Проблемы и способы устранения

💥 - проблема изучается и ищется вариант решения ✅ - решение найдено и зафиксировано 📛 - на текущий момент решение отсутствует

💥 Ошибка получения корневого сертификата

В логах сервера отображается:

ERROR 2020-07-30 12:44:48,314 [101] EleWise.ELMA.BPM.Web.Security.Controllers.SecuritySettingsController - Ошибка получения корневого сертификата.
System.Runtime.InteropServices.COMException (0x80040154): Class not registered (Exception from HRESULT: 0x80040154 (REGDB_E_CLASSNOTREG))
at CERTCLIENTLib.ICertRequest2.GetCACertificate(Int32 fExchangeCertificate, String strConfig, Int32 Flags)
at EleWise.ELMA.Security.Managers.CertificationAuthorityManager.GetRootCertificate(String address)
at EleWise.ELMA.BPM.Web.Security.Controllers.SecuritySettingsController.GetRootThumbprint(String address)


Предварительно вендором было предложено перевести пул приложения IIS в совместимость 32 битного приложения. При этом сервер ELMA перестал нормально запускаться и падал на этапе "Инициализация портальной системы".

-

 

✅ Невозможно получить список сертификатов

При попытке привязать сертификат в личном кабинете (плагин КриптоПро для браузера установлен и работает) появляется данная ошибка.

image-1596095050131.png

image-1596095105577.png


Необходимо установить КриптоПро CSP на компьютере пользователя

✅ Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции. (0x8007139F)

При попытке привязать сертификат в личном кабинете или подписать документ возникает следующая ошибка:

image-1596097778823.png

image-1596097807863.png


Возникает, если для выбранного сертификата указан некорректный адрес сервера штампа времени.

Проверить соответствие и корректность подписания здесь https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_t_sample.html

Установить корректный адрес сервера штампов времени (Службы штампов времени (TSP) и OCSP)

✅ Не задан адрес службы штампов времени (0xC2100121)

При привязке сертификата в личном кабинете может возникнуть следующая ошибка:

image-1596098082033.png


Проблема вызвана отсутствием или некорректным адресом службы штампов времени:

image-1596098192649.png

Установить корректный адрес (Службы штампов времени (TSP) и OCSP)

✅ Сертификат выдан сторонним центром сертификации

В процессе привязки сертификата пользователя возможна такая ошибка:

image-1596101120561.png


В логах отображается проблема:

ERROR 2020-07-30 15:38:34,542 [20] EleWise.ELMA.Logging.Logger - Сертификат выдан сторонним центром сертификации. Ожидалось [2ADB1DE3CA137D0761AB6F0739DAC43707563440], получено [4BC6DC14D97010C41A26E058AD851F81C842415A].
ERROR 2020-07-30 15:38:34,542 [20] EleWise.ELMA.Logging.Logger - Сертификат выдан сторонним центром сертификации. Ожидалось [49F01B660695F8BD4E7459B3EC74EDE10FCEDEAC], получено [4BC6DC14D97010C41A26E058AD851F81C842415A].

При этом ожидалось берется из списка, что ввели как отпечатки в настройках провайдера, а получено - это то, что пришло с нашего пользовательского ключа.

Очень странная ситуация - с ключа вы данного физическому лицу почему то был пропущен в цепочке УЦ Сертум-Про, который и выдал нам сертификат, а сразу ELMA стала проверять сертификат Минкомсвязи! 

Установить отпечаток сертификата Минкомсвязи - для конкретного случая это сертификат:

ПАК "Минкомсвязь России"

Класс средств ЭП: КВ2
Средства УЦ: ПАК «Головной УЦ»
Адрес: Москва, ул. Тверская, д. 7

Ключи проверки ЭП уполномоченных лиц:

Идентификатор ключа: C254F1B46BD44CB7E06D36B42390F1FEC33C9B06
Сертификаты ключа проверки ЭП:


Кому выдан:
CN=Минкомсвязь России, ИНН=007710474375, ОГРН=1047702026701, O=Минкомсвязь России, STREET=улица Тверская, дом 7, L=г. Москва, S=77 Москва, C=RU, E=dit@minsvyaz.ru

Кем выдан: CN=Минкомсвязь России, ИНН=007710474375, ОГРН=1047702026701, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, S=77 Москва, C=RU, E=dit@minsvyaz.ru
Серийный номер: 4E6D478B26F27D657F768E025CE3D393
Действует: с 06.07.2018 по 01.07.2036

Отпечаток: 4BC6DC14D97010C41A26E058AD851F81C842415

 

✅ Не задан адрес службы OCSP (0xC2110121)

При попытке привязать УКЭП или подписать им документ (атрибуты) возникает данная ошибка:

image-1596174819047.png

image-1596174795042.png


В выданном сертификате от Контур.Бухгалтерия отсутствует в секции "Доступ к сведениям центра сертификации" запись "Протокол определения состояния сертификата через сеть" с указанием адреса OCSP

Для данного вида сертификатов в сервисе Контур.Бухгалтерия и Диадок на их стороне не производится проверка OCSP. А для внешних сервисов это необходимо.

Необходимо приобретение нормального сертификата, например Квалифицированный Классик

✅ Не удалось найти построитель хешей 'GOST3411_2012_256'

При попытке подписать документ с помощью КЭП или УКЭП возникает ошибка:

image-1596171893665.png


Установить КриптоПро CSP (требуется серверная лицензия).
Установить КриптоПро .NET (требуется серверная лицензия).