Как сделать импорт сертификата сос

Добавил пользователь Евгений Кузнецов
Обновлено: 04.10.2024

МНС обращает внимание участников системы электронного декларирования на обновление сертификата открытого ключа (СОК).

Как пояснили в Национальном центре электронных услуг (НЦЭУ), в связи с внедрением в Беларуси ID-карт осуществляется переход на использование нового СОК РУЦ Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь для подписи издаваемых СОК и списков отозванных сертификатов (СОС).

Ссылки на оба СОК РУЦ (старый и новый) доступны на сайте НЦЭУ по ссылке.

Для подписчиков РУЦ, использующих на компьютере персональный менеджер сертификатов АВЕСТ для ГосСУОК, доступна инструкция по обновлению СОС и СОК РУЦ.

Владельцам информационных систем, не использующих персональный менеджер сертификатов при работе с СОК ГосСУОК, рекомендуется добавить новый СОК РУЦ в хранилище сертификатов Microsoft (либо других операционных систем при их использовании) (в раздел Промежуточные центры сертификации (Intermediate Certification Authorities).

Владельцам закрытых информационных систем, использующих для работы с СОК ГосСУОК собственные базы данных, рекомендуется добавить новый СОК РУЦ в соответствующую базу сертификатов доверенных удостоверяющих центров.

Используемая версия браузера должна быть Internet Explorer 11.
Выполнить настройки браузера можно с помощью скрипта (пункт 6.1) или вручную (пункт 6.2).

6.1. Настройка браузера Internet Explorer с помощью скрипта

Выполнить настройки браузера Internet Explorer, приведенные в пункте 6.2, можно с помощью скрипта.
Cкачать скрипт и выполнить его с помощью программы Microsoft Windows Based Script Host.

6.2. Настройка браузера Internet Explorer вручную

6.3. Дополнительные настройки браузера Internet Explorer

Может потребоваться отключение антивирусного ПО на время работы с порталом. В некоторых антивирусах (например, ESET NOD 32) необходимо дополнительно отключение фильтрации протоколов TLS и SSL.

Подробная инструкция о том, как скопировать сертификат на другой носитель: копирование средствами Windows, копирование на профиле диагностики, массовое копирование, копирование с помощью КриптоПро CSP, экспорт PFX-файла и его установка, а также копирование контейнера из реестра другого пользователя.

Копирование средствами Windows

Если для работы используется дискета или flash-накопитель, скопировать контейнер с сертификатом можно средствами Windows (этот способ подходит для версий КриптоПро CSP не ниже 3.0). Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты / flash-накопителя (если поместить не в корень, то работа с сертификатом будет невозможна). Название папки при копировании рекомендуется не изменять.

В папке с закрытым ключом должно быть 6 файлов с расширением.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением.cer.

Закрытый ключ Открытый ключ

Копирование на профиле Диагностики

2. Вставьте носитель, на который необходимо скопировать сертификат.

Массовое копирование

Копирование с помощью КриптоПро CSP

Не храните пароль/pin-код в местах, к которым имеют доступ посторонние. В случае утери пароля/pin-кода использование контейнера станет невозможным.

Экспорт PFX-файла и его установка

Экспорт сертификата с закрытым ключом

1. Откройте оснастку работы с сертификатами:

— Пуск → Все программы → КриптоПро → Сертификаты
либо
— Internet Explorer → Сервис → Свойства обозревателя → вкладка Содержание → Сертификаты.

7. Экспортируйте открытый ключ сертификата (см. Экспорт открытого ключа).

8. Заархивируйте полученные файлы форматов .pfx и .cer.

Установка сертификата с закрытым ключом

5. В окне КриптоПро выберите носитель, на который хотите сохранить контейнер. При необходимости задайте пароль.

6. Для корректной работы сертификата со встроенной лицензией переустановите сертификат в контейнер (см. Как установить личный сертификат в КриптоПро).

Копирование контейнера из реестра другого пользователя

1. Необходимо найти ветку реестра с нужным контейнером. Ветки реестра, в которых может быть контейнер закрытого ключа:

для 32-битной ОС: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\Users\*идентификатор пользователя*\Keys\*Название контейнера*;
для 64-битной ОС: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\USERS\*идентификатор пользователя*\Keys\*Название контейнера*.

4. Скопируйте файл на тот компьютер, где будете работать с электронной подписью обычными средствами Windows.

9. Замените SID пользователя на скопированный ранее.

Если ветка реестра экспортируется из 32-битной ОС в 64-битную ОС, добавьте в путь ветки реестра параметр Wow6432Node как на скриншоте:

10. Сохраните изменения и закройте файл.

12. После того, как данные будут внесены в реестр, необходимо вручную установить сертификат (см. Как установить личный сертификат).

Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.

К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.

Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.

Удостоверяющий центр использует корневой сертификат, чтобы:

выдавать сертификаты электронной подписи (ЭП, она же ЭЦП) пользователям, например, гендиректору организации или нотариусу,
отзывать эти сертификаты, подписывая корневым сертификатом список отозванных (аннулированных) сертификатов.

Какие бывают корневые сертификаты и для чего нужны

1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).

3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.

Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.

Где взять корневой сертификат

Программа установки всех сертификатов импортирует корневой сертификат Минцифры и промежуточные сертификаты УЦ. Подключение к интернету на момент установки не требуется.

Можно ли установить электронную подпись без корневого сертификата

Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.

Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:

при работе с ЭП на компьютере, корневой сертификат устанавливается один раз, обычно при первой установке ЭП,
если ЭП хранится на токене, то корневой сертификат необходимо устанавливать на тот компьютер, с которым предстоит работать.

Какая информация содержится в корневом сертификате

Корневой сертификат представляет собой файл, который содержит свойства и данные:

Какой срок действия корневого сертификата удостоверяющего центра

Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.

УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.

Инструкция по установке корневого сертификата удостоверяющего центра

Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.

Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:

Откройте любой удобный браузер, это может быть Google Chrome, Mozilla Firefox, Internet Explorer или другой.
Зайдите в сервис автоматической настройки рабочего места Контур.Веб-диск.
Действуйте по указаниям сервиса: он продиагностирует ваш компьютер, найдет каких плагинов и файлов не хватает, предложит их установить. Вместе с ними установит необходимые корневые и промежуточные сертификаты.

Установка вручную — более долгий вариант, который пригодится техническим специалистам для решения ошибок с корневым сертификатом. Для него нужно самостоятельно выбрать и скачать сертификаты с сайта УЦ Контура.

Если возникли ошибки — при установке корневого сертификата или при работе с электронной подписью — обратитесь в нашу техподдержку. Специалисты помогут разобраться в проблеме. Звоните на 8 800 500-05-08 или пишите по контактам Центра поддержки, указанным в правом нижнем углу страницы.

ПРАКТИКА 1С 8, 1С 7.7 → перейти в меню [СТАТЬИ И ИНСТРУКЦИИ]

Антивирусная система блокирует доступ. Отключите антивирус. Или удалите антивирус и установите другую версию.

Не открыты порты на стороне интернет провайдера или выбран неподходящий тип интернет подключения. Обратиться в тех.поддержку.

Ошибка vat.gov.by. Портал перегружен. Попробуйте выгрузить ЭСЧФ еще раз. Рекомендуется установить в коде выгрузки таймаут более 200. TimeOut=EVatService.SetServiceProperty(connection.readTimeout,"250",0)

Программа не видит AvToken. USB порт перестал работать. AvToken перестал работать. AvToken не вставлен в порт.

1 вариант) Скорее всего vat.gov.by "не видит личный сертификат" - проверьте действительно ли он присутствует в Персональном менеджере сертификатов. Ещё может быть: для пакетной выгрузки не доступен портал vat.gov.by. Попробуйте позже.

Ошибка подключения: Срок действия СОС "Корневой удостоверяющий центр" истек, СОС действителен по . __ . дата проверки . __ .

Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS. Если это будет повторяться, обратитесь к владельцу веб-сайта.

Для параметров безопасности протокола TLS не установлены значения по умолчанию, что также могло стать причиной ошибки.

2) Скачиваем и устанавливаем последнюю версию Авеста ( РУЦ ГосСУОК) ( см.актуальную внизу страницы ). Перезагружаем ПК. Проверяем вход на портал.

4) Если у Вас официальная, лицензионная Windows 10, то поможет отключение протокола безопасной загрузки Secure Boot - отключается в UEFI (BIOS). Для каждой конкрентой модели компьютера см. инструкцию в интернете.

Запустить Edeclaration, выбрать ФАЙЛ-ПОЛУЧЕНИЕ СОС, после этого повторить действия с обновлением СОС на портале или по ярлыку с вашего рабочего стола "Обновить СОС"

Обновите СОС (Запустить Edeclaration, выбрать ФАЙЛ-ПОЛУЧЕНИЕ СОС, после этого повторить действия с обновлением СОС на портале или по ярлыку с вашего рабочего стола "Обновить СОС" или Войдите в Персональный менеджер сертификатов (можно без авторизации): Меню - Сервис - Обновление СОС и сертификатов УЦ (далее. закрыть) ).

При импорте СОС на списке "Республиканский удостоверяющий центр ГосСУОК: Ошибка импорта: внутренняя ошибка"

При замене сертификата на портале http://vat.gov.by при регистрации пользователя, получаем ошибку " По УНП и личному номеру пользователя найдено ноль или больше одной записи"

Нужно снять галку "Замена сертификата". После этого нажать "Заменить сертификат" и обратиться в службу поддержки портала.

Скорее всего в поле "Выберите основной сертификат: Из личного справочника" выбран не действительный сертификат или сертификат банка или сертификат другого юр.лица.

В браузере Internet Explorer 8: Возникла проблема с сертификатом безопасности этого веб-сайта. Сертификат безопасности этого веб-сайта не был выпущен доверенным центром сертификации.

Сертификат КУЦ не внесен в список доверия, делается это в менеджере сертификатов. Заходите с авторизацией, далее в сетевой справочник, далее правой кнопкой по корневому и выбрать "установить доверие". Если работаете в серверной Windows - потребуется запуск с правами Администратор.

Значит СОСы МНС РБ обновлять не нужно. Можно на всякий случай для др.порталов обновить все СОСы в Персональном Менеджере Авест (входить нужно без авторизации) Пуск -> Все программы -> Авест -> Персональный менеджер сертификатов -> Файл -> Получение СОС.

Эта настройка позволяет управлять разрешением загрузки файлов из выбранной вами зоны. Этот параметр определяется зоной, в которой находится страница со ссылкой, вызывающей загрузку, а не той, из которой доставляется загружаемый файл. Если текущая настройка включена, то загрузка файлов из этой зоны разрешена. Параметр, отвечающий за данную опцию следующий:

Республиканский удостоверяющий центр ГосСУОК: Сертификат издателя не найден. [Для проверки не найден сертификат (KeyID=A555B2516310E253DFC62A975BCB9BE678782DD5)]

1) Обновите СОС (Запустить Edeclaration, выбрать ФАЙЛ-ПОЛУЧЕНИЕ СОС, после этого повторить действия с обновлением СОС на портале или по ярлыку с вашего рабочего стола "Обновить СОС" или Войдите в Персональный менеджер сертификатов (можно без авторизации): Меню - Сервис - Обновление СОС и сертификатов УЦ (далее. закрыть)).

2) Если ошибку получили на серверной ОС: временно дать доступ админинстратора/локального администратора

Ошибка на Windows Server: " Не надежный сертификат. "

Наличие ошибок в сертификате безопасности может указывать на попытку обмана или перехвата данных, которые вы отправляете на сервер.

Ошибка подключения: Сертификат издателя не найден. [Для проверки не найден сертификат (KeyID=395E80D5E4D91C593D865774A79CD5BD417D3B80)]

Документ не принят: Не удалось проверить ЭЦП квитанции: Сертификат издателя не найден. [Для проверки не найден сертификат (KeyID=395E80D5E4D91C593D865774A79CD5BD417D3B80)]"

скачайте и сохраните на компьютер архив с актуальным комплектом абонента для носителей AvToken или AvPass:

Извлеките данные из архива и зайдите в получившуюся папку, запустите от имени администратора(правой кнопкой по значку - Запуск от имени администратора ) файл AvPKISetup2 и проведите установку. При необходимости перезапустите компьютер.

Также напоминаем, что на момент работы с порталом и веб-сервисом необходимо отключать антивирусное ПО. Для ESET NOD необходимо:

В открывшемся окне выбрать Расширенные настройки или нажать F5 на клавиатуре. Далее открыть раздел Интернет и электронная почта”. Отключить параметр Фильтрация содержимого, передаваемого по протоколам приложений "

При проверке сертификата в свойствах браузера Internet Explorer (содержание - сертификаты): При проверке отношений доверия произошла системная ошибка.

1 вариант) Исправление ошибок реестра или п роверка целостности системных файлов или переустановка операционной системы.

2 вариант) Еще может быть у Вас очень старый носитель AvPass/AvBign и требует замены (нормат.срок службы 10 лет). Как ни странно, в одном случае пришлось менять USB ключ и перевыпускать сертификат. Попробуйте позвонить в тех.поддержку Авест - там по серийному номеру Вам подскажут рабочий ли он у Вас.

Статус портала ЭСЧФ: Online

При установке любой криптографии (полученной из доверенных источников) обязательно отключайте антивирус! Работоспособность не гарантируется, при использовании бесплатного программного обеспечения (Avast Free Antivirus, 360TOTAL и т.д)

✔ На заметку: Бесплатно скачать различную документацию по ЭСЧФ, справочники и инструкции ЭСЧФ, коды для ЭСЧФ и получить более подробную информацию по автоматизации ЭСЧФ и учетных систем (в том числе 1С) можно на странице: " Информация по электронным счет-фактурам по НДС".

Если Вы хотите заказать настройку обмена 1С с порталом ЭСЧФ . Пожалуйста, оформите заявку на странице заказа услуги или через контактную форму .

Попробуйте скачать СОС и импортировать в Перс.менеджер вручную. Предварительно удалите старые. Возможно проблемы с реестром ОС.

Пытаемся подписать ЭСЧФ через 1С через elnvat.

При отправке документа вот так:

res = EVatService.SendEDoc(InvVatXml);
if res 0 then
Сообщить(Нстр("ru='Ошибка отправки документа '") + Параметры.НомерЭСЧФ + " " + EVatService.LastError);
Возврат;
endif;

if InvVatTicket.Accepted 0 then
Сообщить(Нстр("ru='Не принят порталом ЭСЧФ' ") + Параметры.НомерЭСЧФ + " " + InvVatTicket.Message);
Возврат;
endIf;

В момент SendEDoc вылазит LastError "Не удалось проверить ЭЦП квитанции: Срок действия сертификата "Автоматизированный сервис портала АИС УСФ" истек. Сертификат дейсвителен по 20.12.2021 23:59:59, дата проверки 21.01.2022 12:10:52"

Уже установил последнюю версию криптопровайдера. Обновил все СОСы несколько раз.

Подскажите, в какую сторону посмотреть?

При входе в менеджер сертификатов и далее при выборе сертификата,
после ввода пароля выскакивает ошибка Avest CSP Bel: Ошибка - Неверная функция.

1. Avest последний переустановлен
2. OS Windows 10Pro x86
3. Работал почти 1,5 года без проблем до нового года. (отчетного периода)

. Куда смотреть, кто подскажет!?

Для Михаил Горбач:
Вот я её тоже получил на одном из серверов клиента. Но так и не разобрался с ошибкой.
Если сможете устранить - напишите пожалуйста сюда решение

Читайте также: