Сертификат не действителен...

14 апр 2021 13:11 #18508 от OLL
Помогите разобраться.
Есть электронная подпись, выпущенная УЦ Казначейства. Со сроками и т.д. у нее все хорошо.
Просматриваю - вся цепочка сертификатов полна. Работают с ней в ЕИС и в СУФД.
И тут сегодня мне говорят поставщики, что она не действительна. Я начала ее тестить. Везде все проверки проходит, и сервисом Контура, и КриптоАрмом все ок. Но, потом залезла на сервер проверки подписи КриптоПро DSS и вуаля! Сертификат не действителен, не удалось построить цепочку сертификатов...
И все сертификаты прошлогодние такие... два последних, выпущенных в этом месяце ок.
Надеюсь, что по вложениям будет понятнее, а то текст очень сумбурен
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 апр 2021 13:31 - 14 апр 2021 13:32 #18509 от ful
Поставьте корневой ФК с сроком действия до 05.02.2035
roskazna.gov.ru/upload/iblock/024/uts-fk_2020.cer

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 апр 2021 13:41 - 14 апр 2021 13:43 #18510 от Alex_04
Alex_04 ответил в теме Сертификат не действителен...
Затрудняюсь чем-то помочь -- не работаю с КриптоАРМ, но на вскидку:
1. Хорошо бы увидеть содержание вкладки "Состав" у ПРОМЕЖУТОЧНОГО сертификата "Федеральное казначейство".
2. Если пользовательские серты выпущены ДО 05.02.2020, то в серте "Федеральное казначейство" даты д.б. с 19.11.2018 по 19.11.2033.
3. Если у промежуточного серта даты с 05.02.2020 по 05.02.2035 -- на компе НЕ установлен тот, что указан в п.2.
4. Если даты у него правильные, то попробуйте удалить этот серт во всех хранилищах, где только его найдете, и установить ч/з ПКМ -> V Показывать физические хранилища -> Промежуточные центры сертификации - Локальный компьютер.
Это ОБЯЗАТЕЛЬНО надо ТАК, чтобы он установился в данные хранилища в ветке "Сертификаты -- текущий пользователь" и в "Сертификаты (локальный компьютер)".


Бесконечно можно смотреть на 3 вещи: огонь, воду и ... открытие сайта "веселые картинки" ГМУ (опыт IT-шника)
Спасибо сказали: ranger

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 апр 2021 13:43 - 14 апр 2021 14:06 #18511 от Gvinpin
Gvinpin ответил в теме Сертификат не действителен...

OLL пишет: И тут сегодня мне говорят поставщики, что она не действительна. Я начала ее тестить. Везде все проверки проходит, и сервисом Контура, и КриптоАрмом все ок. Но, потом залезла на сервер проверки подписи КриптоПро DSS и вуаля! Сертификат не действителен, не удалось построить цепочку сертификатов...

Где поставщики видят, что подпись недействительна? Сертификат проходит проверку в crl (списке отозванных сертификатов) -- значит, действительна на текущую дату.
Цепочка сертификатов строится из пользовательского и корневых сертификатов, установленных на конкретном рабочем месте. Вы смотрите эту цепочку у себя. У поставщиков она может быть другой или ее может вообще не быть.

______________________________
Разум когда-нибудь победит ©

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 апр 2021 13:44 #18512 от OLL
Сертификат Казначейства стоит и с ним все хорошо.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 апр 2021 13:46 #18513 от Alex_04
Alex_04 ответил в теме Сертификат не действителен...

OLL пишет: Сертификат Казначейства стоит и с ним все хорошо.

С ним то всё хорошо, да только он не в жилу пользовательским -- читайте выше.


Бесконечно можно смотреть на 3 вещи: огонь, воду и ... открытие сайта "веселые картинки" ГМУ (опыт IT-шника)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 апр 2021 14:06 #18515 от OLL
Вот в том то и дело, что у меня то не было никаких трудностей с ЭЦП. Как мы работали во всех системах, так и продолжаем работать.
Но, вот сегодняшнее заявление сторонней организации и дальнейшая проверка ЭЦП в сторонних системах заставила задуматься меня.
Проверяю сертификат тут www.justsign.me/verifyqca/VerifyCertificate/ ( сервис проверки КриптоПро).
Попробуйте проверить любой свой сертификат открытого ключа прошлогодний, если не трудно...

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 апр 2021 14:37 - 14 апр 2021 15:41 #18516 от Alex67
Alex67 ответил в теме Сертификат не действителен...
https://www.justsign.me/verifyqca/VerifyCertificate/
Это же Сервер проверки электронной подписи КриптоПро DSS
Начал работу сервис проверки электронной подписи документов, сформированной с использованием квалифицированных сертификатов ключей проверки электронной подписи, выданных аккредитованным удостоверяющим центром ООО "КРИПТО-ПРО".
Программно-аппаратный комплекс КриптоПро DSS 2.0 предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ КриптоПро HSM.
Облачная электронная подпись. Она тут вообще никаким боком.
Так что шла бы ваша сторонняя организация для проверки сертификата на госуслуги
https://www.gosuslugi.ru/pgu/eds
и не ... любила мозги :)


"Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк
Спасибо сказали: ranger

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

15 апр 2021 07:23 #18521 от OLL

Alex67 пишет: [u
Так что шла бы ваша сторонняя организация для проверки сертификата на госуслуги
https://www.gosuslugi.ru/pgu/eds
и не ... любила мозги :)


:) Отличная рекомендация. Туда и буду посылать :)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 сен 2021 09:57 #19136 от Marina.
Marina. ответил в теме Сертификат не действителен...
Подскажите, пожалуйста, есть установленный сертификат в ПК, он отозван и должен быть недействителен. Есть актуальный список отзыва, он тоже установлен и пользователе и в локальном компьютере. Этот сертификат есть в этом списке. Но почему при просмотре сертификата статус "действителен"?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

14 сен 2021 12:27 #19138 от Alex67
Alex67 ответил в теме Сертификат не действителен...
Проверка легитимности сертификата, возлагается на программу, которая будет использовать данный сертификат
консоль "MMC Certificate" не осуществляет проверку на то, что сертификат находится в списках CRL. Чтобы Проверить сертификат на его наличие в CRL списках можно воспользоваться командой:
certutil -verify mycertfile.crt
или более подробно
certutil -f –urlfetch -verify mycertfile.crt
Ну или например смотреть в программе криптоарм.
А ещё лучше просто удалить ненужный отозванный сертификат с ПК и не морочить себе голову.


"Кто людям помогает - лишь тратит время зря. Хорошими делами прославиться нельзя" (с) Шапокляк
Спасибо сказали: Marina.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.