ЭЦП документооборота
- Установка и настройка на сервере
- Службы штампов времени (TSP) и OCSP
- Проблемы и способы устранения
- 💥 Ошибка получения корневого сертификата
- ✅ Невозможно получить список сертификатов
- ✅ Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции. (0x8007139F)
- ✅ Не задан адрес службы штампов времени (0xC2100121)
- ✅ Сертификат выдан сторонним центром сертификации
- ✅ Не задан адрес службы OCSP (0xC2110121)
- ✅ Не удалось найти построитель хешей 'GOST3411_2012_256'
Установка и настройка на сервере
Для установки КриптоПро на сервере ELMA необходимо выполнить следующие действия:
Удалить если есть старые приложения КриптоПро:
- удалить .NET сервер
- удалить провайдер CSP
- запустить утилиту cspclean.exe
- перезапустить сервер Windows
Установить нужные версии приложений КриптоПро:
- установить КриптоПро CSP (требуется серверная лицензия)
- установить КриптоПро .NET (требуется серверная лицензия)
- перезапустить сервер Windows
Примечание: данные продукты поставляются с ограниченной по времени лицензией (1 месяц). Для корректной работы необходимо приобретение постоянных лицензий.
Службы штампов времени (TSP) и OCSP
TSP:
- УЦ ООО "КРИПТО-ПРО" http://qs.cryptopro.ru/tsp/tsp.srf
- Национальный Удостоверяющий центр http://tsp.ncarf.ru/tsp/tsp.srf
- Такском http://tsp.taxcom.ru/tsp/tsp.srf
- Тензор http://tax4.tensor.ru/tsp-tensor_gost2012/tsp.srf
- УЦ ИТК http://service.itk23.ru/tsp/tsp.srf
- НТСсофт http://ocsp.ntssoft.ru/tsp/tsp.srf
- Контур (Сертум-Про) http://pki.sertum-pro.ru/tsp2012/tsp.srf
OCSP:
- Контур (Сертум-Про) http://pki.sertum-pro.ru/ocsp2012/ocsp.srf
Проблемы и способы устранения
💥 - проблема изучается и ищется вариант решения
✅ - решение найдено и зафиксировано
📛 - на текущий момент решение отсутствует
💥 Ошибка получения корневого сертификата
В логах сервера отображается:
ERROR 2020-07-30 12:44:48,314 [101] EleWise.ELMA.BPM.Web.Security.Controllers.SecuritySettingsController - Ошибка получения корневого сертификата.
System.Runtime.InteropServices.COMException (0x80040154): Class not registered (Exception from HRESULT: 0x80040154 (REGDB_E_CLASSNOTREG))
at CERTCLIENTLib.ICertRequest2.GetCACertificate(Int32 fExchangeCertificate, String strConfig, Int32 Flags)
at EleWise.ELMA.Security.Managers.CertificationAuthorityManager.GetRootCertificate(String address)
at EleWise.ELMA.BPM.Web.Security.Controllers.SecuritySettingsController.GetRootThumbprint(String address)
Предварительно вендором было предложено перевести пул приложения IIS в совместимость 32 битного приложения. При этом сервер ELMA перестал нормально запускаться и падал на этапе "Инициализация портальной системы".
-
✅ Невозможно получить список сертификатов
При попытке привязать сертификат в личном кабинете (плагин КриптоПро для браузера установлен и работает) появляется данная ошибка.
Необходимо установить КриптоПро CSP на компьютере пользователя
✅ Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции. (0x8007139F)
При попытке привязать сертификат в личном кабинете или подписать документ возникает следующая ошибка:
Возникает, если для выбранного сертификата указан некорректный адрес сервера штампа времени.
Проверить соответствие и корректность подписания здесь https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_t_sample.html
Установить корректный адрес сервера штампов времени (Службы штампов времени (TSP) и OCSP)
✅ Не задан адрес службы штампов времени (0xC2100121)
При привязке сертификата в личном кабинете может возникнуть следующая ошибка:
Проблема вызвана отсутствием или некорректным адресом службы штампов времени:
Установить корректный адрес (Службы штампов времени (TSP) и OCSP)
✅ Сертификат выдан сторонним центром сертификации
В процессе привязки сертификата пользователя возможна такая ошибка:
В логах отображается проблема:
ERROR 2020-07-30 15:38:34,542 [20] EleWise.ELMA.Logging.Logger - Сертификат выдан сторонним центром сертификации. Ожидалось [2ADB1DE3CA137D0761AB6F0739DAC43707563440], получено [4BC6DC14D97010C41A26E058AD851F81C842415A].
ERROR 2020-07-30 15:38:34,542 [20] EleWise.ELMA.Logging.Logger - Сертификат выдан сторонним центром сертификации. Ожидалось [49F01B660695F8BD4E7459B3EC74EDE10FCEDEAC], получено [4BC6DC14D97010C41A26E058AD851F81C842415A].
При этом ожидалось берется из списка, что ввели как отпечатки в настройках провайдера, а получено - это то, что пришло с нашего пользовательского ключа.
Очень странная ситуация - с ключа вы данного физическому лицу почему то был пропущен в цепочке УЦ Сертум-Про, который и выдал нам сертификат, а сразу ELMA стала проверять сертификат Минкомсвязи!
Установить отпечаток сертификата Минкомсвязи - для конкретного случая это сертификат:
ПАК "Минкомсвязь России"
Класс средств ЭП: КВ2
Средства УЦ: ПАК «Головной УЦ»
Адрес: Москва, ул. Тверская, д. 7Ключи проверки ЭП уполномоченных лиц:
Идентификатор ключа: C254F1B46BD44CB7E06D36B42390F1FEC33C9B06
Сертификаты ключа проверки ЭП:
Кому выдан:
CN=Минкомсвязь России, ИНН=007710474375, ОГРН=1047702026701, O=Минкомсвязь России, STREET=улица Тверская, дом 7, L=г. Москва, S=77 Москва, C=RU, E=dit@minsvyaz.ruКем выдан: CN=Минкомсвязь России, ИНН=007710474375, ОГРН=1047702026701, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, S=77 Москва, C=RU, E=dit@minsvyaz.ru
Серийный номер: 4E6D478B26F27D657F768E025CE3D393
Действует: с 06.07.2018 по 01.07.2036Отпечаток: 4BC6DC14D97010C41A26E058AD851F81C842415
✅ Не задан адрес службы OCSP (0xC2110121)
При попытке привязать УКЭП или подписать им документ (атрибуты) возникает данная ошибка:
В выданном сертификате от Контур.Бухгалтерия отсутствует в секции "Доступ к сведениям центра сертификации" запись "Протокол определения состояния сертификата через сеть" с указанием адреса OCSP
Для данного вида сертификатов в сервисе Контур.Бухгалтерия и Диадок на их стороне не производится проверка OCSP. А для внешних сервисов это необходимо.
Необходимо приобретение нормального сертификата, например Квалифицированный Классик
✅ Не удалось найти построитель хешей 'GOST3411_2012_256'
При попытке подписать документ с помощью КЭП или УКЭП возникает ошибка:
Установить КриптоПро CSP (требуется серверная лицензия).
Установить КриптоПро .NET (требуется серверная лицензия).