Симптомы ошибки
Ошибка проявляется при попытке подписать документ в СУФД, при входе на электронные торговые площадки и в целом при любых операциях с электронной подписью. При этом срок действия сертификата не истёк, хоть и приближается с окончанию.
Ошибка на Сбербанк-аст звучит как "Произошла ошибка: Отказано в доступе (0x80090010). На сайте закупок при попытке зайти в личный кабинет с проблемным сертификатом пишет "Ошибка, этот сайт не может обеспечить безопасное соединение, на сайте lk.zakupki.gov.ru используется неподдерживаемый протокол. ERR_SSL_VERSION_OR_CIPHER_MISMATCH". Попытка зайти с такими сертификатом на портал фзс даст ошибку "Не удается безопасно подключиться к этой странице. Возможно, на сайте используются устаревшие или ненадежные параметры безопасности протокола TLS"
Техническая поддержка площадок как правило в таком случае разводит руками, девочки на проводе всем советуют очищать кеш браузера и пытаться запустить страницу в других браузерах. Естественно, ничего из предложенного не поможет - скорее всего у вас просто истек срок действия закрытого ключа от вашего сертификата.
Для того чтобы убедиться, что ваша проблема связана именно со сроком действия закрытого ключа, проведем диагностику средствами КриптоПро CSP:Запукаем КриптоПро - Сервис - Протестировать, выбираем "обзор" и находим нужный нам закрытый ключ.
Результат тестирования при желании можно скопировать в виде текста в блокнот для удобства прочтения, однако и основном окне диагностики мы увидим причину неработоспособности электронной подписи.
Почему так получилось?
Если вы хоть раз направляли запрос на создание сертификатов в удостоверяющий центр, то знаете, что между подачей запроса и формированием закрытого ключа и фактического выпуска открытого сертификата ключа электронной подписи может пройти от 3 дней до недели, и даже месяца, если в документах при подаче была допущена ошибка. Как правило именно этот промежуток времени и сыграл с вами злую шутку. Исправить данную ошибку довольно просто - необходимо пересоздать закрытый ключ, для этого нам нужно экспортировать сертификат вместе с закрытым ключом в формате pfx и переустановить ЭЦП с pfx.
На этом знающие люди пошли делать экспорт (не забывая для экспорта сменить дату на день, когда контейнер закрытого ключа стал просрочен), а те, кто этого делать не умеют, читают инструкцию ниже.
Как пересоздать закрытый ключ через pfx
Для начала смените дату на компьютере на день, когда закрытый ключ ещё действовал, узнать необходимую дату можно в результатах тестирования ключа. Иначе КриптоПро при попытке экспорта может выдать ошибку.
- Открываем КриптоПро Csp - сервис - посмотреть сертификаты в контейнере. Делаем поиск по сертификату, но сертификат не выбираем, а жмякаем "Посмотреть свойства сертификата"
2. Откроется окно выбранного сертификата. Идем в состав - копировать в файл. Запустится мастер экспорта сертификатов. Выбираем "Да, экспортировать закрытый ключ". Ради удобства на следующем шаге ставим галки на экспорт расширенных свойств и все сертификаты в путь сертификации. Задаем пароль, который понадобится для последующего импорта сертификата, можно самый простой. Под конец через кнопку "Обзор" выбираете куда данный сертификат сохранить и как назвать.
3. Всё готово, осталось произвести импорт данного сертификата в компьютер, при этом создастся новый закрытый ключ с новой датой окончания. Это позволит продолжить пользоваться сертификатом до тех пор, пока не истечет срок действия открытого ключа, выданного удостоверяющим центром.
Установка такого сертификата проще обычной установки электронной подписи, так как файл содержит сразу закрытый и открытый ключ, вам даже не понадобится съемный носитель.
Для импорта просто запустите созданный файл .pfx, откроется мастер импорта сертификатов. От вас потребуется пароль, придуманный во время процедуры экспорта, а так же галочка на разрешение экспортировать данный сертификат в будущем. На последнем шаге вас спросят куда именно сохранить новый закрытый ключ (на флешку или в реестр), там же можно будет и задать новый пароль для контейнера, если он нужен.
На этом всё. В целом, если вы уже получили новую электронную подпись, или же вам разово нужно что-то подписать (например, тот же запрос на перевыпуск ЭП), закрытый ключ можно и не пересоздавать, а просто сменить дату на компьютере, однако если до истечения срока электронной подписи ещё целый месяц, желательно провернуть описанную выше процедуру.