Ошибка электронной подписи 80091007
Please help for me, when i deploy patch for clients it show error 0x80091007 the hash value is not correct(failed to download/failed to install). How to check and fix for this issue, please show me.
Note: I already deployed patch on Jully, Sep 2018 but not face with this issue.
Какие ошибки возникают при работе с ЭП
Наличие у организации ЭП — необходимое условие для ЭДО с контрагентами и для осуществления закупочной деятельности в Единой информационной системе и на электронных торговых площадках. Физические лица тоже используют электронную подпись для отправки определенных документов на Госуслугах или ведомственных сайтах.
Порядок генерации, регистрации и применения электронной подписи закреплен в 63-ФЗ от 06.04.2011. Иногда при подписании документации ЭП не срабатывает. Есть несколько причин, почему электронная подпись недействительна или не работает:
pavenkostanislav commented Sep 7, 2017
Да спасибо. С тестовой службой подпись создалась, но теперь проблема в проверке её:
splincode commented Sep 7, 2017
В принципе, ответы оставляют на форуме сотрудники КриптоПро, если что пишите сюда решение
splincode commented Sep 7, 2017
Answers
Having the same exact issue and can confirm this is is related to the AV software. In our case, the CCMCACHE folder was not excluded from the McAfee Policies. Adding that folder to the AV exclusions fixed the issue for us.
It appears that this only affected large updates (Cumilative Update), the much smaller Flash monthly update installed without issues, this is presumably because the hash check takes a log longer to complete on larger files.
One note though, this started happened around the same time we enabled express updates on our clients.
pavenkostanislav commented Sep 7, 2017 •
Если код подписания выглядит так:
Ключевое отличие тут:
//let byteCharacters: string;
//if (this.crypto.isChromium) // byteCharacters = window.atob(b64Data);
//> else // byteCharacters = Base64.decode(b64Data);
//>
pavenkostanislav commented Sep 7, 2017 •
Пока нет ответа
но с начала переписки в приципе какая-то подпись создалась и ошибки нет больше.
Вот только эта подпись не проходит проверку в Контуре.Крипто и даже в КриптоПро DSS
Answers
Having the same exact issue and can confirm this is is related to the AV software. In our case, the CCMCACHE folder was not excluded from the McAfee Policies. Adding that folder to the AV exclusions fixed the issue for us.
It appears that this only affected large updates (Cumilative Update), the much smaller Flash monthly update installed without issues, this is presumably because the hash check takes a log longer to complete on larger files.
One note though, this started happened around the same time we enabled express updates on our clients.
pavenkostanislav commented Sep 7, 2017 •
Ну как рабочая. Сертификат проверку не проходит
вырезка из рабочего проекта тут pavenkostanislav/GetingCertificatesList можно посмотреть, но если честно я его не компилил.
Выбранная подпись не авторизована
В 63-ФЗ разъясняется, почему электронная подпись не подписывает документы, — из-за отсутствия пользовательской авторизации или регистрации ЭП. Такая проблема возникает на торговых площадках: при неполадках система отправляет уведомление «Выбранная ЭЦП не авторизована».
Решение очевидно: зарегистрировать ЭП и пройти авторизацию на торговой площадке или ином ресурсе. У каждого сервиса — индивидуальная инструкция по авторизации пользователей.
Если уведомление об отсутствии авторизации приходит и после успешной регистрации, необходимо отключить программу защиты (антивирус) или добавить сайт электронной площадки в список исключений.
Возникла ошибка генерации ключа ЭП
Некоторые ведомственные ресурсы предлагают сгенерировать локальные ключи ЭП, базирующиеся на их платформах. Как пример — личный кабинет налогоплательщика ФНС: в электронный сервис встроена программа, которая генерирует ключи.
При подписании деклараций и других документов периодически возникает ошибка генерации электронной подписи, то есть сертификата ЭП. Причины — технические работы на официальных ресурсах ФНС и сбои из-за длительного ожидания генерации (процедура занимает от 30 минут до 2 дней).
- Проверить установку дополнительного ПО для генерации кодировки. Система предлагает установить ее автоматически по специальной ссылке.
- Повторно загрузить сертификат.
