198096б г. Санкт-Петербург, а/я 61
Тел.: +7 (812) 335-77-33 (договорной отдел)
Тел: + 7 (8617) 67-76-65 (договорной отдел)
email: office@rlisystems.ru (общие вопросы)
Сайт: www.rlisystems.ru 		qrcode

Диагностика проблем с сертификатами

  1. Главная
  2. Вопрос-ответ

Расширенная диагностика проблем с подписанием

Предполагается, что
  • КриптоПро на рабочем месте в порядке - лицензия установлена, сертификаты просматриваются, контейнеры тестируются;
  • Ошибка, если она есть, не входит в список типовых
  • Очистка кэша браузера проведена;
  • И все равно подписание не работает: есть ошибки про статус сертификата/списки отзывов и/или сертификат недоступен для выбора в услуге, где требуется подписание документов.

1. Проверить работоспособность подписания в браузере. 


На иллюстрации ниже : напротив нужного сертификата вместо кнопки "Подписать" указание на самые распространенные проблемы. К сожалению, страница браузера не может точнее указать - что именно сделать, поэтому требуется ручное вмешательство. 

Результат теста может понадобится для дальнейшего общения с техподдержкой.



Дополнительно: страница для проверки работы подписания от КриптоПро, иногда полезно сравнить результаты: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_file.html

2. Применить утилиту certutil

  • Сохранить сертификат, который должен использоваться для подписания, в cer файл через "Просмотр сертификатов" в КриптоПро, например в c:\temp\cert.cer
  • Открыть командную строку «Пуск → Выполнить → cmd»;
  • В командной строке выполнить команду certutil -verify , указав путь до сертификата, например, certutil -verify c:\temp\cert.cer  
  • В выводе команды поискать слово ОШИБКА, проблема на этой строке или соседних. Если ошибок нет или непонятно что с ними делать - см следующий пункт.
  • Диагностику можно вывести в текстовый файл:  certutil -verify  c:\temp\cert.cer > c:\temp\test_result.txt  и прислать в нашу техподдержку для анализа.


3. Проверить списки отзывов 

Проблемы со списком отзывов обычно выявляются в предыдущем пункте. Ошибка может звучать так:
ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .

Для нормальной работы подписания должны быть доступны списки отзывов сертификатов, ссылки на них присутствуют в самом сертификате, их там больше одной.
Для успешной проверки  хотя бы одна должна работать:


Ссылку открыть в браузере, должен скачаться файл.  Скачанный список отзывов сертификата открыть (некоторые браузеры могут предупреждать , что это какой-то нехороший файл, но это не так)
В файле есть две даты, и текущая дата должна быть между ними:


Если это не так - проверить на другом рабочем месте. Если список отзыва действительно устарел - сообщайте в техподдержку.

4. Решение проблем с корневыми сертификатами

Этот пункт нужен, если в п.2 выявлены проблемы с корневыми  или поддержка порекомендовала его сделать.

Устанавливать корневые сертификаты рекомендуется только установщиком с сайта. При ручной установке иногда возникает труднодиагностируемая ситуация, когда вроде бы все правильно выглядит, но подписание не работает. Certutil -verify обычно выявляет эту проблему.

Процедура переустановки:
  • Удалить все сертификаты, изданные GIS CA, во всех разделах - "Доверенные корневые центры сертификации", "Промежуточные центры сертификации", в реестре текущего пользователя и компьютера (если есть права). Убедиться, что их нет не только в "доверенных корневых", но и в "промежуточных" и  личных.
  • Скачать и заново прогнать установщик корневых https://www.rlisystems.ru/Download/x86/roliscertsetup.exe
  • Очистить кэш браузера
  • В командной строке выполнить certutil -urlcache crl delete
Пробовать подписать.

5. Решение проблем с КриптоПро

Этот пункт нужен, если все остальное уже проверено.

Обычно достаточно провести проверку подписания (п.1 на этой странице) но, к сожалению, были случаи, когда тестовое подписание проходило, а настоящее - нет, и это решалось восстановлением работоспособности КриптоПро.

Запустить КриптоПро с правами администратора. Есть вот эта кнопка активна - нажать.


В некоторых случаях помогает только  процедура переустановки или восстановления Она быстрая и несложная, но требует прав Администратора:
  1. Панель управления - Программы и компоненты - найти КриптоПро CSP, выделить эту строку и в верхней части окна нажать "Восстановить".
    В этом случае не понадобится заново вводить лицензию. Перезагрузка - если попросит.
    В разных версиях Windows 10/11 названия пунктов могут отличаться, смысл тот же - запустить режим восстановления КриптоПро.

  2. Если не помогло: удалить КриптоПро CSP, перезагрузить ПК, установить КриптоПро CSP, еще раз перезагрузить ПК. Потребуется повторный ввод лицензии.