Windows 2003 этот сертификат содержит недействительную цифровую подпись

В заметке описывается решение проблемы, связанной с использованием новых SSL сертифкатов (SHA2) на операционных системах Windows 2003 Server и Windows XP.

Опубликовано: пн, 08/18/2014 — 13:46

Случается, что после установки сертификата на веб-сервер IIS, платформой для которого служит Windows 2003, получаем сообщение об ошибке:

Этот сертификат содержит недействительную цифровую подпись.

Все дело в том, что Windows 2003 (как и XP) не поддерживают алгоритм хеширования SHA2. Для них издатели сертификатов должны использовать SHA1. Но как быть, если у вас уже на руках новый сертификат. Для Windows XP проблема решается установкой SP3, а для Windows 2003 Server у Microsoft существуют исправления, предварительно рекомендуется обновиться до SP2.
Итак необходтимо скачать и установить:

• http://support.microsoft.com/kb/938397
• http://support.microsoft.com/kb/968730

В ходе исправлений будет заменена библиотека crypt32.dll. Иногда эту библиотеку приходиться заменять вручную, подробнее см. тут

Также рекомендуется установить http://support.microsoft.com/kb/948963 (обновление комплекта шифрования).

После применения исправлений необходимо перезагрузить сервер.

Cервера, совместимые с алгоритмом хеширования SHA2 (256)

• Apache server (проверен на Apache 2.0.63 and OpenSSL 0.9.7m. Требует OpenSSL 0.9.8 и выше для полной совместимости).
• Windows Server 2008 и выше
• Windows Vista
• Windows 7
• Windows Server 2003 с исправлением 938397
• Windows Server 2003 или XP с исправлением 968730
• Oracle WebLogic начиная с версии 10.3.1, см. bug8422724

Для возможности использования квалифицированной электронно-цифровой подписи (далее — КЭЦП) необходимо, чтобы криптопровайдер счёл сертификат пользователя достоверным, то есть надёжным. Этого можно добиться только в том случае, если корректно выстроена линия доверия сертификата, которая состоит из трёх элементов:

• Сертификат ключа проверки ЭП (далее — СКПЭП).
• Промежуточный сертификат (далее — ПС).
• Корневой сертификат (далее — KC).

Изменения хотя бы одного из этих документов повлечёт за собой недействительность сертификата, из-за чего он не сможет быть применён для заверки электронной документации. Также причинами ошибки может оказаться некорректная работа криптопровайдера, невозможность интегрирования с браузером и т.п.

Ниже мы рассмотрим, по каким причинам возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать, чтобы ее исправить.

В сертификате содержится недействительная цифровая подпись: разбор ситуации, на примере «Тензор»

О том, что в сертификате присутствует недействительная ЦП, пользователь может понять в момент заверения цифрового документа КЭЦП, когда на дисплее отобразится соответствующие системное сообщение.

Для того, чтобы узнать о состоянии ключа, следует:

1. Войти в меню «Пуск».
2. Открыть раздел «Все программы» и перейти в «КриптоПро».
3. После этого нужно нажать л.к.м. на «Сертификаты».
4. В строке хранилище, отметить нужное.
5. Кликнуть на выбранный сертификат.
6. Открыть раздел «Путь сертификации».

В строке «Состояние» будет отражён статус неактивного сертификата.

Во вкладке «Общие» отображается причина, к примеру, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Сообщение об ошибке может отображаться по следующим причинам:

• Линия доверия была нарушена (неправильно прописан путь сертификации), произошло повреждение одного или всех сертификатов (кодирование соединения не будет доверенным, либо просто не будет работать).
• Некорректно инсталлирован криптопровайдер КриптоПро.
• Алгоритмы шифрования СКЗИ не работают, или работают некорректно.
• Нет доступа к реестровым документам.
• Версия браузера устарела.
• На компьютере выставлены неправильные хронометрические данные.

Из всего этого следует, что ошибка может быть вызвана: напрямую сертификатом, криптопровайдером, либо некорректными настройками компьютера. При этом, все эти варианты предполагают разные способы решения проблемы.

Цепочка доверия, от министерства цифрового развития и связи до пользователя

До того, как приступить к выяснению причины ошибки, в первую очередь, необходимо разобраться в алгоритме строения цепочки доверия сертификатов (далее, — ЦДС) – она является обязательной для правильной работы КЭЦП на всех существующих информационных ресурсах.

Принцип построения ЦДС

Первая ступень в построении ЦДС – это корневой сертификат ключа проверки министерства цифрового развития и связи. Именно Минкомсвязь производит аккредитацию удостоверяющих центров и предоставляет им разрешение на выпуск КЭЦП. Список аккредитованных УЦ представлен на официальном сайте Министерства цифрового развития и связи.

КС выдаётся пользователю при получении КЭЦП, также его можно загрузить с сайта roskazna.ru, либо с официального портала УЦ. В цепи доверия он занимает не последнее значение — и служит подтверждением подлинности КЭЦП.

Вторая ступень – это ПС, он предоставляется в комплекте с КС и включает в себя:

• Данные об УЦ и срок действия ключа.
• Электронный адрес для связи с реестром организации.

Данные сведения поступают в закодированном формате и применяются криптопровайдером для подтверждения подлинности открытого ключа КЭЦП.

В теории КЭЦП может быть украдена у владельца, но использовать её без инсталлированного сертификата УЦ не представляется возможным. Все эти меры направлены на то, чтобы минимизировать риски незаконного применения КЭЦП посторонними лицами.

СКПЭП последнее звено цепи доверия. УЦ предоставляет его вместе с открытым и закрытым ключом. Сертификат может быть предоставлен в бумажном, либо электронном виде, на него записаны основные сведения о владельце КЭЦП.

СКПЭП объединяет открытый ключ с определенным человеком, иными словами, подтверждает факт принадлежности ЭП конкретному лицу.

КС министерства цифрового развития и связи действителен, вплоть до 2036 года, а ПС предоставляется только на год, затем необходимо оплатить новый и инсталлировать его на свой компьютер.

Причиной возникновения ошибки «Этот сертификат содержит недействительную цифровую подпись» может служить повреждение любого отрезка ЦДС, начиная с Минкомсвязи РФ и заканчивая пользователем.

Пути решения ошибки

Для начала необходимо убедиться в том, что КС активен и верно инсталлирован. Для этого применяется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В появившемся перечне должен находиться файл от ПАК «Минкомсвязь России». Если сертификата нет, или он не активен, требуется его инсталлировать:

• Запустите скачанный файл на компьютере и, в разделе «Общие», нажмите «Установить».
• Поставьте отметку рядом со строчкой «Поместить в следующее хранилище».
• Укажите хранилище «Доверенные корневые центры сертификации».
• Для продолжения инсталляции, кликните на кнопку «ОК» и дайте согласие в окне, предупреждающем о безопасности.

После инсталляции сертификата, перезагрузите ПК.

Файл предоставляется УЦ одновременно с остальными средствами для генерации КЭЦП, если он потерян или удалён, необходимо обратиться в УЦ, предоставивший СКПЭП.

Когда с КС Минкомсвязи всё в порядке, но статус по-прежнему неактивен, необходимо его переустановить (удалить и инсталлировать повторно).

Существует ещё один вариант исправления ошибки, но он срабатывает не каждый раз. В случае, если предыдущий способ не помог, войдите в «Пуск», в строке поиска наберите regedit, после чего войдите в редактор и самостоятельно удалите следующие файлы.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

Они могут быть как полностью, так и частично, поэтому следует удалить все, что имеется. Проверьте статус, он должен стать активным.

Следует помнить, что самовольное редактирование реестровых ключей может отразиться на работе системы, поэтому лучше поручить данную работу специалистам.

Исправление ошибки, на примере казначейства

Наиболее популярная причина недействительности сертификата – это нарушение путей сертификации. Причём неполадки могут быть не только в файлах министерства цифрового развития и связи, но и в промежуточных, а также личных СКЭП.

Ниже мы разберём причину ошибки, на примере Управления Федерального казначейства (УФК).