- Лично обратиться в территориальную ИФНС с паспортом и ИНН заявителя (если нет возможности сгенерировать ключ самостоятельно).
pavenkostanislav commented Sep 7, 2017 •
Ну для начала спасибо.
Но мне бы больше информации.
Я тем же путём создавал прикреплённую подпись - всё проходит проверку
Ещё ошибку пофиксил:
oSignedData.Content = dataToSign.replace('data:application/pdf;base64,', '');
splincode commented Sep 7, 2017
Приложите документ и подпись
splincode commented Sep 7, 2017
Это рабочая версия? Надо будет добавить код в основной репозиторий, когда появится новая версия, я обязательно вам пришли, чтобы вы сделали pull request
Не поддерживается алгоритм сертификата ЭП
Если ЭП не прошла проверку и не подписывает документ, следует переустановить КС, полученный от удостоверяющего центра. Но иногда этого недостаточно. Когда возникает ошибка, связанная с отсутствием поддержки алгоритма ключа, потребуется переустановка программы криптозащиты — актуальной версии КриптоПро CSP. Кроме того, необходимо проверить ее совместимость с программными компонентами операционной системы.
Не выполняется строчка:
let sSignedMessage = yield oSignedData.SignCades(oSigner, CADESCOM_CADES_X_LONG_TYPE_1);
Ошибка неустановленного корневого сертификата, но он установлен аж в 3 директориив личные с "Доверенные корневые центры сертификации" и "Доверенные лица"
A certificate chain could not be built to a trusted root authority. (0x800B010A)
The text was updated successfully, but these errors were encountered:
pavenkostanislav commented Sep 7, 2017 •
sign.zip
Вот так лучше всего. не все форматы можно добавлять
splincode commented Sep 7, 2017
подпись не проходит проверку.
Хеш указанного файла:
CB AE CB 61 1C 3B F9 6A 8E B1 63 B3 CE E7 EA D5 05 1F A4 C1 9B EF 15 FB 98 64 1F 3D 0C BB 84 C3
а в p7s прохешировано было что-то "другое":
64 D5 52 BF 80 B9 0E B1 C9 3D 29 83 5D 54 D5 57 0C F4 B0 45 9B 92 D9 79 D9 43 13 05 81 BB 2B FF
- ASN.1 анализатор выдал 1 предупреждение и 1 ошибку.
позиция:
3300 0: [0] Error: Object has zero length.
3302 15: GeneralizedTime 07/09/2017 07:21:15 GMT
Warning: Further data follows ASN.1 data at position 10798.
Компьютер не видит ЭЦП
Если ПК или браузер не видит электронную подпись, отобразится уведомление о том, что не удалось найти сертификат. Причин возникновения такой неполадки и вариантов ее устранения несколько:
Если вы используете недопустимое средство электронной подписи (просроченное или отозванное), обновите сертификаты в удостоверяющем центре.
Список сертификатов на ПК обновляется и вручную — путем загрузки перечня отозванных ЛС. Вот инструкция, как это сделать:
Шаг 1. Открыть ЛС в свойствах браузера, найти его в специальном разделе.
Шаг 2. Зайти во вкладку «Состав» и выбрать «Точки распространения списков отзыва».
Шаг 5. Импортировать в соответствии с инструкцией, предложенной мастером импорта.
Эксперты КонсультантПлюс разобрали, что нужно знать об электронной подписи. Используйте эти инструкции бесплатно.
pavenkostanislav commented Sep 6, 2017
pavenkostanislav commented Sep 8, 2017 •
Доброе время суток, уже близок к усуществению отсоединённой подписи, присоединённая уже получается и проходит проверку на сайте Сервер электронной подписи КриптоПро DSS.
Возможно Вы сможете помочь с решением вопроса: "Отсоединённой подпись не проходит проверку, а присоединённая подпись проходит"
Вот этим кодом я делаю подпись:
I have an application (deployed over collection) which is working on my test clients. On one Client I am getting the message:
The software change returned error code 0x80091007 (-2146889721).
When i check the CAS.log I see that the has value of the application has a probelm.
On my other test clients the software is working fine.
The clients are in the same subnet, so no boundary issue.
Here is the CAS.log
Error: DeleteDirectory:- Failed to delete Directory C:\Windows\ccmcache\7.BCWork with Error 0x00000002. ContentAccess 03.01.2014 14:00:36 3192 (0x0C78)
Download completed for content Content_264e7d5c-70d0-456c-a25c-3d8fccc596ea.1 under context System ContentAccess 03.01.2014 14:00:37 3320 (0x0CF8)
CreateFileW failed for c:\windows\ccmcache\6\vcredist_x86\vcredist.msi ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
楆敬灏湥 failed; 0x80070020 ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
慈桳潃瑮湥t failed; 0x80070020 ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
慈桳潃瑮湥t failed; 0x80070020 ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
潃灭瑵䍥湯整瑮慈桳 failed; 0x80070020 ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
Failed to do hash verification with preference : 4. Try to verify at next hash algorithm ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
Download failed for content Content_264e7d5c-70d0-456c-a25c-3d8fccc596ea.1 under context System, error 0x80091007 ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
Download failed for download request ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
Raising event:
[SMS_CodePage(437), SMS_LocaleID(1033)]
instance of SoftDistHashMismatchEvent
ClientID = "GUID:ff40e989-88f5-49d6-a811-246964969a24";
DateTime = "20140103130042.787000+000";
MachineName = "SCCM-CAPTURE";
PackageId = "Content_264e7d5c-70d0-456c-a25c-3d8fccc596ea";
PackageName = "Content_264e7d5c-70d0-456c-a25c-3d8fccc596ea";
PackageVersion = "1";
ProcessID = 2876;
SiteCode = "MU1";
ThreadID = 3320;
>;
ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
Successfully raised SoftDistHashMismatchEvent event. ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
Error: DeleteDirectory:- Failed to delete Directory C:\Windows\ccmcache\6.BCWork with Error 0x00000002. ContentAccess 03.01.2014 14:00:42 3320 (0x0CF8)
ЭП не видна на носителе
Еще одна причина, почему при подписании электронной подписью выдает ошибку, — ЛС не отображается на носителе. Есть два решения:
- Перегрузить ПК, чтобы исключить сбой работы программы.
- Установить (если ранее не устанавливали) или переустановить драйвер носителя. Для установки или переустановки потребуется скачать драйвер с официального сайта носителя или токена.
Помимо проблем с драйверами и программным обеспечением, на работу носителя влияет состояние USB-порта пользовательского компьютера. В таком случае необходимо обновить порт или перенести КС и ЛС на другой компьютер. Кроме того, неисправности обнаруживаются и в самом носителе. Это легко проверить: просто подключите флеш-накопитель или токен к другому ПК. Если он не отзывается, это означает, что носитель сломался. В такой ситуации потребуется перевыпустить носитель.
All replies
Welcome to TechNet forum.
First, could you please kindly advise which update you are deploying?
1. Based on my research, when we encounter error code 0X80091007(the hash value is not correct), we can try to remove the package from distribution point and redistribute the package. This is just to be sure that a valid package is available with distribution point.
2. Then, please kindly check if the remaining disk space is insufficient.
Hope above information helps.
Best Regards
Tina Cao
I will feedback to you after check.
Thanks and regards.
I already created one other package and distribute to DP and deployed to collection but the issue still there.
I checked and validated for old package it seem ok, check with some.
Can you advide for me with other check?
Thanks and regards.
Thanks for your reply.
In order to further understand your scenario, please help confirm below details:
1. Please kindly advise where did you see the below error message.
show error 0x80091007 the hash value is not correct(failed to download/failed to install)
2. Are all of the clients unable to download the updates? Or some clients succeeded, some clients failed?
3. If all of the clients failed to download the updates, we may need to delete updates source files, delete original packages and remove the packages from DP.
Best Regards
Tina Cao
Thank for your answer, in my case then some clients succeeded, some client failed with that error. I still monitoring some client continue compliant but very slow. I remember 2 months ago, I deployed patch it update very fast. So what can i do for my case ?
Thanks and regards.
Based on your situation, the issue may be related to the network. Could you please advise what your network environment is like?
And are these failed clients on the same subnet or do they have any commonalities?
Are these failed clients able to receive the application or TS?
Best Regards
Tina Cao
I already deployed other application for some computers failed, it's still received and installed. Maybe my case related to these patch(Dec-2018) or not?
Beside, some clients still installed and compliant day by day but it's very slow with 1K computers.
thanks and regards.
is there any anti-virus installed on the client machine which is giving this error?
and can you share the CAS.log from that machine which is failing.
Hi, it seems that there is an anti-virus installed on the machine. Can you please verify?
Yeah the Anti virus is installed in all the machines bu the ratio of machines having this error are less . and this is mainly happening to Cumulative updates in windows 10 and monthly rollup in servers. the other updates are getting installed in same machines without any issues
just for testing purpose, try uninstalling the anti-virus from one of the machine and check still you are getting this error.
faced similar issue and found that anti-virus was installed on the client machine, and as Anti-virus solution keeps a lock on the files in SCCM Cache so SCCM was unable to perform hash check due to which package was not getting installed.
If the package gets downloded after uninstalling the anti-virus, try to Exclude CCMCache folder from antivirus checks.
Типовые ошибки при формировании подписи в веб-интерфейсе сервиса подписи.
1.1. Размер переданного файла превышает максимально допустимый размер
1.2. Неперехваченное исключение: Код состояния ответа не указывает на успешное выполнение: 413 (Request entity too large)
Возможные причины возникновения ошибки:
На подпись был передан документ, чей размер превышает заданный в настройках сервисов DSS.
Рекомендуемое решение:
Изменить значения для максимальных размеров документов сервисов DSS, в соответствие с руководством.
2. Неперехваченное исключение: Message: invalid_certificate MessageDetail: Сертификат не найден или недействителен
Диагностика:
Ошибка в «Журналы приложений и служб -> CryptoPro-> DSS-> SignServer-> Admins».
Пример:
Instance Unique Identifier: 1/signserver Source: SignDocumentRequestValidator Message: SignDocumentRequestValidator. Ошибка: invalid_certificate;
Описание: Сертификат не найден или недействителен.;
Возможные причины возникновения ошибки:
- Ошибка при проверке сертификата подписанта на сервере DSS;
- Сертификат подписанта был отозван/приостановлен.
Рекомендуемое решение:
- Обеспечить проверку сертификата подписанта на сервере DSS (путем установки цепочки сертификатов издателей в хранилище локального компьютера сервера DSS);
- Обеспечить проверку сертификата подписанта на сервере DSS на отзыв (путем установки CRL в хранилище «Промежуточные центры сертификации» локального компьютера сервера DSS или обеспечив доступность CRL по ссылкам, указанным в расширении "Точки распространения списков отзыва" сертификата подписанта и цепочки сертификатов издателей);
- Убедиться, что сертификат подписанта не был отозван/приостановлен.
3. При формировании подписи формата CAdES T/XLT1 возвращается ошибка "Произошла ошибка при получении штампа времени. Ошибка: [При попытке отправки запроса возникла ошибка HTTP]. Код: [0xc2100100]"
Возможные причины возникновения ошибки:
С сервера DSS нет сетевой доступности до службы штампов времени (TSP), выбранной при формировании подписи.
Рекомендуемое решение:
Обеспечить сетевую доступность до службы штампов времени с сервера DSS. Затем проверить работоспособность службы, в соответствие с п. 7.2 "ЖТЯИ.00094-01 91 02 Службы УЦ 2.0. КриптоПро TSP Server. Руководство администратора".
4. При формировании подписи формата CAdES XLT1 возвращается ошибка "Произошла ошибка при получении OCSP-ответа. Ошибка: [При попытке отправки запроса возникла ошибка HTTP]. Код: [0xc2110100]"
Возможные причины возникновения ошибки:
С сервера DSS нет сетевой доступности до службы проверки статусов сертификатов (OCSP), адрес которой указан в расширении "Доступ к информации о центрах сертификации" сертификата подписанта.
Рекомендуемое решение:
Обеспечить сетевую доступность до службы проверки статусов сертификатов. Затем проверить работоспособность службы, в соответствие с п. 7.3 "ЖТЯИ.00094-01 91 01 Службы УЦ 2.0. КриптоПро OCSP Server. Руководство администратора".
5. При формировании подписи формата CAdES T/XLT1 возвращается ошибка "Произошла ошибка при формировании CAdES подписи. Ошибка: [Группа или ресурс не находятся в нужном состоянии для выполнения требуемой операции]. Код: [0x8007139f]"
Возможные причины возникновения ошибки:
Остановлена служба штампов времени (TSP)/проверки статусов сертификатов (OCSP).
Рекомендуемое решение:
Запустить службы на стороне сервера "КриптоПро Службы УЦ". Затем проверить работоспособность службы штампов времени, в соответствие с п. 7.2 "ЖТЯИ.00094-01 91 02 Службы УЦ 2.0. КриптоПро TSP Server. Руководство администратора" и работоспособность службы проверки статусов сертификатов, в соответствие с п. 7.3 "ЖТЯИ.00094-01 91 01 Службы УЦ 2.0. КриптоПро OCSP Server. Руководство администратора".
6. При загрузке документа для подписи возвращается ошибка "Message: Authorization has been denied for this request"
Диагностика:
Ошибки в «Журналы приложений и служб -> CryptoPro-> DSS-> DocumentStore-> Admins».
Б) Instance Unique Identifier: 1/documentstore] Source: Microsoft.Owin.Security.OAuth.OAuthBearerAuthenticationMiddleware Message: Authentication failed
System.IdentityModel.Tokens.SecurityTokenSignatureKeyNotFoundException: IDX10505: Unable to validate signature. The 'Delegate' specified on TokenValidationParameters, returned a null SecurityKey.
Возможные причины возникновения ошибки:
- На сервисе обработки документов не настроены отношения доверия с центром идентификации;
- Истек срок действия сервисного сертификата сервиса обработки документов.
Рекомендуемое решение:
- Запросить отпечаток сервисного сертификата ЦИ: $idp_cert = (Get-DssStsProperties).ServiceCertificate
- Указать отпечаток сервисного сертификата ЦИ на сервисе обработки документов: Add-DssDocumentStoreClaimsProviderTrust -IssuerName realsts -Thumbprint $idp_cert
Примечание: если при выполнении второго командлета в Powershell возникла ошибка "Доверенный издатель с именем realsts уже добавлен в коллекцию" - необходимо выполнить командлет: Set-DssDocumentStoreClaimsProviderTrust -IssuerName realsts -NewThumbprint $idp_cert
- Проверить срок действия сервисного сертификата сервиса обработки документов. Если срок действия истек - необходимо перевыпустить его и скорректировать настройки в соответствие с руководством;
- Перезагрузить пулы приложений центра идентификации и сервиса обработки документов, выполнив командлеты: Restart-DssStsInstance и Restart-DssDocumentStoreInstance.
7. При загрузке документа для подписи возвращается ошибка "Неперехваченное исключение: Message: An error has occured"
Диагностика:
Ошибка в «Журналы приложений и служб -> CryptoPro-> DSS-> SignServer-> Admins».
Возможные причины возникновения ошибки:
- На сервисе обработки документов не настроены отношения доверия с сервисом подписи;
- Истек срок действия сервисного сертификата сервиса обработки документов.
Рекомендуемое решение:
- Запросить отпечаток сервисного сертификата сервиса подписи: $ss_cert = (Get-DssProperties).ServiceCertificate
- Указать отпечаток сервисного сертификата сервиса подписи в настройках сервиса обработки документов: Add-DssDocumentStoreClaimsProviderTrust -IssuerName signserver -Thumbprint $ss_cert
Примечание: если при выполнении второго командлета в Powershell возникла ошибка "Доверенный издатель с именем signserver уже добавлен в коллекцию" - необходимо выполнить командлет: Set-DssDocumentStoreClaimsProviderTrust -IssuerName signserver -NewThumbprint $ss_cert
- Проверить срок действия сервисного сертификата сервиса обработки документов. Если срок действия истек - необходимо перевыпустить его и скорректировать настройки в соответствие с руководством;
- Перезагрузить пулы приложений сервиса подписи и сервиса обработки документов, выполнив командлеты: Restart-DssSignServerInstance и Restart-DssDocumentStoreInstance.
Неверная электронная подпись — это ЭП, которая не работает и не верифицирует документы. Ошибки возникают как с ключом ЭЦП, так и с ее сертификатом.
splincode commented Sep 7, 2017
Читайте также: