Проблемы и способы устранения
💥 - проблема изучается и ищется вариант решения
✅ - решение найдено и зафиксировано
📛 - на текущий момент решение отсутствует
- 💥 Ошибка получения корневого сертификата
- ✅ Невозможно получить список сертификатов
- ✅ Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции. (0x8007139F)
- ✅ Не задан адрес службы штампов времени (0xC2100121)
- ✅ Сертификат выдан сторонним центром сертификации
- ✅ Не задан адрес службы OCSP (0xC2110121)
- ✅ Не удалось найти построитель хешей 'GOST3411_2012_256'
💥 Ошибка получения корневого сертификата
В логах сервера отображается:
ERROR 2020-07-30 12:44:48,314 [101] EleWise.ELMA.BPM.Web.Security.Controllers.SecuritySettingsController - Ошибка получения корневого сертификата.
System.Runtime.InteropServices.COMException (0x80040154): Class not registered (Exception from HRESULT: 0x80040154 (REGDB_E_CLASSNOTREG))
at CERTCLIENTLib.ICertRequest2.GetCACertificate(Int32 fExchangeCertificate, String strConfig, Int32 Flags)
at EleWise.ELMA.Security.Managers.CertificationAuthorityManager.GetRootCertificate(String address)
at EleWise.ELMA.BPM.Web.Security.Controllers.SecuritySettingsController.GetRootThumbprint(String address)
Предварительно вендором было предложено перевести пул приложения IIS в совместимость 32 битного приложения. При этом сервер ELMA перестал нормально запускаться и падал на этапе "Инициализация портальной системы".
-
✅ Невозможно получить список сертификатов
При попытке привязать сертификат в личном кабинете (плагин КриптоПро для браузера установлен и работает) появляется данная ошибка.
Необходимо установить КриптоПро CSP на компьютере пользователя
✅ Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции. (0x8007139F)
При попытке привязать сертификат в личном кабинете или подписать документ возникает следующая ошибка:
Возникает, если для выбранного сертификата указан некорректный адрес сервера штампа времени.
Проверить соответствие и корректность подписания здесь https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_t_sample.html
Установить корректный адрес сервера штампов времени (Службы штампов времени (TSP) и OCSP)
✅ Не задан адрес службы штампов времени (0xC2100121)
При привязке сертификата в личном кабинете может возникнуть следующая ошибка:
Проблема вызвана отсутствием или некорректным адресом службы штампов времени:
Установить корректный адрес (Службы штампов времени (TSP) и OCSP)
✅ Сертификат выдан сторонним центром сертификации
В процессе привязки сертификата пользователя возможна такая ошибка:
В логах отображается проблема:
ERROR 2020-07-30 15:38:34,542 [20] EleWise.ELMA.Logging.Logger - Сертификат выдан сторонним центром сертификации. Ожидалось [2ADB1DE3CA137D0761AB6F0739DAC43707563440], получено [4BC6DC14D97010C41A26E058AD851F81C842415A].
ERROR 2020-07-30 15:38:34,542 [20] EleWise.ELMA.Logging.Logger - Сертификат выдан сторонним центром сертификации. Ожидалось [49F01B660695F8BD4E7459B3EC74EDE10FCEDEAC], получено [4BC6DC14D97010C41A26E058AD851F81C842415A].
При этом ожидалось берется из списка, что ввели как отпечатки в настройках провайдера, а получено - это то, что пришло с нашего пользовательского ключа.
Очень странная ситуация - с ключа вы данного физическому лицу почему то был пропущен в цепочке УЦ Сертум-Про, который и выдал нам сертификат, а сразу ELMA стала проверять сертификат Минкомсвязи!
Установить отпечаток сертификата Минкомсвязи - для конкретного случая это сертификат:
ПАК "Минкомсвязь России"
Класс средств ЭП: КВ2
Средства УЦ: ПАК «Головной УЦ»
Адрес: Москва, ул. Тверская, д. 7Ключи проверки ЭП уполномоченных лиц:
Идентификатор ключа: C254F1B46BD44CB7E06D36B42390F1FEC33C9B06
Сертификаты ключа проверки ЭП:
Кому выдан:
CN=Минкомсвязь России, ИНН=007710474375, ОГРН=1047702026701, O=Минкомсвязь России, STREET=улица Тверская, дом 7, L=г. Москва, S=77 Москва, C=RU, E=dit@minsvyaz.ruКем выдан: CN=Минкомсвязь России, ИНН=007710474375, ОГРН=1047702026701, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, S=77 Москва, C=RU, E=dit@minsvyaz.ru
Серийный номер: 4E6D478B26F27D657F768E025CE3D393
Действует: с 06.07.2018 по 01.07.2036Отпечаток: 4BC6DC14D97010C41A26E058AD851F81C842415
✅ Не задан адрес службы OCSP (0xC2110121)
При попытке привязать УКЭП или подписать им документ (атрибуты) возникает данная ошибка:
В выданном сертификате от Контур.Бухгалтерия отсутствует в секции "Доступ к сведениям центра сертификации" запись "Протокол определения состояния сертификата через сеть" с указанием адреса OCSP
Для данного вида сертификатов в сервисе Контур.Бухгалтерия и Диадок на их стороне не производится проверка OCSP. А для внешних сервисов это необходимо.
Необходимо приобретение нормального сертификата, например Квалифицированный Классик
✅ Не удалось найти построитель хешей 'GOST3411_2012_256'
При попытке подписать документ с помощью КЭП или УКЭП возникает ошибка:
Установить КриптоПро CSP (требуется серверная лицензия).
Установить КриптоПро .NET (требуется серверная лицензия).