Установка корневого сертификата ГУЦ Минкомсвязи в соответствии с изменениями в 63-ФЗ “Об электронной подписи”

Из нашей статьи вы узнаете:

Что такое корневой сертификат

Корневой сертификат — это файл, который содержит сервисную информацию об удостоверяющем центре. Криптопровайдер получает доступ к этой зашифрованной информации, тем самым подтверждая подлинность личной электронной подписи.

На основе корневого сертификата удостоверяющего центра строится цепочка доверия сертификатам. Любая электронная подпись, выпущенная удостоверяющем центром корректно работает только при наличии корневого сертификата.

Какую информацию содержит корневой сертификат

В корневом сертификате хранится информация с датами его действия. Также криптопровайдер с помощью корневого сертификата получает доступ к реестру организации.

Возможна ли установка электронной подписи без корневого сертификата

Установить электронную подпись на компьютер можно без корневого сертификата. Однако, при проверке она может оказаться недействительной. В этом случае подписать какой-либо электронный документ не получится.

Без корневого сертификата система будет выдавать ошибку: «Невозможно проверить электронную подпись». Это касается как и подписи, установленной на компьютер, так и подписи на защищённом токене.

Как установить корневой сертификат

Установка корневого сертификата универсальна для любого удостоверяющего центра:

После этих действий корневой сертификат удостоверяющего центра будет установлен.

Получить квалифицированную электронную подпись можно в удостоверяющем центре, аккредитованном Минкомсвязи. Чтобы получить ЭЦП в УЦ«Астрал-М» нужно выполнить четыре простых шага:

• Оставьте заявку, заполнив форму обратной связи на странице «Астрал-ЭТ».
• Подготовьте необходимый пакет документов и отправьте на проверку специалистам УЦ «Астрал-М».
• Оплатите выставленный счёт.
• Получите готовую электронную подпись.

Использовать корневой сертификат нужно именного того удостоверяющего центра, который выдал электронную подпись.

В инструкции описана последовательность подготовки рабочего места для взаимодействия с государственными сайтами посредством электронно-цифровой подписи такими как Госуслуги, ГМУ (bus.gov.ru), Личный кабинет налогоплательщика (nalog.ru), ЕИС Закупки (zakupki.gov.ru) и т.д.

Установка корневых сертификатов

Основной набор корневых сертификатов представлен корневыми сертификатами нескольких организаций

Популярные браузеры могут считать данные сертификаты опасными, соглашаемся на сохранение всё равно. Сертификаты загружаются по прямым ссылкам с официального сайта казначейства.

1 Корневые сертификаты Федерального казначейства

Скачивание корневых сертификатов с сайта федерального казначейства

Все основные корневые сертификаты можно найти на сайте федерального казначейства в разделе ГИС — Удостоверяющий центр — Корневые сертификаты.

Нужно установить все действующие на текущий момент сертификаты (на вкладках 2022, 2021, 2020 и 2018 годов, на момент публикации инструкции). Вот прямые ссылки на них:

• Сертификат Минкомсвязи России (Головного удостоверяющего центра) ГОСТ Р 34.10-2012 (действует до 01.07.2036)
• Сертификат Минцифры России (Головного удостоверяющего центра) (действует до 08.01.2040)

2 Корневые сертификаты КриптоПро

Необходимы для открытия официального сайта КриптоПро, сайта проверки работы браузерного плагина и т.д. Подробнее почитать можно на сайтах соответствующих сертификатов по ссылкам: http://cpca20.cryptopro.ru/ и https://cpcakc3.cryptopro.ru/tls.htm

3 Корневой сертификат Госуслуг

Необходим для открытия некоторых сайтов (например, ГАС Управление). Посмотреть информацию о данном сертификате, а так же заказать себе свой можно на сайте.

Правой кнопкой мыши нажать по файлу и выбрать пункт Установить сертификат

Выбрать область установки сертификата (рекомендуется выбирать Локальный компьютер, так сертификат будет работать для всех пользователей в системе).

