не дало результатов, воспользуйтесь специальными утилитами, которые предназначены для разового сканирования и поиска вредоносного программного обеспечения. Практически каждый разработчик полноценного антивирусного ПО (Dr.WEB, Kaspersky, ESET и др.) имеет специальную утилиту, которую можно взять на официальном сайте. Это по размеру небольшие программы, которые не нужно устанавливать на диск. Их достаточно запустить и указать путь для сканирования. Обязательно воспользуйтесь этим эффективным инструментом.
Заключение
Всегда надо думать и анализировать ситуацию в каждом конкретном случае. Бездумное использование советов что попадаются в интернете частенько не дает результата. Было желание написать разработчикам, но решил не лезть к ним со своими пожеланиями и замечаниями.
Возможно это вообще хохма реального разработчика. Такие конторы иногда являются только заказчиками программного обеспечения и не имеют отношения к разработке. Разработчики не сильно вдаваясь в задание делают так как сказано. Возможно даже видя глупость заказа выполняют его а потом тихонько хихикают.
Интересно увидеть ваши комментарии по этому поводу.
Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.
Присоеденяйтесь к общению Telegram чате
Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.
Учавствуйте в проекте «Команда ADMINS»
Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.
Читая их я получаю информацию которая позволяет мне улучшить качество написания статей. Кроме того, оставляя комментарии вы помогаете сайту получить более высокий рейтинг у поисковых систем. Давайте общаться.
Что такое SSL
Текущие тенденции сайтостроения предполагают высокую безопасность соединения пользователя с веб-ресурсом. Это необходимо для защиты персональных данных, секретных номеров банковских карт и информации о проводимых сделках. Организуется безопасность подключением протокола шифрования Secure Sockets Layer (сокращенно SSL).
- Сертификат выпускается доверенным центром Certification Authority (CA).
- После выдачи он подключается к домену средствами провайдера хостинга.
- Срок его действия ограничен 1 годом, после чего требуется продление.
Работа сайта возможна и без SSL, но поисковые системы «не доверяют» таким ресурсам и помечают их в браузере как неблагонадежные. Поэтому лучше разобраться, как решить проблему с защитой и полноценно пользоваться протоколом HTTPS. Сертификат актуален на сайтах, где присутствует регистрация, предлагается покупка товаров или онлайн-оплата различных сервисов.
При появлении любых сомнений в исправности защиты регистрироваться на сайте или вводить ранее выданные логин и пароль не рекомендуется. Тем более не стоит осуществлять онлайн-оплату с банковских карт или электронных кошельков, ведь не исключено, что проблема возникла из-за взлома ресурса злоумышленниками.
Как включить или отключить TLS 1.0
- Нажмите сочетание клавиш Win+R и введите inetcpl.cpl, чтобы быстро открыть свойства интернета.
- Перейдите во вкладку «Дополнительно«.
- В списке найдите протокол TLS 1.0, TLS 1.1 или TLS 1.2.
- Поставьте галочку, чтобы включить и уберите, чтобы отключить.
При работе в ЛК физического лица появляется окно (не окно КриптоПро) с требованием ввести пароль, но при этом пароля на контейнере нет или стандартный пин-код от токена не подходит.
1. Войдите в Личный кабинет Физического лица.
2. Откройте страницу «Главная» — «Профиль» — «Получить электронную подпись».
3. Если на открывшейся странице выбрана ЭП — удалите подпись и зарегистрируйте КЭП заново.
Проблема из-за обновлений Windows 7, 10
Если не запускается тест, это часто сопровождается установкой некоторых апдейтов операционки. Можно попробовать откатить обновы, но решение все равно временное, потому что Виндовс, как ни крути, обновлять нужно — хотя бы из соображений безопасности.
Если вы уже перепробовали все — и антивирус отключили, и программу заново установили, а все равно выдает ошибку, может быть, проблема в другом. Попробуйте внести модификации в файл integrity.xml — его можно без труда найти в установочной папке программы, а для изменения можно использовать банальные текстовые редакторы, например «Блокнот».
- Идите следующим путем: Диск C >> Program Files >> Security Code >> Terminal Station >> integrity.xml.
- Воспользовавшись «Блокнотом», откройте документ.
- Баг исправляется заменой содержимого:
Везде есть свои минусы — такая процедура снизит эффективность теста на целостность, но устранит ошибку и защитит от ее появления в дальнейшем. Кстати, эксперты советуют действовать так еще до того, как будет производиться установка криптопровайдера.
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Не видит корневые сертификаты. Настройка второй учетной записи на ПК.
 Sokolyanchik |
|
|
Статус: Новичок Группы: Участники Зарегистрирован: 11.10.2017(UTC) |
Добрый день. Коротко описание и суть проблемы. Имеется ПК под управление Windows 7 х64, с двумя учетными записями (обе учетные записи имеют права администратора). В одной учетной записи, устанавливаю КриптоПро CSP 3.6 R4 для Windows (универсальный установщик скаченный с официального сайта), устанавливаю личный сертификат пользователя; устанавливаю сертификаты корневого центра сертификации (в данном случае, сертификаты федерального казначейства), устанавливаю континент АП версии 3.7. Благополучно подключаюсь к СУФД и работаю. Проблема в следующем, во второй учетной записи проделываю все тоже самое. В итоге подключение через континент АП установить не удается, система не видит корневые сертификаты центра сертификации, хотя они установлены и отображаются в соответствующей ветке: сертификаты (текущий пользователь-доверенные корневые центры сертификации-реестр-сертификаты). В чем может проблема? |
 |
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 451 раз |
Здравствуйте. А если сертификат(ы) УЦ — установить только в хранилище локального компьютера, а не текущего пользователя (чтобы не настраивать для каждой учетной записи)? |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Sokolyanchik |
|
|
Статус: Новичок Группы: Участники Зарегистрирован: 11.10.2017(UTC) |
Автор: Андрей * Здравствуйте. А если сертификат(ы) УЦ — установить только в хранилище локального компьютера, а не текущего пользователя (чтобы не настраивать для каждой учетной записи)? Добавил корневые сертификаты в хранилище локального компьютера, один из сертификатов уже присутствовал, на всякий, перезаписал. Результат тот же. |
|
|
|
|
Sokolyanchik |
|
|
Статус: Новичок Группы: Участники Зарегистрирован: 11.10.2017(UTC) |
Любой сертификат пользователя открываю, на вкладке пусть сертификации, в поле состояние сертификата отображается статус: невозможно обнаружить поставщика этого сертификата. Перегружаюсь в другую учетную запись, все нормально, в поле отображается, у тех же самых сертификатов: сертификат действителен. Что сделал за это время, перестанавливал крипто-про, около 5 раз, каждый раз используя cspclean.exe при удалении. Добавлял личный сертификаты и корневые сертификаты разными способами, во все места, которые выдавая яндекс по данному запросу. Эксперимента ради, настроил на другом ПК, под управление windows 7 x32, результат-работает! Тут же ни в какую. Может еще варианты посоветуете, помимо того, поставить 32 битную винду. |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 451 раз |
>Любой сертификат пользователя открываю, на вкладке пусть сертификации, в поле состояние сертификата отображается статус: невозможно обнаружить поставщика этого сертификата Кроме корневого, вероятно, в хранилище Промежуточные ЦС должны быть сертификаты. Сверьте еще так: Совпадают? Отредактировано пользователем 12 октября 2017 г. 11:00:42(UTC) |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Sokolyanchik |
|
|
Статус: Новичок Группы: Участники Зарегистрирован: 11.10.2017(UTC) |
Да совпадают. Открываю промежуточный сертификат федерального казначейства и значения поля «имя УЦ и идентификатор ключа субъекта» совпадают с полем «идентификатор ключа ЦС» сертификата пользователя Ветка «путь сертификации» в нормальной учетной записи выглядит: головной удостоверяющий центр-федеральное казначейство-сертификат пользователя. |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 451 раз |
Гуц должен быть в корневых, а ФК в промежуточных. |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Sokolyanchik |
|
|
Статус: Новичок Группы: Участники Зарегистрирован: 11.10.2017(UTC) |
головной удостоверяющий центр импортирован в доверительные корневые центры сертификации Результат тот же, при открытии любого пользовательского сертификата, «недостаточно информации для проверки этого сертификата». |
|
|
|
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 451 раз |
Автор: Sokolyanchik головной удостоверяющий центр импортирован в доверительные корневые центры сертификации Результат тот же, при открытии любого пользовательского сертификата, «недостаточно информации для проверки этого сертификата». у ФК идентификатор ключа: |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Андрей Писарев |
|
|
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 451 раз |
Под проблемной учетной записью: |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
| Пользователи, просматривающие эту тему |
|
Guest |
Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 3.6
»
Не видит корневые сертификаты. Настройка второй учетной записи на ПК.
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Наконец то мы дождались изменений в настройке доступа к СУФД. С мая 2021 года УФК планомерно переводит ведомства на новый тип авторизации на портале. Что изменилось?
Уходят в небытие забытые пароли, учётные записи и, самое главное, казначейство наконец избавляется от Континент АП 3.7. К сожалению, сама контора, разрабатывающая континент — никуда не делась, вместо неё теперь используется Континент TLS VPN клиент. Зато теперь больше не нужно перевыпускать транспортные сертификаты =).
Что нам понадобится для настройки
1. Сертификат, полученный в казначействе на человека, указанного в карточке образцов подписей;
2. Крипто Про CSP 4;
3. Крипто Про ЭЦП Browser Plugin;
4. Континент TLS VPN клиент;
5. Почти любой современный браузер, но лучше всего подойдёт Chrome или Chromium Gost.
5. Серверный сертификат казначейства, его можно скачать по ссылке. Нам нужен тот, который до 11.05.2023;
6. Нужно знать прошлый адрес доступа к СУФД, либо знать код ТОФК.
Подготовка к настройке
1. Обязательно удаляем континент АП (если был), с обязательной перезагрузкой;
2. Первым делом нужно поставить Крипто Про CSP 4, желательно версии R5. Можно скачать с официального сайта, пробный бесплатный период использования — 3 месяца. Потом покупать, либо просить у казначейства;
3. Затем устанавливаем Континент TLS VPN клиент. Казначейство рекомендует версию 1.2, именно её можно получить сделав запрос в УФК, но я пользуюсь версией 2.0. Скачать Континент TLS VPN клиент 2.0 можно по ссылке;
4. После установки Континент нужно зарегистрировать — это бесплатно. Достаточно просто вбить ФИО, организацию и электронную почту.
5. Устанавливаем личный сертификат, полученный в казначействе. Если не умеете — см. статью Установка сертификатов Крипто Про в реестр.
6. Устанавливаем CADES, он же Крипто Про ЭЦП Browser Plugin. Ссылка на его загрузку — Тык.
Настройка Континент TLS VPN клиента
После установки всего и перезагрузки АРМ, запускаем наш TLS клиент. Его ярлык будет лежать на рабочем столе.
В меню Континент TLS-клиента необходимо нажать на «+ Добавить» и выбрать вкладку «Ресурс». В это поле вписываем адрес нашего суфд портала, но не старый адрес. Порт указываем 443.
Новый адрес выглядит по принципу: ufkXX.sufd.budget.gov.ru, где XX — номер вашего ТОФК. Если не знаете номер — посмотрите на прошлую ссылку, по которой ранее ходили в СУФД. В моём случае старый адрес выглядел так: s2000w03.ufk20.roskazna.local. Делаем вывод, в моём случае, для моего региона, новый адрес доступа к СУФД будет выглядеть так — ufk20.sufd.budget.gov.ru.
Далее нам потребуется установить серверный сертификат. Напоминаю, что скачать его можно тут (до 11.05.2023). Идём в раздел «Управление сертификатами» в континент TLS, выбираем пункт «Серверные сертификаты» и импортируем скачанный файлик.
Если на АРМ ранее не пользовались электронными подписями — будет ошибка типа «Не найден корневой сертификат, невозможно проверить цепочку сертификатов«. Скорее всего не установлены сертификаты минкомсвязи и удостоверяющего центра ФК.
Для удобства — вот ссылка на сертификат минкомсвязи (Обновлено 05.03.2022, теперь этот сертификат выдаётся минцифрой). Его устанавливаете в Доверенные корневые центры сертификации. А вот ссылка на актуальные корневые сертификаты УФК, их устанавливаете в Промежуточные центры сертификации.
Если ошибок нет, сертификат говорит что он действителен, пройдите на соседнюю вкладку «CDP» и прожмите пункт «Скачать CRL».
В настройках Континента можно включить автоматический старт программы при запуске компьютера — это удобно.
Вход в СУФД по новому адресу после настройки
Открываете свой любимый браузер. Удостоверьтесь в том, что Крипто Про ЭЦП Browser plugin включён и работает. Новый адрес доступа к СУФД будет выглядеть как в процессе настройки TLS клиента — то есть в моём случае это ufk20.sufd.budget.gov.ru.
Если всё настроено верно, то попытка зайти на портал попросит вас сразу же выбрать сертификат, под которым будет осуществлён вход.
Из неудобного — для подписания документов другим человеком теперь недостаточно перезайти в СУФД, так как сайт будет помнить, под каким сертификатом прошла авторизация. Чтобы зайти под другим человеком, нужно предварительно сбросить TLS соединение. Для этого в правом нижнем углу нажмите правой кнопкой на значок Континент TLS и нажмите «Сброс соединений»
1. Не установлены корневые сертификаты удостоверяющего центра (УЦ) Федерального Казначейства. Обычно сотрудники УФК записывают их на флеш-диск вместе с личным сертификатом пользователя. Здесь надо проверить их наличие в доверенных корневых центрах сертификации. Для этого надо войти по пути: Пуск — Панель управления — Свойства Обозревателя — Вкладка «Содержание» — Пункт «Сертификаты» — Пункт «Доверенные корневые центры сертификации«, опустить ползунок в самый них и посмотреть — какие корневые сертификаты установлены с российским обозначением. Если все сделано правильно — вы должны видеть примерно такую картину:
Если у вас в списке нет этих сертификатов — их надо скачать и установить, описание процедуры ниже. Также можно проверить наличие установленных сертификатов в системе нажав клавиши Win (клавиша в нижнем ряду клавиатуры со значком Виндовс) +R и в появившемся окне набрать certmgr.msc, нажать Enter.
2. Корневые сертификаты УЦ были ошибочно или намеренно удалены. Опять же — скачать и установить сертификаты.
3. У корневых сертификатов истек срок действия. Очень редкая ошибка, КС выдаются на длительный срок — от 5 до 10 лет, однако иногда выпускаются другие версии. Устранение ошибки в этом случае то же самое — скачать и установить свежие корневые сертификаты.
4. Проблема с Crypto Pro. Часто обновленные версии программы Крипто Про не совсем правильно работают с программами и сертификатами Казначейства. Мы уже писали об этом, например, здесь. Решение — переустановка Крипто Про на более новую или, наоборот, старую версию.
5. Ограниченные права пользователя. Ошибка Континент АП «Не найден корневой сертификат» была замечена в 10 версии Виндовс. Решение — дать пользователю полные права.
6. Неправильная работа программы Континент АП. Решение — полное удаление и установка актуальной версии программы Континент АП по имеющемуся на официальном сайте Руководству.
Ссылка на скачивание корневых сертификатов Казначейства
Скачать действующие корневые сертификаты удостоверяющего центра Казначейства можно с официального сайта по ссылке: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/
Для корректной работы необходимо скачать и установить оба предлагаемых файла сертификатов:
1. Сертификат Головного удостоверяющего центра Минкомсвязи,
2. Сертификат Удостоверяющего центра Федерального казначейства.
Даты их выпуска могут меняться, как правило, выпускаются они на несколько лет.
Как установить
Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища — Пользователь или Локальный компьютер. Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:
Если вы все сделали правильно — появится сообщение о том, что импорт был успешно выполнен. Эту же процедуру надо проделать с установкой второго корневого сертификата. Можете скачать архив с актуальными на момент написания статьи Корневыми сертификатами по этой ссылке (формат .rar).
19 июнь 2018 08:55 #7652
от latupa
Стоял Континент АП 3.7.7.625, после автоматического обновления Windows 10, он слетел. Переустановили заново, при попытке подключения, пишет, что не найден корневой сертификат. Скачал корневой сертификат с сайта УФК, установил его в доверенные корневые, всё равно не находит. Потом попробовал на другом пк с Windows 7 x32, с Континент АП 3.7.5.474, при попытке установления сертификата пользователя выдаёт следующую ошибку : Неизвестная ошибка импорта сертификатов. Есть варианты решения хоть одной из текущих проблем?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 09:36 #7654
от two_oceans
С обновлением как всегда информации мало. Замечу только, что возможно проблема не в самом Континенте, а в связанных программах. Если у Вас сертификат сгенерирован через КриптоПро надо не забыть и КриптоПро переустановить. Кроме переустановку Континента лучше делать с зачисткой специальной утилитой после удаления одной версии и до установки другой версии.
Про корневой сертификат — скорее всего Вы скачали не тот корневой сертификат — есть 3 сертификата ФК: неквалифицированный (Континент 3), квалифицированный старый 2013 года, действующий до 28.06.2018 (УЦ Федерального казначейства), квалифицированный июля 2017 года (Федеральное Казначейство). Посмотрите в сертификате, которым подключаетесь, «Кем выдан» — выше указано в скобках. Если у Вас до переустановки сертификат работал, то скорее всего первый или второй.
Немного повторюсь про их установку. Для первого варианта не нужен сертификат головного удостоверяющего центра, его выдают с сертификатом Континента, ставится в «доверенные корневые». Для второго — действующая цепочка доверия также без головного удостоверяющего центра и УЦ 2 ИС ГУЦ. Здесь в какой-то теме уже выкладывали сертификат без головного удостоверяющего центра, тоже ставится в «доверенные корневые». Он истекает через 9 дней, так что если у Вас вариант второй пора формировать запрос на новый сертификат.
Для третьего все наоборот — обязательна установка сертификата головного удостоверяющего центра в «доверенные корневые», а сертификат ФК ставится в «промежуточные». Пока нет подтверждения, что сертификаты выданные третьим вариантом можно использовать в Континенте. 99% тех, у кого был один сертификат второго варианта для континента и СУФД, теперь сказали делать отдельный для Континента первого варианта и отдельный для СУФД третьего варианта.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 09:51 — 19 июнь 2018 10:31 #7655
от latupa
Поставил последнюю версию Континента 3.7.7.651 на Win 7×32, Так же стал ссылаться на отсутствие корневого сертификата. На сайте УФК нашёл только квалифицированный 2013 года и неквалифицированный(действие которого вообщё закончилось в 2016) и сертификат Головного удостоверяющего центра. Я установил 2 и 3, как корневые. Значит мне надо найти квалифицированный 2017 года? и его поставить уже как корневым? Или же квалифицированный 2013 года поставить, как промежуточный?
Upd: Вариант с промежуточным сертификатом (2013 года) и доверенным ( от головного) не помог
Upd2: Вариант с установкой, как корневым сертификатом (2017 года), так же не помог
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 13:54 — 19 июнь 2018 13:58 #7656
от casper800
Если речь идет про корневой сертификат континента, то скорее всего rootSDUFKLO2017 должен быть, у нас так. Он выдается вместе с user.cer в казначействе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
19 июнь 2018 17:27 #7658
от Wmffre
latupa пишет: Потом попробовал на другом пк с Windows 7 x32, с Континент АП 3.7.5.474, при попытке установления сертификата пользователя выдаёт следующую ошибку : Неизвестная ошибка импорта сертификатов.
«Неизвестная ошибка импорта сертификатов» для Континент-АП 3.7.5 может возникать в частности тогда, когда в оснастке Сертификаты Windows в «Сертификаты-текущий пользователь —> Личное» установлен сертификат пользователя, имеющий недопустимые для Континент-АП символы. Удаляя по очереди личные сертификаты и затем пробуя устанавливать через Континент-АП 3.7.5.474 требуемый личный сертификат, Вы сможете определить проблемный личный сертификат. Подробности
здесь
.
