Недостаточно информации для проверки этого сертификата что делать
Перейти к содержимому

Недостаточно информации для проверки этого сертификата что делать

  • автор:

Проверка сертификата завершается сбоем, если сертификат имеет несколько доверенных путей сертификации к корневым ЦС

В этой статьи описаны пути обхода проблемы, из-за которой сертификат безопасности, предоставленный веб-сайтом, не выдается при наличии для него нескольких доверенных путей сертификации к корневым ЦС.

Применимо к: Windows Server 7 с пакетом обновления 1, Windows Server 2012 R2
Оригинальный номер базы знаний: 2831004

Симптомы

Когда пользователь пытается получить доступ к защищенному веб-сайту, в его браузере появляется следующее предупреждение:

Возникла проблема с сертификатом безопасности этого веб-сайта.

Сертификат безопасности, представленный этим веб-сайтом, не был выпущен доверенным центром сертификации.

Нажав Продолжить открытие этого веб-узла (не рекомендуется), пользователь может перейти к защищенному веб-сайту.

Причина

Эта проблема возникает из-за того, что сертификат веб-сайта имеет на веб-сервере несколько доверенных путей сертификации.

Предположим, что используемый компьютер клиента доверяет Сертификату корневого ЦС (2). Веб-сервер доверяет Сертификату корневого (1) и Сертификату корневого ЦС (2). Кроме того, сертификат имеет следующих два пути сертификации к доверяемым корневым ЦС веб-сервера:

  1. Путь сертификации 1: Сертификат веб-сайта — Сертификат промежуточного ЦС — Сертификат корневого ЦС (1)
  2. Путь сертификации 2: Сертификат веб-сайта — Сертификат промежуточного ЦС — Перекрестный сертификат корневого ЦС — Сертификат корневого ЦС (2)

Если в процессе проверки сертификата компьютер обнаруживает несколько доверенных путей сертификации, Microsoft CryptoAPI выбирает оптимальный путь сертификации, вычисляя оценку каждого пути. Оценка вычисляется на основе качества и количества данных, которые может предоставить сертификат. Если несколько путей сертификации получают одинаковую оценку, выбирается наиболее короткий путь.

Если у пути сертификации 1 и пути сертификации 2 одинаковая оценка, CryptoAPI выбирает самый короткий путь (путь сертификации 1) и отправляет его клиенту. Тем не менее, компьютер клиента может подтвердить сертификат только используя более длинный путь сертификации, который ведет к сертификату корневого ЦС (2). Это приводит к сбою сертификации.

Обходной путь

Чтобы обойти эту проблему, удалите или отключите из пути сертификации ненужный сертификат, выполнив следующие действия:

  1. Авторизуйтесь на веб-сервер от имени системного администратора
  2. Добавьте оснастку «Сертификат» в консоль управления Microsoft, выполнив следующие действия:
    1. Выберите Пуск>Выполнить, введите команду mmc и нажмите клавишу ВВОД.
    2. В меню Файл щелкните Добавить или удалить оснастку.
    3. Выберите Сертификаты» нажмите Добавить, выберите Учетная запись компьютера и нажмите Далее.
    4. Выберите Локальный компьютер (компьютер, на котором открыта консоль), и нажмите Готово.
    5. Нажмите кнопку ОК.

    Примечание. Если сертификат является корневым сертификатом ЦС, он находится в Доверенные корневые ЦС. Если сертификат является сертификатом промежуточного ЦС, он находится в разделе Промежуточные ЦС.

    • Для удаления сертификата щелкните его имя правой кнопкой мыши и выберите Удалить.
    • Чтобы отключить сертификат, щелкните его правой кнопкой мыши, выберите Свойства, нажмите Отключить все цели для этого сертификата и выберите ОК.