Установка сертификата из скаченного файла

Выбрать хранилище сертификатов Доверенные центры корневой сертификации, наждать ОК, Далее, Готово.

Установка сертификатов корневых центров сертификации

Проделать эти операции для каждого из сертификатов.

Установка и запуск криптопровайдера КриптоПро CSP

Для сертификатов выпущенных с 01.01.2022 или для тех, которые не устанавливаются в КриптоПРО CSP четвертой версии, возможно, поможет обновление четвертой версии до версии 5.0.11455, как на изображении ниже, лицензия будет перенесена (но не более новой, иначе, из-за обновленной системы лицензирования, лицензия слетит).

Процесс установки не сложен — там нет необходимости в специфических настройках.

Запустить программу можно нажав на её ярлык в Пуск — Все программы — КРИПТО-ПРО — КриптоПро CSP, либо найдя ярлык запуска в Панели управления (Раздел Система и безопасность)

После установки программа будет работать в пробном, но полнофункциональном, режиме 3 месяца (при условии, что программа была установлена впервые), чего на первое время хватит.

Регистрация лицензии на КриптоПро

Следует зарегистрировать программу (кнопка Ввод лицензии) используя выданный в казначействе документ: Учётная карточка лицензии на право использования электронной подписи. Нужный код находится в поле Серийный номер лицензии.

Учётная карточка лицензии на КриптоПро

Установка личных сертификатов (своя ЭЦП)

Запустить КриптоПро, перейти на вкладку Сервис, нажать на кнопку Установить личный сертификат, выбрать файл сертификата, нажав кнопку Обзор (файл сертификата обычно находится на той же флэшке, на которой находится контейнер ЭЦП), нажать Далее (отобразятся сведения о сертификате), нажать Далее.

Установка личного сертификата в КриптоПро

Отметить галочкой пункт Найти контейнер автоматически. В случае успеха, поле ниже заполнится, нажать Далее, обязательно отметить галочкой пункт Установить сертификат (цепочку сертификатов) в контейнер, так чтобы она приняла вид галочки, а не квадрата. Нажать Далее и Готово.

Установка и настройка браузера

Есть возможность работать с сайтами во встроенном в систему Windows браузере Intertnet Explorer (требуется последняя, 11 версия). Но у данного браузера есть определённые минусы включая то, что он больше не будет развиваться и поддерживаться, а соответственно и его поддержка государственными сайтами может быть прекращена в любой момент. На многих сайтах он уже отмечен как не рекомендуемый. Т.к. он не требует особой настройки его можно попробовать использовать как экстренный вариант, если с рекомендуемым ниже браузером что-то не получается.

Подготовленная корпоративная версия браузера

Без лишних рекламных ссылок и автоустановки Алисы(для Windows)

В процессе установке нет выбора устанавливаемых компонентов и опций, потому сразу после установки желательно:

• Удалить лишние программы (Панель управления — Удаление программ):
  АлисаКнопка Яндекс на панели задач
• Алиса
• Кнопка Яндекс на панели задач
• Убрать Яндекс.Браузер из автозагрузки (Яндекс.Браузер — Меню — настройки — Система — Открывать окна браузера вместе с запуском Windows — Никогда)
• Отключить работу браузера в фоновом режиме (вызвать контекстное менб на значке браузера в трее, снять галочку Работать в фоне)
• В момент второго/третьего запуска браузера он предложит и тут же перенесёт настройки с браузера по-умолчанию, следует отказаться от этого, если вы не планируете использовать его в качестве основного браузера для работы

Включение поддержки шифрования по ГОСТ в Яндекс.Браузере

Теперь надо включить ту возможность, ради которой был выбран этот браузер — поддержку государственных стандартов шифрования, т.к. эта возможность по-умолчанию отключена. Нужно перейти в Меню — Настройки — Системные — Подключаться к сайтам, использующим шифрование по ГОСТ.

