oilcoil пишет: через клиент tls войти не удается, ошибка
Если на ПК не был установлен новый подчиненный сертификат УЦ ФК(Действительный с 13.04.2021 по 13.04.2036)
то при входе на сайт ЭБ с помощью Континент-TLS через http ссылку
http://lk.budget.gov.ru/udu-webcenter
будет ошибка:
Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошёл проверку. Ошибка: Цепочка сертификатов недействительна
Бывает, что сертификаты на ПК пользователей некорректно установлены, поэтому лучше
1. Переустановить корневые сертификаты
1.1 Удалить установленные сертификаты через оснастку «Сертификаты»
В Windows 7×64:
Пуск — КРИПТО-ПРО — Сертификаты
В Windows 10: быстро открыть оснастку просмотра сертификатов можно через поиск
нажать клавиши Win+S (Win — клавиша с логотипом Windows, находится между Ctrl и Alt)
В поисковой строке набрать: Сертификаты
Проверить «Сертификаты — текущий пользователь» и «Сертификаты (локальный компьютер)»
Доверенные корневые центры сертификации — Сертификаты
Промежуточные центры сертификации — Сертификаты
Искать и удалять сертификаты:
«Минкомсвязь России» Действующий по {1 июля 2036 г. 15:18:06}
«Федеральное казначейство» Действующий по {19 ноября 2033 г. 18:56:01}
«Федеральное казначейство» Действующий по {5 февраля 2035 г. 17:02:47}
«Федеральное казначейство» Действующий по {13 апреля 2036 г. 16:27:57}
1.2 Установить корневые сертификаты ФК с помощью автоматического инсталятора
в хранилище сертификатов — Локальный компьютер
файл «root_2036 Локальный компьютер (ГОСТ 2012).exe»
из сообщения:
sedkazna.ru/forum.html?view=topic&defaul…=1011&start=30#18540
Установка корневых сертификатов для ГОСТ 2012
в хранилище сертификатов — Локальный компьютер
В Доверенные корневые центры сертификации (Root):
«Минкомсвязь России» Действующий по {1 июля 2036 г. 15:18:06}
В Промежуточные центры сертификации (CA):
«Федеральное казначейство» Действующий по {19 ноября 2033 г. 18:56:01}
«Федеральное казначейство» Действующий по {5 февраля 2035 г. 17:02:47}
«Федеральное казначейство» Действующий по {13 апреля 2036 г. 16:27:57}
2. По ошибке CRL
Проверьте в настройках Континент -TLS статус сертификатов
— Если Континент TLS ещё не загружал списки отзывов сертификатов,
то статус сертификатов будет => Требуется загрузить CRL
Правильный статус должен быть — Действителен
Нужно в ручную загрузить CRL, перейдите на вкладку CDP
Нажмите — Скачать CRL
После загрузки списков отзывов сертификатов, статус должен поменяться на Действителен
Если этого не произошло, нужно проверить и удалить старые списки отзывов сертификатов
и снова нажать — Скачать CRL
Удаление списков отзывов сертификатов производится через оснастку КриптоПРО
Её можно запустить и в Континент TLS-клиент — Управление сертификатами — Открыть хранилище
откроется оснастка: Сертификаты пользователя
или Например, в Windows 7×64:
Пуск — КРИПТО-ПРО — Сертификаты
(Это файл: «C:Program Files (x86)Common FilesCrypto ProSharedcerts.ru.msc»)
Проверить Сертификаты — текущий пользователь и Сертификаты (локальный компьютер)
Доверенные корневые центры сертификации — Список отзыва сертификатов
Промежуточные центры сертификации — Список отзыва сертификатов
- Автоматическая установка.
Выбрать меню «Пуск» («Настройки») > «Панель управления» > «Свойства обозревателя» («Свойства браузера»). Перейти на вкладку «Содержание» и нажать на кнопку «Сертификаты».
Выбираем сертификат.
Если видим ошибку не удалось проверить этот сертификат, значит цепочка сертификата была потеряна.
Для восстановления цепочки сертификатов, скачиваем наше приложение по ссылки,
Далее запускаем наше приложение certs.exe.
В открывшемся окне нажимаете кнопку установить.
После это перезагрузите компьютер.
Далее переходим в сертификаты, при открывании вашего сертификата должно уйти сообщение об ошибке.
2. Ручная установка корневого сертификата.
Выбрать меню «Пуск» («Настройки») > «Панель управления» > «Свойства обозревателя» («Свойства браузера»). Перейти на вкладку «Содержание» и нажать на кнопку «Сертификаты».
Выбираем сертификат.
Если видим ошибку не удалось проверить этот сертификат, значит цепочка сертификата была потеряна.
Выбираем вкладку «Путь сертификации» и откройте тот сертификат, который выделен красным крестом.
В открывшемся окне необходимо выбрать «Установить сертификат».
Выбираем куда установить сертификат в текущего пользователя системы или же в локальный компьютер (на каждого пользователя системы).
Выбираем обязательно «Поместить все сертификаты в следующее хранилище» и наживаем «Обзор».
В появившемся окне необходимо выбрать куда установить сертификат, есть критерии установки, если:
- Ошибка на 1 сертификате цепочки, выбираем для установки «Доверенные корневые центры сертификации»
- Ошибка на 2 сертификате цепочки, выбираем для установки «Промежуточные центры сертификации»
После выбора куда устанавливать сертификат нажимаем «ОК», нажимаем «Далее», затем «Готово».
Соглашаемся со всеми «Предупреждениями системы безопасности».
Завершающим этапом появится сообщение «Импорт успешно выполнен», вернитесь к вкладке «Путь сертификации», обновите ее и проверьте, что ошибка прошла.
3. Если установка корневых сертификатов не решило проблему
Необходимо выполнить следующее:
Выбрать меню «Пуск» («Настройки») > «Панель управления» > «Программы» («Удаление программы»).
Выбираем КриптоПро CSP и нажать на кнопку «Изменить»> выбираем «Исправить» и нажать на кнопку «Далее»> «Установить»>Готово.
Выбираем «Исправить» и нажать на кнопку «Далее»> «Установить»>Готово.
После окончания установки перезагрузите компьютер.
Остались вопросы? Как мы можем помочь?
Как мы можем помочь?
При входе на Сбербанк-АСТ ошибка: «Клиентский сертификат не сопоставлен с пользователем»
На чтение 3 мин. Просмотров 646 Опубликовано 15.12.2019
crl не прошел проверку — такую ошибку стало выдавать у моих специалистов при входе в Электронный Бюджет.
Лечится довольно просто, перезапуском службы Континент ТЛСа.
Перезапускаем службу, перезаходим в ЭБ, выбираем нужный сертификат для входа и работаем дальше.
Для тех кто не хочет делать это в ручную или незнает как перезапустить службу — в этой статье есть сам батник (который можно скачать), а так же его содержимое.
Государственная интегрированная информационная система управления
общественными финансами «Электронный бюджет»
Подсистема обеспечения информационной безопасности подсистем
Инструкция по обновлению сертификата сервера TLS на автоматизированном рабочем месте пользователя системы «Электронный бюджет»
Содержание
- Содержание
- СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
- ОПИСАНИЕ ОПЕРАЦИЙ
- Копирование нового сертификата сервера TLS на АРМ пользователя
- Замена сертификата сервера TLS в ПО «Континент TLS Клиент»
Содержание
СПИСОК ТЕРМИНОВ И СОКРАЩЕНИЙ
В документе используются следующие термины и сокращения:
| Текст заголовка | Текст заголовка |
|---|---|
| АРМ | автоматизированное рабочее место пользователя системы «Электронный бюджет»; |
| ОС | операционная система; |
| Пользователь | зарегистрированный в системе «Электронный бюджет» сотрудник организации, которому предоставлен доступ к определенным функциям в системе «Электронный бюджет», в соответствии с заявкой на подключение; |
| Система «Электронный бюджет» | государственная интегрированная информационная система управления общественными финансами «Электронный бюджет»; |
ОПИСАНИЕ ОПЕРАЦИЙ
Копирование нового сертификата сервера TLS на АРМ пользователя
Для копирования файла сертификата сервера TLS в локальную директорию АРМ пользователя необходимо:
-
Открыть в веб-обозревателе официальный сайта Федерального казначейства, перейдя по адресу в сети Интернет: www.roskazna.ru
Замена сертификата сервера TLS в ПО «Континент TLS Клиент»
Внимание: Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.
-
Для замены сертификата сервера TLS в ПО «Континент TLS Клиент» на АРМ пользователя необходимо:
- Выполнить запуск диалога «Континент TLS Клиент: настройка сервиса». Для этого в меню «Пуск» ввести «Континент TLS клиент» и щелкнуть по найденному элементу.
- В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, скопированный в локальную директорию в п.4 раздела 2.1 настоящего Руководства.
Решение проблемы CRL не прошел проверку в Электронном бюджете состоит в том, что не установлены новые корневые сертификаты.
Для этого переходим на страницу http://crl.roskazna.ru/crl/ скачиваем все корневые сертификаты с расширение .crt с помощью Internet Explorer.
Устанавливаем скаченные корневые сертификаты в Доверенные корневые центры сертификации.
Содержание
- Федеральное казначейство
- Информация об истечении сроков действия сертификатов серверов «Континент TLS», используемых для подключения к сервисам lk.budget.gov.ru и lk.buh2012.budget.gov.ru
- Новый серверный сертификат для buh2012.budget.gov.ru/buh2012/
- Ошибка при подписании в buh2012.budget.gov.ru/buh2012
- Ошибка: не удалось установить tcp соединение с хостом lk2012.budget.gov.ru:443
Федеральное казначейство
официальный сайт Казначейства России
www.roskazna.ru
Информация об истечении сроков действия сертификатов серверов «Континент TLS», используемых для подключения к сервисам lk.budget.gov.ru и lk.buh2012.budget.gov.ru
УФК по Пензенской области информирует об истечении сроков действия сертификатов серверов «Континент TLS» (далее – Сертификаты «Континент TLS»), используемых для подключения к сервисам:
1) lk.budget.gov.ru – государственная интегрированная информационная система управления общественными финансами «Электронный бюджет» (далее – ГИИС «Электронный бюджет»), истечение срока сертификата: 14.07.2021;
2) lk.buh2012.budget.gov.ru – подсистема управления оплатой труда, подсистема управления нефинансовыми активами, модуль бюджетного учета подсистемы учета и отчетности ГИИС «Электронный бюджет», истечение срока сертификата: 17.07.2021.
В связи с изложенным необходимо внесения изменений в настройках программного обеспечения «Континент TLS Клиент» на автоматизированных рабочих местах пользователей.
Информация по настройке программного обеспечения «Континент TLS Клиент» и новые Сертификаты «Континент TLS VPN» размещены на официальном сайте Федерального казначейства в разделе «Электронный бюджет» по ссылке http://www.roskazna.gov.ru/gis/ehlektronnyj-byudzhet/.
Дополнительно информируем, что при невыполнении указанных настроек вход пользователей в ГИИС «Электронный бюджет» будет невозможен.
Источник
Новый серверный сертификат для buh2012.budget.gov.ru/buh2012/
- Сообщений: 1927
- Репутация: 45
- Спасибо получено: 296
FarWinter пишет: Если не добавить в ресурсы buh2012.budget.gov.ru
то зайти по ссылке http не получится
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Zoran
—>- Не в сети
—>- Сообщений: 25
- Спасибо получено: 11
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Gimiboy
- —>
- Не в сети
- Сообщений: 5
- Спасибо получено: 0
finsem пишет: Не дает удалить сертификат lk2012, пишет — отказано в доступе.
Захожу в TLS Континент ПКМ под администратором уже- то же самое.
Ждать, пока завтра сам закончится?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- igor.kinma
- —>
- Не в сети
- Сообщений: 5
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Gvinpin
- —>
- Ушел
—>- Сообщений: 1865
- Репутация: 19
- Спасибо получено: 229
igor.kinma пишет: после замены сертификата перестало пускать в lk2012.budget.gov.ru/ В континент TLS все нормально. Что еще нужно сделать кроме замены сертификата?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- FarWinter
- —>
- Не в сети
- Сообщений: 251
- Репутация: 1
- Спасибо получено: 90
finsem пишет: Не дает удалить сертификат lk2012, пишет — отказано в доступе.
