Обычно работа с электронной цифровой подписью не вызывает сложностей, но иногда при подписании документа возникает ошибка о содержании в сертификате недействительной цифровой подписи. Решение ошибки зависит от причины и момента возникновения и обычно ограничивается переустановкой программного обеспечения.
Содержание
Причина: переустановка OS Windows
После переустановки Windows или установки обновлений сертификаты, имеющие ключи менее 1024 битов, становятся недействительными и блокируются. Для снижения риска компрометации ключей электронной подписи было выпущено специальное обновление, блокирующее ненадежные ключи RSA (криптографический алгоритм, сокращение от Rivest, Shamir и Adleman).
Решение
Проблему можно решить несколькими командами, которые задаются через командную строку (комбинация клавиш Win+R и введение в поисковом окне cmd).
Чтобы разрешить использование корневого сертификата (КС) с длиной менее 1024 бит, нужно использовать команду certutil: certutil -setreg chain\EnableWeakSignatureFlags. Для разрешения регистрации и блокировки закрытых ключей ЭЦП используют команду certutil -setreg chain\EnableWeakSignatureFlags. Для включения регистрации сертификатов RSA ниже КС используют certutil: certutil -setreg chain\EnableWeakSignatureFlags. Для регистрации без блокировки ключей электронной подписи длиной менее 1024 бит задают команду certutil: certutil -setreg chain\EnableWeakSignatureFlags.
Причина: не запущена служба инициализации
Иногда ошибка недействительности подписи связана со сбоем в службе инициализации. Обнаружить это можно, если попробовать посмотреть любой из закрытых ключей электронной подписи в хранилище.
Решение
Чтобы устранить ошибку нужно:
- Открыть командную строку (Win+R) и ввести в строке поиска cmd.
- Выполнить команду certmgr.msc.
- Открыть «Доверенные КС» и проверить статус интересующего закрытого ключа.
- Выполнить команду services.msc.
- Посмотреть состояние «Службы инициализации КриптоПро».
- Открыть через «Свойства» КриптоПро вкладку «Алгоритмы».
Обычно причина ошибки в том, что не все поля заполнены. После введения недостающей информации и перезагрузки программы ошибка исчезает.
Ошибка при работе в СУФД
Иногда при работе системы удаленного финансового документооборота также выходит ошибка о недействительности электронной подписи. Причин может быть несколько — это и отсутствие личных сертификатов, и устаревшая версия Java и даже неправильно выбранный пользователь.
Решение
Для проверки наличия личных сертификатов нужно перейти: «Панель управления»/«Свойства обозревателя»/«Содержание»/папка «Сертификаты». Если они личные, то необходима установка КриптоПро.
Для корректной работы подписи необходима версия Java 6 update 17 и выше. Также важно проверить, включены ли в используемом браузере плагины Java. Сделать это можно так:
- для IE: «Сервис»/«Надстройки»/«Панель инструментов». В открывшемся меню все пункты, относящиеся к Java, должны быть активны.
- для Firefox: «Инструменты»/«Дополнение»/«Расширения»/«Плагины». Также в новом окне должны быть активны все пункты, связанные с Java.
Также нужно проверить «Документарный контроль» и очередность подписей, используемый ключевой носитель и соответствие учетной записи.
Ошибка сертификата при работе в ЕГАИС
Во время работы в Единой Государственной Автоматизированной Информационной Системе (ЕГАИС) проблема с недействительной подписью возникает реже и обычно из-за отсутствия личного сертификата или повреждения ключевого носителя.
Как устранить
Для устранения ошибки нужно:
- Проверить действительность личного сертификата.
- Проверить наличие контейнера на носителе ЭЦП и файла с расширением .cer.
- При помощи КриптоПро сделать копию и установить с копии новый личный сертификат.
- Переместить содержимое ключевого носителя в любое место на ПК, а если данные повреждены и копирование не удается, восстановить при помощи специальной программы (badcopy).
- Переустановить КриптоПро.
Обычно после переустановки программы и повторной загрузки КС проблема исчезает. При повторном появлении ошибки лучше обратиться в техническую поддержку.
Ошибка при работе в КриптоАрм
Проблема с недействительной подписью при работе в КриптоАрм может быть вызвана и истекшим сроком сертификата, и тем, что ключ ЭЦП попал в список отозванных сертификатов, и в невозможности построить цепочку сертификатов.
Как устранить
Чтобы устранить ошибку, нужно проверить адрес OCSP службы в сертификате. В поле «Доступ к информации о центрах сертификации» обычно не ставится пункт «Метод доступа». Сделать это можно так:
- «Пуск»/«Все программы»/«Сертификаты»/«Пользователь»/«Личное»/«Сертификаты».
- В правой части рабочего окна открыть нужный сертификат.
- Открыть вкладку «Состав»/«Доступ к информации…».
Если данное условие нарушено, то необходимо обратиться в удостоверяющий центр, выдавший электронную подпись, и попросить изготовить новую ЭЦП в формате CAdeS XLONG.
Если создание ЭЦП требует использования штампа времени, то построение цепочки без подписи данного формата невозможно. Для устранения ошибки понадобится установка сертификата тестовой службы штампа времени с официальной страницы удостоверяющего центра, изготовившего ЭЦП в хранилище доверенных центров сертификации. После этого рекомендуется выполнить проверку на тестовой странице удостоверяющего центра и, если ошибка повторяется, еще раз обратиться в УЦ для проверки корректности работы ЭЦП.
Если не удается построить цепочку сертификатов, то нужно убедиться в отсутствии проблем с интернетом. Ошибка может возникать при нестабильном сигнале сети. Затем нужно проверить наличие КС удостоверяющего центра. Сделать это просто:
- Открыть КриптоПро и вкладку «Сертификаты».
https://rusadmin.biz/files/2018/10/step03que02pic01.png
- Выбрать необходимый центр.
- Выбрать «Доверенные сертификаты».
- Перейти в «Реестр» и «Сертификаты».
- Выбрать в списке КС нужного удостоверяющего центра.
При отсутствии сертификата его скачивают с официального сайта удостоверяющего центра, но обычно он находится в папке с КС и его нужно только установить. Для корректной работы в дальнейшем лучше пользоваться браузером Internet Explorer, т.к. в других браузерах возможны ошибки и сбои из-за некорректной работы плагинов.
Установка КС происходит автоматически при нажатии кнопки «Установить» и занимает несколько секунд. После этого браузер и ПК нужно перезагрузить.
https://rusadmin.biz/files/2018/10/uc.jpg
Обычно проблему с недействительной подписью в сертификате можно решить собственными силами. Помогает как переустановка криптопровайдера со всеми сертификатами, так и проверка на срок действия и даже соответствие носителя ЭЦП используемой подписи. Если после всех действий ошибка повторяется, то лучше обратиться в службу технической поддержки удостоверяющего центра, изготовившего ЭЦП.