Спасибо сказали: Alex_04
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 июнь 2018 02:34 — 20 июнь 2018 03:43 #7662
от two_oceans
Upd: Вариант с промежуточным сертификатом (2013 года) и доверенным ( от головного) не помог
Upd2: Вариант с установкой, как корневым сертификатом (2017 года), так же не помог
Ну серьезно… читаете и делаете наоборот?
Выше я писал, что 2013 года (второй вариант)
без головного удостоверяющего центра
. Для 2013 года нужен вариант где в обеих строках «кому выдан»,»кем выдан» указано «УЦ Федерального казначейства», ставится в корневые, не промежуточные. Если 2013 года и «кем выдан» указано «УЦ 2 ИС ГУЦ» — этот сертификат закончился год назад. К слову с «УЦ 1 ИС ГУЦ» закончился 4 года назад. Рекомендую качать с
федерального сайта ФК
, а не с областного.
А
2017 года (третий вариант)
с головным удостоверяющим центром
. И что 2017 года ставится в промежуточные, а Вы толкаете его в корневые.
Сейчас у Вас мешанина в хранилище сертификатов, пока не вычистите
все
сертификаты ФК и не установите заново, цепочки доверия вряд ли заработают. Собственно, Вам не нужно перебирать все сертификаты УЦ — у Вас есть сертификат которым соединяетесь и в нем указана строка «кем выдан». Просто скопируйте сюда и все станет намного яснее. И это опять же уже было выше.
скорее всего rootSDUFKLO2017
у нас название другое, но направление думаю верное.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
22 июнь 2018 02:09 #7682
от OlgaSt
У меня тоже была ошибка «неизвестная ошибка импорта сертификатов» в случаях, если при удалении предыдущей версии Континента АП (3.5.68) возникали проблемы. Решилось удалением сертификата в свойствах браузера. После этого в Континент АП (3.7) сертификат импортировался без проблем. На тех компьютерах, где предыдущая версия Континента АП была удалена без ошибок, удалять сертификат в свойствах браузера не потребовалось. На всех компьютерах Windows7 64.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 сен 2018 15:03 — 20 сен 2018 15:08 #8820
от AnnaM
Доброго всем дня!
Помогите пожалуйста.
ОС Windows 7 32bit
Только начали работать с Казначейством, установила КриптоПРО 4.0 и Континент АП (выдали на диске), сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
Установила Java. С сайта moscow.roskazna.ru скачала сертификаты
Головной удостоверяющий цент (действующий с 2012 по 2027):
— установлен в Сертификаты Текущий пользователь — Доверенные корневые центры (в данной вкладке есть только установленный сертификат)
и Федерального Казначейства (действующий с 2017 по 2027)
-установлен в Сертификаты Текущий пользователь — Промежуточные центры сертификации (в данной вкладке есть сертификаты DigiCert, Go Daddy, RapidSSL и федеральное казначейство)
В св-вах браузера во вкладках Доверенные корневые стоит сертификат Головного центра, а в Промежуточных Федерального казначейства.
Брандмауэр отключен, в службах остановлен.
В КриптоПро CSP установила пользовательский сертификат.
Зависимость пользовательского сертификата установилось: Головной центр — Федеральное казначейство — Пользователь
(Сертификат пользователю выдан Федеральным Казначейством)
В Континенте АП подключила пользователя, через Сертификаты — Установить Сертификат.
Тест Континента проходит.
Нажимаю «Установить соединение», программа выдает ошибку «Сервер отказал в доступе пользователю. Причина: не найден корневой сертификат».
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
20 сен 2018 15:27 #8821
от Alex67
AnnaM пишет: «Сервер отказал в доступе пользователю. Причина: не найден корневой сертификат».
Должен быть ещё корневой сертификат что то похожее на root.p7b
«Кто людям помогает — лишь тратит время зря. Хорошими делами прославиться нельзя» (с) Шапокляк
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 04:30 — 21 сен 2018 04:31 #8823
от Alex_04
Всё во это:
AnnaM пишет: Установила Java.
…
(Сертификат пользователю выдан Федеральным Казначейством)
к проблеме подключения Континента не относится.
Alex67 пишет: Должен быть ещё корневой сертификат что то похожее на root.p7b
+1, но есть вопросы исходя из этого:
AnnaM пишет: сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
1. Сформировали заявку для работы где: в СУФД (+ возможно ГМУ или ещё какая-нибудь ИС)?
2. Для Континент-АП отдельный запрос на сертификат не генерировали в нём самом же?
3. Имя полученного файла сертификата вида «Фамилия Имя Отчество.cer»?
От Ваших ответов зависят формулировки следующих вопросов и поиск решения проблемы.
«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 06:21 #8826
от AnnaM
Alex67 пишет: Должен быть ещё корневой сертификат что то похожее на root.p7b
Нет, на флешке не было файла с таким расширением.
AnnaM пишет: сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
1. Сформировали заявку для работы где: в СУФД (+ возможно ГМУ или ещё какая-нибудь ИС)?
Запрос на получение сертификата пользователя сформировала на сайте УФК по г.Москва, в разделе «Онлайн сервис подачи документов для получения сертификатов», этот же сайт формирует ключи, к которым привязан сертификат, заполняет форму заявления, все документы прикладываются в электронном виде, после чего предоставляются оригиналы и через 3-4 дня выдали флешку с сертификатом пользователя.
2. Для Континент-АП отдельный запрос на сертификат не генерировали в нём самом же?
Нет.
3. Имя полученного файла сертификата вида «Фамилия Имя Отчество.cer»?
Да, именно такой файл и был на флешке. Один.
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 06:34 #8827
от HappyHyman
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Два сертификата именно для Континента. Как правило имеют вид user.cer и root.p7b. Запрос на сертификат обычно создается через сам Континент АП, но лучше уточнить в отделе ОРСИБИ вашего Управления.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
21 сен 2018 08:59 — 21 сен 2018 09:07 #8843
от Alex_04
AnnaM пишет: 1. Запрос на получение сертификата пользователя сформировала на сайте УФК по г.Москва, в разделе «Онлайн сервис подачи документов для получения сертификатов».
2. Нет.
3. именно такой файл и был на флешке. Один.
Значит Вы получили сертификат
НЕ для Континент-АП
, а для для тех ИС, полномочия которых отмечали галками во время генерации запроса на портале ФЗС («Формирование запросов на сертификат», он же «Онлайн сервис подачи документов для получения сертификатов»).
На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?
Не сейчас — позже. А в первую очередь, как правильно
HappyHyman пишет: Запрос на сертификат обычно создается через сам Континент АП, но лучше уточнить в отделе ОРСИБИ вашего Управления.
Очень редко встречаются регионы, где для Континент-АП используются те же сертификаты, что для СУФД и прочих ИС. Это обязательно надо узнать в отделе безопасности УФК, обслуживающего вашу организацию.
Скорей всего для Континент-АП понадобятся отдельные «свои» сертификаты. Тогда надо
в самой программе VPN клиент
(Континент-АП) сгенерировать запрос на сертификат в меню «Сертификаты — Создать запрос на пользовательский сертификат» и предоставить файл запроса (*.req) + подписанную печатную форму Заявки на сертификат в обслуживающий вас теротдел казначейства (или непосредственно в ОРСиБИ УФК).
Только после их принятия и обработки будет изготовлен пользовательский сертификат user.cer и выдан вместе с корневым сертификатом root.p7b.
«Мы будем жить плохо, но недолго.» (© Черномырдин В.С.)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
09 окт 2018 13:10 #8999
от ViktorGRBS
Рекомендую прежде чем осуществлять активную деятельность, расписать всё на бумажке: Континент- АП, (необходим для того то, того то, для его функционирования надо: 1.., 2…, 3…, ) и т.д.
тогда сформируется полная картина, Ху из Ху!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
22 окт 2018 10:34 #9067
от shaburoff
Такой вопрос — клиент установил сертификат в контейнер, как удалить сертификат из контейнера?