Захожу в TLS Континент ПКМ под администратором уже- то же самое.
Ждать, пока завтра сам закончится?
Если СЕРВЕРНЫЙ СЕРТИФИКАТ lk2012.budget.gov.ru.cer
был добавлен в хранилище ContinentTLSClientServer — Локальный компьютер,
через CT-TLS_Server_Certificates_User.exe удалить не получится, т.к. там lk2012.budget.gov.ru.cer удаляется сертификат только в хранилище пользователя.
При ошибке Отказано в доступе
Нужно удалять через оснастку КриптоПРО (Пуск — КРИПТО-ПРО — Сертификаты) или
в КонтинентTLS на вкладке СЕРВЕРНЫЕ СЕРТИФИКАТЫ — Открыть хранилище
Сертификаты Текущий пользователь — ContinentTLSClientServer — Сертификаты
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- FarWinter
- —>
- Не в сети
- Сообщений: 251
- Репутация: 1
- Спасибо получено: 90
igor.kinma пишет: Всем привет. Подскажите пожалуйста после замены сертификата перестало пускать в lk2012.budget.gov.ru/ В континент TLS все нормально. Что еще нужно сделать кроме замены сертификата? Спасибо!
У меня не получилось заставить не войти в lk2012.budget.gov.ru/
Проверял через InternetExplorer и Mozilla Firefox 51×32
Нужно сделать Сброс соединений в КонтинентTLS
(внизу-справа в системном трее(Панель задач), на значке «Континент TLS-клиент» правой кнопкой мыши — Сброс соединений)
и после этого заходить в ЭБ.
Даже если новый сертификат federalnoe-kaznacheystvo.crt для lk2012.budget.gov.ru не добавлять,
то при входе на сайт появляется окно с предложением добавить его в хранилище.
Если у вас появляется ошибка
Континент TLS-клиент. Ошибка
Федеральное казначейство: Сертификат сервера не прошел проверку. Ошибка: Цепочка сертификатов недействительна
Значит у вас нет установленного нового корневого сертификата УЦ ФК (Действительного с 05.02.2020 по 05.02.2035)
его можно взять из сообщения sedkazna.ru/forum.html?view=topic&catid=9&id=1156#15874
Установка Корневых сертификатов ФК ГОСТ 2012
Можно установить вручную в «Локальный компьютер»-«Промежуточные центры сертификации» , скачав
Сертификат УЦ ФК размещенный на официальном сайте Федерального казначейства .
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
Ошибка при подписании в buh2012.budget.gov.ru/buh2012
- Сообщений: 29
- Спасибо получено: 0
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Wmffre
- —>
- Не в сети
—>- Сообщений: 612
- Репутация: 23
- Спасибо получено: 174
Вложения:
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- aeprotsyuk
- Автор темы —>
- Не в сети
- Сообщений: 29
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- FarWinter
- —>
- Не в сети
- Сообщений: 251
- Репутация: 1
- Спасибо получено: 90
В Сообщении «Исправление большинства ошибок при настройке ЭБ и Сборник типовых ошибок в ЭБ» sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14064
4.3 Ошибка при подписании в Облачном портале 1C: Jinn-client Ошибка создания com-объекта
Ошибка при подписании в Облачном портале 1C на сайте buh2012.budget.gov.ru/buh2012/ : Jinn-client Ошибка создания com-объекта
Нужно добавить разрешения для ActiveX в настройках IE
и возможно нужна ещё перезагрузка компьютера (но это не точно),
чтобы применились разрешения для ActiveX в Internet Explorer
После этого Jinn Client заработал.
Решение:
Импорт настроек разрешения для ActiveX аналогичных для ЕИС-закупки и добавление http и https *.budget.gov.ru в надёжные сайты
Файл «Ошибка 1С, Jinn-client Ошибка создания com-объекта.zip» 2.95 Kb
можно скачать по ссылке:
yadi.sk/d/mHRxDNMy2v8ZnA
В нём файлы:
1.Установка настроек IE 11.0 (05.12.2019).reg
2.Добавление в Надёжные сайты http и https_budget.gov.ru.reg
«1C Облачный портал 2012.lnk» — запуск IE и вход на страницу => buh2012.budget.gov.ru/buh2012/
можно скопировать ярлык на рабочий стол
Если не помогло и ошибка осталась, то нужно сделать сброс настроек IE11, перезагрузится и заново установить настройки IE файлом «1.Установка настроек IE 11.0 (05.12.2019).reg»
Сброс настроек IE11:
Свойства браузера
Дополнительно
<Сброс>
[v] Удалить личные настройки
<Сброс>
. Обязательно — Перезагрузка компьютера
(Если у пользователя какие то настройки не сбрасываются, скорее всего, пользователь с правами — Опытный пользователь.
Нужно добавить этого пользователя в локальную группу Администраторы, сделать сброс настроек IE,
затем можно удалить пользователя из группы Администраторы)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
Ошибка: не удалось установить tcp соединение с хостом lk2012.budget.gov.ru:443
- Сообщений: 9
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex67
- —>
- Не в сети
—>- Сообщений: 1583
- Репутация: 20
- Спасибо получено: 399
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Maiv
- Автор темы —>
- Не в сети
- Сообщений: 9
- Спасибо получено: 0
То есть видео инструкции не актуальны? настраивать по «бумажным»?
Вот эта инструкция правильная? moscow.roskazna.gov.ru/upload/iblock/ba2. 31_01_2019_ver1_.doc
Или дайте пожалуйста ссылку на актуальную
В приведённой выше инструкции
9. Осуществить вход в Личный кабинет Электронного бюджета в зависимости от используемого ГОСТ.
9.1. При использовании ГОСТ Р 34.10-2001 точка входа: lk.budget.gov.ru/udu-webcenter .
9.2. При использовании ГОСТ Р 34.10-2012 точка входа: lk2012.budget.gov.ru/udu-webcenter .
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Alex67
- —>
- Не в сети
- Сообщений: 1583
- Репутация: 20
- Спасибо получено: 399
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- FarWinter
- —>
- Не в сети
- Сообщений: 251
- Репутация: 1
- Спасибо получено: 90
Maiv пишет: То есть видео инструкции не актуальны? настраивать по «бумажным»?
Или дайте пожалуйста ссылку на актуальную
QuickEB — Порядок быстрой настройки Электронного бюджета, ГОСТ 2012
Настройка ЭБ с использованием Континент TLS-клиент 2.0 и подписанием с помощью Jinn-Client
вход в ЭБ через http ссылку http://lk.budget.gov.ru/udu-webcenter
sedkazna.ru/forum.html?view=topic&catid=9&id=1011#14063
QuickCG — Порядок быстрой настройки Chromium GOST
Настройка браузера Chromium GOST для работы в Электронном бюджете
(Для Chromium GOST, Континент TLS-клиент не нужен .
Для подписания документов используется КриптоПРО ЭЦП Browser Plug-in )
вход в ЭБ через https ссылку https://lk.budget.gov.ru/udu-webcenter
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16364
С 1 августа 2020 — точка входа в ЭБ:
по сертификатам ГОСТ2012, после переезда серверов ЭБ в ЦОД Дубну
стала lk.budget.gov.ru
(на момент перехода из-за проблем при работе в ЭБ несколько раз снова включали lk2012.budget.gov.ru , затем отключали, на текущий момент точка входа lk2012 должна быть недоступна)
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Maiv
- Автор темы —>
- Не в сети
- Сообщений: 9
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Gvinpin
- —>
- Ушел
- Сообщений: 1865
- Репутация: 19
- Спасибо получено: 229
Maiv пишет: При входе из Мозилы по https выдает ошибку «При соединении с lk.budget.gov.ru произошла ошибка. Установка защищённого соединения с этим узлом не удалась: отсутствуют общие алгоритм(ы) шифрования. Код ошибки: SSL_ERROR_NO_CYPHER_OVERLAP»
Maiv пишет: Но на сайт lk.budget.gov.ru (https) захожу без проблем.
Maiv пишет: И в списке плагинов отсутствует плагин Cube system. Откуда его установить?
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Maiv
- Автор темы —>
- Не в сети
- Сообщений: 9
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Gvinpin
- —>
- Ушел
- Сообщений: 1865
- Репутация: 19
- Спасибо получено: 229
Maiv пишет: Но как раз http не работает подключение.
Maiv пишет: Насколько я понял, использование TLC-клиента обязательно.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Maiv
- Автор темы —>
- Не в сети
- Сообщений: 9
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Maiv
- Автор темы —>
- Не в сети
- Сообщений: 9
- Спасибо получено: 0
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- FarWinter
- —>
- Не в сети
- Сообщений: 251
- Репутация: 1
- Спасибо получено: 90
Maiv пишет: В IE не открылось окно по работе с ЛС.
Нашел ветку, где это уже обсуждалось и помогло использование Хромиум + обновление CSP под W10 + изменение ярлыка (—allow-running-insecure-content) и добавить lk.budget.gov.ru в список разрешённых доменов где можно использовать смешанный контент
НЕ помогло — ошибка Не удается получить доступ к сайту
sedkazna.ru/forum.html?view=topic&defaul. id=9&id=1238&start=0
sedkazna.ru/97-giis-elektronnyj-byudzhet. st-r-34-10-2012.html
Что еще можно сделать?
1. Какая версия КриптоПРО у вас установлена ?
Приложите:
2. Скриншот Установленных программ: Панель управления — Удаление программ (отсортируйте по дате установке)
3. Скриншоты с настройками Континент TLS
4. Скриншоты экрана, когда появляется ошибка:
В IE11 с включённым Континент TLS по http ссылке http://lk.budget.gov.ru
В Chromium GOST с выключенным Континент TLS по https ссылке https://lk.budget.gov.ru
Для Chromium GOST нужно Удалить все данные о просмотренных страницах — Очистить историю и снова проверьте вход в ЭБ
sedkazna.ru/forum.html?view=topic&catid=9&id=1206#16365
пункт 5) При входе в Электронный бюджет, ошибки на странице в Chromium GOST
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Источник
Доброго времени суток!
Имеется:
ОС — Astra Linux CE 2.12.13 (Orel)
Континент АП 3.7.6-70
С помощью Континента АП в Linux был сгенерирован запрос на сертификат (криптопровайдер: Security Code), отправлен в казначейство.
В следствие чего был получен набор сертификатов:
root.p7b
server.cer
user.cer
В Континент АП в «Сертификаты» — «Серверные» был добавлен server.cer
В «Сертификаты» — «Корневые» добавлен root.p7b
А в настройке профиля подключения был указан пользовательский сертификат user.cer и соответствующий ему контейнер.
Адрес сервера доступа был скопирован с виндового Континента АП (где пользовательский сертификат генерился с помощью CryptoPro CSP)
При подключении Континента АП появляется окно, где нужно выбрать профиль, указать пароль от контейнера (внизу выводится наш пользовательский сертификат)
Нажимаю «Соединиться», начинает устанавливаться соединение с сервером доступа, проходит аутентификация и появляется окно с ошибкой подключения «Обнаружена потеря соединения: Сертификат сервера не прошёл проверку»
и окно с информацией о сервере доступа, где сказано «Сертификат сервера доступа недействителен или его подлинность не подтверждена. Подключение невозможно». (см. вложение)
При этом выводятся сведения о сервере доступа, так же можно просмотреть сам сертификат.
Этот сертификат не совпадает с имеющимся у нас серверным сертификатом ( наш сертификат server.cer — имя CA38_2012_2, период действия с 2 марта 2020 по 2 марта 2022, а получаемый при соединении сертификат казначейства имеет имя CA38_2012 и период действия с 13 февраля 2019 по 14 марта 2023 (у сертификатов root.p7b и server.cer эти данные совпадают).
В казначейство звонили — там сказали, что адрес сервера доступа верный. А сертификаты CA38_2012 и CA38_2012_2 по их словам «идентичны».
Тем не менее, подключение не происходит.
Что то не верно в настройках и наших действиях? Или версии Астры и Континента не совместимы?
Так же имеются еще странность в поведении Континента АП — при запуске «настройка» — «импортировать ключ» — в появившемся окне нужно выбрать ключевой контейнер, но его в списке нет, есть только ключевой носитель (при этом во время создания профиля в настройках и указания сертификата пользователя для подключения, контейнер виден и сертификат добавляется без проблем). Но при подключении Континент запрашивает пароль от контейнера нашего пользователя, на это ругани никакой нет.
УФК по г. Москве сообщает, что, в связи с истечением срока действия сертификата сервера «Континент TLS VPN», клиентам УФК по г. Москве необходимо произвести замену сертификата на новый не позднее 25.06.2018. В случае, если замена не будет произведена, вход в Электронный бюджет будет невозможен. Для смены сертификата необходимо скачать его на компьютер и указать в настройках программы Континент TLS. Для этого в Windows открыть меню «Пуск», далее «Все программы», далее «Код безопасности», далее «Client», далее «Настройка Континент TLS Клиента» и в поле сертификат указать новый сертификат. Вышеуказанные действия необходимо выполнять с правами администратора. Новый сертификат для скачивания и подробная инструкция по его замене будут доступны 22.06.2018 на сайте Федерального казначейства в разделе ГИС, подразделе Электронный бюджет, подразделе Подключение к системе.
Примечание:
Если после установки сертификата сервера при входе в Электронный бюджет lk.budget.gov.ru/udu-webcenter выдаётся ошибка 403 «Доступ запрещен, Не найден корневой сертификат», то необходимо установить два сертификата по ссылке: roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/
«Сертификат Головного удостоверяющего центра» —> в «Доверенные корневые центры сертификации»
«Сертификат Удостоверяющего центра Федерального казначейства» —> в «Промежуточные центры сертификации».
Внимание:
Настройки внешнего прокси-сервера могут отличаться от настроек, приведенных в настоящей инструкции. Настройки внешнего прокси-сервера не изменяются в рамках работ по замене сертификата сервера TLS, и должны соответствовать настройкам, используемым в организации пользователя.
Для замены сертификата сервера TLS в ПО «Континент TLS Клиент» на АРМ пользователя необходимо:
Обратитесь за помощью к специалистам, если появились следующие ошибки:
«Crypto error: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия.»
«Результат проверки: Сертификат не действителен. Дополнительная информация: Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия.»
А можете попробовать решить проблему, следуя нашей инструкции.
Причиной ошибок является то, что у используемого вами сертификата есть цепочка более высоких по рангу сертификатов: удостоверяющего центра и Минкомсвязи РФ. У одного или нескольких из этих трех сертификатов могут быть проблемы.
Чтобы восстановить цепочку, потребуется проверить установку сертификатов Минкомсвязи России, удостоверяющего центра и вашей электронной подписи. Ниже вы найдете инструкции, которые могут помочь в решении проблемы.
Как установить сертификат удостоверяющего центра? Инструкция.
Если не знаете, как правильно установить сертификат УЦ и выбрать хранилище для него.
Как установить сертификат Минкомсвязи России? Инструкция.
Если возникает ошибка цепочки сертификатов, и установка сертификата удостоверяющего центра не решила проблему.
Как установить сертификат своей ЭЦП? Инструкция.
Если установка сертификатов удостоверяющего центра Минкомсвязи России и удостоверяющего центра не решила проблему.
Как проверить, установились ли сертификаты и как их найти? Инструкция.
Если проблема с цепочкой сертификатов не решилась, и не понятно, какой сертификат проблемный.
Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат
-
Опубликовано
7 февраля 2022 -
Обновлено 12 сентября 2022 -
настройка, ошибка
-
Комментариев: 35
Немного теории о цепочке сертификатов
Чтобы сертификат пользователя имел юридическую значимость он удостоверяется сертификатом удостоверяющего центра, а тот в свою очередь заверяется сертификатом Минкомсвязи России, который является корневым сертификатом. Это называется цепочкой сертификатов.
Чтобы программы «понимали» что сертификату пользователя можно доверять необходимо чтобы корневой сертификат был установлен в хранилище «Доверенные корневые центры сертификации».
Если всё установлено правильно, то вкладка «Путь сертификации» сертификата пользователя выглядит так:
Ошибка проверки цепочки сертификатов
Если в цепочке не хватает корневых сертификатов для проверки доверия к пользовательскому сертификату, то тестовая страница выдаёт ошибку:
Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат
Решение проблемы проверки цепочки сертификатов
Самый простой способ решения проблемы — запустить установщик корневых сертификатов. Он установит сертификаты в соответствующие хранилища в автоматическом режиме.
Этот установщик подходит для всех аккредитованных удостоверяющих центров (АУЦ), так как содержит главный сертификат Минкомсвязи России, которым в свою очередь заверяются сертификаты АУЦ.
А опытные пользователи, которые хотят установить сертификаты вручную, смогут без труда найти инструкции по установке корневых сертификатов.
Ошибка при проверке цепочки сертификатов. Возможно на ваш компьютер не установлены сертификаты УЦ, выдавшего ваш сертификат обновлено: 12 сентября, 2022 автором: ЭЦП SHOP
Previous slide
Next slide
35 ответов
-
Огромнейшее Вам спасибо ! Для таких слоупоков как я ваша помощь бесценна ))
-
Спасибо. Погуглил и теперь знаю кто такие слоупоки 😁
-
-
все заработало! а я замучилась с этой подписью,спасибо большое,добрый человек!
-
Добрый день, есть такая утилита на astra linux x64?
-
Добрый день!
Нет, но корневые сертификаты основных УЦ включены в последние дистрибутивы КриптоПро CSP. Обновите КриптоПро из последней сборки, должно помочь. Либо установка сертификатов вручную.-
Благодарю за информацию. Но увы ЕГАИС Федеральное Агентство Лесного Хозяйства использует плагин, который не работает с КриптоПро CSP 5 версии, поэтому пришлось поставить 4 версию, а она без графического интерфейса, а вот далее уже как раз проблема с цепочками остаётся…
-
-
-
господи иисусе спасибо добрый человек я думала никогда уже не решу этот вопрос 😢😢😢
-
Огромная благодарность! Все заработало!
-
Спасибо за благодарность! 🙂
-
-
Сколько я всего перелопатил в инете, этож надо каждые 3 месяца придумывают новые сложности, долбаный честный знак.
Спасибо вам огромное, помогли-
Корневые сертификаты периодически обновляются так же как и сертификаты пользователей.
Поэтому желательно обновлять ПО после каждого получения сертификата
-
-
Спасибо, помогло. Сначала думал, что вирус.
-
Спасибо за отзыв )
-
-
Спасибо, что окончили мои мучения!!!!! Помогло
-
😁 Пожалуйста
-
-
Помогло, спасибо вам большое!
-
Спасибо! Помог установщик сертификатов!
-
Огромное спасибо! Без вас подпись из ФНС не работала
-
Да, без корневых сертификатов вообще никакие не будут работать 🙂
-
-
Большое спасибо, помогло установить
-
Спасибо большое , установщик сертификатов помог
-
Рады за Вас )
-
-
Просто лучшие, программа помогла !!!!
-
Спасибо )
-
-
Спасибо. Помогли решить проблему
-
Спасибо огромное. Проблема устранена при помощи установщика сертификатов УЦ
-
Спасибо за отзыв 👍
-
-
Спасибо большое, заработало.
-
Спасибо, помогло быстро решить эту проблему
-
Добрый день!
Нету у меня ЦЗИ«КРИПТОБИТ»-
Что Вы имеете в виду?
-
Я долго думал и понял! Вы про скриншот «Путь сертификации»!
ООО ЦЗИ«КРИПТОБИТ» — это наша организация. На этом месте будет наименование вашей организации или ФИО физлица. А выше наименование вашего УЦ!
Главное чтобы в состоянии сертификата было указано, что он действителен!
-
-
Не помогло
-
Значит нужно копать глубже!
Обратитесь в техническую поддержку УЦ, выдавшего сертификат -
Дай Бог тебе здоровья,счастья и любви Добрый Человек,помог на все 100%СПАСИБО👍👍👍👍👍👍👍👍👍👍👍👍👍👍👍
-