Почему может не работать подпись ФНС в ЕГАИС-алко?
Некоторые организации и предприниматели столкнулись с ситуацией, что электронная подпись, полученная в ФНС России, не работает в системе ЕГАИС-алкоголь .
Сейчас расскажем вам, почему такое может произойти и как это можно исправить.
Требования к электронной подписи для ЕГАИС-алкоголь
В частности (цитата):
7. Программно-аппаратные средства должны передавать данные по зашифрованному каналу связи, организованному с использованием устройства идентификации и авторизации организации, сельскохозяйственного товаропроизводителя и индивидуального предпринимателя (внешнего криптографического USB-устройства) (далее — аппаратный крипто-ключ) и электронного файла, содержащего данные для активации программных средств единой информационной системы.
8. Электронная подпись, применяемая для подтверждения подлинности информации, передаваемой в единую информационную систему, должна формироваться с использованием неизвлекаемого ключа электронной подписи средствами аппаратного крипто-ключа.
В настоящий момент в системе ЕГАИС-алкоголь поддерживаются следующие аппаратные крипто-ключи:
- Рутокен ЭЦП 2.0 (самый распространенный!)
- JaCarta-2 SE (JaCarta2 ГОСТ)
- MS_KEY ESMART АНГАРА
Таким образом, для работы в системе ЕГАИС-алкоголь у вас должен быть аппаратный крипто-ключ (один из перечисленных выше) и на него должна быть записана усиленная квалифицированная электронная подпись, изготовленная средствами аппаратного крипто-ключа (без использования сторонних криптопровайдеров).
Почему ваша электронная подпись, полученная в ФНС России, не работает с ЕГАИС-алкоголь?
С того момента, как электронную подпись для руководителей организаций и предпринимателям стала выдавать ФНС России, в нашу платную техническую поддержку обратилось огромное количество участников рынка за помощью в настройке электронной подписи для ЕГАИС.
Было выявлено 3 основные причины, почему электронная подпись, полученная в ФНС России, не работает с ЕГАИС-алкоголь:
Причина 1. Электронная подпись записана на носитель, который не удовлетворяет требованиям Постановления Правительства РФ от 31 декабря 2020 года №2466.
Часто для получения электронной подписи в ФНС России используют носитель ключевой информации, который не поддерживается системой ЕГАИС-алкоголь (например, Рутокен Lite или JaCarta LT).
Для исправления ситуации необходимо повторно обратиться в ФНС России для получения усиленной квалифицированной электронной подписи и предоставить для записи аппаратный крипто-ключ (рекомендуем Рутокен ЭЦП 2.0). При получении электронной подписи сообщите специалисту ФНС, что подпись нужно записать для ЕГАИС (средствами аппаратного крипто-ключа).
Причина 2. Электронная подпись записана на «правильный» аппаратный крипто-ключ, но изготовлена НЕ средствами аппаратного крипто-ключа.
Часто при получении электронной подписи в ФНС России на «правильный» аппаратный крипто-ключ изготавливают средствами программного криптопровайдера КриптоПро CSP. Такая электронная подпись не будет работать в системе ЕГАИС-алкоголь, поскольку она не удовлетворяет требованиям Постановления Правительства РФ от 31 декабря 2020 года №2466.
Для исправления ситуации необходимо повторно обратиться в ФНС России для получения усиленной квалифицированной электронной подписи, предоставить для записи аппаратный крипто-ключ. При получении электронной подписи сообщите специалисту ФНС, что подпись нужно записать для ЕГАИС (средствами аппаратного крипто-ключа).
Причина 3. Электронная подпись записана на «правильный» аппаратный крипто-ключ, изготовлена средствами аппаратного крипто-ключа, в то же время УТМ ЕГАИС не работает.
Такая ситуация поправима. Для того, чтобы ваша электронная подпись заработала должным образом необходимо обновить драйвера для вашего аппаратного крипто-ключа и установить актуальную версию УТМ ЕГАИС (на момент написания статьи это версия 2470).
Если по какой то причине Вы не можете справится с обновлением дайвера или с переустановкой УТМ ЕГАИС — обратитесь в нашу платную техническую поддержку .
Как узнать, правильно ли записана ваша электронная подпись для ЕГАИС?
К сожалению, обычному пользователю проверить правильность изготовленной электронной подписи очень проблематично. Это связано с некоторыми техническими особенностями работы аппаратных крипто-ключей и используемого программного обеспечения на ваших компьютерах.
Мы можем дать несколько рекомендаций, которыми можно воспользоваться для самостоятельной диагностики. Если Вы не уверены в своих силах — лучше обратиться к специалистам за помощью .
Самый простой способ диагностики «будет ли работать ваша электронная подпись в ЕГАИС-алкоголь» это зайти по этой электронной подписи в личный кабинет на сайте ЕГАИС https://service.egais.ru/checksystem . Если Вы успешно зашли в личный кабинет, значит ваша электронная подпись соответствует требованиям Постановления Правительства РФ от 31 декабря 2020 года №2466 и будет работать в системе.
Простой но не 100% рабочий способ это проверить вашу электронную подпись через программу драйвер для аппаратного крипто-ключа.
Например, если Вы используете Рутокен ЭЦП 2.0, то можете открыть Панель управления Рутокен (через ярлык на вашем Рабочем столе или через меню «Пуск» — «Программы» (или «Все программы») — «Рутокен» — «Панель управления Рутокен») и на вкладке «Сертификаты», выбрав ваш сертификат, посмотреть информацию о средствах электронной подписи.
При выборе сертификата, полученного в ФНС России, в списке ваших сертификатов средство электронной подписи должно быть «Рутокен Плагин» или «PKCS#11».
Сертификаты, которые ранее выдавались коммерческими удостоверяющими центрами, были изготовлены средствами аппаратного ключа (PKCS#11) и отображались в Панели управления как «PKCS#11».
Такой способ подойдет не всем, поскольку отображение информации о сертификате зависит от программного обеспечения, установленного на вашем компьютере. Если Вы не увидели надписей «Рутокен Плагин» или «PKCS#11» — для Вас такой способ не подходит.
Третий способ самый надежный, в то же время самый опасный для неопытных пользователей. У нас есть специальная утилита для рабаты с контейнерами ключей на Рутокен ЭЦП 2.0, она разрабатывалась для удаления «лишних» ключей на носителе. Но ее функционал помогает однозначно понять, что ключи электронной подписи записаны средствами аппаратного крипто-ключа.
Скачать программу можно по ссылке . Запустите программу, введите пин-код пользователя (по умолчанию 12345678) и нажмите кнопку «Обновить».
В появившемся списке отобразятся только контейнеры электронной подписи, записанные средствами аппаратного крипто-ключа. Просмотреть сертификат в контейнере можно нажав на пиктограмму сертификата. Если ваш сертификат отобразился в этом списке, то он записан должным образом и будет работать в ЕГАИС, только потребуется обновить программы на вашем рабочем месте.
Внимание! Нажатие кнопок («Удалить сертификат» и «Удалить контейнер») в нижней части экрана приведет к удалению записанных ключей!
Если Вы самостоятельно не можете справиться с проверкой вашей электронной подписи и настройкой аппаратного крипто-ключа — обратитесь к специалистам .
Что делать, если электронная подпись, полученная в ФНС России, так и не работает в ЕГАИС?
В настоящее время существует несколько способов разрешения проблемы:
Способ 1. Удостовериться, что электронная подпись изготовлена правильно и на вашем компьютере все настройки выполнены корректно. Если Вы сами не можете с этим справиться — обратитесь к специалистам .
Следующие способы подойдут тем, у кого электронная подпись, выданная ФНС России, не соответствует требованиям Постановления Правительства РФ от 31 декабря 2020 года №2466.
Способ 2. Обратиться еще раз в ФНС за получением электронной подписи, но обратиться в другое отделение. Согласно действующим правилам получения электронной подписи в ФНС Вы можете обратиться в любое ближайшее к вам отделение. При обращении не забудьте, что необходимо предъявить аппаратный крипто-ключ и попросить записать подпись для ЕГАИС (средствами аппаратного крипто-ключа).
Способ 3. Подходит только для юридических лиц! Вы можете обратиться в коммерческий удостоверяющий центр и приобрести электронную подпись, изготовленную не на руководителя, а на сотрудника организации. Технически он будет работать «как нужно» согласно требованиям Постановления Правительства РФ от 31 декабря 2020 года №2466.
Способ 4. Есть способ, который подойдет только для индивидуальных предпринимателей! Он технически работает, но конфликтует с текущими требованиями законодательства в сфере электронной подписи, поэтому информацию о нем мы опубликовать не можем.
Как исправить ошибку при генерации RSA ключа для ЕГАИС?
При генерации RSA ключа (транспортного ключа) в личном кабинете ЕГАИС алкоголь могут возникать ошибки. Разобраться в этих ошибках непросто специалисту, не говоря уже о рядовом пользователе.
Попробуем разобрать типовые ошибки, которые возникают при генерации транспортных RSA ключей ЕГАИС.
Почему возникает ошибка при генерации ключа ЕГАИС?
Ошибка при генерации транспортного ключа для ЕГАИС иногда возникает из-за неполадок на сайте ЕГАИС . Но это происходит крайне редко.
В основном ошибки при генерации связаны с некорректными настройками компьютера.
Общие рекомендации для успешной генерации транспортного RSA ключа ЕГАИС
Для успешной генерации транспортных ключей на сайте ЕГАИС необходимо соблюсти некоторые требования и рекомендации:
- Операционная система должна быть MS Windows и свежее чем XP (подойдет Vista/7/8/8/1/10, серверные ОС тоже поддерживаются, начиная с 2008). Крайне желательно наличие установленных актуальных обновлений.
- Браузер Internet Explorer версии не ниже, чем 9. Но мы рекомендуем использовать актуальную версию — 11. Установить или обновить можно из этого источника .
- Установлена актуальная версия крипто плагина ФСРАР Крипто (версия не ниже чем 2.00).
- Установлены и настроены драйвера для защищенного носителя для ЕГАИС.
- Во время работы в личном кабинете ЕГАИС и при работе УТМ ЕГАИС должен быть вставлен только один ключик для ЕГАИС.
Ошибка при генерации RSA ключа «Выберете устройство чтения смарт карт. «
Если при генерации ключа ЕГАИС вместо окна запроса пин-кода Вы увидели окно «Выберете устройство чтения смарт карт» или «Обнаружена смарт-карта, но она не может использоваться для текущей операции. » или «Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты», значит нужно скорректировать настройки компьютера.
Такая ошибка возникает из-за того, что настройки вашего компьютера не позволяют сформировать ключи, необходимые для работы УТМ ЕГАИС.
Если Вы используете носитель Рутокен ЭЦП, то вам необходимо сделать следующее:
Откройте Панель управления Рутокен (запускается ярлыком на рабочем столе или через меню Пуск — Программы (или Все программы) — Рутокен — Панель управления Рутокен), перейдите на вкладку «Настройки» и нажмите на кнопку «Настройка» в разделе «Настройки криптопровайдера«. Установите напротив строки Рутокен ЭЦП значение Microsoft Base Smart Card Crypto Provider.
Пробуйте сгенерировать транспортный ключ ЕГАИС еще раз.
Если не получилось — сделайте перенастройку еще раз. Выберете другой криптопровайдер, нажмите ОК, и снова выберете Microsoft Base Smart Card Crypto Provider.
Если опять не получилось — обновите драйвер для Рутокен ЭЦП. Скачать драйвер можно с сайта разработчика. После обновления проверьте настройки криптопровайдера и пробуйте еще раз.
В крайне редких случаях, если генерация ключа не проходит, помогает утилита восстановления работоспособности Рутокен (позволяет правильно определить драйвера носителя в системе).
Все должно получиться!
Если Вы самостоятельно не можете справится с генерацией транспортного ключа ЕГАИС — обратитесь к нашим специалистам. Обычно мы справляемся с этой задачей за 5-15 минут.
Ошибка в методе createCertificateRequest Error: CKR_PNI_INCORRECT
В этой ошибке прямым текстом, правда по иностранному, написано, что неверно введен пин-код.
Проверьте правильность ввода пин-кодов. Если на вашем носителе установлен пин-код по умолчанию. и Вы его не помните, то напоминаем:
- для JaCrata пин RSA — 11111111, пин ГОСТ — 0987654321
- для Рутокен пин RSA — 12345678, пин ГОСТ — 12345678
Если не подходят стандартные пин-коды и пин-код, который установили Вы, то скорее всего носитель заблокировался. Для разблокировки носителя обратитесь к тому, у кого получали ключи, должны помочь.
Если Вы самостоятельно не можете справится с пин-кодом для ключа ЕГАИС — обратитесь к нашим специалистам (достаточно просто написать в чат на сайте). Обычно мы справляемся с этой задачей за 5-15 минут.
Ошибка в методе createCertificateRequest Error: CKR_ATTRIBUTE_TYPE_INVALID
Такая ошибка была нами зафиксирована при использовании ключа JaCarta SE.
Для исправления ошибки необходимо инициализировать раздел PKI на носителе. Для этого откройте Единый клиент JaCarta желательно включить интерфейс Администратора (снизу слева кнопка «Переключиться в режим администрирования»). Перейдите вверху во вкладку PKI и нажмите «Инициализировать». При запросе пин-кода введите пин-код Администратора 00000000, пин-код Пользователя 11111111.
