Континент АП, проблема с сертфиикатами

Стоял Континент АП 3.7.7.625, после автоматического обновления Windows 10, он слетел. Переустановили заново, при попытке подключения, пишет, что не найден корневой сертификат. Скачал корневой сертификат с сайта УФК, установил его в доверенные корневые, всё равно не находит. Потом попробовал на другом пк с Windows 7 x32, с Континент АП 3.7.5.474, при попытке установления сертификата пользователя выдаёт следующую ошибку : Неизвестная ошибка импорта сертификатов. Есть варианты решения хоть одной из текущих проблем?

С обновлением как всегда информации мало. Замечу только, что возможно проблема не в самом Континенте, а в связанных программах. Если у Вас сертификат сгенерирован через КриптоПро надо не забыть и КриптоПро переустановить. Кроме переустановку Континента лучше делать с зачисткой специальной утилитой после удаления одной версии и до установки другой версии.
Про корневой сертификат - скорее всего Вы скачали не тот корневой сертификат - есть 3 сертификата ФК: неквалифицированный (Континент 3), квалифицированный старый 2013 года, действующий до 28.06.2018 (УЦ Федерального казначейства), квалифицированный июля 2017 года (Федеральное Казначейство). Посмотрите в сертификате, которым подключаетесь, "Кем выдан" - выше указано в скобках. Если у Вас до переустановки сертификат работал, то скорее всего первый или второй.

Немного повторюсь про их установку. Для первого варианта не нужен сертификат головного удостоверяющего центра, его выдают с сертификатом Континента, ставится в "доверенные корневые". Для второго - действующая цепочка доверия также без головного удостоверяющего центра и УЦ 2 ИС ГУЦ. Здесь в какой-то теме уже выкладывали сертификат без головного удостоверяющего центра, тоже ставится в "доверенные корневые". Он истекает через 9 дней, так что если у Вас вариант второй пора формировать запрос на новый сертификат.
Для третьего все наоборот - обязательна установка сертификата головного удостоверяющего центра в "доверенные корневые", а сертификат ФК ставится в "промежуточные". Пока нет подтверждения, что сертификаты выданные третьим вариантом можно использовать в Континенте. 99% тех, у кого был один сертификат второго варианта для континента и СУФД, теперь сказали делать отдельный для Континента первого варианта и отдельный для СУФД третьего варианта.

Поставил последнюю версию Континента 3.7.7.651 на Win 7x32, Так же стал ссылаться на отсутствие корневого сертификата. На сайте УФК нашёл только квалифицированный 2013 года и неквалифицированный(действие которого вообщё закончилось в 2016) и сертификат Головного удостоверяющего центра. Я установил 2 и 3, как корневые. Значит мне надо найти квалифицированный 2017 года? и его поставить уже как корневым? Или же квалифицированный 2013 года поставить, как промежуточный?
Upd: Вариант с промежуточным сертификатом (2013 года) и доверенным ( от головного) не помог
Upd2: Вариант с установкой, как корневым сертификатом (2017 года), так же не помог

Если речь идет про корневой сертификат континента, то скорее всего rootSDUFKLO2017 должен быть, у нас так. Он выдается вместе с user.cer в казначействе.

latupa пишет: Потом попробовал на другом пк с Windows 7 x32, с Континент АП 3.7.5.474, при попытке установления сертификата пользователя выдаёт следующую ошибку : Неизвестная ошибка импорта сертификатов.

"Неизвестная ошибка импорта сертификатов" для Континент-АП 3.7.5 может возникать в частности тогда, когда в оснастке Сертификаты Windows в "Сертификаты-текущий пользователь --> Личное" установлен сертификат пользователя, имеющий недопустимые для Континент-АП символы. Удаляя по очереди личные сертификаты и затем пробуя устанавливать через Континент-АП 3.7.5.474 требуемый личный сертификат, Вы сможете определить проблемный личный сертификат. Подробности здесь .

Upd: Вариант с промежуточным сертификатом (2013 года) и доверенным ( от головного) не помог
Upd2: Вариант с установкой, как корневым сертификатом (2017 года), так же не помог

Ну серьезно... читаете и делаете наоборот?
Выше я писал, что 2013 года (второй вариант) без головного удостоверяющего центра. Для 2013 года нужен вариант где в обеих строках "кому выдан","кем выдан" указано "УЦ Федерального казначейства", ставится в корневые, не промежуточные. Если 2013 года и "кем выдан" указано "УЦ 2 ИС ГУЦ" - этот сертификат закончился год назад. К слову с "УЦ 1 ИС ГУЦ" закончился 4 года назад. Рекомендую качать с федерального сайта ФК , а не с областного.

А 2017 года (третий вариант) с головным удостоверяющим центром. И что 2017 года ставится в промежуточные, а Вы толкаете его в корневые.

Сейчас у Вас мешанина в хранилище сертификатов, пока не вычистите все сертификаты ФК и не установите заново, цепочки доверия вряд ли заработают. Собственно, Вам не нужно перебирать все сертификаты УЦ - у Вас есть сертификат которым соединяетесь и в нем указана строка "кем выдан". Просто скопируйте сюда и все станет намного яснее. И это опять же уже было выше.

скорее всего rootSDUFKLO2017

у нас название другое, но направление думаю верное.

У меня тоже была ошибка "неизвестная ошибка импорта сертификатов" в случаях, если при удалении предыдущей версии Континента АП (3.5.68) возникали проблемы. Решилось удалением сертификата в свойствах браузера. После этого в Континент АП (3.7) сертификат импортировался без проблем. На тех компьютерах, где предыдущая версия Континента АП была удалена без ошибок, удалять сертификат в свойствах браузера не потребовалось. На всех компьютерах Windows7 64.

Доброго всем дня!
Помогите пожалуйста.
ОС Windows 7 32bit
Только начали работать с Казначейством, установила КриптоПРО 4.0 и Континент АП (выдали на диске), сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
Установила Java. С сайта moscow.roskazna.ru скачала сертификаты
Головной удостоверяющий цент (действующий с 2012 по 2027):
- установлен в Сертификаты Текущий пользователь - Доверенные корневые центры (в данной вкладке есть только установленный сертификат)
и Федерального Казначейства (действующий с 2017 по 2027)
-установлен в Сертификаты Текущий пользователь - Промежуточные центры сертификации (в данной вкладке есть сертификаты DigiCert, Go Daddy, RapidSSL и федеральное казначейство)
В св-вах браузера во вкладках Доверенные корневые стоит сертификат Головного центра, а в Промежуточных Федерального казначейства.
Брандмауэр отключен, в службах остановлен.
В КриптоПро CSP установила пользовательский сертификат.
Зависимость пользовательского сертификата установилось: Головной центр - Федеральное казначейство - Пользователь
(Сертификат пользователю выдан Федеральным Казначейством)
В Континенте АП подключила пользователя, через Сертификаты - Установить Сертификат.
Тест Континента проходит.
Нажимаю "Установить соединение", программа выдает ошибку "Сервер отказал в доступе пользователю. Причина: не найден корневой сертификат".

AnnaM пишет: "Сервер отказал в доступе пользователю. Причина: не найден корневой сертификат".

Должен быть ещё корневой сертификат что то похожее на root.p7b

Всё во это:

AnnaM пишет: Установила Java.
...
(Сертификат пользователю выдан Федеральным Казначейством)

к проблеме подключения Континента не относится.

Alex67 пишет: Должен быть ещё корневой сертификат что то похожее на root.p7b

+1, но есть вопросы исходя из этого:

AnnaM пишет: сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).

1. Сформировали заявку для работы где: в СУФД (+ возможно ГМУ или ещё какая-нибудь ИС)?
2. Для Континент-АП отдельный запрос на сертификат не генерировали в нём самом же?
3. Имя полученного файла сертификата вида "Фамилия Имя Отчество.cer"?
От Ваших ответов зависят формулировки следующих вопросов и поиск решения проблемы.

Alex67 пишет: Должен быть ещё корневой сертификат что то похожее на root.p7b

Нет, на флешке не было файла с таким расширением.

AnnaM пишет: сформировали заявку, получили сертификат (на флешке был 1 файл *.cer).
1. Сформировали заявку для работы где: в СУФД (+ возможно ГМУ или ещё какая-нибудь ИС)?

Запрос на получение сертификата пользователя сформировала на сайте УФК по г.Москва, в разделе "Онлайн сервис подачи документов для получения сертификатов", этот же сайт формирует ключи, к которым привязан сертификат, заполняет форму заявления, все документы прикладываются в электронном виде, после чего предоставляются оригиналы и через 3-4 дня выдали флешку с сертификатом пользователя.

2. Для Континент-АП отдельный запрос на сертификат не генерировали в нём самом же?

Нет.

3. Имя полученного файла сертификата вида "Фамилия Имя Отчество.cer"?

Да, именно такой файл и был на флешке. Один.

На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?

На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?

Два сертификата именно для Континента. Как правило имеют вид user.cer и root.p7b. Запрос на сертификат обычно создается через сам Континент АП, но лучше уточнить в отделе ОРСИБИ вашего Управления.

AnnaM пишет: 1. Запрос на получение сертификата пользователя сформировала на сайте УФК по г.Москва, в разделе "Онлайн сервис подачи документов для получения сертификатов".
2. Нет.
3. именно такой файл и был на флешке. Один.

Значит Вы получили сертификат НЕ для Континент-АП, а для для тех ИС, полномочия которых отмечали галками во время генерации запроса на портале ФЗС ("Формирование запросов на сертификат", он же "Онлайн сервис подачи документов для получения сертификатов").

На сколько я поняла, мне необходимо поехать в Казначейство и попросить выдать мне файл root.p7b?

Не сейчас - позже. А в первую очередь, как правильно

HappyHyman пишет: Запрос на сертификат обычно создается через сам Континент АП, но лучше уточнить в отделе ОРСИБИ вашего Управления.

Очень редко встречаются регионы, где для Континент-АП используются те же сертификаты, что для СУФД и прочих ИС. Это обязательно надо узнать в отделе безопасности УФК, обслуживающего вашу организацию.
Скорей всего для Континент-АП понадобятся отдельные "свои" сертификаты. Тогда надо в самой программе VPN клиент (Континент-АП) сгенерировать запрос на сертификат в меню "Сертификаты - Создать запрос на пользовательский сертификат" и предоставить файл запроса (*.req) + подписанную печатную форму Заявки на сертификат в обслуживающий вас теротдел казначейства (или непосредственно в ОРСиБИ УФК).
Только после их принятия и обработки будет изготовлен пользовательский сертификат user.cer и выдан вместе с корневым сертификатом root.p7b.

Рекомендую прежде чем осуществлять активную деятельность, расписать всё на бумажке: Континент- АП, (необходим для того то, того то, для его функционирования надо: 1.., 2..., 3..., ) и т.д.
тогда сформируется полная картина, Ху из Ху!

Такой вопрос - клиент установил сертификат в контейнер, как удалить сертификат из контейнера?
Экспорт закрытого ключа через хранилище сертификатов не прокатывает, пишет отказано в доступе.