Экспорт закрытого ключа через хранилище сертификатов не прокатывает, пишет отказано в доступе.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Причины появления ошибки «Не найден корневой сертификат» в Континент АП
На чтение 3 мин. Просмотров 321 Опубликовано 21.08.2021
Содержание
- Что такое «электронный бюджет»
- Crl сертификата сервера не загружен или устарел
- Инструкция по установке континент tls vpn клиент 2.0.1440
- Как установить
- Корневые сертификаты казначейства
- Настройка скзи «континент tls vpn клиент» для работы в электронном бюджете
- Установка jinnclient_1.0.3050.0 для подписания документов
- Электронный бюджет настройка рабочего места
- Установка extended container
Что такое «электронный бюджет»
Эта система разработана для открытости и прозрачности работы государственных организаций. Еще одна задача — повышение качества финансового управления за счет образования единого электронно-информационного пространства.
Преимущества работы с электронной системой (ЭС):
- экономия на покупке и техническом обеспечении ПО;
- быстрый электронный документооборот, заверенный ЭЦП;
- возможность контролировать и отслеживать операции по исполнению бюджета;
- анализ процесса проектирования бюджета с максимальной детализацией в режиме реального времени;
- контроль деятельности распорядителей бюджетных средств онлайн.
Физические лица также могут быть пользователями «Электронного бюджета», и осуществлять через систему контроль планирования и разумного использования своих бюджетных средств.
Crl сертификата сервера не загружен или устарел
При подключении к Электронному Бюджету появляется ошибка CRL сертификата сервера не загружен или устарел.
Решение:
Инструкция по установке континент tls vpn клиент 2.0.1440
Перед установкой Континента ТЛС версии 2 необходимо удалить предыдущую версию Континента (если конечно она была установлена) через Пуск > Панель управления > Программы > Программы и компоненты. Потом перезагрузить компьютер.
Скачанный дистрибутив необходимо разархивировать и запустить файл «Континент TLS-клиент.exe»
Как установить
Перед установкой корневого сертификата УЦ вы должны убедиться, что у вас установлена программа Крипто-Про и её лицензия активна. По скачанному сертификату надо кликнуть правой кнопкой мыши, выбрать в меню Установить сертификат. Далее выбираете расположение хранилища — Пользователь или Локальный компьютер.
Мы рекомендуем выбирать второй вариант. Жмете кнопку Далее. Выбираете Поместить сертификаты в следующее хранилище, нажимаете Обзор, кликаете на Доверенные корневые центры сертификации, нажимаете Ок, Далее и Готово. Появится предупреждающая проведение установки табличка:
Корневые сертификаты казначейства
Перед установкой корневых сертификатов ПО КриптоПро 4.0 должен быть установлен.
Настройка скзи «континент tls vpn клиент» для работы в электронном бюджете
Запускаем Континент TLS VPN Клиент (через меню пуск или иконку на рабочем столе). В открывшемся окне нажимаем «Главная» > «Добавить» > «Ресурс».
В окне добавления ресурса прописываем следующее:
- Если используете сертификат пользователя по ГОСТ 2021, то пишем:
- Если используете сертификат пользователя по ГОСТ 2001, то пишем:
Установка jinnclient_1.0.3050.0 для подписания документов
Распаковываем архив и запускаем установщик Setup.exe
Нажимаем на Jinn-Client, открывается Мастер установки:
Вводим лицензиооный ключ получений в Казначействе.
Не меняем настройки, продложаем установку, по окончании перегружаем компьютер.
Электронный бюджет настройка рабочего места
Установка и настройка ПО для Электронного Бюджета состоит из:
- Установка и настройка КриптоПро 4.0.
- Установка корневых сертификатов казначейства.
- Скачивания сертификата Континента TLS-клиент.
- Установка и настройка Континент TLS-клиент.
- Установка Jinn Client
- Установка eXtended Container
Установка extended container
Запускаем Setup.exe в папке JinnClient_1.0.3050.0.
Вводим лицензионный ключ продукта полученный в Казначействе и продолжаем установку.
https://www.youtube.com/watch?v=BQIiFAzHhYg
После установки перегрузите компьютер.