# ЭЦП документооборота

# Установка и настройка на сервере

Для установки КриптоПро на сервере ELMA необходимо выполнить следующие действия:

Удалить если есть старые приложения КриптоПро:

- удалить .NET сервер
- удалить провайдер CSP
- запустить утилиту cspclean.exe
- перезапустить сервер Windows

Установить нужные версии приложений КриптоПро:

- установить [КриптоПро CSP](https://www.cryptopro.ru/products/csp/downloads) (требуется серверная лицензия)
- установить [КриптоПро .NET](https://www.cryptopro.ru/products/net/downloads) (требуется серверная лицензия)
- перезапустить сервер Windows

*Примечание: данные продукты поставляются с ограниченной по времени лицензией (1 месяц). Для корректной работы необходимо приобретение постоянных лицензий.*

# Службы штампов времени (TSP) и OCSP

TSP:

- УЦ ООО "КРИПТО-ПРО" [http://qs.cryptopro.ru/tsp/tsp.srf](http://qs.cryptopro.ru/tsp/tsp.srf)
- Национальный Удостоверяющий центр [http://tsp.ncarf.ru/tsp/tsp.srf](http://tsp.ncarf.ru/tsp/tsp.srf)
- Такском [http://tsp.taxcom.ru/tsp/tsp.srf](http://tsp.taxcom.ru/tsp/tsp.srf)
- Тензор [http://tax4.tensor.ru/tsp-tensor\_gost2012/tsp.srf](http://tax4.tensor.ru/tsp-tensor_gost2012/tsp.srf)
- УЦ ИТК [http://service.itk23.ru/tsp/tsp.srf](http://service.itk23.ru/tsp/tsp.srf)
- НТСсофт [http://ocsp.ntssoft.ru/tsp/tsp.srf](http://ocsp.ntssoft.ru/tsp/tsp.srf)
- УЦ ООО "Сертум-Про" [http://pki.sertum-pro.ru/tsp2012/tsp.srf](http://pki.sertum-pro.ru/tsp2012/tsp.srf)
- УЦ АО "ПФ "СКБ Контур" [http://pki.skbkontur.ru/tsp2012/tsp.srf](http://pki.skbkontur.ru/tsp2012/tsp.srf)

OCSP:

- Контур (Сертум-Про) [http://pki.sertum-pro.ru/ocsp2012/ocsp.srf](http://pki.sertum-pro.ru/ocsp2012/ocsp.srf)

# Проблемы и способы устранения

💥 - проблема изучается и ищется вариант решения  
✅ - решение найдено и зафиксировано  
📛 - на текущий момент решение отсутствует

# 💥 Ошибка получения корневого сертификата

В логах сервера отображается:

`ERROR 2020-07-30 12:44:48,314 [101] EleWise.ELMA.BPM.Web.Security.Controllers.SecuritySettingsController - Ошибка получения корневого сертификата.`  
`System.Runtime.InteropServices.COMException (0x80040154): Class not registered (Exception from HRESULT: 0x80040154 (REGDB_E_CLASSNOTREG))`  
`at CERTCLIENTLib.ICertRequest2.GetCACertificate(Int32 fExchangeCertificate, String strConfig, Int32 Flags)`  
`at EleWise.ELMA.Security.Managers.CertificationAuthorityManager.GetRootCertificate(String address)`  
`at EleWise.ELMA.BPM.Web.Security.Controllers.SecuritySettingsController.GetRootThumbprint(String address)`

---

<p class="callout info">Предварительно вендором было предложено перевести пул приложения IIS в совместимость 32 битного приложения. При этом сервер ELMA перестал нормально запускаться и падал на этапе "Инициализация портальной системы".</p>

-

# ✅ Невозможно получить список сертификатов

При попытке привязать сертификат в личном кабинете (плагин КриптоПро для браузера установлен и работает) появляется данная ошибка.

[![image-1596095050131.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/3Q4xyelKQYZbgIMW-image-1596095050131.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/3Q4xyelKQYZbgIMW-image-1596095050131.png)

[![image-1596095105577.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/UDxrvv89XyJc0NEy-image-1596095105577.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/UDxrvv89XyJc0NEy-image-1596095105577.png)

---

<p class="callout success">Необходимо установить [КриптоПро CSP](https://www.cryptopro.ru/products/csp/downloads) на компьютере пользователя</p>

# ✅ Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции. (0x8007139F)

При попытке привязать сертификат в личном кабинете или подписать документ возникает следующая ошибка:

[![image-1596097778823.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/kIQTBYWlEEk9etvz-image-1596097778823.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/kIQTBYWlEEk9etvz-image-1596097778823.png)

[![image-1596097807863.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/0q3WAgAuFqG4HLyL-image-1596097807863.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/0q3WAgAuFqG4HLyL-image-1596097807863.png)

---

Возникает, если для выбранного сертификата указан некорректный адрес сервера штампа времени.

Проверить соответствие и корректность подписания здесь [https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades\_t\_sample.html](https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_t_sample.html)

<p class="callout success">Установить корректный адрес сервера штампов времени ([Службы штампов времени (TSP) и OCSP](https://kb.randmgroup.ru/books/%D1%8D%D1%86%D0%BF-%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%BE%D0%B1%D0%BE%D1%80%D0%BE%D1%82%D0%B0/page/%D1%81%D0%BB%D1%83%D0%B6%D0%B1%D1%8B-%D1%88%D1%82%D0%B0%D0%BC%D0%BF%D0%BE%D0%B2-%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%B8-%28tsp%29-%D0%B8-ocsp "Службы штампов времени (TSP) и OCSP"))</p>

# ✅ Не задан адрес службы штампов времени (0xC2100121)

При привязке сертификата в личном кабинете может возникнуть следующая ошибка:

[![image-1596098082033.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/ae7XSAh33RraklQp-image-1596098082033.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/ae7XSAh33RraklQp-image-1596098082033.png)

---

Проблема вызвана отсутствием или некорректным адресом службы штампов времени:

[![image-1596098192649.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/CaLRnu2I3Y7hBPn9-image-1596098192649.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/CaLRnu2I3Y7hBPn9-image-1596098192649.png)

<p class="callout success">Установить корректный адрес ([Службы штампов времени (TSP) и OCSP](https://kb.randmgroup.ru/books/%D1%8D%D1%86%D0%BF-%D0%B4%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D0%BE%D0%BE%D0%B1%D0%BE%D1%80%D0%BE%D1%82%D0%B0/page/%D1%81%D0%BB%D1%83%D0%B6%D0%B1%D1%8B-%D1%88%D1%82%D0%B0%D0%BC%D0%BF%D0%BE%D0%B2-%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%B8-%28tsp%29-%D0%B8-ocsp "Службы штампов времени (TSP) и OCSP"))</p>

# ✅ Сертификат выдан сторонним центром сертификации

В процессе привязки сертификата пользователя возможна такая ошибка:

[![image-1596101120561.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/NTdBwhvPmBXjitZC-image-1596101120561.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/NTdBwhvPmBXjitZC-image-1596101120561.png)

---

В логах отображается проблема:

`ERROR 2020-07-30 15:38:34,542 [20] EleWise.ELMA.Logging.Logger - Сертификат выдан сторонним центром сертификации. Ожидалось [2ADB1DE3CA137D0761AB6F0739DAC43707563440], получено [4BC6DC14D97010C41A26E058AD851F81C842415A].<br></br>ERROR 2020-07-30 15:38:34,542 [20] EleWise.ELMA.Logging.Logger - Сертификат выдан сторонним центром сертификации. Ожидалось [49F01B660695F8BD4E7459B3EC74EDE10FCEDEAC], получено [4BC6DC14D97010C41A26E058AD851F81C842415A].<br></br>`

При этом ожидалось берется из списка, что ввели как отпечатки в настройках провайдера, а получено - это то, что пришло с нашего пользовательского ключа.

<p class="callout warning">Очень странная ситуация - с ключа вы данного физическому лицу почему то был пропущен в цепочке УЦ Сертум-Про, который и выдал нам сертификат, а сразу ELMA стала проверять сертификат Минкомсвязи! </p>

<p class="callout success">Установить отпечаток сертификата Минкомсвязи - для конкретного случая это сертификат:</p>

> ПАК "Минкомсвязь России"
> 
> Класс средств ЭП: КВ2  
> Средства УЦ: ПАК «Головной УЦ»  
> Адрес: Москва, ул. Тверская, д. 7
> 
> Ключи проверки ЭП уполномоченных лиц:
> 
> Идентификатор ключа: C254F1B46BD44CB7E06D36B42390F1FEC33C9B06  
> Сертификаты ключа проверки ЭП:
> 
>   
> Кому выдан:  
> CN=Минкомсвязь России, ИНН=007710474375, ОГРН=1047702026701, O=Минкомсвязь России, STREET=улица Тверская, дом 7, L=г. Москва, S=77 Москва, C=RU, E=dit@minsvyaz.ru
> 
> Кем выдан: CN=Минкомсвязь России, ИНН=007710474375, ОГРН=1047702026701, O=Минкомсвязь России, STREET="улица Тверская, дом 7", L=г. Москва, S=77 Москва, C=RU, E=dit@minsvyaz.ru  
> Серийный номер: 4E6D478B26F27D657F768E025CE3D393  
> Действует: с 06.07.2018 по 01.07.2036
> 
> <p class="callout success">Отпечаток: 4BC6DC14D97010C41A26E058AD851F81C842415</p>

# ✅ Не задан адрес службы OCSP (0xC2110121)

При попытке привязать УКЭП или подписать им документ (атрибуты) возникает данная ошибка:

[![image-1596174819047.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/8ufB7WQInVN0ZRwJ-image-1596174819047.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/8ufB7WQInVN0ZRwJ-image-1596174819047.png)

[![image-1596174795042.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/rKPu6DZNbkTnfy6k-image-1596174795042.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/rKPu6DZNbkTnfy6k-image-1596174795042.png)

---

<p class="callout warning">В выданном сертификате от Контур.Бухгалтерия отсутствует в секции "Доступ к сведениям центра сертификации" запись "Протокол определения состояния сертификата через сеть" с указанием адреса OCSP</p>

Для данного вида сертификатов в сервисе Контур.Бухгалтерия и Диадок на их стороне не производится проверка OCSP. А для внешних сервисов это необходимо.

<p class="callout success">Необходимо приобретение нормального сертификата, например [Квалифицированный Классик](https://ca.kontur.ru/certificate/44)</p>

# ✅ Не удалось найти построитель хешей 'GOST3411_2012_256'

При попытке подписать документ с помощью КЭП или УКЭП возникает ошибка:

[![image-1596171893665.png](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/scaled-1680-/tmHd2OEh0bdr8lWb-image-1596171893665.png)](https://kb.randmgroup.ru/uploads/images/gallery/2020-07/tmHd2OEh0bdr8lWb-image-1596171893665.png)

---

<p class="callout success">Установить [КриптоПро CSP](https://www.cryptopro.ru/products/csp/downloads) (требуется серверная лицензия).  
Установить [КриптоПро .NET](https://www.cryptopro.ru/products/net/downloads) (требуется серверная лицензия).</p>