Содержание
Всем привет на fst-wolker.ru! Тема сегодняшнего выпуска – установка доверенных корневых сертификатов на компьютер Windows если возникает ошибка при подписи электронных документов.
Мы уже установили Крипто Про, установили из контейнера личные сертификаты на компьютер. Но этого бывает недостаточно, потому как нужны корневые сертификаты удостоверяющих центров, подтверждающие доверие к выданной Вам электронно-цифровой подписи. Они тоже должны быть установлены на компьютере все.
Ошибка проверки установленного сертификата
При попытке подписать документ система сначала проверяет – можно ли установленному сертификату доверять? Электронную подпись изготавливают различные уполномоченные организации. Каждая из них использует свой корневой сертификат который выдан вышестоящим удостоверяющим центром.
Которому в свою очередь сертификаты выдает головной удостоверяющий центр РФ.
Таким образом, при создании электронно – цифровой подписи создается так называемая цепочка доверия. В этой цепочке (в порядке подчинения) сначала идут доверенные корневые сертификаты УЦ, промежуточные сертификаты, затем личные сертификаты. Если у вас не установлен хотя бы один сертификат из цепочки -возникаеют ошибки проверки:
- Отсутствует сертификат УЦ в хранилище корневых сертификатов [0x800B0109];
- нет доверия к этому корневому сертификату центра сертификации;
У всех сертификатов имеется срок действия. Возможно, доверенный корневой сертификат УЦ просрочен и необходимо установить свежий.
Перехожу к исправлению ситуации.
Как проверить установленные личные сертификаты в Windows?
На компьютере так же есть хранилища для установки сертификатов:
- Доверенные корневые центры сертификации;
- Промежуточные центры сертификации;
- Личные;
Просмотреть хранилища (и находящиеся сертификаты в них) мы можем вызвав сочетанием клавиш Win+R меню “Выполнить” и введя туда команду:
certmgr.mscЗайдя в папку “Сертификаты” нужного хранилища (слева) мы увидим установленные сертификаты (справа) кто их выдал, их сроки действия. Но как определить сертификат какого УЦ нам нужен конкретно для нашей подписи? Для этого нужно открыть личный сертификат и посмотреть там всю цепочку доверия.
Как установить личный сертификат госуслуги в хранилище?
Предположим, что мы будем использовать выданную нам электронную цифровую подпись для входа на госуслуги. Можно установить личный сертификат через крипто про и там же просмотреть.
Но я открою свой сертификат прямо в хранилище личные (у меня он уже был установлен через крипто про):
Если цепочка доверия нарушена наш личный сертификат выглядит так:
Если у ваш сертификат еще не установлен в хранилище “личные” (Вам выдан сертификат ЭЦП в виде файла *.сеr) откроем полученный файл сертификата через проводник , жмем кнопку “Установить сертификат”
Указываем, что сертификат будет доступен только текущему пользователю компьютера:
Указываем автоматическую установку, на основе типа сертификата.
Но, можно выбрать вручную хранилище “Личные” поместив “все сертификаты в следующее хранилище” если есть сомнения в том, что система все сделала правильно. Установленный сертификат в оснастке появится в хранилище “Личные”.
Видео как установить корневые сертификаты УУЦ на компьютер Windows
Как установить корневой сертификат Минцифры?
Личный сертификат установлен. Но, мы должны еще установить какой-то корневой сертификат(ы). Как определить какому корневому сертификату подчинена наша подпись? Для этого переходим во вкладку “Путь сертификации”:
Видим, что наша подпись выдана Калуга – Астрал, это промежуточный сертификат. Если прямо здесь его открыть (кликнув по нему) мы увидим, что у него та же проблема потому что не установлен корневой сертификат Минцифры (на его значке мы видим крест). Кликаем по значку сертификата Минцифры:
Нужно по цепочке установить все недостающие сертификаты. Сначала доверенный корневой, затем промежуточный. Для этого необходимо скачать сертификаты:
- корневой сертификат головного удостоверяющего центра(CA) (скачать);
- корневой сертификат МинкомСвязь России (скачать);;
- корневой сертификат Минцифры России (скачать);.
- Корневой сертификат удостоверяющего центра Федерального казначейства (скачать);
Здесь для примера ссылки на самые нужные корневые сертификаты. Если у вас выпущена ЭЦП для торгов (сбербанк или др) проследив (как указано выше) путь сертификации вы можете скачать нужные сертификаты УЦ в личных кабинетах торговых площадок или в интернете.
Промежуточные сертификаты обычно ставить руками не надо, они устанавливаются автоматически в нужное хранилище
При нажатии на файл доверенного корневого сертификата УЦ появится запрос на его установку. Все делаем так же как и при установке личного сертификата. Только корневые сертификаты устанавливаются в хранилище “Доверенные корневые центры сертификации”.