После успешной инициализации попробуйте снова сгенерировать транспортный ключ.
Также не забывайте о том, что для нормальной работы вашего защищенного носителя для ЕГАИС должен быть установлен свежий драйвер ключа!
Если Вы самостоятельно не можете справится с генерацией транспортного ключа ЕГАИС — обратитесь к нашим специалистам (достаточно просто написать в чат на сайте). Обычно мы справляемся с этой задачей за 5-15 минут.
Решения самых популярных проблем с ЕГАИС Вы можете найти в нашем Telegram канале «ЕГАИС простыми словами» (@egais_is_easy ).
Распространенная ошибка с PKI
-Работа нашего магазина налажена, работаем не первый год без особых проблем. Стараемся всё держать в порядке. Вот на днях закончился срок действия ключа Рутокен. Заказала новый. Привезли. И почему-то не получается с ним работать! УТМ не запускается, накладные принять не могу, пробить товар на кассе тоже не получается. Вообще никакая работа не идет. Позвонила в УЦ, где покупала ключ. Они сказали, что все работает, чтобы мы обратились к нашему сисадмину. Он сам помочь не смог – был в отъезде. Но предположил, что нужно переустановить УТМ. Но боязно нам самим. Как бы больше не наломать. Помогите запустить работу магазина.
– Когда я слышу про новый ключ, – рассказывает сотрудник технической поддержки нашей компании, – сперва всегда стараюсь проверить наличие сертификатов на ЭЦП. Поэтому заглядываем в программное средство, которое обслуживает ключ клиента. В данном случае это – панель управления Рутокен.
На корректно работающем ключе должны быть записаны два сертификата. Это ГОСТ и PKI. Вот так должен выглядеть корректный сертификат (рис.1).
На рис. 2 мы видим, что первый сертификат записан – указано юридическое наименование организации. А вот строки с сертификатом PKI нет. Значит, PKI на ключе клиента отсутствует. Поэтому ключ не работает, соответственно, УТМ не запускается.
– Возможно это решить, не посещая УЦ?
– Да, вполне. Это делается в ЛК ЕГАИС. Вставляем ключ в комп, вводим ПИН-код (если не меняли, то по умолчанию он 12345678)
Нажимаем на сертификат с названием Вашей организации.
На данном этапе нажимаем «Получить ключ доступа». Выбираем необходимое подразделение организации и формируем ключ.
Проверяем правильность ПИН-кодов, реквизитов, ставим галочку «Достоверность указанных сведений подтверждаю» и нажимаем «Сформировать ключ».
В следующем окошке вводим ПИН-код 12345678 и нажимаем «ОК».
Проверяем, чтобы галочки были зелеными. И смело нажимаем кнопку «Закрыть». И всё. Видите, как всё легко, если знать, что нужно делать.
– Не сталкивалась раньше с таким…
– Увы, такое часто происходит. Некоторые УЦ продают ключи без сертификата PKI, думая, что каждый клиент запросто с этим справится. Но на практике мы видим обратное. При выборе УЦ уточняйте – вы получаете ключ с уже записанными сертификатами или наполовину готовый ключ.
Итак, сертификат записан, ключ рабочий. С чем я Вам могу еще помочь?
– Я с утра не смогла зайти в ЛК ФСРАР, чтобы посмотреть сданные декларации. Это может быть связано с этой же проблемой?
– Это могло быть связано. Я открыл Ваш браузер для входа в личный кабинет и вижу, дело в другом – в браузере не установлен плагин. И обычно я рекомендую использовать браузер InternetExplorer 11.
-А что с плагином?
– Его тоже нужно установить согласно прилагаемой на портале инструкции. Обычно этот пункт прописывается выделенным шрифтом на странице входа. Сложно пропустить.
Результат звонка: УТМ работает, товар на кассе пробивается, доступ в ЛК ФСРАР восстановлен
Главный бухгалтер ООО «Сандра»: «Очень довольна, что Алсион мне посоветовали мои коллеги, которые уже к вам обращались. Честно говоря, стыдно от своего незнания. Ваш сотрудник мне многое объяснил простым доступным языком. Я действительно думала, что не получается зайти в личный кабинет из-за неработающего ключа. Очень приятно общаться с квалифицированным специалистом»
Техническая поддержка ООО «Алсион»: «Если бы ООО «Сандра» решились по подсказке добрых людей на самостоятельную переустановку УТМ, то, действительно, проблем было бы гораздо больше –могли удалить по незнанию папку с файлами УТМ, могли потерять входящие в УТМ документы или просто криво установить ПО (ссылка на другие кейсы). И на восстановление ушло бы и времени больше, и средств тоже. А свой основной вопрос этим они не решили бы. Самое верное решение при сомнениях и, тем более, при не знании темы – это обратиться к специалистам.»
Ошибки при генерации RSA ключа
При генерации RSA ключа в личном кабинете ЕГАИС могут возникать ошибки.
Попробуем разобрать типовые ошибки, которые возникают при генерации для ЕГАИС.
Почему возникает ошибка при генерации ключа ЕГАИС?
Ошибка при генерации транспортного ключа для ЕГАИС иногда возникает из-за неполадок на сайте ЕГАИС. Но это происходит крайне редко.
В основном неполадки связаны с некорректными настройками компьютера.
Общие рекомендации для успешной генерации транспортного RSA ключа ЕГАИС
Необходимые требования и рекомендации:
- Для корректной работы в личном кабинете рекомендуется отключить все защитники и антивирусные программы на компьютере
- Операционная система должна быть MS Windows и свежее чем XP (подойдет Vista/7/8/8/1/10, серверные ОС тоже поддерживаются, начиная с 2008). Крайне желательно наличие установленных актуальных обновлений.
- Браузер Internet Explorer версии не ниже, чем 9.
- Установлена актуальная версия крипто плагина ФСРАР Крипто (версия не ниже чем 2.00).
- Установлены и настроены драйвера носителя для ЕГАИС.
- Во время работы в личном кабинете и при работе УТМ ЕГАИС должен быть вставлен только один ключ для ЕГАИС.
Ошибка при генерации RSA ключа «Выберете устройство чтения смарт карт. «
Если при генерации вместо окна запроса пин-кода Вы увидели окно «Выберете устройство чтения смарт карт» или «Обнаружена смарт-карта, но она не может использоваться для текущей операции. » или «Смарт-карта не может выполнить запрошенную операцию либо операция требует другой смарт-карты», значит нужно скорректировать настройки компьютера.
Данная ошибка возникает в результате некорректных настроек на ПК, запрещающие формировать ключ.
Если Вы используете носитель Рутокен ЭЦП 0, то вам необходимо выполнить следующие операции:
Выберите пункт Панель управления Рутокен (можно запустить через ярлык на рабочем столе, меню Пуск — Программы (или Все программы) — Рутокен — Панель управления Рутокен).
Перейдите на вкладку «Настройки» и выберите пункт «Настройка…»
Установите напротив строки Рутокен ЭЦП значение Microsoft Base Smart Card Crypto Provider.
Если не получилось — сделайте перенастройку еще раз. Выберете другой криптопровайдер, нажмите ОК, и снова выберете Microsoft Base Smart Card Crypto Provider.
Если опять не получилось — обновите драйвер для Рутокен ЭЦП. Скачать драйвер можно с сайта разработчика. После обновления проверьте настройки криптопровайдера и пробуйте еще раз.
В крайне редких случаях, если генерация не проходит, помогаетутилита восстановления работоспособности Рутокен (позволяет правильно определить драйвера носителя в системе).
Ошибка в методе createCertificateRequest Error: CKR_PNI_INCORRECT
В данной ошибке указано, что неверно введен пин-код.
Проверьте правильность ввода пин-кодов, если на вашем носителе они установлены по умолчанию. Напоминаем стандартные пин коды:
- для JaCrata пин RSA — 11111111, пин ГОСТ — 0987654321
- для Рутокен пин RSA — 12345678, пин ГОСТ — 12345678
В случае, когда не проходит стандартный пин код, возможно они у вас были заменены на нестандартные пароли или скорее всего носитель заблокировался. В данной ситуации для разблокировки носителя обратиться в удостоверяющие центр.
Ошибка в методе createCertificateRequest Error: CKR_ATTRIBUTE_TYPE_INVALID
Данная ситуаци была нами зафиксирована при использовании ключа JaCarta SE.
Для исправления необходимо инициализировать раздел PKI на носителе. Для этого откройте Единый клиент JaCarta желательно включить интерфейс Администратора (снизу слева кнопка «Переключиться в режим администрирования»).
Перейдите вверху во вкладку PKI и нажмите «Инициализировать». При запросе кода введите пин-код Администратора 00000000, пин-код Пользователя 11111111. После успешной инициализации попробуйте снова сгенерировать транспортный ключ.