Изменение или повреждение файла УФК

Обязанности УЦ исполняются в территориальных органах Росказны по всей России. Для проведения аукционов и размещения на платформах сведений о госзакупках, участники должны подписывать отчёты цифровой подписью, полученной в УФК.

В случаях, когда не получается подписать документ, предоставленной казначейством ЭП, и высвечивается ошибка « Этот сертификат содержит недействительную цифровую подпись», необходимо:

• Зайти в раздел «Личное».
• Указать неработающий СКПЭП, после чего открыть раздел «Путь сертификации». В таком случае, основным УЦ будет выступать Мнкомсвязи РФ, а подчинённым УФК. Самым последним элементом в доверительной линии будет СКПЭП пользователя.
• Если после этого, статус до сих пор недействительный, то следует проследить всю доверительную линию и определить слабый элемент.
• Вернуться обратно во вкладку «Общие» и проверить, правильно ли указаны данные организации, выпустившей СКПЭП.
• После чего перейти в «Промежуточные центры сертификации». Если выявится, что причина в данном звене, в разделе «Общие» появятся следующие данные: «Этот сертификат не удалось проверить, проследив его до …».

• На сайте УФК войти во вкладку «Корневые сертификаты».
• Загрузить «Сертификат УЦ Федерального казначейства».
• Переместить файл на компьютер. Процедура перемещения такая же, как и для основного центра, но как хранилище необходимо указать «Промежуточные центры сертификации».
• Выключите и включите ПК.

На последнем этапе нужно открыть вкладку «Личное» и указать необходимый СЭП, после чего сделать проверку пути сертификации.

Если всё прошло удачно, и проблема решена, в строке со статусом отобразится «Этот сертификат действителен». Значит, система произвела проверку ЦДС и не обнаружила отклонений.

Истечение срока

Каждый календарный год пользователю необходимо инсталлировать новый промежуточный ключ на ПК, с которого применяется КЭЦП. ОС должна в автоматическом режиме извещать пользователя, когда подойдёт срок. Если своевременно этого не сделать, то при подписании электронных документов, может отобразиться сообщение о том, что ключ не действителен. Процесс инсталляции, будет таким же, как и описанные выше. При этом удалять устаревший ПС не нужно, система просто пометит его как неактивный.

Для установки новых ключей не требуется подключения к интернету, файл будет проверен в автоматическом режиме, как только устройство выйдет в сеть.

Ошибка с отображением в КриптоПро

Когда возникает подобная ошибка, некоторые сайты могут отклонять СЭП, зато остальные с лёгкостью интегрируются с ней, потому что не все сайты производят проверку пути до основного УЦ. Исправление появившихся вследствие этого ошибок может усложняться, потому что в таких ситуациях вся цепь доверия не имеет нарушений и обозначается как активная.

В таких ситуациях может оказаться что неполадка связана с работой криптопровайдера, либо браузера.

Неправильная работа КриптоПро

Для того, чтобы убедиться в корректности работы, нужно зайти в КриптоПро CSP и открыть раздел «Алгоритмы». Если их характеристики пустые, это означает, что программа работает неправильно и её следует переустановить:

Для того, чтобы произвести переустановку, необходимо наличие специального программного обеспечения (КриптоПро), которую можно загрузить с портала разработчика. Она создана для экстренного удаления криптопровайдера. Этот способ даёт возможность полностью удалить КриптоПро с компьютера, что необходимо для качественной переустановки.

Сервисы инициализации

СЭП может высвечиваться как недействительный, в случаях, когда не активирована служба распознавания КриптоПро CSP.

Для того, чтобы проверить активность службы:

• Активируйте системное окошко «Выполнить», зажав на клавиатуре Win+R.
• После чего вбейте в командной строке services.msc.
• В перечне служб, укажите «Службы инициализации».
• Зайдите в подраздел «Свойства» и если служба неактивна, запустите её.

Выключите и включите компьютер, если всё сделано правильно КЭЦП будет работать корректно.

Что делать, если ошибка вызвана сбоем браузера

Если после коррекции цепочки доверия, устранения неисправностей криптопровайдер, ошибка всё равно высвечивается, существует вероятность того, что она вызвана сбоем браузера. В основном, так происходит при заверении документов на государственных порталах, либо сайтах контролирующих органов.

Создатели CryptoPro советуют пользоваться для работы с КЭП, только Internet Explorer, так как он уже вшит в Windows, но даже с ним может произойти сбой.

Вход под администраторскими правами

Чаще всего, после того как пользователь входит под паролем администратора, всё налаживается, и ключи начинают функционировать в стандартном режиме.

Что нужно сделать:

• Правой кнопкой мыши нажмите на значок браузера.
• Выберите строку «Запуск от имени администратора».

После того, как ошибка исчезнет:

• Правой кнопкой мыши нажмите на значок браузера.
• Кликните на «Дополнительно»
• И выберите «Запуск от имени администратора».

Теперь каждый раз при загрузке ПК, права администратора будут вступать в силу автоматически и больше не потребуется постоянно изменять настройки.

Выключение антивирусника

Некоторые антивирусные программы, к примеру, Symantec или AVG, распознают КриптоПро, как угрозу, и начинают блокировать программные процессы. В результате возникают всевозможные ошибки с СКПЭП, поэтому для того, чтобы подписать цифровой документ, желательно на некоторое время выключить антивирусную программу, для этого:

• Нажав правой кнопкой мыши на значок антивирусной программы, выберите «Сетевые экраны» или «Управление экранами».
• После чего, отметьте временной отрезок, на который предусмотрено отключение ПО.

Когда электронный документ будет подписан, активируйте антивирусную программу обратно.

Настройка хронометрических данных

Также необходимо проверить, актуально ли на компьютере выставлено число и время, для этого:

• Правой кнопкой мыши кликните на значок часов в правом нижнем углу монитора.
• Выберите «Настройка даты и времени».
• Выставьте нужный часовой пояс и правильные значения.
• Сохраните изменения.

По окончанию настроек выключите, а потом включите ваш ПК.

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах кассового, торгового, весового, банковского и офисного оборудования

Чтобы воспользоваться квалифицированной электронно-цифровой подписью (далее — КЭЦП, КЭП, ЭЦП), криптопровайдер должен признать сертификат пользователя доверенным, то есть надежным. Это возможно, если правильно выстроена цепочка доверия сертификации, которая состоит из трех звеньев:

• сертификат ключа проверки электронной подписи (далее — СЭП, СКПЭП, СКЭП);
• промежуточный сертификат (ПС) удостоверяющего центра;
• корневой сертификат (КС) от головного центра, то есть от Минкомсвязи.

Искажение хотя бы одного файла приводит к недействительности сертификата, и он не может быть использован для визирования документации. Среди других причин сбоя выделяют неправильную работу криптопровайдера (средства криптозащиты или СКЗИ), несовместимость с браузером и др.

Почему возникает ошибка «Этот сертификат содержит недействительную подпись», и что делать для решения этой проблемы, рассмотрим детально.

Закажите электронную подпись у нас!

Оставьте заявку и получите консультацию в течение 5 минут.

Этот сертификат содержит недействительную цифровую подпись : на примере « Тензор»

О содержании недействительной цифровой подписи в сертификате пользователь узнает при попытке подписать документы с помощью КЭЦП. В этом случае на экране появляется сообщение: «При проверке отношений доверия произошла системная ошибка» или «Не удается построить цепочку доверия для доверенного корневого центра». Чтобы увидеть состояние ключа, необходимо:

1. Открыть меню «Пуск».
2. Перейти во вкладку «Все программы» → «КриптоПро».
3. Кликнуть на кнопку «Сертификаты».
4. Выбрать хранилище: «Личное», «Доверенные корневые центры» или «Промежуточные доверенные центры».
5. Нажать на выбранный сертификат.
6. Перейти во вкладку «Путь сертификации».

В поле «Состояние» отображается статус недействительного сертификата , на примере с УЦ «Тензор» это выглядит так:

При корректно настроенном пути сертификации состояние было бы таким:

В разделе «Общие» отображается причина, например, «Этот сертификат не удалось проверить, проследив его до доверенного центра».

Системное оповещение о сбое может возникать по ряду причин:

• нарушена цепочка доверия (неверный путь сертификации), поврежден один из сертификатов или все три (шифрованное соединение между браузером клиента и сервером будет недоверенным или вовсе не будет работать);
• неправильно установлен криптопровайдер КриптоПро;
• неактивны алгоритмы шифрования СКЗИ;
• заблокирован доступ к файлам из реестра;
• старые версии браузеров;
• на ПК установлены неактуальные дата и время и т. д.

Таким образом, ошибка может быть связана непосредственно с сертификатами, криптопровайдером или настройками ПК. Для каждого варианта придется пробовать разные способы решения.

Этот сертификат содержит недействительную цифровую подпись : цепочка доверия от Минкомсвязи до пользователя

Прежде чем разбираться в причинах ошибки, следует понять алгоритм построения цепочки доверия сертификатов (ЦДС) — она обязательна для корректной работы ЭЦП на любых информационных ресурсах.

Как строится путь доверия

Первое звено в иерархической цепочке — корневой сертификат ключа проверки ЭЦП ПАК «Минкомсвязь России». Именно этот госорган, согласно ст. 16 ФЗ № 63 «Об электронной подписи», осуществляет аккредитацию удостоверяющих центров, то есть дает им официальное право заниматься выпуском ЭЦП. Полный перечень таких организаций можно уточнить на официальном портале Минкомсвязи.

КС предоставляется клиенту поставщиком при выдаче КЭП, также его можно скачать на сайте roskazna.ru или самого УЦ. В цепочке доверия он играет первостепенную роль — подтверждает, что КЭЦП была выпущена УЦ, аккредитованным Минкомсвязи.

Следующее звено — КС удостоверяющего центра (промежуточный). Файл выдается в комплекте с ключами и содержит в себе:

• сведения об УЦ с указанием даты его действия;
• сервисный интернет-адрес (через который можно связаться с реестром компании).

Эти данные предоставляются в зашифрованном виде и используются криптопровайдером (на ПК пользователя) для проверки подлинности открытого ключа КЭЦП. Теоретически цифровую подпись можно украсть, но применить ее без установленного сертификата УЦ не получится. То есть вся ЦДС построена таким образом, чтобы предотвратить риски использования чужой подписи мошенниками.

СКПЭП — конечное звено в этой цепи. Его выдает удостоверяющий центр вместе с открытым и закрытым ключами. Сертификат предоставляется на бумажном или цифровом носителе и содержит основную информацию о держателе. Он связывает последовательность символов открытого ключа с конкретным лицом. Другими словами, СКПЭП подтверждает тот факт, что открытый ключ ЭП принадлежит определенному человеку.

Головной КС Минкомсвязи действует до 2036 года, а ПС удостоверяющих центров ликвидны в течение 12 месяцев, после чего необходимо скачать (или получить в УЦ) новый и переустановить его на свой ПК. Сертификат КЭЦП тоже действует не более 1 года, по истечении этого срока клиенту требуется получить новый.

Если возникает ошибка «Этот сертификат содержит недействительную цифровую подпись» , причина может быть в повреждении ЦДС от Минкомсвязи России до пользователя. То есть один из элементов в этой цепи искажен или изменен.

Мы готовы помочь!

Задайте свой вопрос специалисту в конце статьи. Отвечаем быстро и по существу. К комментариям

Как решить проблему

В первую очередь стоит удостовериться, что КС корректно установлен и действителен. Для этого используется стандартный путь: «Пуск» → «Все программы» → «КриптоПро» → «Сертификаты» → «Доверенные центры сертификации» → «Реестр». В открывшемся списке должен быть документ от ПАК «Минкомсвязь России». Если сертификат отсутствует или он недействителен, его нужно установить, следуя алгоритму:

1. Открыть загруженный файл на ПК.
2. Во вкладке «Общие» кликнуть «Установить».
3. Поставить флажок напротив строчки «Поместить в следующее хранилище».
   
4. Выбрать хранилище «Доверенные корневые центры сертификации».
   
5. Продолжить установку кнопкой «ОК» и подтвердить согласие в окне «Предупреждение о безопасности».

После установки появится сообщение, что импорт успешно завершен. Далее рекомендуется перезагрузить компьютер.

Файл выдается удостоверяющим центром вместе с другими средствами для формирования ЭЦП. Если он утерян или удален, следует обратиться в УЦ, в котором был получен СКПЭП.

Если КС Минкомсвязи на месте, но в статусе по-прежнему сказано, что он недействителен, удалите его (выбрать файл и нажать «Удалить») и установите заново.

На форуме CryptoPro CSP предлагается еще один вариант решения проблемы. Но работает он не всегда. Если установка документа не помогла, откройте меню «Пуск» и выполните поиск редактора реестра по его названию regedit. В редакторе найдите и вручную удалите следующие ветки:

Не все ветки могут быть в наличии. Удалите те, что есть, предварительно сохранив их резервные копии в отдельный файл. Перезагрузите ПК и проверьте статус СКЭП — он должен стать действительным.

Важно! Удаление и редактирование ключей реестра может нарушить работоспособность системы, поэтому процедуру лучше доверить техническому специалисту.

Оформим ЭЦП для вашего бизнеса. Поможем установить и настроить в день подачи заявки!

Оставьте заявку и получите консультацию.

Этот сертификат содержит недействительную цифровую подпись : устранение ошибки на примере казначейства

Самая распространенная причина недействительности сертификата заключается в нарушенных путях сертификации. Причем проблема может быть не только в файле Минкомсвязи, о котором было сказано ранее, но также в промежуточных и личных СКЭП. Рассмотрим эту причину на примере Управления Федерального казначейства (УФК), которое, среди прочего, тоже занимается выдачей КЭЦП.

Этот сертификат содержит недействительную цифровую подпись: изменение, повреждение файла УФК

Функции УЦ выполняются в территориальных органах Росказны по всей России. Для организации аукционов и размещения информации по закупкам для госнужд в интернете муниципальные и госзаказчики должны заверять отчеты ЭП, полученной в УФК.

Если не удается заверить документ ЭП казначейства , и появляется отметка « Этот сертификат содержит недействительную цифровую подпись », предлагается следующий алгоритм действий:

1. Перейти в папку «Личное».
2. Выбрать СКЭП, который не работает, и перейти во вкладку «Путь сертификации». В качестве головного УЦ будет указан Минкомсвязи РФ, а промежуточного (подчиненного) — Федеральное казначейство. Нижним звеном в этой цепи будет личный СКЭП держателя.
3. Если в поле состояния стоит статус недействительности документа, необходимо отследить всю цепочку и выявить «слабое звено».
4. Вернуться в раздел «Общие», чтобы убедиться, верно ли указаны сведения о компании, выпустившей СКЭП.
5. Выйти из папки «Личное» и перейти в хранилище «Промежуточные центры сертификации».

Если причина именно в этом звене, на вкладке «Общие» отобразятся сведения: «Этот сертификат не удалось проверить, проследив его до …». Значит на этом участке обрывается путь.

1. Зайти в раздел «Корневые сертификаты» на веб-ресурсе УФК.
2. Скачать файл «Сертификат УЦ Федерального казначейства ГОСТ Р 34.10-2012».
3. Импортировать файл на ПК. Процесс импорта аналогичен описанной выше процедуре для головного центра, только в качестве хранилища необходимо выбрать «Промежуточные центры сертификации».
4. Перезагрузить компьютер.

На завершающем этапе необходимо перейти в папку «Личное», выбрать нужный СЭП и проверить путь сертификации. Если проблема с промежуточным звеном решена, в графе состояния будет стоять «Этот сертификат действителен». Это означает, что система проверила ЦДС для этого ключа и не выявила никаких ошибок.

Истечение срока

При наступлении нового календарного года пользователь должен установить обновленный промежуточный ключ УЦ на каждый компьютер, где используется КЭП. Операционная система выдаст соответствующее упоминание при запуске. Если не выполнить обновление вовремя, при заверке документов тоже будет возникать уведомление о недействительности ключа. Процедура установки аналогична рассмотренной ранее. Предыдущий ПС удалять необязательно, система все равно будет отмечать его как недействительный.

Для импорта обновленных ключей действующий интернет не нужен, файл автоматически проверяется при первом подключении к сети. Такая проверка производится всего один раз за все время действия ключа.

Этот сертификат содержит недействительную цифровую подпись: проблема с отображением в КриптоПро

При такой ошибке одни ресурсы отклоняют СЭП, а другие без проблем взаимодействуют с ним. Возможно, во втором случае информационный ресурс, на котором пользователь подписывает документ, не проверяет путь до головного УЦ. Устранение проблемы в подобном случае осложняется тем, что весь путь доверия построен без нарушений, а ключ значится как действительный. Можно предположить, что сбой связан с криптопровайдером или браузером.

Некорректная работа КриптоПро

Для проверки необходимо открыть КриптоПро CSP и перейти во вкладку «Алгоритмы». Если параметры алгоритмов пустые, значит софт функционирует некорректно, и его требуется переустановить:

Для переустановки нужно специальное ПО — утилита очистки следов КриптоПро, которую можно скачать на сайте разработчика. Она предназначена для аварийного удаления криптопровайдера. Такой способ позволяет полностью очистить ПК от следов CryptoPro и выполнить корректную переустановку.

Службы инициализации

СЭП может отражаться как недействительный, если не запущена служба инициализации КриптоПро CSP. Это можно проверить следующим образом:

1. Запустить системное окно «Выполнить» комбинацией клавиш Win+R.
2. Ввести команду services.msc.
3. В списке служб выбрать «Службы инициализации».
4. Кликнуть правой кнопкой мыши (ПКМ) и выбрать пункт «Свойства».
5. Если по каким-то причинам служба отключена, активировать ее и сохранить изменения.

Если все выполнено верно, после перезагрузки компьютера КЭЦП снова будет работать корректно.

Права доступа к реестру

Сбой возможен при отсутствии прав на некоторые файлы в реестре Windows. Для проверки необходимо открыть строку ввода комбинацией Win+R, ввести команду regedit, нажать Enter и перейти по пути для настройки прав в реестре Windows:

У пользователя должны быть права на конечные папки этих веток. Проверить это можно следующим образом:

1. Выбрать папку правой кнопкой мыши и нажать на пункт «Разрешения».
2. Кликнуть по кнопке «Администраторы» → «Дополнительно».
3. Открыть страницу «Владелец».
4. Указать значение «Полный доступ».

Эта же проблема решается переустановкой криптопровайдера с помощью описанной выше утилиты для очистки следов.

После обновления Windows до более поздней версии пользователь может видеть уведомление «При проверке отношений доверия произошла системная ошибка». Это тоже связано с недействительностью КЭЦП и нарушением внутренних файлов КриптоПро. Переустановка СКЗИ поможет решить эту проблему.

Сертификат содержит недействительную цифровую подпись : что делать , если сбой связан с браузером

Если пользователь настроил путь доверия и устранил неполадки криптопровайдера, но проблема не решилась, есть вероятность, что она кроется в браузере. В первую очередь это касается подписания документов непосредственно на сайтах государственных систем и контролирующих органов (ЕГАИС, ПФР, ФНС и др.).

Разработчик CryptoPro рекомендует использовать для работы с КЭП только Internet Explorer, так как он встроен в Windows. Но и с этим веб-обозревателем случаются сбои.

Вход под ролью администратора

Обычно после входа под правами администратора все становится на свои места, и ключи работают в привычном режиме. Что предпринять:

1. Кликнуть ПКМ по иконке браузера.
2. Выбрать пункт «Запуск от имени администратора».

Если ошибка устранена, рекомендуется:

1. Снова выбрать ярлык браузера.
2. Нажать кнопку «Дополнительно».
3. Выбрать «Запуск от имени администратора».

Теперь при каждом запуске права администратора будут автоматически вступать в силу, и пользователю не придется каждый раз менять настройки.

Если используется старая версия веб-обозревателя, рекомендуется обновить ее до последнего релиза.

Отключение антивирусной программы

Некоторые «антивирусники», например, Symantec или AVG, воспринимают КриптоПро как вирусную угрозу, поэтому отдельные процессы криптопровайдера могут быть заблокированы. В результате этого всплывают различные ошибки с СКПЭП. Если нужно срочно заверить электронный документ, рекомендуется на время деактивировать антивирус:

1. Кликнуть ПКМ на иконку «антивирусника».
2. Нажать «Сетевые экраны» или «Управление экранами».
3. Выбрать время, на которое планируется отключить утилиту.

После заверки документов снова запустите программу.

Настройка даты и времени

Также следует проверить актуальность даты ПК. Для этого необходимо:

1. Навести мышкой на часы внизу экрана.
2. Выбрать «Настройка даты и времени».
3. Указать свой часовой пояс, выставить правильные значения и сохранить обновление.

После всех действий рекомендуется перезагрузить компьютер.

За 30 минут настроим ЭЦП Рутокен для работы под ключ.

Оставьте заявку и получите консультацию в течение 5 минут.

Оцените, насколько полезна была информация в статье?

Наш каталог продукции

У нас Вы найдете широкий ассортимент товаров в сегментах
кассового, торгового, весового, банковского и офисного оборудования.

Посмотреть весь каталог

На чтение 7 мин Просмотров 1.3к. Опубликовано 18.08.2021

“Этот сертификат содержит недействительную цифровую подпись” – редкая ошибка. Она возникает из-за небольших сбоев в работе программы. Решение проблемы зависит от ее причины, но в основном ограничивается переустановкой или покупкой новой подписи.

Ошибка с недействительной подписью возникает из-за небольших сбоев.

Когда возникает ошибка с недействительной подписью

Электронный сертификат перестает функционировать чаще всего из-за особенностей работы браузера. При этом пользователь может в одном приложении свободно подписывать бумаги, а в другом – нет.

Системное уведомление о сбое появится, если настройки персонального компьютера выбраны неправильно, например, неверно выставлены время, месяц. Также это случается, если файлы программы были повреждены.

Как решить ошибку “Этот сертификат содержит недействительную цифровую подпись”

Перед тем как определиться, что делать со сбоем, нужно найти причину. В основном в сообщении об ошибке назван ее источник.

Некорректный путь сертификации

Вначале стоит проверить, активен ли КС (класс защиты) и верно ли он загружен. Для этого достаточно зайти в раздел с сертификатами, посмотреть реестр. Там отображается файл от ПАК “Минкомсвязи РФ”. Если его нет, то придется переустановить программу.

1. Включить установщик.
2. Поставить галочку у строки “Отправить в другое хранилище”.
3. Указать папку с доверенными центрами сертификации.
4. Дать разрешение на запуск.

При установке укажите папку с доверенными центрами сертификации.

После завершения загрузки остается перезапустить персональный компьютер.

Флеш-накопитель передает УЦ (удостоверяющий центр) вместе с другими инструментами для создания ЭЦП (электронной цифровой подписи). Если гражданин потерял файлы, то ему придется пойти в центр обслуживания и взять новый.

В тех случаях, когда с КС проблем нет, но активный статус еще не выдан, стоит переустановить программу.

Нет прав доступа к ветке реестра

Решить данную ошибку поможет полное удаление приложения с применением специальных утилит для устранения всех следов. Софт запускают от имени администратора, т.к. иначе он не сможет корректно очистить жесткий диск.

Изменение или повреждение файла УФК

Если не получается заверять бумаги, а на экране появляется ошибка, рекомендуется:

1. Зайти в раздел “Личное”,
2. Вписать данные сломанного СКПЭП (сертификата ключа проверки электронной подписи).
3. Просмотреть доверительную цепочку и найти проблемный элемент.
4. Зайти в “Промежуточные центры сертификации”. Если проблема кроется в этом звене, то пользователь увидит системное сообщение.
5. На официальном ресурсе УФК (Управления Федерального казначейства) перейти на страницу с корневыми файлами.
6. Переместить этот файл в хранилище.
7. Перезагрузить компьютер.

Рекомендуется просмотреть доверительную цепочку и найти проблемный элемент.

Ошибка отображения “КриптоПро”

В таком случае необходимо запустить программу и посмотреть раздел с алгоритмами. Если там не заполнены настройки, то утилиту нужно инсталлировать заново.

Не запущена инициализация

Иногда сбой возникает при активации службы запуска. Это легко заметить, если посмотреть любой закрытый ключ.

1. Открыть командную строку и написать: cmd.
2. В новом поле указать: certmgr.msc.
3. Проверить статусы всех закрытых подписей.
4. Выполнить операцию services.msc.
5. Открыть вкладку с алгоритмами и заполнить все строчки.

Сбой браузера

Если источником ошибки стал браузер, необходимо:

1. Кликнуть на ярлык программы.
2. Запустить ее с правами администратора.

Источником ошибки может стать сбой браузера.

Если системные уведомления больше не приходят, тогда в настройках нужно выбрать перманентное включение от имени администратора, после чего браузер автоматически будет получать этот статус. Когда проблема сохраняется, причиной может быть устаревший софт.

Блок “антивирусника”

Иногда защитный софт рассматривает электронные криптографические ключи как угрозу. Часть процессов обмена данными блокируется “антивирусником”, поэтому пользователь не может работать с документами. Если необходимо срочно заверить бумаги, то достаточно просто временно выключить софт. Главное – не забыть выбрать день повторной активации защиты.

Чтобы в будущем проблем не было, стоит выбрать нужные приложения (“КриптоПро”, “Континент АП”) и вставить их в список исключений. Они не будут проверяться при запуске.

“В сертификате содержится недействительная цифровая подпись”: разбор ситуации на примере “Тензор”

“Тензор” – это крупный IT-холдинг, который занимается разработкой программного обеспечения и производством подписей для компаний и граждан. С электронными печатями этой фирмы иногда случаются сбои: они перестают работать. О том, что у пользователя нет действительной цифровой подписи, можно понять только во время заверения бумаг, когда появится уведомление о неисправности.

Чтобы устранить ошибку работы цифровых ключей, нужно:

1. Открыть меню “Пуск”.
2. Перейти в раздел “Все программы” и включить “КриптоПро”.
3. Кликнуть на сертификаты.
4. В строке с хранилищем вписать информацию.
5. Открыть вкладку с путями сертификации.

Чтобы устранить ошибку цифровых ключей, нужно просмотреть сертификаты.

В параметре “Состояние” отобразится неактивный статус, а на странице “Общие” высветится уведомление.

Оно может появиться по нескольким причинам:

1. Доверительная цепочка нарушена. Владелец не прописал путь или произошло повреждение файлов.
2. Некорректно загружен криптопровайдер.
3. Алгоритмы шифрования не включаются.
4. У компьютера нет доступа к реестру.
5. Веб-обозреватель не получил новое обновление.
6. В системных часах стоит неточное время.

“Сертификат содержит недействительную цифровую подпись” – цепочка доверия от Минкомсвязи

Доверительная цепь (ЦДС) обязательна для обработки операций. Нельзя заверить документы, если она нарушена.

Как строится путь

Путь строится по принципу иерархии. Наверху стоит корневой ключ проверки от Минкомсвязи России. Этот государственный орган в соответствии с законом “Об электронной подписи” от 06.04.2011 и ГОСТ 2012 г. проводит аккредитацию всех УЦ и разрешает выпускать ЭЦП.

КС (класс сертификации) предоставляется гражданину при получении КЭП, также его можно взять на ресурсе Казначейства Российской Федерации. В цепи доверия этот файл играет важную роль: заверяет, что подпись была произведена в аккредитованной компании.

Класс сертификации можно взять на ресурсе Казначейства Российской Федерации.

Следующим звеном становится КС УЦ.

Программный код выдается в комплекте с ключами и содержит:

1. Сведения о центре.
2. Интернет-адрес (Service…).

Данная информация продается уже в закодированном виде и используется только криптопровайдером на компьютере.

Несколько этапов проверки защищают владельца подписи от мошенников, которые не смогут воспользоваться ею без установленных сертификатов.

Решение проблемы

Проблема возникает не только из-за повреждений файлов, но и когда КС установлен с ошибкой или срок его действия истек. Если же сертификат полностью отсутствует или неактивен, пользователю необходимо поместить скачанный файл в хранилище с доверенными корневыми центрами и дать разрешение на проведение операции. После этого все строки в программе будут заполнены.

Ошибка чтения подписи в конкретных сервисах

Если у пользователя нормально работает браузер и сам компьютер, то сбой вызывается проблемой чтения подписи из-за особенностей функционирования сервиса. Она возникает, если появился сбой в обмене пакетами данных.

В СУФД

Для исправления нужно:

1. Установить на ПК Java 6, обновленный до 17-й версии или новее.
2. Настроить работу плагинов “Джава” в браузере.

Для исправления ошибки нужно установить на ПК Java 6.

В ЕГАИС

Для устранения неполадки нужно:

1. Уточнить срок действия личного сертификата.
2. Проверить наличие контейнеров на носителе подписи и файлов формата .cer.
3. С помощью “КриптоПро” создать новую копию и установить подпись.
4. Переместить все содержимое носителя в любое место на компьютере.
5. Переустановить криптопровайдер.

В “КриптоАРМ”

Устранить ошибку можно, настроив адрес OCSP службы. В графе “Доступ к информации о центрах сертификации” чаще всего не указывают способ сертификации.

Инструкция по изменению:

1. Зайти в меню “Пользователь” через “Пуск”.
2. Найти “Сертификаты”.
3. В правой части окна выбрать нужный вариант.
4. Открыть страницу “Состав” и вписать данные.

Если неполадки сохранились, придется идти в удостоверяющий центр и заказывать новую подпись в формате CAdeS XLONG.

Обычно работа с электронной цифровой подписью не вызывает сложностей, но иногда при подписании документа возникает ошибка о содержании в сертификате недействительной цифровой подписи. Решение ошибки зависит от причины и момента возникновения и обычно ограничивается переустановкой программного обеспечения.

Причина: переустановка OS Windows

После переустановки Windows или установки обновлений сертификаты, имеющие ключи менее 1024 битов, становятся недействительными и блокируются. Для снижения риска компрометации ключей электронной подписи было выпущено специальное обновление, блокирующее ненадежные ключи RSA (криптографический алгоритм, сокращение от Rivest, Shamir и Adleman).

frustrated office worker

Решение

Проблему можно решить несколькими командами, которые задаются через командную строку (комбинация клавиш Win+R и введение в поисковом окне cmd).

Чтобы разрешить использование корневого сертификата (КС) с длиной менее 1024 бит, нужно использовать команду certutil: certutil -setreg chainEnableWeakSignatureFlags. Для разрешения регистрации и блокировки закрытых ключей ЭЦП используют команду certutil -setreg chainEnableWeakSignatureFlags. Для включения регистрации сертификатов RSA ниже КС используют certutil: certutil -setreg chainEnableWeakSignatureFlags. Для регистрации без блокировки ключей электронной подписи длиной менее 1024 бит задают команду certutil: certutil -setreg chainEnableWeakSignatureFlags.

Причина: не запущена служба инициализации

Иногда ошибка недействительности подписи связана со сбоем в службе инициализации. Обнаружить это можно, если попробовать посмотреть любой из закрытых ключей электронной подписи в хранилище.

Решение

Чтобы устранить ошибку нужно:

1. Открыть командную строку (Win+R) и ввести в строке поиска cmd.
2. Выполнить команду certmgr.msc.
3. Открыть «Доверенные КС» и проверить статус интересующего закрытого ключа.
4. Выполнить команду services.msc.
5. Посмотреть состояние «Службы инициализации КриптоПро».
6. Открыть через «Свойства» КриптоПро вкладку «Алгоритмы».

Обычно причина ошибки в том, что не все поля заполнены. После введения недостающей информации и перезагрузки программы ошибка исчезает.

Ошибка при работе в СУФД

Иногда при работе системы удаленного финансового документооборота также выходит ошибка о недействительности электронной подписи. Причин может быть несколько — это и отсутствие личных сертификатов, и устаревшая версия Java и даже неправильно выбранный пользователь.

Решение

Для проверки наличия личных сертификатов нужно перейти: «Панель управления»/«Свойства обозревателя»/«Содержание»/папка «Сертификаты». Если они личные, то необходима установка КриптоПро.

Для корректной работы подписи необходима версия Java 6 update 17 и выше. Также важно проверить, включены ли в используемом браузере плагины Java. Сделать это можно так:

• для IE: «Сервис»/«Надстройки»/«Панель инструментов». В открывшемся меню все пункты, относящиеся к Java, должны быть активны.
• для Firefox: «Инструменты»/«Дополнение»/«Расширения»/«Плагины». Также в новом окне должны быть активны все пункты, связанные с Java.

Также нужно проверить «Документарный контроль» и очередность подписей, используемый ключевой носитель и соответствие учетной записи.

Ошибка сертификата при работе в ЕГАИС

Во время работы в Единой Государственной Автоматизированной Информационной Системе (ЕГАИС) проблема с недействительной подписью возникает реже и обычно из-за отсутствия личного сертификата или повреждения ключевого носителя.

Как устранить

Для устранения ошибки нужно:

1. Проверить действительность личного сертификата.
2. Проверить наличие контейнера на носителе ЭЦП и файла с расширением .cer.
3. При помощи КриптоПро сделать копию и установить с копии новый личный сертификат.
4. Переместить содержимое ключевого носителя в любое место на ПК, а если данные повреждены и копирование не удается, восстановить при помощи специальной программы (badcopy).
5. Переустановить КриптоПро.

Обычно после переустановки программы и повторной загрузки КС проблема исчезает. При повторном появлении ошибки лучше обратиться в техническую поддержку.

Ошибка при работе в КриптоАрм

Проблема с недействительной подписью при работе в КриптоАрм может быть вызвана и истекшим сроком сертификата, и тем, что ключ ЭЦП попал в список отозванных сертификатов, и в невозможности построить цепочку сертификатов.

Как устранить

Чтобы устранить ошибку, нужно проверить адрес OCSP службы в сертификате. В поле «Доступ к информации о центрах сертификации» обычно не ставится пункт «Метод доступа». Сделать это можно так:

1. «Пуск»/«Все программы»/«Сертификаты»/«Пользователь»/«Личное»/«Сертификаты».
2. В правой части рабочего окна открыть нужный сертификат.
3. Открыть вкладку «Состав»/«Доступ к информации…».

Если данное условие нарушено, то необходимо обратиться в удостоверяющий центр, выдавший электронную подпись, и попросить изготовить новую ЭЦП в формате CAdeS XLONG.

Если создание ЭЦП требует использования штампа времени, то построение цепочки без подписи данного формата невозможно. Для устранения ошибки понадобится установка сертификата тестовой службы штампа времени с официальной страницы удостоверяющего центра, изготовившего ЭЦП в хранилище доверенных центров сертификации. После этого рекомендуется выполнить проверку на тестовой странице удостоверяющего центра и, если ошибка повторяется, еще раз обратиться в УЦ для проверки корректности работы ЭЦП.

Если не удается построить цепочку сертификатов, то нужно убедиться в отсутствии проблем с интернетом. Ошибка может возникать при нестабильном сигнале сети. Затем нужно проверить наличие КС удостоверяющего центра. Сделать это просто:

• Открыть КриптоПро и вкладку «Сертификаты».

• Выбрать необходимый центр.
• Выбрать «Доверенные сертификаты».
• Перейти в «Реестр» и «Сертификаты».
• Выбрать в списке КС нужного удостоверяющего центра.

При отсутствии сертификата его скачивают с официального сайта удостоверяющего центра, но обычно он находится в папке с КС и его нужно только установить. Для корректной работы в дальнейшем лучше пользоваться браузером Internet Explorer, т.к. в других браузерах возможны ошибки и сбои из-за некорректной работы плагинов.

Установка КС происходит автоматически при нажатии кнопки «Установить» и занимает несколько секунд. После этого браузер и ПК нужно перезагрузить.

Обычно проблему с недействительной подписью в сертификате можно решить собственными силами. Помогает как переустановка криптопровайдера со всеми сертификатами, так и проверка на срок действия и даже соответствие носителя ЭЦП используемой подписи. Если после всех действий ошибка повторяется, то лучше обратиться в службу технической поддержки удостоверяющего центра, изготовившего ЭЦП.

Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 2.0, 1.1
»
Этот сертификат содержит недействительную цифровую подпись

#1
Оставлено
:
20 ноября 2009 г. 16:12:13(UTC)

Статус: Активный участник

Зарегистрирован: 20.11.2009(UTC)
Сообщений: 84
Откуда: Регионы…

Поблагодарили: 2 раз в 2 постах

Здравствуйте!
Помогите решить проблему, сертификат признаётся недействительным: «Этот сертификат содержит недействительную цифровую подпись.»

При этом:
1. установлено КриптоПро CSP 2.0 (2104)
2. установлен корневой сертификат в хранилище «Доверенные корневые центры сертификации», который, кстати, тоже не действительный
3. дата и у корневого и у обычного верные, на компе время и дата верное.
4. CSP работает, из контейнеров ключи читает.

#2
Оставлено
:
20 ноября 2009 г. 16:37:32(UTC)

Статус: Активный участник

Зарегистрирован: 29.12.2007(UTC)
Сообщений: 348

Откуда: ООО "Крипто-Про"

Попробуйте просмотреть любой из сертификатов из хранилища http://cpca.cryptopro.ru/cacer.p7b ,повторяется ли эффект?

#3
Оставлено
:
23 ноября 2009 г. 9:24:23(UTC)

Статус: Активный участник

Зарегистрирован: 20.11.2009(UTC)
Сообщений: 84
Откуда: Регионы…

Поблагодарили: 2 раз в 2 постах

Писинин Алексей написал:

Попробуйте просмотреть любой из сертификатов из хранилища http://cpca.cryptopro.ru/cacer.p7b ,повторяется ли эффект?

#4
Оставлено
:
23 ноября 2009 г. 15:56:28(UTC)

Статус: Активный участник

Зарегистрирован: 23.04.2008(UTC)
Сообщений: 519

Выполните: certmgr.msc -> Откройте «Доверенные корневые ЦС» и посмотрите статус сертификата;
Выполните: services.msc -> Посмотрите какое состояние у «Службы инициализации КриптоПро CSP»;
Откройте Своства КриптоПро CSP -> вкладку Алгоритмы — посмотрите заполнены ли поля;

#5
Оставлено
:
23 ноября 2009 г. 16:38:54(UTC)

Статус: Активный участник

Зарегистрирован: 20.11.2009(UTC)
Сообщений: 84
Откуда: Регионы…

Поблагодарили: 2 раз в 2 постах

да, действительно была не запущена служба

Форум КриптоПро
»
Устаревшие продукты
»
КриптоПро CSP 2.0, 1.1
»
Этот сертификат содержит недействительную цифровую подпись

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Ошибка «Этот сертификат содержит недействительную подпись» возникает при работе с личными сертификатами, которые используются для подписи электронных документов с использованием КриптоПРО. На разных форумах предлагают разные решения и судя по отзывам многие из них действительно помогают. Один из таких советов меня подтолкнул к решению проблемы. Я хочу поделиться всеми способами решения, которые я узнал, потому-что причины появления этой ошибки могут быть разными.

Наиболее частая причина появления ошибки «Этот сертификат содержит недействительную подпись» кроется в некорректных путях сертификации от личного сертификата до головного удостоверяющего центра, поэтому ее рассмотрим в первую очередь.

Другие причины появления ошибки: неисправность алгоритмов шифрования КриптоПРО CSP и нарушение прав доступа к ветке реестра.

Некорректный путь сертификации

Эта та самая проблема, с которой пришлось столкнуться мне.
Удивительно, но при такой ошибке одни сайты без проблем работают с сертификатом, а другие его просто не замечают. Вероятно, в тех случаях, когда такой сертификат действует, не проверяется путь до головного удостоверяющего центра.

Чтобы устранить ошибку «Этот сертификат содержит недействительную подпись» необходимо восстановить всю цепочку сертификации, установив в хранилище сертификаты всех промежуточных УЦ и Головного удостоверяющего центра.

Открываем хранилище сертификатов при помощью консоли certmgr.msc

Переходим в Личное/Сертификаты. Открываем сертификат, который не работает и переходим на вкладку Путь сертификации.

Как видно на рисунке в качестве корневого удостоверяющего центра указан «Минкомсвязь России», а промежуточного удостоверяющего центра ООО «КОМПАНИЯ «ТЕНЗОР».

В поле состояние сертификата наблюдаем ошибку: «Этот сертификат содержит недействительную подпись».

Теперь нам надо отследить всю цепочку сертификатов, которая содержит промежуточные сертификаты и сертификат головного удостоверяющего центра.

Вернемся на вкладку «Общие», чтобы проверить кем выдан личный сертификат. Сертификат выдан той же организацией, что указана в пути сертификации в качестве промежуточно центра. Здесь все правильно.

Переходим в Промежуточные центры сертификации и проверяем промежуточный сертификат. Здесь видно сообщение «Этот сертификат не удалось проверить, проследив его до удостоверяющего центра сертификации». Вот то место где обрывается путь.

Переходим по ссылке http://e-trust.gosuslugi.ru/CA и находим свой удостоверяющий центр.

Находим в списке сертификат, который соответствует условиям.
Средства УЦ: КриптоПРО УЦ 2.0
Кем выдан: CN=Головной удостоверяющий центр
Действует: текущая дата входит в указанный промежуток дат.

Щелкаем по ссылке в поле «Отпечаток» и скачиваем сертификат.

Этот сертификат необходимо установить в промежуточные центры сертификации.

Переходим в личные сертификаты и проверяeм путь сертификации. Если ошибка исчезла значит все сделано правильно.

В дополнение приведу советы с различных форумов, которые так же помогали в устранении данной ошибки.

Не работают алгоритмы шифрования КриптоПРО CSP

Открываем КриптоПРО CSP и переходим на вкладку «Алгоритмы».
Если увидите, что поля алгоритмов пустые значит программа работает некорректно. Переустановите КриптоПРО CSP.

Для переустановки КриптоПРО CSP может потребоваться инструмент «Утилита очистки следов установки КриптоПРО» для полного удаления программы из операционной системы. Скачать его можно отсюда.

Нарушение прав доступа к ветке реестра.

Решить эту проблему так же поможет полное удаление КриптоПРО CSP с использованием указанной ранее утилиты по очистке следов программы.

Если не поможет, то попробуйте предоставить пользователю, работающему с КриптоПРО CSP, права администратора.

При попытке подписи электронной подписью ЭЦП электронного документа посредством программного обеспечения КриптоПро, иногда может сообщение: «Этот сертификат содержит недействительную цифровую подпись».

Необходимо знать причины подобного сбоя и пути решения возникшей проблемы.

Обзор причин появления ошибки

При появлении оповещения о данной ошибке, требуется установить состояние ключа. Для этого необходимо:

• зайти в меню «Пуск»;
• обратиться к приложению КриптоПро на вкладке с программами, установленными на компьютере;
• нажать на кнопку о сертификатах;

• перейти к хранилищу – «Личному», «Доверенным корневым центрам» или «Промежуточным доверенным центрам»;
• кликнуть по необходимому сертификату;
• зайти на вкладку, где отмечен путь сертификации.

Причина будет указана в разделе «Общие».

Появление системного оповещения может быть обусловлено следующими обстоятельствами:

• неверным путем сертификации (имеет место чаще всего) – возможно повреждение одного из сертификатов или всех трех компонентов (отмечается недоверенный характер соединения сервера с браузером заявителя или полное отсутствие связи);
• неправильной установкой программы КриптоПро;
• неактивными шифровальными алгоритмами СКЗИ;

• блокированием доступа к отдельным файлам реестра;
• использованием клиентом старой версии браузера;
• установленной недостоверной датой и временем на компьютере.

Порядок дальнейших действий зависит от причины сбоя.

Неверный путь сертификации

Для этого необходимо знать порядок построения цепочки доверия сертификатов. Она начинается от корневого сертификата ключа, выдаваемого удостоверяющему центру Минкомсвязью РФ.

Далее связь проходит через второй элемент – корневой сертификат удостоверяющего центра, содержащего следующие составляющие:

• данных по УЦ, в том числе дату аккредитации;
• сервисного интернет-адреса (для связи с реестром организации).

Конечный элемент в цепи – СКПЭП, выдаваемый удостоверяющим центром (в том числе закрытый и открытый ключи).

Для решения проблемы, в первую очередь необходимо убедиться в действительности корневого сертификата.

Для этого проверяют наличие и содержание документа от Минкомсвязи, размещенного в папке «Реестры» на вкладке с «Доверенными центрами сертификации» в разделе с сертификатами в каталоге программы в меню «Пуск».

Для восстановления отсутствующего КС потребуется:

• открыть скачанный файл на компьютере;
• нажать по кнопке установки в разделе «Общие»;
• поставить точку в строке, где указано о помещении в следующее хранилище;
• указать на хранилище с доверенными корневыми центрами сертификации;
• нажать на кнопку «ОК» для продолжения инсталляции, подтвердив согласие в диалоговом окне с предупреждением безопасности.

По завершении установки перезагружают ПК.

Если корневой сертификат присутствует, но извещение по-прежнему появляется, необходимо удалить КС и установить заново.

Возможен еще один способ решения проблемы, помогающий не во всех случаях. Если перестановка КС не принесла желаемого результата, переходят к редактору реестра, введя в поисковую строку его название regedit.

После входа в программу, требуется ручное удаление следующих строк:

Специалист отдела технической поддержки УЦ

Возможно присутствие не всех веток из перечисленных. Удаляют те из них, которые есть. Предварительно делают резервную копию файла, поместив его в другое место, для возможности восстановления.

После перезагрузки компьютера, проверяют статус сертификата цифровой подписи. Все должно восстановиться, при появлении информации о действительном КС.

Повреждение файла УФК

Возможно повреждение не конечного, а промежуточного файла, что особенно актуально для Управления Федерального Казначейства (УФК), также выдающего сертификаты цифровой подписи.

ЭЦП данного ведомства необходимо заверять документацию муниципальным и госзаказчикам по итогам аукционов для закупок на государственные нужды.

Если возникают проблемы с заверением документа УФК, при появлении предупреждения о недействительном сертификате цифровой подписи, потребуется:

• в папке «Личное» обратиться к неработающему сертификату и зайти в раздел с путем сертификации; здесь будет отмечен в качестве головного УЦ Минкомсвязи РФ, а промежуточным звеном – УФК; конечный элемент – сертификат держателя;
• проверяют всю цепочку, выявляя причину сбоя;
• возвращаются в папку «Общие», чтобы проверить правильность сведений об организации, выдавшей сертификат электронной подписи;
• после выхода из раздела «Личное», переходят в каталог с промежуточными центрами сертификации.

Обратите внимание! Если проблема в промежуточном звене, цепочка при построении оборвется в соответствующей точке, о чем будет отмечено на вкладке «Общие».

• заходят в раздел с корневыми сертификатами на сайте УФК;
• скачивают файл сертификата с портала казначейства, сохраняя на компьютере;
• перегружают ПК.

На завершающем этапе проверки, повторно открывают соответствующий сертификат в папке «Личное». При устранении проблемы, появится надпись о действительности документа.

При истечении срока

Удостоверяющий центр ежегодно, при наступлении календарного года, обновляет промежуточный сертификат цифровой подписи. Соответствующее оповещение появится при запуске операционной системы.

Мнение эксперта

Владимир Аникеев

Специалист отдела технической поддержки УЦ

Если при каком-либо сбое, обновления сертификата не произошло, появится запись, отмечающая, что документ недействителен. Установку обновленного варианта проводят в порядке, описанном выше. Старый ПС удалять не нужно.

Для импорта ключей, можно обойтись без интернета. Проверку файла проводят в автоматическом режиме, при появлении подключения к сети – единожды за период действия ПС.

Проблемы с браузером

Нередко оповещение о недействительности сертификата обусловлено устаревшей версией браузера или использованием не той программы для выхода в интернет. Это особенно актуально при подписании документации государственных структур – Пенсионного фонда, ФСС и пр.

Разработчики КриптоПро рекомендуют использовать Internet Explorer, поскольку эта программа непосредственно входит в операционную систему.

Но и с данным обозревателем не исключены проблемы.

Нередко для корректного отображения ключей, достаточно войти на правах администратора.

Для этого потребуется:

• вызвать контекстное меню иконки браузера нажатием правой кнопки мыши;
• выбрать способ запуска от лица администратора.

Если подобные действия помогли, необходимо:

• вновь выбирают иконку браузера;
• нажимают кнопку дополнительных функций;
• указывают о необходимости запуска с правами администратора.

Теперь не придется каждый раз выбирать способ включения программы.

Также рекомендуется установить самую последнюю версию браузера.

Сложности с работой КриптоПро

Корректность работы программы проверяют в разделе с алгоритмами. Если данная вкладка не заполнена, приложение работает некорректно и требуется переустановка. Инсталлятор скачивают с официального сайта разработчика и устанавливают, предварительно удалив стоящую на ПК программу.

Установленное приложение запускают, перезагрузив компьютер.

В некоторых случаях извещение о недействительном сертификате может быть вызвано не запущенной службой инициализации программы. Для проверки запуска сервиса, необходимо:

• открыть системное окно «Выполнить» в пусковом меню;
• указать в строке services.msc;
• в перечне сервисов отметить «Службу инициализации»;
• перейти к свойствам ярлыка программы в контекстном меню;
• запустить службу, сохранив настройки.

Если причина в этом, после перезагрузки проблема исчезнет.

Доступ к реестру

Появление сбоя может быть вызвано отсутствием прав редактирования некоторых файлов в реестре операционной системы. Чтобы проверить, открывают командную строку и переходят на путь закрепления прав в операционном реестре:

Для проверки прав изменения конечных папок указанных каталогов, необходимо:

• в контекстном меню папки выбрать надпись о разрешениях;
• нажать на кнопку с администраторами, затем – «Дополнительно»;
• открыть вкладку о владельцах;
• отметить открытие полного доступа.

Еще один способ решения данного вопроса – переустановка программы КриптоПро.

Дата и время

При неправильной установке даты и времени на компьютере, возможен сбой с появлением предупреждения о недействительности цифровой подписи. Параметры настраивают, входя в соответствующие пункты меню с правой нижней стороны, на панели задач. После обновления данных, необходимо перегрузить компьютер.

Главное – установить причину возникновения проблемы с действительностью сертификата цифровой подписи. После этого восстановление работы системы не составит особенного труда.

Время от времени пользователям приходится сталкиваться с ошибками в криптопровайдере КриптоПро. Причины для этого могут быть разные. Поэтому приходится открывать браузер, и искать ответы в интернете. Что предпринять, когда на экране появляется ошибка «Этот сертификат содержит недействительную цифровую подпись» — читайте далее.

Когда появляется ошибка подписи сертификата

Проблемы с сертификатом в программе КриптоПро появляются при использовании некоторых браузеров. При этом в одном приложение может стабильно работать, но стоит использовать другой, как ошибка тут же появляется. Системное сообщение о сбое появляется еще в том случае, если какие-либо параметры компьютера неправильно настроены. Не точное время, неверная дата и прочее.

Также это случается, если внутренние файлы КриптоПро были нарушены. В этом случае программа не будет работать ни с одним браузером. Остается только заново переустановить утилиту. В некоторых случаях проблема решается установкой обновлений операционной системы.

Полезно знать: не удается построить цепочку сертификатов для доверенного корневого центра.

Устраняем ошибку с цифровой подписью КриптоПро

Разработчик КриптоПро рекомендует использовать для работы только встроенный браузер в Windows — Microsoft Internet Explorer (Microsoft Edge). Это поможет не встречать на пути множество ошибок, которые непросто решить. Но даже используя этот браузер, пользователи сталкиваются с ошибками. При этом если запустить его от имени администратора, то все становится на свои места. КриптоПро работает, сертификаты подписываются. Поэтому, если вы еще не испробовали этот способ, выберите иконку браузера и нажмите по нему правую кнопку мыши (ПКМ). Затем нажмите «От имени администратора».

Если вам помог этот способ избавиться от сообщения «Этот сертификат содержит недействительную цифровую подпись», и программа начала работать:

1. Выберите снова ярлык браузера ПКМ и нажмите пункт контекстного меню «Свойства»;
2. Затем выберите внизу окна кнопку «Дополнительно»; Нажмите на «Дополнительно»
3. В небольшом окошке выберите пункт «Запуск от имени администратора» и подтвердите свой выбор нажатием «Ок».

Теперь при каждом запуске вам не нужно будет выбирать иконку ПКМ. По умолчанию КриптоПро будет запущен от имени администратора. Также необходимо проверить права на некоторые файлы в реестре Windows.

1. Откройте строку ввода (WIN+R) и введите такую команду «regedit» и ENTER;
2. Перейдите по пути, который видите на скриншоте;
3. У вас должны быть права на конечные папки этих веток;
4. Чтобы это проверить, выберите папку ПКМ и сделайте клик по пункту «Разрешения»;
5. Выберите из существующих пунктов «Администраторы»;
6. Нажмите пункт «Дополнительно» и откройте «Владелец»;
7. Необходимо здесь указать значение «Полный доступ».

Затем снова попробуйте использовать КриптоПро. Проверьте также, чтобы программа видела ключи из контейнера.

Проверка сертификатов и служб КриптоПро

Если предыдущие инструкции не помогли вам устранить неполадку в программе, просмотрите статусы сертификатов в разделе «Доверенные корневые сертификаты». Для этого откройте строку ввода и напишите команду certmgr.msc . Далее откройте службы Windows. Это можно сделать при помощи команды в той же строке (WIN+R) « services.msc ».

1. Просмотрите список служб и найдите «Службы инициализации»;
2. Нажмите по ней ПКМ и выберите «Свойства»;
3. Убедитесь, что служба работает стабильно. Если по каким-то причинам она отключена — включите её и сохраните изменения.

Снова попробуйте подписать документ, чтобы проверить, появляется ли ошибка с недействительной цифровой подписью.

Некоторые антивирусные системы (например, Symantec, AVG) распознают драйвер программного обеспечения КриптоПро, как вирусную угрозу. При их работе в системе некоторые процессы утилиты будут заблокированы. В результате этого вы можете видеть различные ошибки. Поэтому попробуйте деактивировать на время свой антивирус и запустить программу снова.

Антивирусы разных производителей часто можно отключить на время. Это делается через трэй.

1. Во всех ОС Windows есть небольшая стрелка, она открывает небольшое окошко с программами, которые работают в фоновом режиме;
2. Выберите стрелку, затем нажмите на иконку антивируса ПКМ;
3. Нажмите «Сетевые экраны» или «Управление экранами» — в зависимости от ПО пункты могут быть разными;
4. Выберите время, на которое вы желаете отключить ПО.

Другие способы устранить ошибку

Если описанные выше способы не помогли исправить ошибку «Этот сертификат содержит недействительную цифровую подпись», тогда попробуйте сменить браузер. Если вы использовали браузер Opera, попробуйте работать с Mozilla Firefox или IE. Если предстоит работать с современными веб-сервисами, стоит использовать Firefox. Это обуславливается тем, что эти веб-службы отказываются работать с IE, особенно со старыми его версиями.

Стоит также проверить правильность даты на компьютере. Выберите ПКМ часы внизу экрана и нажмите «Настройка даты и времени». Установите правильное значение, выберите нужный часовой пояс и сохраните изменения. Затем откройте КриптоПро и снова попробуйте проверить, появляется ли ошибка, когда сертификат содержит недействительную цифровую подпись.