CRL сертификата сервера не загружен или устарел в СУФД

Причина ошибки

Ошибка «CRL сертификата сервера не загружен или устарел» возникает, когда система не может проверить статус сертификата через механизм списков отозванных сертификатов (CRL). Это может быть связано с некорректным размещением сертификатов в неправильных хранилищах, что нарушает цепочку доверия между сертификатами.

В данном случае проблема может быть вызвана неправильным расположением промежуточных сертификатов в хранилище. Согласно данным, сертификаты, у которых «Кому выдан» не совпадает с «Кем выдан», должны находиться в хранилище «Промежуточные центры сертификации», а не в «Доверенные корневые центры сертификации».

Диагностика ошибки

Шаг 1: Проверка сертификатов

1. Откройте хранилище сертификатов:
   • Сертификаты (текущий пользователь) → Доверенные корневые центры сертификации
   • Локальный компьютер → Доверенные корневые центры сертификации
2. Проверьте, есть ли в этом хранилище сертификаты, у которых «Кому выдан» не совпадает с «Кем выдан». Это указывает на то, что сертификат является промежуточным и должен быть перемещен в другое хранилище.
3. Проверьте наличие следующих сертификатов:
   • Минкомсвязь России — Доверенные корневые центры Федеральное казначейство — Проможуточные корневые центры
   Если эти сертификаты находятся в «Доверенных корневых центрах сертификации», они установлены неправильно.

Решение

Шаг 1: Перемещение промежуточных сертификатов

1. Откройте Консоль управления сертификатами (MMC):
   • Нажмите Win + R, введите mmc и нажмите Enter.
2. В Консоли управления добавьте оснастку для управления сертификатами:
   • Нажмите Файл → Добавить/удалить оснастку.
   • Выберите Сертификаты и добавьте оснастку для локального компьютера.
3. Переместите сертификаты:
   • Найдите сертификаты Федеральное казначейство — Минкомсвязь России и Федеральное казначейство — Головной удостоверяющий центр в хранилище Доверенные корневые центры сертификации.
   • Переместите их в хранилище Промежуточные центры сертификации.

Шаг 2: Проверка корневых сертификатов

1. Убедитесь, что в хранилище Доверенные корневые центры сертификации находятся только корневые сертификаты, у которых «Кому выдан» совпадает с «Кем выдан». Это указывает на то, что сертификат является корневым и доверенным.

Шаг 3: Установка необходимых сертификатов

1. Установите сертификат Головного удостоверяющего центра (ГУЦ):
   • Загрузите сертификат с сайта: guts_2012.cer.
   • Установите его в хранилище Локальный компьютер → Доверенные корневые центры сертификации.
2. Установите сертификат удостоверяющего центра Федерального казначейства:
   • Загрузите сертификат с сайта: fk_2012.cer.
   • Установите его в хранилище Локальный компьютер → Промежуточные центры сертификации.

Дополнительные шаги для работы с ЛК ЭБ (Личный кабинет Электронного бюджета)

1. Для корректной работы с сертификатами на основе ГОСТ 2012 используйте следующий адрес для входа: lk2012.budget.gov.ru.
2. Для доступа необходимо использовать СКЗИ Континент TLS Клиент 2.0:
   • Убедитесь, что у вас установлен и настроен этот клиент.
   • Если требуются дистрибутивы, обратитесь в ОРСиБИ Федерального казначейства вашего региона.

Настройка сети

1. Если в организации используется прокси-сервер:
   • Укажите адрес и порт прокси в настройках подключения браузера.
2. Если прокси не используется, отключите использование прокси.
3. Добавьте разрешающее правило для IP-адреса 94.25.27.229 (tcp-443) на вашем прокси-сервере.

Заключение

Выполнив перемещение сертификатов в правильные хранилища и установив необходимые корневые и промежуточные сертификаты, а также настроив СКЗИ и сетевую инфраструктуру, вы сможете устранить ошибку и обеспечить корректную работу с системой «СУФД» и личным кабинетом Электронного бюджета.