Если вы работаете с несколькими ЭЦП, то важно знать, что одновременно можно работать только с одной ЭЦП. Выбор сертификата запоминается браузером и в случае необходимости зайти из под другой ЭЦП — следует перезапустить браузер.

На этом этапе у вас уже есть настроенное рабочее место и браузер через который можно работать.

При попытке перейти на сайт bus.gov.ru может вылезти ошибка, что протокол шифрования устарел. Это не проблема браузера, сайт и правда использует устаревший протокол. В таком случае необходимо согласится с возможным риском и добавить сайт в исключения, это поможет на какое-то время.

КриптоПро ЭЦП Browser plug-in (CADES)

Необходим для взаимодействия криптопровайдера с ЭЦП через сторонний (не Internet Explorer) браузер.

Оба компонента обязательны к установке:

После установки, плагин попытается установить своё расширение в браузер. Если у него это не получилось или вы отказались, то ссылка на расширение ниже. Расширение так же есть в качестве основных в Яндекс.браузере и его можно просто включить.

Если не скачивается расширение и выдает ошибку, см. статью Не скачиваются расширения с Chrome Market

В случае ошибки «Превышено время ожидания от плагина» (обычно выскакивает при попытке опубликовать материал в bus.gov.ru) следует убедится, что установлена актуальная версия плагина (отключить установленную из каталога Opera и установить актуальную из каталога Chrome. В моём случае не работало на версии 1.2.7, а после установки 1.2.8 заработало.

Плагин Госуслуг для браузера

Ошибка ERR_SSL_VERSION_OR_CHIPER_MISMATCH в Яндекс.Браузере

Эта ошибка возникает при проблемах установки соединения по протоколу ГОСТ.

Решение: Обратить более пристальное внимание на пункты инструкции 1 и 4 и перезагрузить ПК

Если после этого не заработало, то может помочь:

ERR_SSL_OBSOLETE_VERSION

Не является ошибкой. Некоторые сайты всё ещё используют устаревшую версию протокола шифрования TLS 1.0 или TLS 1.1. Яндекс.Браузер считает использование этих протоколов небезопасным и предупреждает об этом. Подробнее можно почитать тут.

3 Internet Explorer — Этот веб-сайт не защищён (Код ошибки

Эта ошибка возникает при отсутствующих корневых сертификатах безопасности, следовательно выполните рекомендации раздела 1. После этого перезагрузить ПК, либо: зайти в свойства браузера, вкладка Содержание, Кнопка Очистить SSL и перезапустить браузер.

4 Влияние антивирусных программ

Во многих комплексных антивирусных программных продуктах (далее антивирус), помимо обычной проверки файлов на вирусы, реализована проверка сетевых данных. Т.к. подавляющая часть сайтов работает по зашифрованному протоколу HTTPS, то антивирус не сможет проверить содержимое этих данных — для этого ему нужно их расшифровать. Чтобы это сделать, в цепочку сертификатов при установке соединения с сайтом внедряется сертификат антивируса и обычные сайты открываются без проблем. Проблемы начинаются с государственных сайтов и сайтов использующих шифрование по ГОСТ (которое не признанно всемирно, поэтому не работает сразу везде). Из-за внедрения сертификата антивируса нарушается цепочка шифрования и сайт может не открыться, при этом могут появляться все вышеописанные ошибки о невозможности установить защищённое соединение. Поэтому, если вы сделали все вышеуказанные рекомендации, перезагрузили ПК и у вас всё равно ничего не заработало, то скорее всего дело в вашем антивирусе. Встроенный в Windows антивирус влияние не оказывает, а вот популярные продукты от Kaspersky, DrWeb, ESET Nod32, Avast и т.д. могут.

Подробнее как отключить проверку HTTPS трафика:

5 Выберите другую организацию (при авторизации через ЕСИА)

Для сайтов, у которых авторизация производится через ЕСИА (единую систему идентификации и авторизации) при выборе сертификата могут наблюдаться разнообразные ошибки авторизации в основном связанные с неправильным выбором сертификата для входа (к примеру, сообщение на ЕИС Закупки Выберите другую организацию при входе по 223-ФЗ, раздел V). Почти всегда это связано с закешированными данными об авторизации на сайте Госуслуги.

Решение: авторизоваться на сайте Госуслуги, нажать Выйти в личном кабинете (чтобы деавторизоваться), перезапустить браузер, зайти на интересующий сайт и авторизоваться в штатном режиме на интересующем вас сайте.

Приложения к статье

Не можете настроить рабочее место по вышеприведённой инструкции? — Настрою за вас! Свяжитесь со мной

Сертификаты аутентификации серверов

Удостоверяющего центра CryptoPro TLS CA
(схема обслуживания – распределенная)

На рабочее место пользователя Удостоверяющего Центра CryptoPro TLS CA должно быть установлено СКЗИ «КриптоПро CSP» версии 4.0 или выше.
Cертификаты УЦ CryptoPro Root CA по ссылке tlsca.cryptopro.ru/tlscaroot.p7b
Cертификаты УЦ CryptoPro TLS CA по ссылке tlsca.cryptopro.ru/tlsca.p7b

Последовательность действий по установке и настройке ПО

• Установка КриптоПро CSP
• Установка сертификатов УЦ. Сертификаты УЦ предоставляются пользователю при изготовлении его сертификата, а также входят в состав дистрибутива КриптоПро CSP 4.0 R4 и выше. Если они не установлены, то установить их можно из файлов:

Порядок получения сертификата

• Заполните заявку на нашем сайте, выбрав позицию «Услуги Удостоверяющего Центра по изготовлению сертификата ключа аутентификации сервера по распределенной схеме обслуживания». При необходимости там же можно заказать лицензии на «КриптоПро CSP».
  В течение суток на указанный Вами адрес электронной почты будет выслан скан счета. Распечатайте и оплатите его.
• Подготовьте заявительные документы по формам из приложений в Регламенте УЦ:

  Приложение № 1 (Заявление о присоединении к Регламенту) – 2 экз. (предоставляется один раз при получении первого сертификата)

  Приложение № 2 (Заявление на регистрацию) – 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)

  Приложение № 3 (Доверенность пользователя УЦ) – 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)

• Приложение № 1 (Заявление о присоединении к Регламенту) – 2 экз. (предоставляется один раз при получении первого сертификата)
• Приложение № 2 (Заявление на регистрацию) – 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)
• Приложение № 3 (Доверенность пользователя УЦ) – 1 экз. для каждого пользователя УЦ (который будет владеть сертификатом ключа подписи)
• Оригиналы всех подготовленных документов (Заявление о присоединении, Заявление на регистрацию, Доверенность, Заявление на изготовление сертификата, Сертификат на бумажном бланке) необходимо прислать Почтой России или курьерской службой в ООО «КРИПТО-ПРО».

Справочная информация

Корневой сертификат (CA) — это файл, в котором указана информация об удостоверяющем центре. Для корректной работы личного сертификата необходимо установить корневые сертификаты (а именно «промежуточный», выданный Удостоверяющему центру, и «головной корневой» сертификаты, называемые «цепочкой доверия») Удостоверяющего центра, который выпустил данный сертификат.

Списки отозванных сертификатов (CRL)– список аннулированных сертификатов.

Корневые сертификаты и списки отозванных необходимы для проверки информации о действительности и подлинности электронной подписи пользователя.

Где скачать корневые сертификаты?

Корневые сертификаты зависят от Удостоверяющего центра, выдавшего сертификат. Посмотреть, кем выдан сертификат, можно в открытой части сертификата (файл с расширением .cer). Информация указана в поле «Кем выдан» на вкладке «Общие».

