Устранение ошибки «Сертификат недействителен. Ошибка построения пути сертификации» в КриптоАРМ
Эта ошибка означает, что система не смогла выстроить цепочку доверия от вашего конечного сертификата к корневому центру сертификации (УЦ). Без полной цепочки КриптоАРМ (а точнее, underlying CryptoAPI + КриптоПро CSP) не может подтвердить подлинность и статус сертификата.
Важно:
- КриптоАРМ не хранит сертификаты самостоятельно. Он работает с хранилищами Windows и криптопровайдером (обычно КриптоПро CSP). Все действия ниже выполняются от имени администратора.
Шаг 0. Быстрая диагностика (3 минуты)
| Проверка | Как выполнить | Что должно быть |
|---|---|---|
| Дата и время | win + R → timedate.cpl |
Точные, синхронизированные с интернетом |
| Срок действия сертификата | КриптоАРМ → Сертификаты → выбрать → Свойства | Не истёк на момент проверки |
| Версия КриптоПро CSP | Панель управления → КриптоПро CSP → вкладка «Общие» | ≥ 5.0 R2 (для новых ГОСТ-сертификатов) |
| Доступ к интернету | Браузер → открыть любой сайт | Работает (для CRL/OCSP) |
Если хотя бы один пункт не выполняется → исправьте его перед продолжением.
Шаг 1. Установка промежуточных и корневых сертификатов УЦ (90% случаев)
Ошибка чаще всего возникает из-за отсутствия промежуточного сертификата УЦ в хранилище Windows.
Способ А: через КриптоАРМ (рекомендуется)
- Откройте КриптоАРМ → вкладка Сертификаты.
- Нажмите Установить → выберите файл сертификата УЦ (
.cerили.p7b).
3. В мастере установки:
- Отметьте
Поместить все сертификаты в следующее хранилище - Нажмите
Обзор
→ выберите:
- Промежуточные центры сертификации → для промежуточных сертификатов
- Доверенные корневые центры сертификации → только для корневого УЦ
- Завершите установку. Перезапустите КриптоАРМ.
Способ Б: через certmgr.msc
win + R→certmgr.msc
2. Раскройте нужное хранилище:
Промежуточные центры сертификации → СертификатыДоверенные корневые центры сертификации → Сертификаты
- ПКМ →
Все задачи → Импорт→ укажите файл → завершите мастер.
Где взять сертификаты УЦ?
- Сайт вашего УЦ (раздел «Сертификаты УЦ» / «Цепочка доверия»)
- e-trust - e-trust.gosuslugi.ru (для квалифицированных КЭП)
- Письмо от УЦ при выдаче КЭП (обычно архив с
root.cer,intermediate.cer,user.cer)
Шаг 2. Проверка цепочки вручную
- В КриптоАРМ откройте ваш сертификат → вкладка Путь сертификации.
- Должна отображаться полная цепочка:
Ваш сертификат → Промежуточный УЦ → Корневой УЦ
3. Если рядом с элементом стоит ошибка или предупреждение:
- Нажмите на элемент → Свойства → проверьте статус и срок действия.
- Удалите битый элемент из хранилища и установите заново.
Шаг 3. Настройка проверки отзыва (CRL / OCSP)
Если сеть блокирует доступ к серверам отзыва сертификатов, Windows/CryptoPro помечает сертификат как недействительный.
В КриптоПро CSP:
- Панель управления → КриптоПро CSP → вкладка Сервис → Настроить...
- Перейдите на вкладку Проверка отзыва сертификатов.
3. Варианты:
Проверять по CRL+Проверять по OCSP(рекомендуется при наличии интернета)- Если ошибка возникает в изолированной сети: временно снимите галочки → примените → проверьте работу → верните галочки для безопасности.
- Нажмите ОК.
Проверка доступности CRL:
- Откройте сертификат → вкладка Сведения → поле Точки распространения CRL.
- Скопируйте URL → вставьте в браузер.
- Должен скачаться файл
.crl. Если ошибка403/404/таймаут→ проблема в прокси/фаерволе/настройках сети.
Шаг 4. Очистка кэша и переустановка сертификата
Иногда хранилище Windows «залипает» на старой или битой цепочке.
- Закройте КриптоАРМ, браузеры, 1С, ФСС, Налогоплательщик и т.д.
- Откройте
certmgr.msc→Личные → Сертификаты→ удалите проблемный сертификат.
3. Очистите кэш КриптоПро:
win + R→%temp%→ удалите содержимоеC:\Users\<Имя>\AppData\Local\Crypto Pro\CSP\Cache→ удалите файлы
- Переустановите сертификат вместе с цепочкой (см. Шаг 1).
- Перезагрузите ПК.
Шаг 5. Особенности для госсистем и КЭП
| Система | Что дополнительно требуется |
|---|---|
| ФНС / ЛК ЮЛ | Корневые сертификаты ФНС России + Минцифры |
| ЕГАИС / Честный ЗНАК | Промежуточные сертификаты УЦ ФНС + ГОСТ-2012/2018 |
| ГИС / Госуслуги | Сертификаты УЦ Минцифры, СКЗИ КриптоПро CSP ≥ 5.0 R2 |
| ЭДО (СБИС, Контур, Такском) | Цепочка УЦ + настройка доверенных узлов в личном кабинете |
Скачать актуальные корневые сертификаты РФ:
- Минцифры:
minsvyaz.ru - Госуслуги (e-trust):
e-trust.gosuslugi.ru - ФНС:
service.nalog.ru
Как избежать ошибки в будущем
- При получении КЭП сразу установите все сертификаты из архива УЦ (корневой, промежуточные, пользовательский).
- Не удаляйте промежуточные сертификаты из
certmgr.mscбез необходимости. - Обновляйте КриптоПро CSP и КриптоАРМ до актуальных версий.
- В корпоративных сетях настройте прокси для CRL/OCSP или разверните локальный кэш списков отзыва.
- Регулярно проверяйте цепочку в КриптоАРМ до истечения срока действия КЭП.
Когда обращаться в поддержку УЦ
Обратитесь в техподдержку вашего удостоверяющего центра, если:
- Цепочка полная, CRL доступны, время синхронизировано, но ошибка сохраняется
- Сертификат отозван или приостановлен УЦ
- Используется нестандартный СКЗИ или аппаратный носитель (Рутокен, JaCarta) с кастомной конфигурацией
- Ошибка возникает только в конкретных приложениях (1С, ЭДО, порталы)
При обращении предоставьте:
- Скриншот вкладки
Путь сертификациииз свойств сертификата - Версию КриптоПро CSP и КриптоАРМ
- Лог установки сертификата (
certmgr -v -list Myв CMD)
Полезные команды (запуск от администратора в CMD/PowerShell):
# Просмотр личных сертификатов
certmgr -list My
# Установка сертификата в промежуточные
certmgr -inst -file intermediate.cer -store CA
# Установка в корневые
certmgr -inst -file root.cer -store Root
# Проверка цепочки конкретного сертификата
certmgr -verify -file mycert.cer