Hướng dẫn fix lỗi OCSP trên hệ thống KHO BẠC NHÀ NƯỚC

Ký KBNN báo lỗi OCSP chứng thư số không xác định được trạng thái từ nhà cung cấp.

Nguyên nhân: Do phần mềm Plugin ký số của Kho bạc nhà nước bị lỗi không phân biệt được Chứng thư số Viettel-CA cấp cho Chứng thư số của Khách hàng.

Khi đó, nếu trên máy có nhiều CTS Viettel-CA (cũ, mới) thì có thể Phần mềm ký của Kho bạc xác định sai CTS Viettel-CA gây lỗi như thông báo trên.

Cách xử lý: Cài đặt đúng CTS Viettel-CA cấp cho CTS của KH và loại bảo các CTS Viettel-CA khác theo các bước:

  1. Xác định CTS của KH do CTS Viettel-CA nào cấp.
  2. Xác định đã cài đặt CTS Viettel-CA chưa?
   • Nếu chưa thì tiến hành cài đặt.
  3. Xóa CTS Viettel-CA không cấp CTS cho Khách hàng,
   • Chỉ giữ lại CTS Viettel-CA cấp cho CTS của KH.

Bước 1: Xác định CTS của KH do CTS Viettel-CA nào cấp

Mở Token manager >> Đăng nhập >> Chọn chứng thư >> nhấn Chứng thư số

 • Chọn tab Details >> chọn Issuer

Là CTS được cấp bởi Viettel-CA cũ (2015-2020)

 

Thời hạn bắt đầu trước 17-7-2019

 

Link tải: https://rootca.gov.vn/crt/viettel-ca.p7b

 

Là CTS được cấp bởi Viettel-CA mới (2019-2024)

 

Thời hạn bắt đầu từ 17-7-2019

 

Link tải: https://rootca.gov.vn/crt/Viettel-CA_2019.p7b

 

Bước 2: Kiểm tra đã cài CTS Viettel-CA cấp cho KH chưa? Nếu chưa thì cài đặt

 • Chọn tab Certification Path >> Nếu hiện thị như dưới thì đã cài CTS Viettel-CA.

   

 • Chọn tab Certification Path >> Nếu hiện thị như dưới thì chưa cài CTS Viettel-CA => Cần cài CTS Viettel-CA.

 • Cần cài đặt CTS theo đúng CTS Viettel-CA đã phát hiện ở Bước 1.

Bước 3: Xóa CTS Viettel-CA không cấp CTS của KH

Nhấn Window + phím R để mở Run >> nhập certmgr.msc >> nhấn OK

>> Chọn Intermediate Certification Authorities >> Certificates

 

 

Nếu tại bước 1 xác định CTS KH:

 • Cấp bởi CTS Viettel-CA cũ hạn 2015-2020 thì giữ lại CTS này và xóa các CTS Viettel-CA khác chỉ còn như hình:

           

 • Cấp bởi CTS Viettel-CA mới hạn 2019-2024 thì giữ lại CTS này và xóa các CTS Viettel-CA khác