сертификат выдан уц не входящим в сеть доверия что делать
Ошибки при работе на портале ФНС nalog.ru
При проверке условий подключения и защищённого соединения с сервером Личного кабинета возникла ошибка «Не удалось обратиться к серверу с использованием защищенного соединения. Возможно, не установлено доверие между клиентом и сервером. »
Если вы работаете на сайте ФНС с одного ПК с несколькими учётными записями (сертификатами), при каждой смене учётной записи необходимо чистить SSL (Сервис — Свойства браузера — Содержание — Очистить SSL).
1. Пройдите диагностику и выполните рекомендуемые действия.
2. Если электронная подпись установлена на носитель Рутокен ЭЦП 2.0, воспользуйтесь инструкцией и установите Рутокен.Коннект (см. Поддерживаемые браузеры).
4. Проверьте работу в браузерах:
— Спутник
Примечание: после запуска скачанного установочного файла перейдите в раздел «Настройки» и уберите галку с пункта «Установить КриптоПро CSP для поддержки защищенных каналов на основе ГОСТ шифрования и цифровой подписи».
— Яндекс.Браузер
После установки браузера зайдите в его настройки и включите поддержку ГОСТ-шифрования («Настройки» — «Системные» — «Сеть»):
5. Проверьте, что в антивирусе не включено https-сканирование (часто встречается в антивирусах Avast и ESET).
6. Запустите программу КриптоПро CSP с правами администратора. Перейдите на вкладку «Настройки TLS» и снимите галочку «Не использовать устаревшие cipher suite-ы». После изменения данной настройки нужно обязательно перезагрузить компьютер.
7. После перезагрузки компьютера поставьте галочку «Не использовать устаревшие cipher suite-ы» в настройках КриптоПро CSP на вкладке «Настройки TLS», не соглашайтесь с предложением о перезагрузке.
8. Установите корневые сертификаты 2016, 2017 и 2018 годов с сайта https://www.gnivc.ru/certification_center/kssos/ в хранилище «Промежуточные центры сертификации».
9. Если на компьютере установлены другие СКЗИ (VipNet CSP, Континент-АП, Агава и др.), удалите их или перейдите на другое рабочее место. Корректная работа с несколькими криптопровайдерами на одном ПК не гарантируется.
При работе в ЛК физического лица появляется окно (не окно КриптоПро) с требованием ввести пароль, но при этом пароля на контейнере нет или стандартный пин-код от токена не подходит.
1. Войдите в Личный кабинет Физического лица.
2. Откройте страницу «Главная» — «Профиль» — «Получить электронную подпись».
3. Если на открывшейся странице выбрана ЭП — удалите подпись и зарегистрируйте КЭП заново.
При регистрации Юридического лица появляется ошибка «У Вас отсутствуют полномочия действовать от лица организации без доверенности».
Для юридических лиц в сервисе «Личный кабинет налогоплательщика» первичную регистрацию можно выполнить с КЭП, выданным на руководителя, указанного в ЕГРЮЛ как лицо, имеющее право действовать без доверенности, либо на лицо, имеющее действующую доверенность с полными полномочиями (доверенность с полными полномочиями должна быть передана и зарегистрирована в налоговой. Процесс входа описан на сайте ФНС, раздел «Регистрация лицом, имеющим действующую доверенность с полными полномочиями»).
Для управляющей компании КЭП должен содержать ФИО руководителя управляющей компании и реквизиты (ИНН, ОГРН) той организации, управление которой осуществляется. Также перед первым входом по сертификату дочерней организации требуется зарегистрировать в ФНС доверенность на руководителя УК.
Контакты nalog.ru
По вопросам работы на портале и ошибкам, не связанным с настройкой рабочего места и электронной подписью, обратитесь в службу поддержки портала ФНС:
— Телефон: 8 (800) 222-22-22
— Форма обращения в техподдержку ФНС
Как установить корневой сертификат Удостоверяющего центра
В этой статьей расскажем, что такое корневой сертификат УЦ, для чего нужен и как его установить.
Что такое корневой сертификат
Корневой сертификат — это файл, в котором указаны данные удостоверяющего центра (УЦ). Например, название УЦ, его ИНН и адрес, срок действия сертификата, какой алгоритм шифрования использует УЦ.