    Кроме того, если параметр групповой политики Выключить автоматическое обновление корневых сертификатов отключен или не настроен на сервере, сертификат из ненужного пути сертификации может быть установлен или включен при следующем построении цепочки. Чтобы настроить данный параметр групповой политики, выполните следующие действия:

    1. Нажмите Пуск>Выполнить, введите команду gpedit.msc и нажмите клавишу ВВОД.
    2. Разверните область Конфигурация компьютера>Административные шаблоны>Управление>Управление связью через Интернет и нажмите Параметры связи через Интернет.
    3. Дважды щелкните Выключить автоматическое обновление корневых сертификатов, выберите Включено и нажмите кнопку ОК.
    4. Закройте редактор локальных групповых политик.

    Статус

    Такое поведение является особенностью данного продукта.

    Как проверить подлинность электронной подписи таможенного поста в заявке на пропуск?

    Сотрудники таможенного поста работают в сервисе по электронному согласованию заявок на пропуск в порт под своими учетными записями, защищенными паролями, и при согласовании заявок подписывают их усиленными электронными подписями, что гарантирует целостность каждого документа.

    До конца 2021 года заявки сотрудниками таможни подписывались усиленными электронными подписями, выданными удостоверяющим центром Балтийской таможни. Чтобы убедиться в корректности данной подписи, откройте электронную печатную форму согласованной заявки на пропуск в порт (в формате .pdf). На последнем листе заявки размещаются штампы с информацией об электронных подписях. На штампе отображается информация о исходящем номере заявки, дате и времени ее согласования, номере, владельце и сроке действия сертификата.

    Для получения более подробной информации об электронной подписи сотрудника таможенного поста, согласовавшего заявку, щелкните на соответствующий штамп (третий слева).

    В появившемся диалоговом окне нажмите кнопку «Параметры подписи»:

    На экране появится диалоговое окно «Параметры подписи», в котором нужно нажать кнопку «Показать сертификат»:

    Откроется окно сертификата. Если в нем отображается надпись «Недостаточно информации для проверки этого сертификата», то на ваш компьютер нужно установить корневой сертификат удостоверяющего центра Центрального информационно-технического таможенного управления.

    Чтобы сразу скачать и установить корневой сертификат, следующие два шага можно пропустить.

    Чтобы определить путь к файлу корневого сертификата перейдите на вкладку «Состав». Прокрутите верхний список вниз и выберите поле «Доступ к информации о центрах сертификации»:

    Прокрутите ползунок в нижнем окошке вниз, чтобы увидеть значение «Дополнительное имя». Выделите мышкой путь к корневому сертификату и нажмите на клавиатуре сочетание клавиш Ctrl+C (копировать):

    Вставьте скопированное значение в адресную строку браузера (или перейдите по ссылке) и загрузите на жесткий диск своего компьютера файл сертификата.

    Дважды щелкните на скаченном файле или выберете в контекстном меню команду «Открыть» (можно также в контекстном меню сразу выбрать команду «Установить сертификат» чтобы сразу перейти в Мастер импорта сертификатов).

    В окне предупреждения системы безопасности нажмите кнопку «Открыть»:

    На экране откроется окно сертификата. В нем нужно нажать кнопку «Установить сертификат…»:

    На экране откроется Мастер импорта сертификатов. Переключатель «Расположение хранилища» можно оставить в значении «Текущий пользователь» и нажать кнопку «Далее»:

    На следующей странице мастера можно оставить переключатель в значении «Автоматически выбрать хранилище на основе типа сертификата» и нажать кнопку «Далее»:

    На последней странице мастера нажмите кнопку «Готово»:

    На экране появится сообщение «Импорт успешно выполнен». Нажмите «ОК»:

    При указанных по умолчанию параметрах Мастера импорта сертификатов, сертификат устанавливается в раздел «Промежуточные центры сертификации». В этом можно убедиться, выбрав в главном меню Windows в разделе «КРИПТО-ПРО» пункт «Сертификаты». А в появившемся окне раскрыть соответствующие элементы иерархии Корня консоли:

    Теперь, если выполнить действия, описанные вверху данной страницы, можно убедиться, что все сведения о сертификате отображаются достоверно:

    Проверьте также другие настройки электронной подписи для работы в сервисе.

    Цепочка сертификатов не может быть построена до доверенного корневого сертификата

    При возникновении ошибки «Цепочка сертификатов не может быть построена до доверенного корневого сертификата.» необходимо выполнить проверку сертификата электронной подписи.

    Алгоритм проверки электронной подписи:

    В программном продукте 1С необходимо

    1. перейти в раздел «Администрирование»

    2. «Обмен электронными документами»

    3. «Настройка электронной подписи и шифрования»

    4. На вкладке «Сертификаты» открыть используемый сертификат

    5. Нажать на кнопку «Проверить»

    !1.jpg

    6. Ввести пароль закрытой части ключа и нажать «Проверить»

    ! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных .

    1.jpg
    Если в ходе проверки напротив пункта «Корректность данных сертификата» возникнет сигнализирующий об ошибке красный символ, на него необходимо нажать для открытия технической информации об ошибке.
    2.jpg
    Если в технической информации об ошибке указано «Цепочка сертификатов не может быть построена до доверенного корневого

    сертификата.» это обозначает, что цепочка сертификации выстроена не полностью. Данная ошибка чаще всего встречается при первичной установке сертификата. Для просмотра пути сертификации необходимо сохранить сертификат, указав директорию компьютера, где его можно будет найти. Сделать это можно из программы 1С открыв сертификат в настройках электронной подписи и шифрования и нажать кнопку «Сохранить в файл» и указать директорию операционной системы для сохранения файла.

    3.jpg

    После сохранения сертификата необходимо открыть его в сохраненной директории.

    4.jpg

    Открыть сертификат можно дважды нажав на него левой кнопкой мыши или правая кнопка мыши — Открыть.

    На вкладке «Общие» в логотипе сертификата будет присутствовать сигнализирующий о проблеме желтый знак, а в сведениях о сертификате будет присутствовать надпись «Недостаточно информации для проверки этого сертификата».

    5.jpg

    Следующим этапом необходимо перейти во вкладку «Путь сертификации». Можно заметить, что путь сертификации состоит из одного личного сертификата, а в состоянии сертификата присутствует надпись «Невозможно обнаружить поставщика этого сертификата».

    В компьютерной безопасности цифровые сертификаты проверяются с помощью цепочки доверия. Сертификаты удостоверяются ключами тех сертификатов, которые находятся выше в иерархии сертификатов. Наивысший сертификат в цепочке называется корневым.

    6.jpg

    Пример корректного пути сертификации

    7.jpg

    Решение: Восстановить путь сертификацию

    В сертификате необходимо перейти во вкладку «Состав» и в верхнем окне необходимо найти и нажать на поле «Доступ к информации о центрах сертификации». В нижнем окне сертификата появится информация о доступах к сведениям центра сертификации, в котором необходимо найти ссылку, которая заканчивается на .cer или .crt. Данную ссылку необходимо скопировать от http:// до конца строки не включая URL=. Копирование производится при помощи комбинации клавиш Ctrl+C.

    8.jpg

    Открыть браузер и вставить скопированное ранее значение в адресную строку, нажать «Перейти» (Enter). Откроется окно просмотра загрузок, в котором браузер предложит сохранить или открыть файл. Необходимо нажать «Сохранить как» и указать директорию, куда произойдёт сохранение.

    9.jpg

    Произойдет скачивание сертификата удостоверяющего центра, который выдал личный сертификат. После скачивания необходимо перейти в указанную директорию и открыть скаченный сертификат. В нашем примере это сертификат astral-883-2018.

    10.jpg

    После открытия сертификата удостоверяющего центра необходимо нажать «Установить сертификат»

    11.jpg

    В открывшемся мастере импорта сертификатов выбрать Расположение хранилища: «Текущий пользователь» и нажать «Далее».

    12.jpg

    В следующем окне выбрать «Поместить все сертификаты в следующее хранилище» нажать «Обзор» и выбрать «Доверенные корневые центры сертификации», нажать «Далее» и завершить установку.

    13.jpg

    После появится окно предупреждения системы безопасности. Для установки сертификата необходимо нажать «Да»

    14.jpg

    Затем появится окно, сообщающее о том, что импорт сертификата успешно выполнен.

    15.jpg

    После установки сертификата удостоверяющего центра путь сертификации будет состоять уже из двух сертификатов: личного сертификата сотрудника организации, который ссылается на доверенный сертификат удостоверяющего центра, который выдал данному сотруднику сертификат.

    16.jpg

    Сертификат удостоверяющего центра не может сослаться на вышестоящий сертификат Головного удостоверяющего центра в виду его отсутствия на рабочем месте.

    Для установки сертификата Головного удостоверяющего центра необходимо открыть сертификат удостоверяющего центра и перейти во вкладку «Состав». В верхнем окне выбрать поле «Идентификатор ключа центра сертификатов», а затем в нижнем окне скопировать серийный номер сертификата (Ctrl+C).

    17.jpg

    Для скачивания нужного сертификата Головного удостоверяющего центра необходимо перейти на Портал уполномоченного федерального органа в области использования электронной подписи и перейти на вкладку «ГОЛОВНОЙ УЦ» https://e-trust.gosuslugi.ru/#/portal/mainca

    Далее, используя сочетание клавиш Ctrl+F необходимо вызвать окно поиска и вставить в него скопированный серийный номер из сертификата удостоверяющего центра. Из представленного на сайте перечня сертификатов отобразится тот, чей серийный номер совпадает. Именно данный сертификат Головного удостоверяющего центра нужно скачать. Для скачивания необходимо нажать на гиперссылку в строке «Отпечаток».

    18.jpg

    После нажатия на отпечаток произойдет скачивание сертификата Головного удостоверяющего центра. Необходимо нажать «Сохранить как» и выбрать необходимую директорию для сохранения сертификата Головного удостоверяющего центра.

    19.jpg

    Необходимо перейти в директорию, куда был скачан сертификат и открыть его.

    20.jpg

    В открывшемся сертификате необходимо нажать «Установить сертификат»

    21.jpg

    В мастере импорта сертификатов необходимо выбрать «Текущий пользователь» и нажать «Далее»

    22.jpg

    В следующем окне необходимо выбрать «Поместить все сертификаты в следующее хранилище», нажать «Обзор». В окне выбора хранилища сертификата необходимо поставить галочку «Показать физические хранилища», затем развернуть «Доверенные корневые центры сертификации» нажатием на «+» и выбрать «Локальный компьютер» и нажать «ОК». Завершить установку сертификата.

    23.jpg

    После установки сертификата Головного удостоверяющего центра путь сертификации личного сертификата восстановлен.

    24.jpg

    После восстановления пути сертификации ошибка не воспроизводится.

    25.jpg


    Нет нужного сертификата в списке

    Если КриптоПро стоит версии 5.0 R2 c pkcs11 и выше, а сертификата в нём не видно, то действуем по пункту 3.

    1. Откройте меню «Пуск», найдите приложение «Выполнить».
    2. Введите команду certmgr.msc и нажмите «ОК».
    3. Откройте раздел «Сертификаты — текущий пользователь» → «Личное» → «Реестр» → «Сертификаты».
    4. Выберите ненужный сертификат и удалите его.

    Если предложенные варианты не помогли, напишите в чат техподдержки , предоставив:

    • Номер пройденной диагностики.
    • ID сеанса со страницы информации о скрытых сертификатах. Расположен в верху страницы.
    • Файл открытого ключа сертификата, предварительно заархивировав его. Чтобы экспортировать открытый ключ, воспользуйтесь статьей Экспорт файла открытого ключа.
    • Полное название носителя, на котором расположен сертификат (Реест, Рутокен Лайт, Jacarta-2SE и т.д.).

    Оцените статью или оставьте отзыв

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *