Введенному логину паролю не соответствует ни один сертификат установленный на вашем компьютере
Пароль или пин-код электронной подписи (ЭП или ЭЦП) схож с пин-кодом банковской карты. Он защищает подпись от мошенников, его нужно запомнить или записать на листочек и хранить подальше от самой подписи. Но, в отличие от пин-кода карточки, пароль ЭП редко используют и часто забывают.
Возьмем экономиста Василия. Он получил электронную подпись, установил ее на компьютер, задал пароль, поставил галочку «Запомнить» — и все, больше никогда эту комбинацию не вводил. Но через полгода Василий переехал в другой кабинет и сел за новый компьютер. Попытался установить на него свою подпись, но не получилось — он забыл пароль электронной подписи, а листочек, на который записывал символы, потерял.
В своей беде Василий не одинок — многие владельцы ЭП не могут вспомнить или не знают, где взять пароль электронной подписи. В этой статье расскажем, что делать в подобной ситуации и когда нужно получать новую ЭП.
Как восстановить пароль электронной подписи
Если пароль и пин-код подписи не удается вспомнить, то восстановить его не получится. В этом не поможет даже удостоверяющий центр, выпустивший сертификат, — он не хранит пароли ЭП. Поэтому нужно пытаться вспомнить заветную комбинацию или подобрать ее.
Забыл пин-код токена
Восстановить забытый пин-код токена тоже невозможно. Именно из-за этого токен — надежный носитель ЭП: если его украдут мошенники, то пин-код защитит подпись от них.
Однако для владельца ЭП есть два способа, которые помогут подобрать нужную комбинацию.
Решение №1. Заводской пароль.
По умолчанию на новом токене установлен стандартный пин-код от производителя. Можно ввести его, чтобы вернуть доступ к сертификату ЭП. Для разных носителей подойдут разные значения:
- «Рутокен», eSmart, JaCarta и JaCarta LT— 12345678,
- eToken — 1234567890, eToken,
- Jacarta SE — 1111111 для PKI-части и 0987654321 для ГОСТ части.
Если «заводская» комбинация к токену не подходит, значит ее сменили при записи сертификата. Тогда вернуть доступ к ЭП можно только одним способом — подобрать правильные символы.
Решение №2. Подбор пин-кода и права администратора
На то, чтобы подобрать пин-код к токену, есть десять попыток. После десятого неверного ввода символов заблокируется.
Иногда количество попыток ввода можно увеличить. Для этого нужно зайти на токен в качестве администратора и разблокировать пин-код:
- Перейти в панель управления токеном. Например, если используется носитель «Рутокен», то нужно перейти в Пуск — Панель управления — Панель управления «Рутокен» — вкладка «Администрирование».
- Ввести пин-код администратора. Стандартное значение устанавливает производитель: для «Рутокена» — 87654321, для Jacarta SE — 00000000 для PKI-части и 1234567890 для ГОСТ части. Если стандартное значение администратора не подошло, значит его сменили, и нужно вспоминать установленную комбинацию. На это есть десять попыток, потом токен окончательно заблокируется.
- Разблокировать пин-код токена. Для этого на вкладке «Администрирование» нажать «Разблокировать».
Также, если пин-код администратора известен, то можно сбросить попытки ввода другим способом — через КриптоПро CSP:
- Открыть КриптоПро CSP, перейти на вкладку «Оборудование» и нажать кнопку «Настроить типы носителей».
- Выбрать свой токен. Открыть его свойства и перейти в раздел «Информация».
- Разблокировать пин-код.
После разблокировки счетчик попыток ввода сбросится. Но даже тогда, пока правильную комбинацию к токену не введут, доступ будет закрыт и использовать подпись не получится.
Если вспомнить или изменить нужную комбинацию не удалось, придется получать новый сертификат подписи в УЦ: отозвать старый сертификат и получить новый. Токен можно использовать старый — можете отформатировать носитель, тогда старый пин-код и сертификат удалятся. Отметим, что отформатировать токены марок Рутокен, eToken, JaCarta LT можно без прав администратора. Но для форматирования носителя Jacarta SE нужно знать администраторский пин.
При записи подписи на новый токен советуем поменять стандартный пин-код носителя на собственный. Это, конечно, может привести к тому, что комбинация вновь потеряется. Но лучше получить новый сертификат, чем пострадать от мошенников, которые смогли взломать «заводское» значение на токене и подписали украденной ЭП важные документы.
В некоторых случаях при попытке подписи электронного документа ЭЦП система может выдать ошибку "Не удалось найти ни одного сертификата, пригодного для создания подписи":
Возможные причины возникновения этой ошибки:
- На Вашем компьютере не установлены корневые сертификаты РОЛИС
- На Вашем компьютере не установлено ни одного личного сертификата ЭЦП
- На Вашем компьютере не установлено ни одного личного сертификата ЭЦП, соответствующего тому сертификату (тем сертификатам), которые были связаны с Вашим логином при издании и регистрации в системе РОЛИС
- Нужные сертификаты установлены на Вашем компьютере, но уже не являются валидными – отозваны, просрочены и т.п.
1. На Вашем компьютере не установлены корневые сертификаты РОЛИС
В этом случае система считает Ваши сертификат непригодными для создания подписи.
Установка корневых сертификатов удостоверяющего центра РОЛИС описана в инструкции (pdf)
2. На Вашем компьютере не установлено ни одного личного сертификата ЭЦП
Перед началом использования все Ваши ЭЦП должны быть предварительно установлены на Вашем компьютере.
Установка личных сертификатов на Ваш компьютер описана в инструкции (pdf)
3. На Вашем компьютере не установлено ни одного личного сертификата ЭЦП,соответствующего тому сертификату (тем сертификатам), которые были связаны с Вашим логином при издании и регистрации в системе РОЛИС
Для того, чтобы проверить, какие именно сертификаты ЭЦП связаны с Вашим логином, воспользуйтесь сервисной Web-услугой РОЛИС «Сертификаты ЭЦП»
4. Нужные сертификаты установлены на Вашем компьютере, но уже не являются действующими – отозваны, просрочены и т.п.
Для проверки статуса Вашего сертификата ЭЦП так же можно воспользоваться сервисной Web-услугой РОЛИС «Сертификаты ЭЦП». По умолчанию в списке отображаются только действующие сертификаты, для отображения недействующих сертификатов ЭЦП установите флаг «Показывать недействующие».
Все недействующие сертификаты ЭЦП подсвечиваются в списке красным цветом, в колонке «Статус» отображается причина их недействительности
Если вы работаете на сайте ФНС с одного ПК с несколькими учётными записями (сертификатами), при каждой смене учётной записи необходимо чистить SSL (Сервис — Свойства браузера — Содержание — Очистить SSL).
1. Пройдите диагностику и выполните рекомендуемые действия.
2. Если электронная подпись установлена на носитель Рутокен ЭЦП 2.0, воспользуйтесь инструкцией и установите Рутокен.Коннект (см. Поддерживаемые браузеры).
4. Проверьте работу в браузерах:
— Спутник
Примечание: после запуска скачанного установочного файла перейдите в раздел «Настройки» и уберите галку с пункта «Установить КриптоПро CSP для поддержки защищенных каналов на основе ГОСТ шифрования и цифровой подписи».
— Яндекс.Браузер
После установки браузера зайдите в его настройки и включите поддержку ГОСТ-шифрования («Настройки» — «Системные» — «Сеть»):
6. Запустите программу КриптоПро CSP с правами администратора. Перейдите на вкладку «Настройки TLS» и снимите галочку «Не использовать устаревшие cipher suite-ы». После изменения данной настройки нужно обязательно перезагрузить компьютер.
7. После перезагрузки компьютера поставьте галочку «Не использовать устаревшие cipher suite-ы» в настройках КриптоПро CSP на вкладке «Настройки TLS», не соглашайтесь с предложением о перезагрузке.
9. Если на компьютере установлены другие СКЗИ (VipNet CSP, Континент-АП, Агава и др.), удалите их или перейдите на другое рабочее место. Корректная работа с несколькими криптопровайдерами на одном ПК не гарантируется.
При работе в ЛК физического лица появляется окно (не окно КриптоПро) с требованием ввести пароль, но при этом пароля на контейнере нет или стандартный пин-код от токена не подходит.