К этим данным обращается криптопровайдер, когда проверяет действительность электронной подписи пользователя. Если не установить корневой сертификат на компьютер, где используется электронная подпись, то подпись не будет работать корректно.
Чтобы быстро установить корневой сертификат и настроить компьютер, используйте бесплатный сервис Контур.Веб-диск. Он скачает все плагины и файлы, необходимые для правильной работы электронной подписи.
Удостоверяющий центр использует корневой сертификат, чтобы:
Какие бывают корневые сертификаты и для чего нужны
Корневой сертификат участвует в «цепочке доверия». «Цепочка доверия» — это взаимосвязь нескольких сертификатов, которая позволяет проверить, действительна ли электронная подпись и можно ли доверять сертификату ЭП.
Рассмотрим «цепочку доверия», сформированную для квалифицированного сертификата электронной подписи:
1. Корневой сертификат Минцифры РФ (ранее — Минкомсвязь РФ).
Это верхнее звено «цепочки доверия». Минцифры РФ осуществляет функции головного удостоверяющего центра в России. Оно наделяет другие удостоверяющие центры, прошедшие аккредитацию, правом выдавать квалифицированные сертификаты ЭП — выдает им собственные сертификаты, подписанные корневым сертификатом Минцифры РФ.
Например, в Windows корневой сертификат можно найти через «Управление сертификатами» — «Доверенные корневые центры сертификации» — «Сертификаты».
2. Сертификат удостоверяющего центра. Официально его называют «промежуточный сертификат», но распространено также название «корневой сертификат УЦ».
Среднее звено «цепочки доверия». УЦ получает этот сертификат от Минцифры РФ, когда становится аккредитованным. С помощью своего промежуточного сертификата УЦ выдает квалифицированные сертификаты пользователям: организациям, их сотрудникам, простым физлицам (п.2.1 ст.15 63-ФЗ).
В Windows промежуточный сертификат хранится в «Управление сертификатами» — «Промежуточные центры сертификации» — «Сертификаты».
3. Личный сертификат пользователя — квалифицированный сертификат электронной подписи.
Конечное звено «цепочки». Пользователь обращается в УЦ и получает там квалифицированный сертификат ЭП (он же КЭП, ЭП или ЭЦП). В его сертификате указаны данные «вышестоящих» сертификатов — УЦ и Минцифры.
В Windows личный сертификат можно найти через «Управление сертификатами» — «Личное».
Все сертификаты должны быть установлены в хранилище сертификатов (на компьютер) и действительны. Только тогда криптопровайдер сможет проверить доверие к сертификату пользователя и действительность электронной подписи, сформированной на основе этого сертификата.
«Путь сертификации» в составе сертификата показывает цепочку доверия: корневой сертификат, промежуточный и личный сертификат пользователя. Установить сертификаты можно с помощью сервиса от УЦ Контур или браузера-обозревателя.
Выше мы описали «цепочку доверия» для квалифицированных сертификатов. Поскольку такие сертификаты могут выдавать только аккредитованные УЦ, то в цепочке три звена: Минцифры — аккредитованный УЦ — пользователь. Именно такую связь можно увидеть, если открыть личный сертификат пользователя на вкладке «Путь сертификации» (см. скриншот выше).
Для неквалифицированных сертификатов ЭП «цепочка доверия» может состоять только из двух звеньев: УЦ — пользователь. Это возможно потому, что УЦ для выдачи неквалифицированных сертификатов не нужна аккредитация. Звенья такой «цепочки» будут называться: «корневой сертификат» и «пользовательский (личный) сертификат»
Где взять корневой сертификат
Все сертификаты УЦ Контура можно скачать на сайте удостоверяющего центра в разделе «Корневые сертификаты». Там представлены сертификаты для всех удостоверяющих центров, входящих в группу компаний СКБ Контур: СКБ Контур, «Сертум-Про», «ЦИБ‑Сервис» и РСЦ «Инфо‑Бухгалтер».
Программа установки всех сертификатов импортирует корневой сертификат Минцифры и промежуточные сертификаты УЦ. Подключение к интернету на момент установки не требуется.
Можно ли установить электронную подпись без корневого сертификата
Да, можно, но работать она не будет. Корневой и промежуточный сертификат является тем ключом, к которому обращается криптопровайдер при проверке подлинности подписи. Для признания ключа действительным в системе должен быть установлен корневой сертификат. В противном случае пользователь увидит окно с уведомлением об ошибке.
Это актуально как для ЭП, хранящейся на компьютере, так и для ЭП на токене, с небольшой разницей:
Какая информация содержится в корневом сертификате
Корневой сертификат представляет собой файл, который содержит свойства и данные:
Какой срок действия корневого сертификата удостоверяющего центра
Корневой сертификат УЦ Минцифры действует 18 лет. Промежуточный сертификат аккредитованного УЦ действует 15 лет — это дольше, чем действие любого пользовательского сертификата ЭП, который такой УЦ выдаст клиенту. Пользовательские сертификаты выдаются обычно на 12, 15 месяцев.
УЦ сам следит за сроками действия своих промежуточных и корневых сертификатов, чтобы не доставить неудобств клиентам. УЦ Контура обновляет сертификаты в среднем раз в год — это необходимо, чтобы соблюдать требования эксплуатационной документации к срокам ключей электронной подписи на сертифицированные средства УЦ и ЭП. Обновление происходит незаметно для пользователей и не влияет на их работу.
Инструкция по установке корневого сертификата удостоверяющего центра
Для начала работы с электронной подписью необходимо установить корневые и промежуточные сертификаты УЦ. У клиентов УЦ Контура установка обычно происходит автоматически — во время автонастройки компьютера. Ниже мы опишем и автоматический, и ручной способ.
Автоматическая установка — наиболее простой и быстрый способ, который не требует специальных знаний и навыков от вас:
Установка вручную — более долгий вариант, который пригодится техническим специалистам для решения ошибок с корневым сертификатом. Для него нужно самостоятельно выбрать и скачать сертификаты с сайта УЦ Контура.
Если возникли ошибки — при установке корневого сертификата или при работе с электронной подписью — обратитесь в нашу техподдержку. Специалисты помогут разобраться в проблеме. Звоните на 8 800 500-05-08 или пишите по контактам Центра поддержки, указанным в правом нижнем углу страницы.
Приложение N 2. Руководство по установке и настройке программного обеспечения для работы с электронной подписью на портале «Личный кабинет налогоплательщика юридического лица»
Руководство
по установке и настройке программного обеспечения для работы с электронной подписью на портале «Личный кабинет налогоплательщика юридического лица»
1. Установка программного обеспечения
1.1. Сведения о технических и программных средствах, обеспечивающих работу
Для работы с электронной подписью (ЭП) в Личном кабинете налогоплательщика юридического лица необходимо на рабочее место пользователя установить следующее программное обеспечение (ПО):
— ОС Microsoft Windows XP или выше, либо Mac OS X 10.9 или выше);
— Браузер с поддержкой шифрования защищенных соединений по ГОСТ 34.10-2001, 28147-89;
— Криптопровайдер с поддержкой алгоритмов шифрования ГОСТ 34.10-2001 и ГОСТ 28147-89;
— Набор драйверов и дополнительных утилит для работы с электронными ключами eToken PKI Client 5.1 SP1;
— Программный компонент для работы с электронной подписью с использованием Web-браузера (Крипто ПРО ЭЦП browser plug-in).
Необходимо установить сертификаты:
— Сертификат «УЦ ФГУП ГНИВЦ ФНС России» в хранилище сертификатов «Доверенные корневые центры»;
— В случае использования криптопровайдера Signal-COM CSP необходимо осуществить экспорт пользовательского сертификата в локальное хранилище.
В случае использования криптопровайдера КриптоПро CSP:
— Цепочку квалифицированных сертификатов ключей проверки электронной подписи (далее КСКПЭП), начиная от КСКПЭП УЦ, непосредственно выдавшего юридическому лицу его КСКПЭП, и до корневого КСКПЭП, последнего в цепочке сертификатов, в соответствующие хранилища:
— Квалифицированный сертификат ключа проверки электронной подписи (КСКПЭП), выданный юридическому лицу удостоверяющим центром, аккредитованным в сети доверенных удостоверяющих центров ФНС России, в хранилище сертификатов «Личные».
Могут быть использованы КСКПЭП, выданные для представления налоговой и бухгалтерской отчетности по телекоммуникационным каналам связи.
Кроме того, необходимо выполнить следующие настройки:
— Установить узлы http://lk3.nalog.ru и https://lk3.nalog.ru в зону надежных узлов;
— Порты 80, 443, 8443 должны быть открыты для отправки и приема данных из сети Интернет.
1.2. Установка Internet Explorer
Рекомендуется обновлять версию Internet Explorer до максимально возможной (зависит от установленной ОС пользователя), а так же регулярно проводить Windows-обновления и доставлять все необходимые патчи и компоненты безопасности для браузера Internet Explorer.
1.3. Установка eToken PKI Client 5.1 SP1
Скачать ПО можно по ссылке http://www.aladdin-rd.ru/support/downloads/26037/. Установите ПО с настройками по умолчанию.
1.4. Установка КриптоПро ЭЦП browser plug-in для Windows
Компонент для подписания документов с использованием Web-браузера доступен по ссылке http://www.cryptopro.ru/products/cades/plugin/downloads.
Загрузите КриптоПро ЭЦП browser plug-in для Windows (актуальную версию):
Нажмите «Выполнить» в окне завершения установки ЭЦП browser plug-in для Windows.
Завершите установку ЭЦП browser plug-in:
1.5. Установка сертификата «УЦ ФГУП ГНИВЦ ФНС России» в хранилище сертификатов «Доверенные корневые центры»
Для установки сертификата вам потребуется перейти с помощью браузера Internet Explorer на официальный сайт ФГУП ГНИВЦ ФНС РОССИИ по ссылке http://www.gnivc.ru/power_home/certification_center/uc/resurses/ks/ и выберите «Корневой сертификат от 2012 года», нажмите «Открыть».
Далее нажмите «Установить сертификат»:
В открывшемся окне мастера импорта сертификатов нажмите «Далее».
Выберите «Поместить все сертификаты в следующее хранилище», после чего нажмите «Обзор. «:
Укажите «Доверенные корневые центры сертификации», нажмите «ОК»:
Для завершения работы мастера импорта сертификатов нажмите «Готово»:
Подтвердите установку сертификата, нажав кнопку «Да»:
1.6. Установка узлов http://lk3.nalog.ru и https://lk3.nalog.ru в зону надежных узлов
Зайдите в меню «Сервис» и выберите пункт «Свойства обозревателя». В появившемся окне перейдите на вкладку «Безопасность», выберите «Надежные узлы» и нажмите кнопку «Узлы»:
По очереди добавьте узлы http://lk3.nalog.ru и https://lk3.nalog.ru в список:
2. Установка и настройка КриптоПро CSP
Если на рабочее место пользователя установлен другой криптопровайдер (отличный от КриптоПро), то рекомендуется его удалить.
Внимание! Если на рабочее место пользователя установлено программное обеспечение КриптоПро версии 3.0, его необходимо удалить.
Загрузите дистрибутив КриптоПро CSP с официального сайта по ссылке http://www.cryptopro.ru/products/csp/overview.
При установке КриптоПро CSP следуйте инструкциям мастера установки:
В блоке «Требуемые библиотеки поддержки» необходимо выбрать все опции:
После завершения установки обязательно перезагрузите компьютер.
2.2. Выстраивание цепочки КСКПЭП
Установите КСКПЭП, выданный юридическому лицу удостоверяющим центром в хранилище сертификатов «Личные» (см. п. Ошибка! Источник ссылки не найден. Ошибка! Источник ссылки не найден.).
Далее необходимо выстроить цепочку доверия к установленному личному сертификату. Для этого нужно установить сертификаты устанавливающие доверие.
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Состав»:
Выберите в верхнем окне строку «Доступ к информации о центрах сертификации» и нижнем окне отобразится ссылка на сертификат. По данной ссылке можно скачать сертификат.
В случае отсутствия строки «Доступ к информации о центрах сертификации», можно посмотреть, кто издал искомый сертификат на вкладке «Состав», значение в поле «Издатель».
Перед установкой сертификата, откройте его (кликнув по нему два раза левой кнопкой мыши), чтобы узнать какой это сертификат: самоподписанный или нет. Перейдите на вкладку «Состав».
У самоподписанного сертификата поля «Издатель» и «Субъект» на вкладке «Состав» имеют одинаковые значения.
Если сертификат самоподписанный, то его нужно устанавливать в доверенные корневые центры сертификации. Установка аналогична установке сертификата «УЦ ФГУП ГНИВЦ ФНС России» (см. п.1.5 Установка сертификата «УЦ ФГУП ГНИВЦ ФНС России» в хранилище сертификатов «Доверенные корневые центры»).
После установки самоподписанного сертификата цепочка доверия к личному сертификату будет выстроена.
Если у сертификата поля «Издатель» и «Субъект» на вкладке «Состав» имеют различные значения, то данный сертификат необходимо устанавливать в промежуточные центры сертификации.
Для этого загрузите сертификат по кнопке «Открыть».
На вкладке «Общие» окна с информацией о сертификате нажмите «Установить сертификат».
Выберите «Поместить все сертификаты в следующее хранилище», после чего нажмите «Обзор. «:
Укажите «Промежуточные центры сертификации», нажмите «ОК»:
Для завершения работы мастера импорта сертификатов нажмите «Готово»:
Если отобразится предупреждение системы безопасности, подтвердите установку сертификата, нажав кнопку «Да».
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Состав», где в строке «Доступ к информации о центрах сертификации» и нижнем окне отобразится ссылка на следующий сертификат в цепочке.
Таким образом, необходимо установить все сертификаты, пока не дойдете до самоподписанного сертификата. После установки самоподписанного сертификата будет выстроена цепочка доверия к личному сертификату.
2.3. Установка КСКПЭП, выданного юридическому лицу удостоверяющим центром, аккредитованным в сети доверенных удостоверяющих центров ФНС России, в хранилище сертификатов «Личные»
Подключите носитель КСКПЭП (дискету, e-token с сертификатом) к компьютеру.
Вариант установки 1 (через кнопку «Посмотреть сертификаты в контейнере. «):
На вкладке «Сервис» нажмите «Посмотреть сертификаты в контейнере. «:
Нажмите «Обзор.» рядом с полем «Имя ключевого контейнера»:
Выберите ключевой контейнер, соответствующий подключенному носителю электронной подписи:
После того, как имя контейнера отобразится в поле «Имя ключевого контейнера», нажмите «Далее».
Внимание! Если при выборе ключевого контейнера появляется показанное ниже окно, это означает, что истек срок действия лицензии КриптоПро CSP. В этом случае необходимо обязательно обновить лицензию, иначе работа с Личным кабинетом не будет возможна.
Вариант установки 2 (через кнопку «Установить личный сертификат. «):
На вкладке «Сервис» нажмите кнопку «Установить личный сертификат.»:
В окне «Мастер установки личного сертификата» нажмите кнопку «Обзор» рядом с полем «Имя файла сертификата», чтобы выбрать файл сертификата:
В поле «Имя файла сертификата» отобразится выбранный сертификат, нажмите «Далее».
В окне «Сертификат для установки» кликните по кнопке «Далее».
Выберите «Обзор», чтобы указать соответствующий контейнер закрытого ключа.
Выберите нужный ключевой контейнер. Нажмите «ОК».
После того, как имя контейнера отобразится в поле «Имя ключевого контейнера», нажмите «Далее».
В окне «Выбор хранилища сертификатов» кликните по кнопке «Обзор».
Выберите хранилище «Личное» и нажмите «ОК».
После выбора хранилища нажмите на кнопку «Далее».
Затем нажмите на кнопку «Готово».
После нажатия на кнопку «Готово» может появиться такое сообщение: «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?». В таком случае необходимо выбрать «Да».
В сообщении об успешной установке нажмите «ОК». Если у Вас отобразилось сообщение «Этот сертификат уже присутствует в хранилище сертификатов. Заменить существующий сертификат новым, с проставленной ссылкой на закрытый ключ?», то сообщение «Сертификат был установлен в хранилище «Личные» текущего пользователя» может не появиться.
Внимание! Если при установке КСКПЭП в хранилище сертификатов «Личные» появляется сообщение «Закрытый ключ на указанном контейнере не соответствует открытому ключу в сертификате. Выберите другой ключевой контейнер», попробуйте сделать следующее:
1. Запустите редактор реестра (Пуск/ввести в поисковую строку «regedit»/ ввод).
2. Перейдите в следующую ветвь редактора реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Crypto Pro\Settings\USERS, найдите ветку с названием S-1-5-21-887842899-779666540-1964827887-17186 (где S-1-5-21-887842899-779666540-1964827887-17186- SID пользователя).
3. Зайдите в KeyDevices и удалите там passwords.
4. Удалите содержимое папки C:\Documents and Settings\имя пользователя \Application Data\Microsoft\SystemCertificates\My\Keys.
5. Установите заново сертификат.
Если выполнение описанных выше действий, не решило Вашу проблему, обратитесь в Удостоверяющий центр, выдавший КСКПЭП.
2.4. Проверка установки сертификатов
Выберите установленный сертификат, кликнув по нему два раза левой кнопкой мыши. Перейдите на вкладку «Путь сертификации»:
На вкладке «Путь сертификации» должна отображаться цепочка сертификатов, с помощью которых устанавливается доверие. Верхний сертификат должен быть самоподписанным.
В поле «Состояние сертификата» должно отображаться сообщение о действительности сертификата.
Сертификат «УЦ ФГУП ГНИВЦ ФНС России» и самоподписанный КСКПЭП удостоверяющего центра, выдавшего КСКПЭП юридическому лицу, будут размещаться в хранилище сертификатов «Доверенные корневые центры сертификации»:
Остальные сертификаты цепочки будут размещаться в хранилище сертификатов «Промежуточные центры сертификации»:
При возникновении окна с просьбой ввести pin-код во время работы в системе, установки или копирования сертификата, необходимо указать pin-код пользователя сертификатом. Pin-код выдается удостоверяющим центром вместе с сертификатом.
Внимание! Если выданный pin-код пользователя был самостоятельно изменен пользователем, то в данном окне следует прописать новый pin-код. Информация о новом pin-коде хранится только у пользователя.
3. Установка и настройка Signal-COM CSP
Внимание! На рабочем месте может быть установлен только один криптопровайдер. Если у Вас уже установлен какой-либо криптопровайдер, установите криптопровайдер Signal-COM CSP на другое рабочее место.
— Запустите установочный файл Signal-COM CSP, в зависимости от разрядности системы выберете нужный файл
— В окне установщика нажмите кнопку «Далее»
— Ознакомьтесь с условиями Лицензионного соглашения, для принятия условий выберите «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее»
— В окне сведений о пользователе введите пользователя, название организации и ключ продукта и нажмите кнопку «Далее»
— В окне выбора компонент выберете необходимые компоненты и нажмите кнопку «Далее»
— по умолчанию устанавливаются компоненты CSP и TLS
— Нажмите кнопку «Установить»
— Дождитесь, пока завершится процесс установки
— В окне выбора ключевого носителя для создания контейнера RNG Initialization Container выберете «Локальный компьютер» и нажмите кнопку «Ок»
— Для инициализации генератора случайных чисел нажимайте кнопки клавиатуры или перемещайте мышь до окончания процесса
— Нажмите кнопку «Готово»
— Для завершения процесса установки Signal-COM CSP и перезагрузки системы нажмите «Да»
Если после перезагрузки системы появится окно с просьбой выбора ключевого контейнера для инициализации генератора случайных чисел, то выполните действия описанные ниже. Если данное окно не появится, то перейдите к следующему пункту.
— В появившемся окне нажмите кнопку «Отмена»
— Для инициализации генератора случайных чисел нажимайте кнопки клавиатуры или перемещайте мышь до окончания процесса
— Создайте ключевой контейнер для инициализации генератора случайных чисел, нажав кнопку «Да»
3.2. Экспорт сертификата
— Войдите в меню «Пуск» и откройте программу «Администратор»
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.