Если сертификат выдан УЦ:

• ООО «Такском» – сертификаты можно загрузить с нашего сайта: раздел «Техподдержка» – «Корневые сертификаты и списки отзыва» или с помощью «Мастера настройки».
• Федеральная налоговая служба – можно загрузить с сайта ФНС.
• Для других – необходимо обратиться в Удостоверяющий центр, выдавший сертификат.

Какие корневые сертификаты нужны для работы с сертификатами УЦ «Такском»?

Для работы с сертификатами УЦ ООО «Такском» необходимо установить следующие корневые и промежуточные сертификаты:

Для сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»

Чтобы проверить ГОСТ сертификата, необходимо:

• В браузере открыть «Панель управления» – «Свойства браузера» – «Содержание» – «Сертификаты»;
• Нажать на необходимый сертификат двойным кликом и выбрать вкладку «Состав»;
• Проверить строку «Алгоритм подписи».

Как проверить, установлены ли корневые сертификаты?

Необходимо открыть сертификат (файл с расширением .cer) и перейти на вкладку «Путь сертификации».

Пример корректно установленной цепочки доверия

Если «цепочка доверия» установлена некорректно, на каком-либо сертификате или на самой цепочке могут быть красные «крестики» (пример на скриншоте ниже).

Пример некорректно установленной цепочки доверия

Как установить корневые сертификаты и списки отозванных?

Для установки списка отозванных сертификатов воспользуйтесь инструкцией: инструкция по установке списка отозванных сертификатов.

Установить корневые сертификаты можно несколькими способами:

Откройте «Мастер настройки рабочего места», нажмите «Настроить» и следуйте подсказкам системы. Инструкция по работе с «Мастером настройки».

Важно при установке сертификата обязательно выбирать только соответствующую папку:

• корневые сертификаты необходимо устанавливать в папку «Доверенные корневые центры сертификации»;
• промежуточные – в «Промежуточные центры сертификации».

Об Сертум Про

ООО «Сертум-Про» — дочернее предприятие АО «ПФ «СКБ Контур» и выдает УКЭП — усиленные квалифицированные электронно-цифровые подписи.

Как мы работаем

Удостоверяющий центр Сертум-Про работает с 2003 года и за это время мы выдали свыше 11 млн ЭЦП. Каждый месяц мы выпускаем около 130 тыс. УКЭПов.

Компания имеет более 2 тыс. офисов, расположенных по всей Российской Федерации, где можно получить ЭЦП.

Для покупки необходимого сертификата электронной подписи вы можете обратиться к нам на официальном сайте удостоверяющего центра Сертум-Про. Мы предоставляем информацию о сертификатах УКЭП, с помощью которой вы сможете выбрать необходимый для своей работы или бизнеса.

С электронной подписью

Поможем, если в работе электронной подписи или средств криптозащиты возникнут ошибки.

Автоматическая установка за 15 минут

Наш сервис самостоятельно установит программы для электронной подписи. Пользуйтесь подписью сразу.

Сервис для подписания документов

Подписывайте файлы любого формата, проверяйте чужие подписи в онлайн-сервисе Контур.Крипто.

Поиск закупок и тендеров

Хотите найти закупки по ФЗ-44 и ФЗ-223, согласно регионам, заказчику отраслям, ценам, ключевым словам или типу торгов?

Настройте поиск и уведомления, которые оповестят вас о новых закупка по 230 источникам. Анализ и проверка завершённых тендеров.

Квалифицированной электронной подписи

Участия в торгах

от 2 500

Принимайте участие в торгах и закупках в соответствии с 44-ФЗ, 223ФЗ, в коммерческих и банкротских торгах.

Для ООО и ИП

ЭЦП на все случаи жизни, в том числе и для бизнеса. Экспертная помощь и консультации при необходимости.

от 1 500

Что бы сдать отчеты в соответствующие государственные органы поставьте на документах ЭЦП.

от 1 000

Взаимодействуйте с порталами гос. услуг и ФНС, регистрируйте соглашения в режиме онлайн.

Подбираем тариф.

Для проверки подлинности электронной подписи на компьютере, где и используется ЭЦП, обязательно должен устанавливаться корневой сертификат удостоверяющего центра. Это открытый ключ, по которому криптопровайдер понимает, какая именно организация выдала электронную подпись и к чьему реестру необходимо обращаться для проверки актуальности ЭЦП. Более того, только при наличии установленного в системе корневого сертификата на компьютер можно скопировать персональную электронную подпись (в виде открытого ключа, сгенерированного с помощью USB‑токена). Где получить и как установить корневой сертификат удостоверяющего центра?

• Где взять корневой сертификат
• Можно ли установить ЭЦП без корневого сертификата
• Какая информация содержится в корневом сертификате
• Как установить
• Установка в Linux
• Возможные проблемы и пути их решения
• Обновление корневого сертификата удостоверяющего центра

Где взять корневой сертификат

Консультант по подбору ЭЦП

Необходимо обратить внимание, что срок действия корневых сертификатов также ограничен и составляет 12 месяцев с даты их регистрации (выдачей занимается Минкомсвязи, его наличие у УЦ подтверждает, что организация аккредитована). Соответственно, в начале нового календарного года необходимо проводить инсталляцию нового ключа удостоверяющего центра, чтобы продолжать нормально пользоваться электронной подписью.

Можно ли установить ЭЦП без корневого сертификата

Без корневого сертификата электронную подпись установить тоже получится, но такой ключ не будет признаваться в качестве действительного. Соответственно, подписать документ не получится (КриптоПро CSP будет выдавать ошибку, ссылаясь на невозможность проверить подлинность ЭЦП).

Это актуально и для онлайн-сервисов, где выполняется авторизация через ЭЦП. Все это работать не будет даже при считывании открытого ключа непосредственно из USB-накопителя через КриптоАРМ (без интеграции корневого ключа в систему). Операционная система точно так же будет выдавать ошибку, ссылаясь на невозможность проверить подлинность подписи.

Какая информация содержится в корневом сертификате

Что такое корневой сертификат удостоверяющего центра? Это файл, где сохранена сервисная информация об удостоверяющем центре с указанием даты его действия, сервисным интернет-адресом (через который можно связаться с реестром организации). Все эти данные предоставляются в шифрованном виде, которые использует КриптоПро CSP для проверки подлинности открытой персональной ЭЦП.

Основное назначение корневого ключа – это именно проверка подлинности открытого ключа ЭЦП. Открытую подпись гражданина в теории можно украсть, но воспользоваться ею без сертификата от удостоверяющего центра – не получится. То есть, вся эта схема сделана так, чтобы предотвратить факты использования чужой ЭЦП мошенниками или просто третьими лицами.

Понадобится сам файл с расширением .crt. Если он распространяется в форме архива – сперва файл необходимо разархивировать (для этого подойдет приложение WinRAR или 7Z). Затем для установки корневого сертификата необходимо следовать шагам инструкции:

• Необходимо правой кнопкой кликнуть на файл с расширением .crt;
• Выбрать «Установить сертификат», после чего запустится «Мастер импорта»;
• Нажать «Далее»,
• Выбрать «Поместить все сертификаты в выбранной хранилище»;
• Из диалогового окна выбрать «Доверенные корневые центры сертификации», нажать ОК (пункт «Показать только физические хранилища» не должен быть отмечен галкой);
• Нажать «Далее», на предупреждение системы об установке ключа неизвестного назначения можно не обращать внимание и просто закрыть данное окно, затем – кликнуть на «Готово».

В том случае, если пользователь попытается провести установку корневого сертификата удостоверяющего центра, срок действия которого уже истек, то при попытке его импорта система выдаст ошибку.

После установки корневого ключа настоятельно рекомендуется перезагрузить компьютер. В противном случае – могут возникать ошибки при запуске КриптоПро CSP (довольно частая проблема при использовании Windows XP устаревших редакций, которые официально уже не поддерживаются разработчиком ПО).

Установка в Linux

В современных дистрибутивах Linux установка корневых сертификатов удостоверяющих центров выполняется ничуть не сложнее, нежели в среде Windows. Потребуется файл с расширением .crt, достаточно по нему дважды кликнуть мышкой и выбрать «Установить» (подтвердить выбор необходимо введением пароля пользователя).

Возможные проблемы и пути их решения

Первое, на что стоит обратить внимание если не устанавливается корневой сертификат удостоверяющего центра – это на лицензию операционной системы. В пиратских версиях Windows функционал, отвечающий за установку и работу с сертификатами, довольно часто полностью обрезан или нарушена целостность хранилищ (из-за некоторых отключенных служб). Поэтому начать следует именно с установки лицензионной версии Windows.

Ошибка с правами

Такая ошибка возникает при использовании устаревшей редакции Windows 7. Необходимо обновить ОС до редакции Service Pack 1 и выполнить импорт сертификата удостоверяющего центра ещё раз.

Также следует упомянуть, что разработчики КриптоПро CSP рекомендуют использовать 64-битные версии операционных систем. Это актуально для Windows 7 и выше. Windows XP последней редакции (Service Pack 3) никогда не выходила в 64-битной вариации, но там с установкой сертификатов никаких подобных проблем не возникает.

Данная ошибка также часто встречается в Windows Vista (кроме редакции Service Pack 2). Решение – обновить операционную систему или установить более актуальную версию. Все это относится не только к пользовательским версиям Windows, но и к серверным.

Ошибка импорта сертификата

Если Windows выдает ошибку при попытке выполнения импорта сертификата во внутреннее хранилище, то это может указывать на:

• использование несовместимого дистрибутива криптопровайдера (следует использовать КриптоПро CSP версии 3.5 или выше);
• копия открытого ключа уже установлена в систему (проверить список можно через КриптоПро CSP из панели управления Windows);
• ошибки в работе с реестром (рекомендуется выполнить восстановление системы или чистку реестра с помощью специального ПО, типа C&CLeaner);
• срок действия корневого сертификата удостоверяющего центра истек (необходимо импортировать действующий, а не отозванный);
• файл ключа поврежден (его целостность проверяется с помощью хеширования, на сайтах удостоверяющих центров может указываться хеш-сумма для проверки).

Если все вышеуказанные причины устранены, но ошибка все равно возникает, то следует выполнить переустановку операционной системы с очисткой всего хранилища ранее установленных пользователем сертификатов.

Обновление корневого сертификата удостоверяющего центра

При наступлении нового календарного года необходимо самостоятельно устанавливать обновленные ключи удостоверяющих центров на компьютеры, где используется ЭЦП (операционная система выдаст соответствующее напоминание при запуске).

Выполнить обновление можно двумя методами:

• Вручную загрузить и установить необходимый ключ.
• С помощью специального ПО, распространяемого удостоверяющими центрами (таковое есть, к примеру, в «Контур»).

Установка нового сертификата ничем не отличается от описанной выше. Удалять старый ключ удостоверяющего центра не обязательно – он все равно будет считаться системой как недействительный, использоваться он не будет.

Также некоторые удостоверяющие центры выпускают специальные программы для автоматической установки всех необходимых корневых сертификатов. Информацию на этот счет можно получить в самом УЦ или на их официальном сайте. Для установки обновленных ключей действующее интернет-подключение не нужно, актуальность файла будет автоматически проверена при первом подключении к сети. Такая проверка проводится всего один раз за весь срок действия корневого сертификата.

Итого, как установить корневой сертификат удостоверяющего центра для КриптоПро? Как и любой другой ключ, потребуется лишь указать в качестве хранилища «Доверенные корневые центры». В противном случае – ключ будет импортирован как персональный, для проверки электронной подписи он использоваться не будет.