1. Войдите в Личный кабинет Физического лица.
2. Откройте страницу «Главная» — «Профиль» — «Получить электронную подпись».
3. Если на открывшейся странице выбрана ЭП — удалите подпись и зарегистрируйте КЭП заново.
При регистрации Юридического лица появляется ошибка «У Вас отсутствуют полномочия действовать от лица организации без доверенности».
Для управляющей компании КЭП должен содержать ФИО руководителя управляющей компании и реквизиты (ИНН, ОГРН) той организации, управление которой осуществляется. Также перед первым входом по сертификату дочерней организации требуется зарегистрировать в ФНС доверенность на руководителя УК.
По вопросам работы на портале и ошибкам, не связанным с настройкой рабочего места и электронной подписью, обратитесь в службу поддержки портала ФНС:
— Телефон: 8 (800) 222-22-22
— Форма обращения в техподдержку ФНС
Периодически, не всегда происходит следующее – при подписи документа через jinn-client после выбора сертификата и ввода пароля от контейнера, происходит ошибка – «введен не верный пароль или сертификат не соответствует…». При этом происходит переименование контейнера на флешке, был, например, «имя.001», а стал «имя.100» и появился еще один контейнер «имя.999». при этом пароль 100-% верный введен. Далее при повторной подписи может подписать, а может опять не подписать и создаст еще один контейнер с именем, например, «имя.998». В окне jinn-clent выбора сертификата появляются дублирующие записи.
У кого-нибудь была такая проблема? Проблема наблюдается второй день, до этого не встречалась.
IE11
КриптоПро 4.0.9963
Еще соответственно после переименования контейнера на флешке, подпись перестает работать в других ИС, выводя ошибку не найден контейнер.
После этого приходится восстанавливать контейнер со старым именем. Поведение похоже на вирусное.
Извиняюсь, если данный вопрос уже был, я не нашел.
А какая операционная система и версия jinn-client ?
Если на контейнере удалить пароль, тоже будет дублировать контейнера?
FarWinter пишет: А какая операционная система и версия jinn-client ?
Если на контейнере удалить пароль, тоже будет дублировать контейнера?
Удалил пароль, перестало дублировать и подписало, в чем может причина?
upd: после выбрал контейнер с паролем и подписало несколько раз, а потом заново стало дублировать. И почему происходит изменение файлов в контейнере даже после удачной подписи, так и должно (раньше не обращал на это внимание)?
shaburoff пишет: Удалил пароль, перестало дублировать и подписало, в чем может причина?
upd: после выбрал контейнер с паролем и подписало несколько раз, а потом заново стало дублировать. И почему происходит изменение файлов в контейнере даже после удачной подписи, так и должно (раньше не обращал на это внимание)?
Сохраненные пароли удалял не помогло. А вот крипто про переустанавливать сомнительно, в асфк, ландокс подпись работает. А вот в эб через jinn подпись не работает на всех компах у нас, где установлен. И началось это два дня назад и то не всегда, а как я писал выше периодически, может подписать, а может нет. Не пойму из-за чего началось, ничего не менялось и не ставилось в это время. Включено в крипто про у нас кэширование может в этом причина, но опять же всё работало ранее.
shaburoff пишет: Периодически, не всегда происходит следующее – при подписи документа через jinn-client после выбора сертификата и ввода пароля от контейнера, происходит ошибка – «введен не верный пароль или сертификат не соответствует…». При этом происходит переименование контейнера на флешке, был, например, «имя.001», а стал «имя.100» и появился еще один контейнер «имя.999». при этом пароль 100-% верный введен. Далее при повторной подписи может подписать, а может опять не подписать и создаст еще один контейнер с именем, например, «имя.998». В окне jinn-clent выбора сертификата появляются дублирующие записи.
Я вроде понял причину в следствии чего происходит дублирование
контейнеров закрытых ключей при подписании через Jinn-Client.
Осталось понять, в следствии чего у вас происходит дублирование КЗК.
Ошибка "Введён неверный пароль или сертификат не соответствует криптографическому контейнеру"
с дублирование каталогов КЗК при подписании в Jinn-Client
когда Контейнер закрытого ключа с паролем и пароль введён правильный,
возникает, если файлы или каталог Контейнера закрытого ключа открыты другой программой .
Варианты воспроизведения этой ошибки:
===================================
Контейнер закрытого ключа с паролем
имя каталога ИмяКЗК.000\
При входе в окно Jinn-Clent
Содержимое файлов и дата-время файлов КЗК не меняется
Если в момент подписания т.е. при открытом окне Jinn-Client
В Total Commander 9.0a перейти в каталог ИмяКЗК.000\
И ещё обязательное условие для появления ошибки, нужно один раз кликнуть на каком-нибудь файле
После этого нажать на [ Подписать ]
или какой либо из файлов:
masks2.key
name.key
primary2.key
были открыты в эксклюзивном режиме какой-нибудь программой,
т.е. например через проводник с помощью Paint открыть,
и не закрывать ошибку "Файл не является правильным рисунком BMP"
(Если открыть любой другой файл в каталоге КЗК
header.key
masks.key
primary.key
будет ошибка при подписании
Не удалось открыть криптографический контейнер
что в принципе логично, подписания не происходит, но и файлы и каталоги не изменяются.)
Происходит дублирование КЗК
ИмяКЗК.000\ - Каталог и файлы остаются без изменений, но
создаётся каталог с текущей датой-временем
ИмяКЗК.999\
в котором у всех файлов дата-время текущее
Изменяется содержимое файлов:
masks.key
primary.key
(как, если бы подпись была сформирована)
На первый взгляд картина маслом такая :
1. Создаётся каталог ИмяКЗК.999\ в котором у всех файлов дата-время текущее
и в котором изменено содержимое файлов masks.key и primary.key
2. Затем удаляет ИмяКЗК.000\ или переименовывает в каталог ИмяКЗК.100\
3. Каталог ИмяКЗК.999\ переименовывается в ИмяКЗК.000\
На 3 этапе переименования каталога, происходит ошибка, из за того, что файлы или каталог заняты другой программой.
Примечание: В момент тестирования когда Jinn-Client начинает ругаться на превышенное количество введённых неверных паролей
и ждать 30 минут,
нужно удалить ветку реестра
HKEY_CURRENT_USER\Software\Security Code\Jinn-Client
======================================
Контейнер закрытого ключа без пароля - с ним тоже всё очень интересно
имя каталога ИмяКЗК.000\
При открытии окна Jinn-Client
У каталога ИмяКЗК.000\ и у всех файлов изменяется дата-время на текущее
и ещё до подписания изменяется содержимое файлов:
masks.key
primary.key
Так же при нажатии на кнопку [ Обновить ] в окне Jinn-Client
У каталога ИмяКЗК.000\ и у всех файлов изменяется дата-время на текущее
и изменяется содержимое файлов: masks.key, primary.key
Ошибка с дублированием КЗК при открытии каталога ИмяКЗК.000\ в Total Commander 9.0a не происходит,
но может возникнуть, если какой либо из файлов в каталоге ИмяКЗК.000\:
был открыт в эксклюзивном режиме какой-нибудь программой,
т.е. например через проводник с помощью Paint открыть,
и не закрывать ошибку "Файл не является правильным рисунком BMP"
При открытии окна Jinn-Client или при нажатии на кнопку [ Обновить ] в окне Jinn-Client
создаётся каталог ИмяКЗК.999\ при каждом следующем обновлении 998,997 и так далее.
Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in в браузерах и предлагает способы их решения.
Появляется окно КриптоПро CSP Вставьте ключевой носитель
Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.
Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.
Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.
Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)
Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.
Проверьте, строится ли цепочка доверия: откройте сертификат (например через Пуск -> Все программы -> КриптоПро -> Сертификаты-Текущий Пользователь -> Личное -> Сертификаты), перейдите на вкладку Путь сертификации. Если на этой вкладке присутствуют красные кресты, или вообще нет ничего кроме текущего сертификата (кроме тех случаев если сертификат является самоподписанным), значит цепочка доверия не построена.
Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.
Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.
Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) - Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.
Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.
Полученный от УЦ сертификат является промежуточным в цепочке Минкомсвязи -> УЦ -> вы, поэтому при его установке выбирайте хранилище "Промежуточные центры сертификации".
Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.
При создании подписи появляется окно с ошибкой "Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)", в информации о сесртификате отображается "нет привязки к закрытому ключу"
Подпись создается, но также отображается статус "ошибка при проверке цепочки сертификатов".
Это значит, что нет доступа к спискам отозванных сертификатов.
Списки отозванных сертификатов можно скачать на сайте УЦ, выдавшем сертификат, после получения списка его необходимо установить, процедура идентична процедуре установки промежуточного сертификата ЦС. При отсутствии ограничений на доступ в сеть Интернет списки обновляются автоматически.
Ошибка: 0x8007064A/0x8007065B
Причина ошибки - истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.
Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.
Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.
Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0
Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.
Чтобы активировать имеющуюся лицензию:
- откройте Пуск -> Все программы -> КРИПТО-ПРО -> Управление лицензиями КриптоПро PKI
- выберите нужный программный продукт -> откройте контекстное меню (щелкнуть правой кнопкой мыши) -> выберите пункт "Все задачи" -> выберите пункт "Ввести серийный номер. "
- введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.
Отказано в доступе (0x80090010)
Ошибка: Invalid algorithm specified. (0x80090008)
Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.
Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.
Или если используется алгоритм хеширования, не соответствующий сертификату.
Пароль от контейнера электронной подписи
Пароль используют для подписи, сохраненной в память компьютера. Он защищает контейнер ЭП — папку с файлами подписи: сертификатом, закрытым и открытым ключами.
Впервые с паролем владелец ЭП встречается, когда выпускает сертификат ЭП и записывает его в реестр компьютера или на обычную флешку (не токен). Придумать пароль нужно самостоятельно — при записи программа КриптоПро CSP покажет окошко, в которое нужно ввести комбинацию чисел, символов и латинских и русских букв.
Далее этот пароль будет запрашиваться при установке подписи на компьютер, ее копировании и при каждом использовании — подписании документов, работе на электронной торговой площадке или входе в сервисы. Если, конечно, не установить галочку «Запомнить пароль».
Пин-код от токена электронной подписи
Пин-код используется для электронной подписи, которая записана на носитель в виде usb-флешки — на токен. Пин защищает токен, поэтому, если мошенники украдут носитель ЭП, то самой подписью они воспользоваться не смогут.
Впервые владелец ЭП должен ввести пин-код при выпуске подписи — когда ее записывают на токен. Если носитель новый, то нужно ввести «заводское» стандартное значение, например, 12345678 для Рутокена. «Заводское» значение лучше сразу изменить на собственное, чтобы его не смогли подобрать злоумышленники.
После этого пин-код понадобится вводить, чтобы установить сертификат подписи на компьютер, использовать и копировать ЭП, работать с ней за новым компьютером. Чтобы не вводить комбинацию каждый раз, можно нажать галочку «Запомнить пароль». Главное в таком случае самим не забыть последовательность символов.
Что такое пароль и пин-код электронной подписи
На электронную подпись устанавливают один из типов защиты: пароль или пин-код. Разберемся, чем они отличаются.
Забыл пароль подписи
Пароль от контейнера ЭП можно вводить неограниченное количество раз. Поэтому можно спокойно подбирать к подписи все знакомые комбинации: важные даты или код из смс, которую при выпуске сертификата присылал удостоверяющий центр. Возможно, именно этот код случайно установили на контейнер в качестве защиты.
Если подобрать пароль не удается, то доступ к сертификату можно вернуть в некоторых случаях. Если раньше пароль сохраняли на компьютере — нажимали галочку «Запомнить», то иногда такой контейнер можно скопировать без ввода пароля. Попытайтесь скопировать папку со всеми файлами подписи на другое устройство или токен. Если в процессе у вас не спросят пароль, то можно продолжать работать с ЭП.
Если не получается ни скопировать подпись, ни вспомнить пароль ЭЦП, то остается только одно — получить новый сертификат ЭП. Для этого нужно отозвать старый в удостоверяющем центре и подать документы и заявку на выпуск нового. На контейнер новой подписи стоит установить пароль, который легко запомнить, но который не угадают мошенники.
Читайте также: