Криптопрорости и их исправление

Указан неверный алгоритм

Если используется устаревшая версия КриптоПро CSP, при попытке входа в систему появляется ошибка с кодом 0х80090008. Для ее устранения проверьте, программа какой версии используется. При необходимости обновите ее до последней.

Если версия криптопровайдера актуальна, попробуйте переустановить плагин. Если и это не помогает, переустановите сертификаты подписи.

Ошибки маркировки товаров в «Честном ЗНАКе»

10 июля 2022

Пользователи, работающие в «Честном ЗНАКе», могут сталкиваться с ошибками маркировки. Чтобы их устранить, нужно выяснить причины ― почему возник сбой. Рассмотрим самые распространенные ошибки и способы их исправления.

Регистрация личного сертификата в локальном хранилище

Чтобы различные приложения операционной системы Windows могли обращаться к личному сертификату, хранящемуся в памяти устройства Рутокен, необходимо зарегистрировать его в локальном хранилище рабочей станции. В некоторых случаях личный сертификат регистрируется автоматически.

Данная процедура позволяет зарегистрировать личный сертификат в локальном хранилище.

Для регистрации личного сертификата в локальном хранилище:

• Запустите Панель управления Рутокен.
• Выберите устройство Рутокен.
• Проверьте корректность выбора устройства.
• Перейдите на вкладку Сертификаты.
• В строке с именем сертификата в столбце Зарегистрирован установите флажок.

Выбор настроек для PIN-кода

НастройкаРезультат выбора настройкиЗапомнить PIN-код из приложения. PIN-код вводится один раз при первом использовании устройства Рутокен в приложенииПредлагать сменить PIN-код каждый раз. Каждый раз после ввода PIN-кода на экране отображается сообщение с предложением изменить PIN-код (если пользователь не изменил PIN-код, установленный по умолчанию)Кодирование PIN-кода в UTF-8. PIN-код может состоять из кириллических символов

Настройка Запомнить PIN-код позволяет уменьшить количество вводов PIN-кода в прикладных приложениях за счет кратковременного хранения их криптопровайдером в зашифрованной памяти. Не следует использовать данную настройку, если нет уверенности в безопасности компьютера.

Настройка Кодирование PIN-кода в UTF-8 позволяет безопасно использовать PIN-коды, содержащие кириллические символы.

Для выбора настроек для PIN-кода:

• Запустите Панель управления Рутокен.
• Перейдите на вкладку Настройки.
• В разделе Настройки PIN-кода нажмите Настройка.
• Установите флажки рядом с названиями необходимых настроек.
• Чтобы применить изменения и продолжить работу с настройками нажмите Применить.
• Чтобы подтвердить выбор настроек нажмите ОК.
• В окне с запросом на разрешение внесения изменений на компьютере нажмите Да.

Сертификаты не отвечают критериям КриптоПро

Ошибка всплывает при попытке авторизоваться в информационной госсистеме (например, «Электронный Бюджет» и др. Пользователь видит сообщение следующего содержания:

Не все бывают в наличии, поэтому удаляйте те, что есть. Процедура не вредит системе и сохраненным файлам, но помогает не в каждом случае (обычно ошибку удается устранить при установке корневого сертификата).

УКЭП не найдена или не настроено ПО для работы в системе

Для регистрации и дальнейшей работы в системе мониторинга участники оборота маркированных товаров должны получить усиленную квалифицированную электронную подпись и настроить ПО. Если «Честный ЗНАК» их не определяет, то выдает ошибку. Причины сбоя и способы его устранения:>

• USB-носитель с ключами и сертификатом электронной подписи не установлен в порт ПК. Если флеш-накопитель отсутствует, система не определяет КЭП. Соответственно, выдает ошибку. Обратите внимание, что подпись может храниться на жестком диске ПК (то есть, уже стоять на компьютере).
• Плагин и расширение для браузера не установлены. Это одно из требований для успешного входа в систему маркировки. Если выскакивает сообщение с ошибкой «Плагин недоступен», нужно его поставить. Подойдет Рутокен Плагин либо КриптоПро ЭЦП Browser plug-in. Дополнительно в браузере следует установить расширение «Адаптер Рутокен Плагин» и «CryptoPro Extension for CAdES Browser Plug-in».
• Сертификаты не установлены. Для успешной работы в системе мониторинга нужно установить корневые и личные сертификаты в криптографическую программу.

Остановимся подробнее на процессе установки сертификатов. Сначала про личный. Ход действий зависит от используемого СКЗИ:

Назначение сертификата для ключевой пары

Если у пользователя имеется сертификат, соответствующий ключевой паре, то после создания ключевой пары на устройстве Рутокен необходимо назначить для нее сертификат.

Данная операция позволяет назначить сертификат в формате CER ключевой паре, находящейся на устройстве Рутокен.

Для назначения сертификата ключевой паре:

• Запустите Панель управления Рутокен.
• Выберите устройство Рутокен.
• Проверьте корректность выбора устройства.
• Перейдите на вкладку Сертификаты.
• Выберите на компьютере файл с сертификатом и нажмите Открыть. В результате сертификат будет назначен ключевой паре.

Набор ключей не существует

Ошибка с кодом 0x80090016 возникает при попытке входа в «Честный ЗНАК». Вероятная причина ― система ПК определяет сайт ЦРПТ ЧЗ как опасный объект, представляющий угрозу для компьютера.

• добавьте в браузере сайт ЧЗ в надежные узлы;
• деактивируйте антивирус;
• отключите блокировку рекламы.

Если ничего не помогло и ошибка сохранилась, переустановите плагин и сертификаты КЭП.

Просмотр количества оставшихся попыток ввода неправильного PIN-кода Администратора

Чтобы просмотреть количество оставшихся попыток ввода неправильного PIN-кода Администратора:

• Откройте Панель управления Рутокен.
• На вкладке Администрирование нажмите Информация.
• В окне Информация о Рутокен в строке Попыток ввода PIN-кода Администратора отображается количество оставшихся попыток.

Выпуск нового сертификата

Ресурс /v1/crypto/cert-requests позволяет создавать запросы на выпуск нового сертификата.

Для этого необходимо:

Выполнить OAuth-авторизацию, в результате которой получить авторизационный токен;

Обратиться к ресурсу /v1/crypto и получить код удостоверяющего центра (КУЦ) – certCenterCode;

На основании полученного КУЦ необходимо сгенерировать уникальный тег bicryptId, состоящий из: КУЦ +порядковый номер выпущенного организацией сертификат(нумерация 00. ZZ)+символ «s». Параметр bicryptId должен содержать не менее 9-ти символов, при необходимости дополнить слева нулями порядковый номер сертификата, после чего добавляется фамилия и инициалы владельца сертификата. Подробнее про формирование Bicrypt ID см. в Дополнительной информации.

Пример

Итоговое значение bicryptId:A001P008sИвановИИ

Шаги

При авторизации передать в scope сервис CERTIFICATE_REQUEST.

Отправить POST-запрос (/v1/crypto/cert-requests) с Access Token. Access Token передается в параметре Authorization заголовка запроса.

Note

В примере параметр cms заполнен для СКЗИ-Инфокрипт VPN-KEY-TLS. Для альтернативной СКЗИ необходимо заполнять следующим образом: “cms”: “—–BEGIN CERTIFICATE REQUEST—–. MIIIj. —–END CERTIFICATE REQUEST—–“.

Модель запроса

“orgName”: “Общество с ограниченной ответственностью “Маша и Медведь””,”cms”: “—–BEGIN CMS—–
MIIKCAYJKoZIhvcNAQcCoIIJ+TCCCfUCAQExDDAKB

Дополнительная информация

Мобильный телефон получателя:Должность получателя в организации:

Формирование Bicrypt ID

На основании полученного КУЦ необходимо сгенерировать уникальный параметр Bicrypt ID, состоящий из:

• КУЦ – 4 или 6 символов.
• Фамилия и инициалы владельца сертификата.

Длина Bicrypt ID = 9 символов + Фамилия и инициалы владельца сертификата.

Пример Bicrypt ID: A0001P08sИвановИИ

Примеры формирования Bicrypt ID

При 4-значном КУЦ:

При 6 значном КУЦ:

Реквизиты запроса на сертификат

OIDНаименованиеФормат2. 3ФИО Обозначение: CNUTF-8 STRING ОБЯЗАТЕЛЬНОЕ ПОЛЕ Макс. длина – 128 Общее имя. Каждое слово в тексте должно быть отделено 1 пробелом. Если в фамилии, имени или отчестве в написании присутствует «дефис», то в запрос так и вносится с дефисом, без пробелов (например: Салтыков-Щедрин). Если фамилия, имя или отчество состоит из нескольких слов разделенных пробелом, то в запрос вносится одним словом, части которого соединены «подчеркиванием» без пробелов (например: фамилия «Ван чо» будет записана Ван_чо). Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП. xlsx Например: «Иванов Иван Иванович»2. 6Страна Обозначение: CPRINTABLE STRING Макс. длина – 2 ОБЯЗАТЕЛЬНОЕ ПОЛЕ Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП. xlsx Должен записываться только двухбуквенный код выбранной страны из справочника стран. Например, для «Российской федерации» – “RU”2. 10Организация Обозначение: OUTF-8 STRING Макс. длина – 64 ОБЯЗАТЕЛЬНОЕ ПОЛЕ Полное или сокращенное название организации, наименование юридического лица. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП. xlsx Например: «ООО «Клиент»»2. 11Подразделение Обозначение: OUUTF-8 STRING Макс. длина – 64 ОБЯЗАТЕЛЬНОЕ ПОЛЕ Наименование подразделения. Указываются данные подразделения уполномоченного представителя юридического лица. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП. xlsx Если длина ИНН = 12 знакам ИЛИ поле «Подразделение» не заполнено, то oid не добавляется в запрос. Например: «Бухгалтерия»2. 12Должность Обозначение: TUTF-8 STRING Макс. длина – 64 Должность. Указываются данные уполномоченного представителя юридического лица. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП. xlsx Если длина ИНН = 12 знакам, то oid не добавляется в запрос. Например: «Главный бухгалтер»1. 840. 113549. 1Адрес электронной почты Обозначение: EIA5STRING Макс. длина – 64 Необязательное поле. Адрес электронной почты. Необходимо удалять пробелы (в случае их наличия) в начале и в конце текста, а также все символы, которые не указаны в файле Набор разрешенных символов в сертификате ЭП. xlsx Значение, которое записывается в атрибут “E” должно загружаться из поля «Адрес электронной почты» экранной формы.

Параметры по ГОСТ Р 34. 10-2012

OIDНаименованиеФормат1. 643. 1Алгоритм подписиАлгоритм подписи по ГОСТ Р 34. 10-2012 с ключом 256 id-tc26-gost3410-12-2561. 643. 2Параметры эллиптической кривой для алгоритмаПараметры ГОСТ Р 34. 10-2001 256 бит, вариант B id-GostR3410-2001-CryptoPro-B-ParamSet1. 643. 2Параметры алгоритма хэшированияАлгоритм хэширования по ГОСТ Р 34. 11-12 с длиной хэш-кода 256 id-tc26-gost3411-12-2561. 643. 1Параметры алгоритма шифрованияАлгоритм шифрования по ГОСТ 28147-89 ГОСТ 28147-891. 643. 2Алгоритм подписи и хэширования (Это подпись запроса)Алгоритм подписи ГОСТ Р 34. 10-2012 с ключом 256 с хэшированием по ГОСТ Р 34. 11-2012 id-tc26-signwithdigest-gost3410-12-256

Набор разрешенных символов для текстов в КСКП ЭП

в файле Набор разрешенных символов в сертификате ЭП. xlsx.

Коды возврата

Код возвратаОписание кода возвратаПричина возникновения200 (GET-запроса)OK201 (POST-запрос)CREATEDСоздан400DESERIALIZATION_FAULTНеверный формат запросаНеверный формат запросаWORKFLOW_FAULTДля внешнего сервиса недоступны операции по счёту: 40702810ХХХХХХХХХХХХДля внешнего сервиса недоступны операции по счету: счет не добавлен в список разрешенных в оферте; внешний сервис заблокирован в СББОЛ; счет указан неверно. Отсутствует доступный открытый рублёвый расчётный счёт у организации плательщикаДокумент с такими реквизитами уже существуетДокумент с такими реквизитами уже существует. Проверка по номер документа в течении года. Не указан идентификатор сертификата подписиНе указан идентификатор сертификата подписи(параметр kid заголовка JWS)Некорректный формат параметра kid заголовка JWSНекорректный формат параметра kid заголовка JWS(ожидается UUID)VALIDATION_FAULTОшибка валидацииОшибка валидации данных запроса с указанием некорректных значений. Значения полей модели или параметров запроса не соответствуют допустимым и определённым в модели. SIGN_CHECK_EXCEPTIONПодлинность подписи не установлена/Сертификат не обнаружен или не является активнымОшибка возникает, если не удалось установить подлинность подписи401UNAUTHORIZEDaccessToken not found by value =хххххххх-хххх-хххх-хххх-хххххххххххх-хУказан некорректный или просроченный access_token. 403ACTION_ACCESS_EXCEPTIONОперация не может быть выполнена: доступ к ресурсу запрещёнУ пользователя нет прав на использование соответствующего сервиса SberBusinessAPI (Fintech API), доступ к которому не предусмотрен настройками scope; У пользователя отсутствует оферта с внешним сервисом. 415JWS_EXCEPTEDВ соответствии с текущими настройками сервиса с clientId=%s необходимо использовать запрос в формате JWS Compact SerializationОшибка возникает, если в настройках внешних сервисов выставлен флаг “Требуется подпись для внешнего сервиса”500UNKNOWN_EXCEPTIONВнутренняя ошибка сервера503UNAVAILABLE_RESOURCE_EXCEPTIONСервис временно недоступенПроводятся технические работы

Выделите текст и нажмите Ctrl + Enter, чтобы сообщить нам о ней

Указание Пользователем имени устройства Рутокен

Для того чтобы различать устройства Рутокен между собой следует задать имя каждому устройству. Оно не всегда будет отображаться в сторонних приложениях.

Рекомендуется указать имя и фамилию владельца устройства или краткое наименование области применения устройства.

Для указания имени устройства Рутокен:

• Запустите Панель управления Рутокен.
• Выберите устройство Рутокен.
• Проверьте корректность выбора устройства.
• Нажмите Ввести PIN-код.
• Установите переключатель в положение Пользователь.
• Введите PIN-код Пользователя.
• Нажмите ОК.
• Нажмите Изменить.
• В поле Имя укажите имя устройства Рутокен.

Остальные ошибки при проверке подписи в системе Честный ЗНАК

Рассмотрим остальные ошибки криптографической цифровой подписи под Честный ЗНАК. Каждая ошибка имеет номер Error number или ErrorCode, по которому ее можно идентифицировать и понять, что стало причиной.

Действие было отменено пользователем

Такой номер ошибки система выдает, если во время входа в «Честный ЗНАК» отменили какое-то действие. Например, нажали «НЕТ» в окне предупреждения о безопасности или при вводе пароля. Войдите в систему заново, нажимая разрешить на всех этапах.

Ошибки 0x8007054B, 0x800B010A, 0x8010006B, 0x80070490

Через меню «Пуск» найдите файл программы КриптоПро CSP и откройте окно с информацией. На вкладке «Сервис» нажмите «Просмотреть сертификаты в контейнере».

Переустановка корневого сертификата

С помощью системного администратора добавьте в браузере сайт личного кабинета «Честный ЗНАК» в надежные узлы, отключите блокировщики рекламы, отключите антивирус. Если после выполненных действий ошибка сохранится, переустановите сертификаты электронной подписи и плагин.

Ошибка исполнения функции

Обычно причина такой ошибки — отсутствие лицензии на программу КриптоПро СSP. Чтобы проверить статус лицензии, откройте окно программы на компьютере. На вкладке «Общие» в строке «Срок действия» отображается текущий статус лицензии.

Если срок лицензии закончился, в строке значится статус «Истекла». Приобретите лицензию на КриптоПро CSP у разработчика. Активируйте ее: нажмите кнопку «Ввод лицензии» и внесите серийный номер. Если ошибка сохраняется, переустановите сертификаты подписи и плагин.

Указан неправильный алгоритм

Обычно система выдает такой код ошибки при использовании устаревшей версии КриптоПро CSP. Проверьте актуальность версии криптопровайдера. Если версия старее КриптоПро CSP 4. 0 — обновите программу.

Если текущая версия актуальна — переустановите плагин. При сохранении ошибки выполните переустановку сертификатов электронной подписи и плагина КриптоПро ЭЦП Browser Plug-in.

Данные настройки для этого продукта повреждены

Такая системная ошибка может быть вызвана несколькими причинами. Последовательно попробуйте устранить ее указанными ниже действиями, после каждого повторите попытку входа в систему.

Ошибки 0x80090019 и 0x8007000

Работу программы может блокировать установленный на компьютер антивирус — отключите его. Выключите в браузере блокировщики рекламы и другие расширения, мешающие работе программ. Если работаете под учетной записью с ограниченными правами — войдите под правами администратора. Если после указанных действий ошибка сохраняется, переустановите сертификаты ЭП и плагин.

Отказано в доступе

Чтобы устранить этот тип ошибки, убедитесь, что период действия ключа сертификата криптопровайдера не истек. Для этого откройте вкладку «Сервис» окна программы КриптоПро CSP. Нажмите «Протестировать» в верхней части окна и отметьте контейнер с закрытым ключом. В итогах тестирования появится информация по сертификату и дата окончания его действия. Если период закончился, получите новый ключ. Если ключ действителен, переустановите сертификаты ЭП и плагин.

Параметр задан неверно

Вероятные причины такой ошибки:

Если ошибка сохраняется, переустановите сертификаты электронной подписи и плагин КриптоПро ЭЦП Browser Plug-in.

Если описанные в нашей инструкции действия выполнены, но при входе в личный кабинет системы «Честный ЗНАК» по-прежнему возникают ошибки, обратитесь в техническую поддержку разработчика программы криптопровайдера:

На этом всё. Мы постарались привести привели самые распространенные ошибки, с которыми можно столкнуться, если «Честный ЗНАК» не может идентифицировать цифровую подпись УКЭП.

Ошибка с кодом 0x8007065B появляется тогда, когда отсутствует лицензия на ПО КриптоПро СSP. Для проверки ее статуса зайдите в программу. Перейдите во вкладку «Общие» и на строке «Срок действия» посмотрите текущий статус лицензии. Например, если «Истекла», срок закончился и нужно его продлевать. Приобрести новую лицензию можно у разработчика, а затем активировать ее.

Если с лицензией все в порядке, а система выдает ошибку, попробуйте переустановить плагин и сертификаты КЭП.

Сервер недоступен

Ошибка 503 свидетельствует о временной недоступности сервиса, в том числе системы маркировки. Наиболее распространенная причина ― перегруженность внешними запросами. В данном случае не остается ничего другого, как просто подождать. Ускорить решение проблемы можно путем обновления страницы.

Сертификат не найден

Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи»

У подобных ошибок могут быть следующие причины:

На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.

На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.

Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.

Для установки списка отозванных сертификатов:

• Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».
• Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».
• В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.
• Следуйте указаниям «Мастера импорта сертификатов».

Подготовьтесь к маркировке с Мультикас

Мы поможем подготовиться к маркировке, у нас есть все, что нужно!

Какие товары подлежат обязательной маркировке

Маркировка товаров

Правила перемаркировки продукции в системе «Честный ЗНАК»

Все о маркировке товаров Честный Знак

Чтобы работа с маркированным товаром была простой, используйте продуманную систему автоматизации маркировки GetMark. Полный набор функций для производителей, импортеров, оптовых компаний, поставщиков маркетплейсов и розницы позволит легко работать с маркировкой Честный ЗНАК.

Облачное решение GetMark упростит рабочий процесс:

SaaS-сервис GetMark совмещает в одном решении работу с маркировкой, учет товаров, ЭДО и автоматический обмен информацией с системой «Честный ЗНАК». В лицензию включено мобильное приложение со встроенным сканером кода DataMatrix и мобильной УКЭП. Команда технической поддержки на связи с 9 до 21 каждый рабочий день и готова проконсультировать по вопросам маркировки и работы с госсистемой.

Продление сертификата ЭП

Сертификаты электронной подписи имеют срок годности, по истечении которого нужно обращаться в удостоверяющий центр для продления. Рассказываем, как узнать срок действия сертификата и в каком порядке подаётся заявление на его продление.

Ошибка КриптоПро «0x80090008»

Если версия CryptoPro не соответствует новым условиям сдачи отчетности, пользователь увидит на экране уведомление с кодом ошибки «0x80090008». Это значит, что на ПК установлен устаревший релиз программы, и его необходимо обновить. Для начала проверьте сертификат:

• Откройте «КриптоПро CSP сервис» и выберите команду «Протестировать».
• Нажмите кнопку «По сертификату» и укажите нужный файл.

При наличии ошибки в СЭП система на нее укажет.

Удаление программы

Если никаких проблем не обнаружено, ошибку неправильного алгоритма поможет устранить переустановка СКЗИ:

• Найти криптопровайдер через «Пуск».
• Выбрать команду «Удалить».
• Перезагрузить ПК.

Чтобы новая программа работала корректно, перед установкой требуется удалить все следы старой версии с помощью фирменной утилиты cspclean от CryptoPro:

• Запустить файл cspclean.exe на рабочем столе.
• Подтвердить удаление продукта клавишей «ДА».
• Перезагрузить компьютер.

Контейнеры, сохраненные в реестре, удалятся автоматически.

Установка актуального релиза

Дистрибутивы для скачивания СКЗИ размещены в разделе «Продукты» и доступны для скачивания всем авторизованным пользователям. Создание ЛК занимает не более 5 минут:

• Нажмите кнопку «Регистрация».
• Введите личные данные и подтвердите согласие на доступ к персональной информации.

В каталоге продуктов выберите версию криптопровайдера с учетом ОС, загрузите установщик на ПК, запустите его и следуйте подсказкам. При установке ПО требуется указать серийный номер лицензии (если срок действия еще не истек). Эту информацию можно уточнить в приложении к договору.

По отзывам пользователей, переустановка ПК почти всегда помогает в устранении ошибки «0x80090008». Если проблема не решена, рекомендуется написать в техподдержку разработчика или обратиться к официальному дистрибьютору, у которого вы купили лицензию.

Проверка корректности выбора устройства

Для проверки корректности выбора устройства:

• Запустите Панель управления Рутокен.
• Выберите устройство Рутокен.
• Нажмите Информация. Откроется окно Информация о Рутокен.
• Если выбран Bluetooth-токен, то необходимо сравнить значение в поле ID (последние 5 цифр) с цифрами, указанными на корпусе Bluetooth-токена.
• Если выбран токен, то  необходимо сравнить значение в поле ID с цифрами, указанными на корпусе токена.

Ошибка вызова сервиса передачи/получения данных.

Вы указали неверный сертификат для шифрования сообщения в поле «Имя сертификата МО»: указанный сертификат может быть использован только для подписания, но не шифрования.

Закажите и установите сертификат, который поддерживает не только операцию подписания, но и операцию шифрования.

Ошибка при проверке цепочки сертификатов в КриптоПро

Юридически значимую документацию можно заверить электронной подписью только в том случае, если СКЗИ подтвердит надежность (доверенность) сертификата. Для этого программа проверяет цепочку сертификации (ЦС), состоящую из таких элементов:

• корневой сертификат от Минкомсвязи (начальное звено цепи), выданный УЦ;
• промежуточный сертификат УЦ (ПС);
• СКПЭП.

Правильно построенная ЦС подтверждает, что СКПЭП (конечное звено) имеет доверенный путь (от Минкомсвязи к УЦ, от УЦ к пользователю). Ошибка при проверке цепочки сертификатов в КриптоПро свидетельствует о том, что минимум один элемент в этой системе искажен. ЭП при этом считается недействительной и не принимается для подписания файлов.

ПричинаРешениеОдин из сертификатов поврежден или некорректно установленПереустановить сертификатНеправильно установлено СКЗИ (или стоит устаревшая версия)Удалить и заново установить программуУстаревшая версия веб-браузераОбновить браузерНа ПК не актуализированы дата и времяУказать в настройках компьютера правильные значения

• Открыть документ от Минкомсвязи на компьютере.
• В разделе «Общее» выбрать команду установки.
• Установить галочку напротив пункта «Поместить в хранилище».
• Из списка выбрать папку «Доверенные корневые центры».
• Нажать «Далее» — появится уведомление об успешном импорте.

По завершении процедуры рекомендуется перезагрузить ПК. Если сбой не устранен, переходим к промежуточному компоненту. При утере ПС его можно загрузить с официального сайта УЦ. Процесс установки такой же, как и для КС, но в качестве хранилища должно быть указано «Промежуточные центры».

После перезагрузки ПК снова зайдите в папку «Личное» и откройте СКПЭП. Если во вкладке «Путь сертификации» будет статус «Сертификат действителен» — ошибка устранена.

Не пройдена проверка структуры кода ошибка криптографической подписи

Типовые ошибки при формировании подписи в веб-интерфейсе сервиса подписи.

Размер переданного файла превышает максимально допустимый размер

Возможные причины возникновения ошибки:На подпись был передан документ, чей размер превышает заданный в настройках сервисов DSS.

Рекомендуемое решение:Изменить значения для максимальных размеров документов сервисов DSS, в соответствие с руководством.

Неперехваченное исключение: Message: invalid_certificate MessageDetail: Сертификат не найден или недействителен

Пример:Instance Unique Identifier: 1/signserver Source: SignDocumentRequestValidator Message: SignDocumentRequestValidator. Ошибка: invalid_certificate;Описание: Сертификат не найден или недействителен

Возможные причины возникновения ошибки:— Ошибка при проверке сертификата подписанта на сервере DSS;— Сертификат подписанта был отозван/приостановлен.

Рекомендуемое решение:— Обеспечить проверку сертификата подписанта на сервере DSS (путем установки цепочки сертификатов издателей в хранилище локального компьютера сервера DSS);— Обеспечить проверку сертификата подписанта на сервере DSS на отзыв (путем установки CRL в хранилище «Промежуточные центры сертификации» локального компьютера сервера DSS или обеспечив доступность CRL по ссылкам, указанным в расширении «Точки распространения списков отзыва» сертификата подписанта и цепочки сертификатов издателей);— Убедиться, что сертификат подписанта не был отозван/приостановлен.

Возможные причины возникновения ошибки:С сервера DSS нет сетевой доступности до службы штампов времени (TSP), выбранной при формировании подписи.

Рекомендуемое решение:Обеспечить сетевую доступность до службы штампов времени с сервера DSS. Затем проверить работоспособность службы, в соответствие с п. 2 «ЖТЯИ. 00094-01 91 02 Службы УЦ 2. КриптоПро TSP Server. Руководство администратора».

Возможные причины возникновения ошибки:С сервера DSS нет сетевой доступности до службы проверки статусов сертификатов (OCSP), адрес которой указан в расширении «Доступ к информации о центрах сертификации» сертификата подписанта.

Рекомендуемое решение:Обеспечить сетевую доступность до службы проверки статусов сертификатов. Затем проверить работоспособность службы, в соответствие с п. 3 «ЖТЯИ. 00094-01 91 01 Службы УЦ 2. КриптоПро OCSP Server. Руководство администратора».

Возможные причины возникновения ошибки:Остановлена служба штампов времени (TSP)/проверки статусов сертификатов (OCSP).

Рекомендуемое решение:Запустить службы на стороне сервера «КриптоПро Службы УЦ». Затем проверить работоспособность службы штампов времени, в соответствие с п. 2 «ЖТЯИ. 00094-01 91 02 Службы УЦ 2. КриптоПро TSP Server. Руководство администратора» и работоспособность службы проверки статусов сертификатов, в соответствие с п. 3 «ЖТЯИ. 00094-01 91 01 Службы УЦ 2. КриптоПро OCSP Server. Руководство администратора».

При загрузке документа для подписи возвращается ошибка «Message: Authorization has been denied for this request«

Возможные причины возникновения ошибки:— На сервисе обработки документов не настроены отношения доверия с центром идентификации;— Истек срок действия сервисного сертификата сервиса обработки документов.

При загрузке документа для подписи возвращается ошибка «Неперехваченное исключение: Message: An error has occured»

Пример:Instance Unique Identifier: 1/signserver Source: Signature Message: Message: Authorization has been denied for this request. CryptoPro. DSS. Common. Clients. Rest. DssClientException: Message: Authorization has been denied for this request.

Возможные причины возникновения ошибки:— На сервисе обработки документов не настроены отношения доверия с сервисом подписи;— Истек срок действия сервисного сертификата сервиса обработки документов.